Statement of Applicability (SoA): Den kompletta guiden

Vad är ett uttalande om tillämplighet?

Enkelt uttryckt, i sin strävan att skydda värdefulla informationstillgångar och hantera informationsbehandlingsanläggningarna, anger SoA vilka ISO 27001-kontroller och policyer som tillämpas av organisationen. Det jämförs med bilaga A-kontrollen i ISO 27001-standarden (beskrivs på baksidan av det ISO-standarddokumentet som referenskontrollmål och kontroller).

Uttalandet om tillämplighet finns i 6.1.3 av huvudkraven för ISO 27001, som är en del av den bredare 6.1, fokuserad på åtgärder för att hantera risker och möjligheter.

SoA är därför en integrerad del av den obligatoriska ISO 27001-dokumentationen som måste presenteras för en extern revisor när ISMS genomgår en oberoende revision t.ex. av ett UKAS revisionscertifieringsorgan.

Vem gäller ISO 27001?

ISO 27001 är tillämplig på alla typer och storlekar av organisationer, inklusive offentliga och privata företag, statliga enheter och ideella organisationer. Den röda tråden oavsett organisationsstorlek, typ, geografi eller bransch är att organisationen strävar efter att visa bästa praxis i sin strategi för informationssäkerhetshantering. Best practice kan förstås tolkas olika.

ISO-standarden handlar om att utveckla ett system för hantering av informationssäkerhetsrisker. Så beroende på organisationens ledarskaps aptit för informationsrisk och omfattningen av tillgångar för att hantera risker runt, kan de kontroller och policyer som tillämpas variera avsevärt från en organisation till en annan, men ändå uppfylla ISO 27001-kontrollmålen.

Vad som dock är tydligt är att uppnåendet av ISO 27001-certifiering genom en oberoende granskning från ett godkänt ISO-certifieringsorgan kommer att innebära att organisationen har nått en erkänd nivå av kontroll (best practice som standard) för informationstillgångar och bearbetningsanläggningar.

ISO 27001-certifiering ger intresserade parter som kraftfulla kunder och framtidsutsikter en högre nivå av förtroende än egenutvecklade metoder eller alternativa standarder som inte bär samma oberoende revision eller internationellt erkännande.

Varför är SoA viktigt?

Tillsammans med omfattningen av ledningssystemet för informationssäkerhet (4.3 i ISO 27001), tillhandahåller SoA en sammanfattning av de kontroller som används av organisationen. SoA är ett centralt krav för att uppnå ISO-certifiering av ISMS och kommer tillsammans med omfattningen att vara en av de första sakerna som en revisor kommer att leta efter i sitt revisionsarbete.

Denna dokumentation kommer att behöva vara tillgänglig för granskning under Steg 1-certifieringsrevisionen, även om den bara kommer att borras i under Steg 2-revisionen, då revisorn kommer att testa några av ISO 27001-kontrollerna och se till att de inte bara beskriver, utan på ett adekvat sätt demonstrerar kontrollmålen uppnås.

Revisorn kommer att granska inventeringen av informationstillgångar, överväga riskerna, deras utvärdering och behandlingar och leta efter fysiska bevis för att organisationen har implementerat de kontroller som den har påstått för att hantera risken på ett tillfredsställande sätt.

SoA och Scope kommer att täcka organisationens produkter och tjänster, dess informationstillgångar, bearbetningsanläggningar, system som används, personer som är involverade och affärsprocesserna, oavsett om det är ett virtuellt enmansföretag eller en internationell verksamhet på flera platser med tusentals anställda.

Kraftfulla utbildade kunder med betydande informationsrisk (t.ex. på grund av GDPR eller andra kommersiella informationstillgångar) kanske vill se Scope och SoA innan de köper från en leverantör, för att säkerställa att ISO-certifieringen faktiskt adresserar de områden av verksamheten som är involverade i deras tillgångar.

