Vad är ett uttalande om tillämplighet?
Enkelt uttryckt, i sin strävan att skydda värdefulla informationstillgångar och hantera informationsbehandlingsanläggningarna, anger SoA vilka ISO 27001-kontroller och policyer som tillämpas av organisationen. Det jämförs med bilaga A-kontrollen i ISO 27001-standarden (beskrivs på baksidan av det ISO-standarddokumentet som referenskontrollmål och kontroller).
Uttalandet om tillämplighet finns i 6.1.3 av huvudkraven för ISO 27001, som är en del av den bredare 6.1, fokuserad på åtgärder för att hantera risker och möjligheter.
SoA är därför en integrerad del av den obligatoriska ISO 27001-dokumentationen som måste presenteras för en extern revisor när ISMS genomgår en oberoende revision t.ex. av ett UKAS revisionscertifieringsorgan.
Vem gäller ISO 27001?
ISO 27001 är tillämplig på alla typer och storlekar av organisationer, inklusive offentliga och privata företag, statliga enheter och ideella organisationer. Den röda tråden oavsett organisationsstorlek, typ, geografi eller bransch är att organisationen strävar efter att visa bästa praxis i sitt förhållningssätt till informationssäkerhetshantering. Best practice kan förstås tolkas olika.
ISO-standarden handlar om att utveckla ett system för hantering av informationssäkerhetsrisker. Så beroende på organisationens ledarskaps aptit för informationsrisk och omfattningen av tillgångar för att hantera risker runt, kan de kontroller och policyer som tillämpas variera avsevärt från en organisation till en annan, men ändå uppfylla ISO 27001-kontrollmålen.
Vad som dock är tydligt är att uppnåendet av ISO 27001-certifiering genom en oberoende granskning från ett godkänt ISO-certifieringsorgan kommer att innebära att organisationen har nått en erkänd nivå av kontroll (best practice som standard) för informationstillgångar och bearbetningsanläggningar.
ISO 27001-certifiering ger intresserade parter som kraftfulla kunder och framtidsutsikter en högre nivå av förtroende än egenutvecklade metoder eller alternativa standarder som inte bär samma oberoende revision eller internationellt erkännande.
Få din guide till
ISO 27001 framgång
Allt du behöver veta om att uppnå ISO 27001 första gången
Få din gratis guideVarför är SoA viktigt?
Tillsammans med omfattningen av ledningssystemet för informationssäkerhet (4.3 i ISO 27001), tillhandahåller SoA en sammanfattning av de kontroller som används av organisationen. SoA är ett centralt krav för att uppnå ISO-certifiering av ISMS och kommer tillsammans med omfattningen att vara en av de första sakerna som en revisor kommer att leta efter i sitt revisionsarbete.
Denna dokumentation kommer att behöva vara tillgänglig för granskning under Steg 1-certifieringsrevisionen, även om den bara kommer att borras i under Steg 2-revisionen, då revisorn kommer att testa några av ISO 27001-kontrollerna och se till att de inte bara beskriver, utan på ett adekvat sätt demonstrerar kontrollmålen uppnås.
Revisorn kommer att granska inventeringen av informationstillgångar, överväga riskerna, deras utvärdering och behandlingar och leta efter fysiska bevis för att organisationen har implementerat de kontroller som den har påstått för att hantera risken på ett tillfredsställande sätt.
SoA och Scope kommer att täcka organisationens produkter och tjänster, dess informationstillgångar, bearbetningsanläggningar, system som används, personer som är involverade och affärsprocesserna, oavsett om det är ett virtuellt enmansföretag eller en internationell verksamhet på flera platser med tusentals anställda.
Kraftfulla utbildade kunder med betydande informationsrisk (t.ex. på grund av GDPR eller andra kommersiella informationstillgångar) kanske vill se Scope och SoA innan de köper från en leverantör, för att säkerställa att ISO-certifieringen faktiskt adresserar de områden av verksamheten som är involverade i deras tillgångar.
Det är inte bra att ha en ISO-certifiering med Scope och SoA för ett brittiskt huvudkontor när den faktiska risken för informationsbehandling sker i en offshorebyggnad med resurser utanför räckvidden! Det är faktiskt en av anledningarna till att certifieringsorganen nu uppmuntrar "hela organisationens" Scopes, vilket naturligtvis kan innebära att det krävs ett mycket bredare och djupare uttalande om tillämplighet.
