Verklaring van Toepaslikheid (SoA): Die Volledige Gids

Wat is 'n verklaring van toepaslikheid?

Eenvoudig gestel, in sy strewe om waardevolle inligtingsbates te beskerm en die inligtingverwerkingsfasiliteite te bestuur, stel die SoA watter ISO 27001-kontroles en -beleide deur die organisasie toegepas word. Dit meet teen die Bylae A-kontrole wat in die ISO 27001-standaard gestel is (wat agter in daardie ISO-standaarddokument beskryf word as verwysingsbeheerdoelwitte en -kontroles).

Die verklaring van toepaslikheid word gevind in 6.1.3 van die hoofvereistes vir ISO 27001, wat deel is van die breër 6.1, gefokus op aksies om risiko's en geleenthede aan te spreek.

Die SoA is dus 'n integrale deel van die verpligte ISO 27001 dokumentasie wat aan 'n eksterne ouditeur voorgelê moet word wanneer die ISMS 'n onafhanklike oudit ondergaan, bv. deur 'n UKAS ouditsertifiseringsliggaam.

Op wie is ISO 27001 van toepassing?

ISO 27001 is van toepassing op alle tipes en groottes organisasies, insluitend openbare en private maatskappye, regeringsentiteite en nie-winsgewende organisasies. Die gemeenskaplike draad, ongeag organisasiegrootte, tipe, geografie of sektor, is dat die organisasie poog om die beste praktyk in sy benadering tot inligtingsekuriteitbestuur te demonstreer. Beste praktyk kan natuurlik anders geïnterpreteer word.

Die ISO-standaard gaan alles oor die ontwikkeling van 'n stelsel vir die bestuur van inligtingsekuriteitsrisiko. Dus, afhangende van die organisasie se leierskapaptyt vir inligtingsrisiko en die omvang van bates om risiko's aan te spreek, kan die beheermaatreëls en beleide wat toegepas word aansienlik verskil van een organisasie tot 'n ander, maar tog voldoen aan die ISO 27001-beheerdoelwitte.

Wat wel duidelik is, is dat die bereiking van ISO 27001-sertifisering deur 'n onafhanklike oudit van 'n goedgekeurde ISO-sertifiseringsliggaam sal beteken dat die organisasie 'n erkende vlak van beheer (beste praktyk as 'n standaard) vir die inligtingsbates en verwerkingsfasiliteite bereik het.

ISO 27001-sertifisering gee belangstellendes soos kragtige kliënte en vooruitsigte 'n hoër vlak van vertroue as selfontwikkelde metodes of alternatiewe standaarde wat nie dieselfde onafhanklike oudit of internasionale erkenning dra nie.

Hoekom is die SoA belangrik?

Saam met die Omvang van die inligtingsekuriteitbestuurstelsel, (4.3 van ISO 27001), verskaf die SoA 'n opsommingsvenster van die kontroles wat deur die organisasie gebruik word. Die SoA is 'n kernvereiste om ISO-sertifisering van die ISMS te behaal en sal saam met die omvang een van die eerste dinge wees waarna 'n ouditeur in hul ouditwerk sal kyk.

Hierdie dokumentasie sal beskikbaar moet wees vir hersiening tydens die Fase 1-sertifiseringsoudit, alhoewel dit eers tydens die Fase 2-oudit ingeskryf sal word, wanneer die ouditeur sommige van die ISO 27001-kontroles sal toets en sal verseker dat hulle nie net beskryf nie, maar voldoende demonstreer die beheerdoelwitte word bereik.

Die ouditeur sal die inligtingsbate-inventaris hersien, die risiko's, hul evaluering en behandelings oorweeg, en kyk vir fisiese bewyse dat die organisasie die beheermaatreëls wat hy beweer het om die risiko aan te spreek bevredigend geïmplementeer het.

Die SoA en Scope sal die organisasie se produkte en dienste, sy inligtingsbates, verwerkingsfasiliteite, stelsels wat gebruik word, mense betrokke en die besigheidsprosesse dek, of dit nou 'n virtuele eenpersoon-onderneming of 'n multi-site internasionale bedrywigheid met duisende personeel is.

Kragtige opgevoede kliënte met beduidende inligtingsrisiko (bv. as gevolg van GDPR of ander kommersiële inligtingsbates) sal dalk die Omvang en SoA wil sien voordat hulle van 'n verskaffer koop, om te verseker dat die ISO-sertifisering wel die areas van die besigheid wat betrokke is by hul bates.

Dit help nie om 'n ISO-sertifisering met 'n Scope en SoA vir 'n Britse hoofkantoor te hê wanneer die werklike inligtingsverwerkingsrisiko in 'n buitelandse gebou plaasvind met hulpbronne buite omvang nie! Dit is eintlik een van die redes waarom die sertifiseringsliggame nou 'hele organisasie'-bestekke aanmoedig, wat natuurlik kan beteken dat 'n baie breër en dieper verklaring van toepaslikheid vereis word.

Samevattend, 'n goed aangebied en maklik verstaanbare SOA toon die verband tussen die toepaslike en geïmplementeerde Bylae A-kontroles, gegewe die risiko's en inligtingsbates in omvang. Dit sal groot vertroue aan 'n ouditeur of ander belanghebbende party gee dat die organisasie inligtingsekuriteitbestuur ernstig opneem, veral as dit alles saamgevoeg is in 'n holistiese inligtingsekuriteitbestuurstelsel.