Det är inte bra att ha en ISO-certifiering med Scope och SoA för ett brittiskt huvudkontor när den faktiska risken för informationsbehandling sker i en offshorebyggnad med resurser utanför räckvidden! Det är faktiskt en av anledningarna till att certifieringsorganen nu uppmuntrar "hela organisationens" Scopes, vilket naturligtvis kan innebära att det krävs ett mycket bredare och djupare uttalande om tillämplighet.

Sammanfattningsvis visar ett väl presenterat och lättförståeligt SoA förhållandet mellan tillämpliga och implementerade Annex A-kontroller givet riskerna och informationstillgångarna i omfattning. Det kommer att ge ett stort förtroende för en revisor eller annan intresserad part att organisationen tar informationssäkerhetshantering på allvar, särskilt om allt detta är sammanfört till ett holistiskt ledningssystem för informationssäkerhet.

Vad är bilaga A ISO 27001?

Bilaga A till ISO 27001 är en katalog över mål och kontroller för informationssäkerhetskontroll som måste beaktas under implementeringen av ISO 27001. Den tekniska termen som används för ISO handlar om "motivering" av kontrollen, SoA kommer att visa om bilaga A-kontrollen är:

• Tillämplig och implementerad som kontroll nu
• Tillämpligt men inte implementerat som en kontroll (t.ex. kan det vara en del av en förbättring för framtiden och fångas i 10.2 som en del av en förbättring, eller så är ledningen beredd att tolerera risken med tanke på deras andra implementerade kontrollprioriteringar)
• Ej tillämpligt (observera att om något inte anses vara tillämpligt, kommer revisorn att försöka förstå varför det är så att en dokumenterad journal bör föras om det också i SoA).

Kontrollerna måste ses över och uppdateras regelbundet under den treåriga ISO-certifieringslivscykeln. Detta är en del av den pågående filosofien för förbättring av informationssäkerhetshanteringen som är inbäddad i standarden. Med tanke på den ökande takten i tillväxten av cyberbrottslighet, går cybersäkerheten också snabbt, så allt mindre än en årlig granskning av kontroller skulle potentiellt öka organisationens hotexponering.

Vilka kontroller ska jag inkludera?

Statement of Applicability är huvudlänken mellan din informationssäkerhetsriskbedömning och behandlingsarbete och visar "var" du har valt att implementera informationssäkerhetskontroller från 114 kontrollmålen. (En bra SoA kommer också att kunna borra in för att visa "hur" de har implementerats också.)

Även om kontrollerna i bilaga A tillhandahåller en användbar checklista att överväga, kan det vara dyrt att bara implementera alla 114 kontroller från "nedifrån och upp" och missa de grundläggande målen med standarden. Tyvärr kommer vissa informationssäkerhetskonsulter och leverantörer som säljer "fullständiga ISO 27001-dokumentationsverktyg" att förespråka detta tillvägagångssätt, men det är fel sätt att hantera informationssäkerhet.

Det finns en anledning till att kärnkraven i ISO 27001 från 4.1-10.2 finns där. De hjälper till att ta organisationen på det affärs- och strategiledda tillvägagångssättet där du tittar uppifrån och ner. Efter att ha övervägt frågorna, berörda parter, omfattningen och informationstillgångarna kan organisationen identifiera riskerna, sedan utvärdera dem och överväga behandlingar för dessa risker.

Riskerna kring den värdefulla informationen och bearbetningsanläggningarna, enheterna, personer som är inblandade etc bör utvärderas med informationens konfidentialitet, integritet och tillgänglighet (CIA) i åtanke.

Denna nedbrytning av CIA är också en viktig aspekt för revisorn att förstå och visar att organisationen mer holistiskt har övervägt risken. Avgörande betyder det också att SoA har utvecklats med det mer omfattande tillvägagångssättet, snarare än bara en del, t.ex. endast beaktade risken för förlust av information från ett intrång.