Sammanfattningsvis visar ett väl presenterat och lättförståeligt SoA förhållandet mellan tillämpliga och implementerade Annex A-kontroller givet riskerna och informationstillgångarna i omfattning. Det kommer att ge ett stort förtroende för en revisor eller annan intresserad part att organisationen tar informationssäkerhetshantering på allvar, särskilt om allt detta är sammanfört till ett holistiskt ledningssystem för informationssäkerhet.
Vad är bilaga A ISO 27001?
Bilaga A till ISO 27001 är en katalog över mål och kontroller för informationssäkerhetskontroll som måste beaktas under implementeringen av ISO 27001. Den tekniska termen som används för ISO handlar om "motivering" av kontrollen, SoA kommer att visa om bilaga A-kontrollen är:
- Tillämplig och implementerad som kontroll nu
- Tillämpligt men inte implementerat som en kontroll (t.ex. kan det vara en del av en förbättring för framtiden och fångas i 10.2 som en del av en förbättring, eller så är ledningen beredd att tolerera risken med tanke på deras andra implementerade kontrollprioriteringar)
- Ej tillämpligt (observera att om något inte anses vara tillämpligt, kommer revisorn att försöka förstå varför det är så att en dokumenterad journal bör föras om det också i SoA).
Kontrollerna måste ses över och uppdateras regelbundet under den treåriga ISO-certifieringslivscykeln. Detta är en del av den pågående filosofien för förbättring av informationssäkerhetshanteringen som är inbäddad i standarden. Med tanke på den ökande takten i tillväxten av cyberbrottslighet, går cybersäkerheten också snabbt, så allt mindre än en årlig granskning av kontroller skulle potentiellt öka organisationens hotexponering.
Hur många kontroller finns det i ISO:27001?
ISO 27001:2022 bilaga A-kontrollerna har omstrukturerats, konsoliderats och moderniserats. De 93 kontrollerna (ned från 114 2013) är nu kategoriserade i fyra nyckelkontrollgrupper, istället för de 14 domänerna i den tidigare versionen.
1. Organisationskontroller (37 kontroller)
Vad det täcker:
Dessa kontroller fokuserar på styrning, riskhantering, operativ säkerhet och efterlevnad.
Varför denna kategori slogs samman och uppdaterades:
- Förenklad efterlevnad och riskhantering – Tidigare var efterlevnadsrelaterade kontroller utspridda över flera domäner (t.ex. A.18 – Efterlevnad och A.6 – Organisation av informationssäkerhet).
- Fokus på modern säkerhetsstyrning – Riskbedömning, hotintelligens och leverantörssäkerhet förenas nu under denna kategori för att anpassas till utvecklande affärspraxis.
- Bättre integration med ISO 31000 (Riskhantering) – Hjälper organisationer att anpassa riskbedömning och behandlingsmetoder till globala standarder.
Nyckelkontroller i denna kategori:
- A.5.7 – Threat Intelligence (Ny) – Tillagd för att hantera hotövervakning i realtid och delning av underrättelser.
- A.5.21 – Hantering av informationssäkerhetsincidenter (sammanslagna) – Konsoliderar tidigare incidentrespons och loggningskrav.
- A.5.31 – Juridiska, lagstadgade, regulatoriska och kontraktuella krav (sammanslagna) – Kombinerar A.18.1.1 (Identifiering av tillämplig lagstiftning och avtalskrav) och A.18.1.4 (Sekretess och skydd av personlig identifierbar information) för ett enda regelverk.
2. Personkontroller (8 kontroller)
Vad det täcker:
Dessa kontroller hanterar mänskliga säkerhetsrisker, inklusive säkerhetsmedvetenhet, utbildning och anställdas ansvar.
Varför denna kategori slogs samman och uppdaterades:
- Människor är den svagaste länken – En stor andel av säkerhetsintrången uppstår på grund av mänskliga fel, nätfiske eller social ingenjörskonst.
- Tidigare spridda över flera domäner – A.7 (Human Resource Security) och A.12 (Operational Security) innehöll personrelaterade kontroller, vilket gjorde det svårare att hantera säkerhetsmedvetenhet och utbildning holistiskt.
- Överensstämmer med utbildningstrender för cybersäkerhet – Säkerhetsmedvetenhetsprogram betonar nu kontinuerligt lärande, simulerade nätfiskeattacker och rollbaserad säkerhetsutbildning.
Nyckelkontroller i denna kategori:
- A.6.3 – Informationssäkerhetsmedvetenhet, utbildning och utbildning (sammanslagna) – Kombinerar A.7.2.2 (Informationssäkerhetsmedvetenhet, utbildning och utbildning) med delar av A.6.2 (Interna organisationens ansvar) för ett starkare fokus på kontinuerligt medarbetarengagemang.
- A.6.1 – Screening (Uppdaterad) – Förstärkt för att inkludera bakgrundskontroller av entreprenörer och risköverväganden från tredje part.
3. Fysiska kontroller (14 kontroller)
Vad det täcker:
Det här avsnittet fokuserar på fysiska säkerhetsåtgärder för att skydda anläggningar, enheter och datacenter.
Varför denna kategori slogs samman och uppdaterades:
- Konsolidering av redundanta fysiska säkerhetskontroller – 2013 års version hade separata kontroller för olika aspekter av anläggningssäkerhet, nu strömlinjeformad till en enda kategori.
- Ökat fokus på fjärrarbete och mobil säkerhet – Med hybridarbetsmodeller som blir normen, hanterar säkerhetskontroller nu säkerhetsrisker för arbete hemifrån.
- IoT & Smart Building Säkerhetsöverväganden – Fysiska säkerhetskontroller uppdateras för att inkludera IoT-säkerhetsrisker och AI-driven övervakning.
Nyckelkontroller i denna kategori:
- A.7.4 – Fysisk säkerhetsövervakning (ny) – Adresserar säkerhetskameror, smarta lås och intrångsdetektering i realtid.
- A.7.5 – Arbeta i säkra områden (uppdaterad) – Innehåller nu krav på säkert distansarbete för att minska riskerna från hybrid- och distansarbetsstyrkor.
4. Tekniska kontroller (34 kontroller)
Vad det täcker:
Denna grupp fokuserar på IT-infrastruktursäkerhet, molnsäkerhet, åtkomstkontroll och kryptografi.
Varför denna kategori slogs samman och uppdaterades:
- Cyberhotslandskapet har utvecklats – 2013-versionen tog inte fullt ut moderna cyberhot, inklusive ransomware, molnbaserade attacker och AI-driven hacking.
- Rise of Cloud Computing & SaaS Risks – Ny molnsäkerhetskontroll (A.5.23 – Information Security for Cloud Services) adresserar multimolnmiljöer och modeller för delat ansvar.
- Dataskydd och integritetsefterlevnad – Nya kontroller som A.8.11 (Datamaskering) och A.8.12 (Dataläckageförebyggande) är i linje med GDPR, ISO 27701 och globala integritetsbestämmelser.
Nyckelkontroller i denna kategori:
- A.8.11 – Datamaskering (ny) – Skyddar PII och känslig data med hjälp av tokeniserings- och anonymiseringstekniker.
- A.8.12 – Förebyggande av dataläckage (ny) – Implementerar DLP-policyer för att förhindra obehöriga dataöverföringar.
- A.8.9 – Konfigurationshantering (Ny) – Åtgärdar felkonfigurationer i moln- och SaaS-applikationer, en viktig orsak till dataintrång.
- A.8.23 – Webbfiltrering (ny) – Skyddar användare från skadliga webbplatser, nätfiskeförsök och nedladdningar som är infekterade med skadlig programvara.
- A.8.28 – Säker kodning (uppdaterad) – Stärker säker programvaruutvecklingslivscykel (SDLC) praxis för att minska sårbarheter i programvara.
Sammanfattning av ändringar från ISO 27001:2013
| ISO 27001:2013 (114 kontroller) | ISO 27001:2022 (93 kontroller) | Orsak till förändring |
|---|---|---|
| 14 kontrolldomäner | 4 huvudkontrollgrupper | Förenklar hanteringen och anpassar sig till moderna ramverk för cybersäkerhet |
| Redundanta efterlevnadskontroller | Förenad till A.5.31 | Kombinerar juridiska, regulatoriska och kontraktuella krav |
| Separata kontroller för HR, Medvetenhet och Incident | Konsoliderat under People Controls | Starkare fokus på säkerhetskultur och medarbetarmedvetenhet |
| Saknade moderna cybersäkerhetshot | Lade till hotintelligens, molnsäkerhet och DLP | Adresserar ransomware, molnrisker och moderna attackvektorer |
ISO 27001:2022 Kontrollattribut och NIST CSF-justering
ISO 27001:2022 infördes kontrollattribut för att förbättra klassificeringen och förbättra anpassningen till ramverk för cybersäkerhet som NIST CSF. Dessa attribut hjälper organisationer att kartlägga sina kontroller till bredare säkerhetsdomäner, vilket gör det lättare att implementera överensstämmelse mellan ramar.