Även om organisationen kommer att överväga riskerna från sin verksamhet enligt ovan är det värt att nämna att ett av kontrollområdena i bilaga A som alltid kommer att vara tillämpligt är "Identifiering av tillämplig lagstiftning och avtalskrav" i A.18.1.1 . Detta innebär att du också beaktar kraven i relevanta lagar, förordningar och avtalskrav. Det blir mycket mer framträdande på grund av EU:s GDPR för dem som behandlar EU-medborgarinformation och alltmer över hela världen också med andra integritetsstandarder som POPI i Sydafrika, LGPD i Brasilien och CCPA i Kalifornien.

För att förstå förväntningarna på integritetsbestämmelserna, dikterar det också effektivt att många av ISO 27001-kontrollerna krävs, oavsett om du tror att de är det eller inte. Så en smart revisor kommer att förvänta sig en förståelse för den tillämpliga lagstiftningen som påverkar din organisation och hur det också informerar ditt val av tillämpliga kontroller i SoA-motiveringen.

Vissa informationssäkerhetsrisker skulle givetvis kunna avslutas helt, överföras till annan part, behandlas eller tolereras. Alla dessa bilaga A-kontroller hjälper dig sedan att överväga och där så är lämpligt implementera överföringen, behandla eller tolerera filosofin kring riskerna. SoA visar sedan vilka säkerhetsåtgärder från bilaga A kontroller du använder och hur du har implementerat dem, dvs dina policyer och rutiner.

Kontrollmålen och kontrollerna i bilaga A som anges i ISO 27001-standarden är inte föreskrivande men måste beaktas och att motivering för tillämplighet är väsentlig för en oberoende certifiering från ett ISO-certifieringsorgan.

ISO 27002 och Statement of Applicability

Oavsett om oberoende certifiering är ett mål eller kanske helt enkelt efterlevnad i kombination med den kompletterande ISO 27002-riktlinjen är kontrollerna i bilaga A en positiv grund att bygga på för alla organisationer som vill förbättra sin informationssäkerhetsställning och göra affärer säkrare.

ISO 27002, är tilläggsstandarden till ISO 27001, ger en uppförandekod och användbar disposition för informationssäkerhetskontroller och ger därmed en mycket bra katalog över kontrollmål och kontroller för behandling av risker samt vägledning om hur de ska implementeras.

Vilka säkerhetsåtgärder (kontroller i bilaga A) du använder för att hantera dessa risker beror faktiskt på din organisation, dess riskaptit och omfattning samt tillämplig lagstiftning. Men vad det än är så måste det presenteras i Statement of Applicability om du vill uppnå en ISO 27001-certifiering!

Vilken information behöver inkluderas i SoA?

Så låt oss sammanfatta vilken information som minst behöver inkluderas för SoA.

• En förteckning över de 114 kontrollerna i bilaga A
• Oavsett om kontrollen genomförs eller inte
• Motivering för att det inkluderas eller utesluts
• En kort beskrivning eller hur varje tillämplig kontroll implementeras, med hänvisning till policyn och kontroll som beskriver den i rätt detalj

Som nämnts ovan är SoA ett fönster in i organisationens ISMS. Om du inte kan visa hur det fönstret öppnas i djupet och ansluten karaktär av informationssäkerhetshanteringssystem som kan skapa problem. Föreställ dig situationen när revisorn dyker upp och kalkylbladet som visar 114-kontrollerna är långt inaktuellt med de faktiska förvaltningskontrollerna på plats.

En av de vanligaste anledningarna till att misslyckas med en ISO 27001-revision är att revisorn inte kan dra förtroende för administrationen av ISMS och att dokumentationen är dåligt hanterad eller saknas. Att ha ett fristående SoA "dokument" snarare än integrerad och automatiserad dokumentation av en SoA ökar den risken.

Hur skapar du tillämplighetsförklaringen?

Så länge som SoA har rätt information, är korrekt och uppdaterad, kan du skapa SoA från papper, kalkylblad, dokument eller professionella system som automatiserar det som en del av deras bredare GRC-förmåga (Governance, Regulation & Compliance) .