Kontrollattribut i ISO 27001:2022
| Attribut | Beskrivning | NIST CSF Mapping |
|---|---|---|
| Kontroll typ | Definierar om kontrollen är förebyggande, detektiv eller korrigerande | Identifiera, skydda, upptäcka, svara, återställa |
| Informationssäkerhetsegenskaper | Anger vilken CIA-triadprincipen (Konfidentialitet, Integritet, Tillgänglighet) skyddar kontrollen | Skydda, upptäck, återställ |
| Cybersäkerhetskoncept | Kartlägger kontrollen till cybersäkerhetskoncept som styrning, identitetshantering, hotdetektion, datasäkerhet, resiliens | Alla NIST CSF-funktioner |
| Operativa förmågor | Definierar säkerhetsområdet som det stöder, som t.ex övervakning, loggning, incidentrespons, åtkomstkontroll | Skydda, upptäck, svara |
| Säkerhetsdomäner | Länkar till bredare säkerhetsområden som t.ex nätverkssäkerhet, dataskydd, riskhantering, molnsäkerhet | Identifiera, skydda, upptäcka |
ISO 27001:2022 Kontrollmappning till NIST CSF
| ISO 27001:2022 Kontroll | Kontroll typ | CIA egendom | Cybersäkerhetskoncept | operativ förmåga | Säkerhetsdomän | NIST CSF-funktion |
|---|---|---|---|---|---|---|
| A.5.7 – Hotunderrättelser | Förebyggande | Sekretess, integritet | Hotövervakning och upptäckt | Loggning, analys | Riskhantering | Identifiera, upptäcka |
| A.8.11 – Datamaskering | Förebyggande | Sekretess | Dataskydd, integritet | Datasäkerhet | Datahantering | Skydda |
| A.8.12 – Förebyggande av dataläckage | Förebyggande, detektiv | Sekretess | Endpoint Security, Nätverkssäkerhet | Övervakning, förebyggande | Cloud & Endpoint Security | Skydda, upptäcka |
| A.8.9 – Konfigurationshantering | Förebyggande | Integritet, tillgänglighet | Säkerhetshärdning | System underhåll | Nätverkssäkerhet | Skydda |
Fördelar med att använda kontrollattribut
- Förbättrad styrning och efterlevnad – Gör det lättare att motivera kontroller i revisioner för ISO 27001, NIST och SOC 2.
- Förbättrad anpassning över ramarna – Hjälper till att kartlägga kontroller över NIST CSF, CIS 18 och ISO 27701.
- Starkare riskbaserad strategi – Organisationer kan prioritera kontroller utifrån riskfaktorer och säkerhetsmål.
- Cloud & Remote Work Security – Kontrollattribut lyfter fram nya risker inom molnberäkning, hybridarbetskrafter och säkerhet i försörjningskedjan.
Vilka kontroller ska jag inkludera?
Statement of Applicability är huvudlänken mellan din informationssäkerhetsriskbedömning och behandlingsarbete och visar "var" du har valt att implementera informationssäkerhetskontroller från 93 kontrollmålen. (En bra SoA kommer också att kunna borra in för att visa "hur" de har implementerats också.)
Även om kontrollerna i bilaga A tillhandahåller en användbar checklista att överväga, kan det vara dyrt att bara implementera alla 93 kontroller från "nedifrån och upp" och missa de grundläggande målen med standarden. Tyvärr kommer vissa informationssäkerhetskonsulter och leverantörer som säljer "fullständiga ISO 27001-dokumentationsverktyg" att förespråka detta tillvägagångssätt, men det är fel sätt att hantera informationssäkerhet.
Det finns en anledning till att kärnkraven i ISO 27001 från 4.1-10.2 finns där. De hjälper till att ta organisationen på det affärs- och strategiledda tillvägagångssättet där du tittar uppifrån och ner. Efter att ha övervägt frågorna, berörda parter, omfattningen och informationstillgångarna kan organisationen identifiera riskerna, sedan utvärdera dem och överväga behandlingar för dessa risker.
Riskerna kring den värdefulla informationen och bearbetningsanläggningarna, enheterna, personer som är inblandade etc bör utvärderas med informationens konfidentialitet, integritet och tillgänglighet (CIA) i åtanke.
Denna nedbrytning av CIA är också en viktig aspekt för revisorn att förstå och visar att organisationen mer holistiskt har övervägt risken. Avgörande betyder det också att SoA har utvecklats med det mer omfattande tillvägagångssättet, snarare än bara en del, t.ex. endast beaktade risken för förlust av information från ett intrång.
Även om organisationen kommer att överväga riskerna från sin verksamhet ovan är det värt att nämna att ett av kontrollområdena i bilaga A som alltid kommer att vara tillämpligt är "Kontroll: A.5.31 – Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav Detta kommer att innebära att du också beaktar kraven i relevanta lagar, förordningar och avtalskrav för EU-medborgarprocessen alltmer över hela världen också med andra integritetsstandarder som POPI i Sydafrika, LGPD i Brasilien och CCPA i Kalifornien.
För att förstå förväntningarna på integritetsbestämmelserna, dikterar det också effektivt att många av ISO 27001-kontrollerna krävs, oavsett om du tror att de är det eller inte. Så en smart revisor kommer att förvänta sig en förståelse för den tillämpliga lagstiftningen som påverkar din organisation och hur det också informerar ditt val av tillämpliga kontroller i SoA-motiveringen.
Vissa informationssäkerhetsrisker skulle givetvis kunna avslutas helt, överföras till annan part, behandlas eller tolereras. Alla dessa bilaga A-kontroller hjälper dig sedan att överväga och där så är lämpligt implementera överföringen, behandla eller tolerera filosofin kring riskerna. SoA visar sedan vilka säkerhetsåtgärder från bilaga A kontroller du använder och hur du har implementerat dem, dvs dina policyer och rutiner.
Kontrollmålen och kontrollerna i bilaga A som anges i ISO 27001-standarden är inte föreskrivande men måste beaktas och att motivering för tillämplighet är väsentlig för en oberoende certifiering från ett ISO-certifieringsorgan.
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
ISO 27002 och Statement of Applicability
Oavsett om oberoende certifiering är ett mål eller kanske helt enkelt efterlevnad i kombination med den kompletterande ISO 27002-riktlinjen är kontrollerna i bilaga A en positiv grund att bygga på för alla organisationer som vill förbättra sin informationssäkerhetsställning och göra affärer säkrare.
ISO 27002, är tilläggsstandarden till ISO 27001, ger en uppförandekod och användbar disposition för informationssäkerhetskontroller och ger därmed en mycket bra katalog över kontrollmål och kontroller för behandling av risker samt vägledning om hur de ska implementeras.
Vilka säkerhetsåtgärder (kontroller i bilaga A) du använder för att hantera dessa risker beror faktiskt på din organisation, dess riskaptit och omfattning samt tillämplig lagstiftning. Men vad det än är så måste det presenteras i Statement of Applicability om du vill uppnå en ISO 27001-certifiering!
Vilken information behöver inkluderas i SoA?
Så låt oss sammanfatta vilken information som minst behöver inkluderas för SoA.
- En lista över de 93 kontrollerna i bilaga A
- Oavsett om kontrollen genomförs eller inte
- Motivering för att det inkluderas eller utesluts
- En kort beskrivning eller hur varje tillämplig kontroll implementeras, med hänvisning till policyn och kontroll som beskriver den i rätt detalj
Som nämnts ovan är SoA ett fönster in i organisationens ISMS. Om du inte kan visa hur det fönstret öppnas i djupet och ansluten karaktär av informationssäkerhetshanteringssystem som kan skapa problem. Föreställ dig situationen när revisorn dyker upp och kalkylbladet som visar 93-kontrollerna är långt inaktuellt med de faktiska förvaltningskontrollerna på plats.