I en idealisk värld kommer din SoA knappast att förändras (inte minst eftersom certifieringsorgan kan ta betalt för versionsändringar av SoA). Men det som sitter under SoA, dvs. det bankande hjärtat i själva ISMS, bör vara dynamiskt som en levande andningsrepresentation av ditt utvecklande informationssäkerhetslandskap.

SoA måste ses över när dina policyer och kontroller ses över (minst årligen) så det skulle fortfarande tjäna på att vara en effektiv process med tanke på de 114 kontrollerna för övervägande.

Att slå upp ett kalkylblad med kontrollerna som en checklista är en plätt och ganska snabbt att göra. Men att göra det med förtroende för att allt tidigare informationssäkerhetsplanering och implementeringsarbete kring tillgångarna, riskerna och kontrollerna har gjorts i rätt ordning och uttryckt som en sammanfattning av SoA är inte fullt så okomplicerat. En revisor kommer att vilja se vad som finns under den enkla överlinjen på 114 rader i ett kalkylblad.

Förr i tiden innebar det mycket arbete att presentera SoA som ett 200 sidor omfattande dokument, särskilt för att hålla det uppdaterat allt eftersom policyerna och kontrollerna utvecklades. Det finns nu mycket bättre och enklare sätt att automatisera SoA och dra fördel av det hårda arbete som redan gjorts i andra delar av ISMS.

Hur du sparar tid när du skriver din tillämplighetsförklaring

SoA tar vanligtvis lång tid för en organisation att sätta ihop på grund av vad som informerar den. Om vi ​​tänker på stegen som är involverade i dess skapelse, och det arbete som behövs för det, är det inte konstigt:

• Tänk på frågorna, berörda parter och omfattningen av ISMS
• Identifiera informationstillgångar och bearbetningsanläggningar och enheter som är i riskzonen
• Utvärdera och bedöma riskerna förknippade med informationens säkerhet med hjälp av konfidentialitet, integritet och tillgänglighet
• Bedöm dessa risker och bestäm sedan vilka av de 114 bilaga A-kontrollerna som behövs
• Förstå och utvärdera tillämplig lagstiftning (och alla viktiga avtalsförpliktelser från kraftfulla kunder) för att lyfta fram andra kontrollområden
• Bestäm hur kontrollen ska implementeras vad gäller policy, procedur, personer, teknik mm
• Skapa sedan själva SoA-dokumentet med dessa motiveringar om tillämpligheten tydliga
• Länkar idealiskt till kontrolldetaljen, riskerna och tillgångarna för att visa att ISMS fungerar
• Och hantera det löpande.

  SoA är en liten men mycket viktig del av ett mycket omfattande ISMS. Om det gjorts bra kommer det att göra organisationen redo för revisionsframgång och förtroendeskapande för smarta kunder och andra intressenter. Dåligt gjort kommer det nästan säkert att störa och försena tiden till certifiering och kan innebära förlust av affärer eller framtida möjligheter från misslyckande att uppnå eller upprätthålla certifiering.

Snabba upp SoA-processen med ISMS.online

ISMS.online är ett omfattande hanteringssystem för informationssäkerhet som bland många andra saker underlättar administration och hantering av dina informationstillgångar, risker, policyer och kontroller, allt på ett ställe.

Det betyder också att skapandet av SoA kan automatiseras och presenteras enkelt och effektivt. Därför, förutom andra fördelar som att det kostar mindre tid att uppnå ISO 27001-framgång, snabbar det också upp ISO-certifieringsresan.

Fokusera din energi på att driva ditt företag som du vill och spendera tid på vad du behöver uppnå för att lyckas, och oroa dig mindre för hur du gör det. ISMS.online gör det så enkelt att få ditt arbete gjort, inklusive SoA till en bråkdel av kostnaden och tiden för alternativen.