En av de vanligaste anledningarna till att misslyckas med en ISO 27001-revision är att revisorn inte kan dra förtroende för administrationen av ISMS och att dokumentationen är dåligt hanterad eller saknas. Att ha ett fristående SoA "dokument" snarare än integrerad och automatiserad dokumentation av en SoA ökar den risken.
Hur skapar du tillämplighetsförklaringen?
Så länge som SoA har rätt information, är korrekt och uppdaterad, kan du skapa SoA från papper, kalkylblad, dokument eller professionella system som automatiserar det som en del av deras bredare GRC-förmåga (Governance, Regulation & Compliance) .
I en idealisk värld kommer din SoA knappast att förändras (inte minst eftersom certifieringsorgan kan ta betalt för versionsändringar av SoA). Men det som sitter under SoA, dvs. det bankande hjärtat i själva ISMS, bör vara dynamiskt som en levande andningsrepresentation av ditt utvecklande informationssäkerhetslandskap.
SoA måste ses över när dina policyer och kontroller ses över (minst årligen) så det skulle fortfarande tjäna på att vara en effektiv process med tanke på de 114 kontrollerna för övervägande.
Att slå upp ett kalkylblad med kontrollerna som en checklista är en plätt och ganska snabbt att göra. Men att göra det med förtroende för att allt tidigare informationssäkerhetsplanering och implementeringsarbete kring tillgångarna, riskerna och kontrollerna har gjorts i rätt ordning och uttryckt som en sammanfattning av SoA är inte fullt så okomplicerat. En revisor kommer att vilja se vad som finns under den enkla överlinjen på 114 rader i ett kalkylblad.
Förr i tiden innebar det mycket arbete att presentera SoA som ett 200 sidor omfattande dokument, särskilt för att hålla det uppdaterat allt eftersom policyerna och kontrollerna utvecklades. Det finns nu mycket bättre och enklare sätt att automatisera SoA och dra fördel av det hårda arbete som redan gjorts i andra delar av ISMS.
Hur du sparar tid när du skriver din tillämplighetsförklaring
SoA tar vanligtvis lång tid för en organisation att sätta ihop på grund av vad som informerar den. Om vi tänker på stegen som är involverade i dess skapelse, och det arbete som behövs för det, är det inte konstigt:
- Tänk på frågorna, berörda parter och omfattningen av ISMS
- Identifiera informationstillgångar och bearbetningsanläggningar och enheter som är i riskzonen
- Utvärdera och bedöma riskerna förknippade med informationens säkerhet med hjälp av konfidentialitet, integritet och tillgänglighet
- Bedöm dessa risker och bestäm sedan vilka av de 114 bilaga A-kontrollerna som behövs
- Förstå och utvärdera tillämplig lagstiftning (och alla viktiga avtalsförpliktelser från kraftfulla kunder) för att lyfta fram andra kontrollområden
- Bestäm hur kontrollen ska implementeras vad gäller policy, procedur, personer, teknik mm
- Skapa sedan själva SoA-dokumentet med dessa motiveringar om tillämpligheten tydliga
- Länkar idealiskt till kontrolldetaljen, riskerna och tillgångarna för att visa att ISMS fungerar
- Och hantera det löpande. SoA är en liten men mycket viktig del av ett mycket omfattande ISMS. Om det gjorts bra kommer det att göra organisationen redo för revisionsframgång och förtroendeskapande för smarta kunder och andra intressenter. Dåligt gjort kommer det nästan säkert att störa och försena tiden till certifiering och kan innebära förlust av affärer eller framtida möjligheter från misslyckande att uppnå eller upprätthålla certifiering.
Snabba upp SoA-processen med ISMS.online
ISMS.online är ett omfattande hanteringssystem för informationssäkerhet som bland många andra saker underlättar administration och hantering av dina informationstillgångar, risker, policyer och kontroller, allt på ett ställe.
Det betyder också att skapandet av SoA kan automatiseras och presenteras enkelt och effektivt. Därför, förutom andra fördelar som att det kostar mindre tid att uppnå ISO 27001-framgång, snabbar det också upp ISO-certifieringsresan.
Fokusera din energi på att driva ditt företag som du vill och spendera tid på vad du behöver uppnå för att lyckas, och oroa dig mindre för hur du gör det. ISMS.online gör det så enkelt att få ditt arbete gjort, inklusive SoA till en bråkdel av kostnaden och tiden för alternativen.
Boka en plattformsdemoHoppa till ämnet