Wat is Bylae A ISO 27001?

Bylae A van ISO 27001 is 'n katalogus van die inligtingsekuriteitsbeheerdoelwitte en -kontroles wat in ag geneem moet word tydens die ISO 27001-implementering. Die tegniese term wat vir ISO gebruik word, gaan oor 'regverdiging' van die beheer. Die SoA sal wys of die Bylae A-beheer is:

• Nou van toepassing en geïmplementeer as 'n kontrole
• Toepaslik maar nie geïmplementeer as 'n beheer nie (bv. dit kan deel wees van 'n verbetering vir die toekoms en vasgevang in 10.2 as deel van 'n verbetering, of die leierskap is bereid om die risiko te duld gegewe hul ander geïmplementeerde beheerprioriteite)
• Nie van toepassing nie (let daarop dat as iets as nie van toepassing beskou word nie, die ouditeur sal kyk om te verstaan ​​waarom dit so 'n gedokumenteerde rekord daaroor ook in die SOA gehou moet word).

Die kontroles moet hersien en gereeld opgedateer word in die loop van die 3 jaar ISO-sertifiseringslewensiklus. Dit is deel van die voortdurende verbeteringsfilosofie vir inligtingsekuriteitbestuur wat in die standaard ingebed is. Gegewe die toenemende tempo van groei in kubermisdaad, beweeg kuberveiligheid ook vinnig, sodat enigiets minder as 'n jaarlikse hersiening van beheermaatreëls moontlik die organisasie se bedreigingsblootstelling sal verhoog.

Watter kontroles moet ek insluit?

Die Verklaring van Toepaslikheid is die hoofskakel tussen jou inligtingsekuriteitsrisiko-assessering en behandelingswerk, en wys 'waar' jy gekies het om inligtingsekuriteitskontroles vanaf die 114 beheerdoelwitte te implementeer. ('n Goeie SoA sal ook kan inboor om te wys 'hoe' hulle ook geïmplementeer is.)

Terwyl die Bylae A-kontroles 'n nuttige kontrolelys vir oorweging bied, kan die implementering van al 114 kontroles van 'onder na bo' duur wees en die fundamentele doelwitte van die standaard mis. Ongelukkig sal sommige inligtingsekuriteitskonsultante en -verskaffers wat 'volledige ISO 27001-dokumentasie-nutsmiddelstelle' verkoop, hierdie benadering voorstaan, maar dit is die verkeerde manier om inligtingsekuriteitbestuur te doen.

Daar is 'n rede waarom die kernvereistes in ISO 27001 van 4.1-10.2 daar is. Hulle help om die organisasie op die besigheids- en strategie-gebaseerde benadering te neem waar jy van bo af kyk. Nadat die kwessies, die belanghebbende partye, die omvang en die inligtingsbates oorweeg is, kan die organisasie die risiko's identifiseer, dit dan evalueer en behandelings vir daardie risiko's oorweeg.

Die risiko's rondom die waardevolle inligting en die verwerkingsfasiliteite, toestelle, mense wat betrokke is, ens. moet geëvalueer word met die vertroulikheid, integriteit en beskikbaarheid (CIA) van inligting in gedagte.

Hierdie uiteensetting van die CIA is ook 'n belangrike aspek vir die ouditeur om te verstaan ​​en demonstreer dat die organisasie die risiko meer holisties oorweeg het. Dit beteken ook dat die SOA ontwikkel is met daardie meer omvattende benadering, eerder as net een deel, bv. slegs die risiko vir verlies van inligting as gevolg van 'n oortreding in ag geneem.

Alhoewel die organisasie die risiko's van sy bedrywighede sal oorweeg soos van bo af getrek, is dit die moeite werd om te noem dat een van die beheerareas in Bylae A wat altyd van toepassing sal wees, die "Identifisering van toepaslike wetgewing en kontraktuele vereistes" in A.18.1.1 is . Dit sal beteken dat jy ook die vereistes van relevante wette, regulasies en kontraktuele vereistes oorweeg. Dit kry baie meer prominensie as gevolg van EU GDPR vir diegene wat EU-burger inligting verwerk en toenemend ook oor die hele wêreld met ander privaatheidstandaarde soos POPI in Suid-Afrika, LGPD in Brasilië en die CCPA in Kalifornië.

Om die verwagtinge van die privaatheidsregulasies te verstaan, bepaal dit ook effektief dat baie van die ISO 27001-kontroles vereis word, of jy dink dit is of nie. So 'n slim ouditeur sal 'n begrip verwag van die toepaslike wetgewing wat jou organisasie raak en hoe dit ook jou keuse van toepaslike beheermaatreëls in die SoA-regverdiging inlig.

Sommige inligtingsekuriteitsrisiko's kan natuurlik heeltemal beëindig word, na 'n ander party oorgedra, behandel of geduld word. Al daardie Bylae A-kontroles help jou dan om die oordrag-, behandel- of duldfilosofie rondom die risiko's te oorweeg en waar toepaslik te implementeer. Die SoA wys dan watter sekuriteitsmaatreëls uit die Bylae A-kontroles jy gebruik en hoe jy dit geïmplementeer het, maw jou beleide en prosedures.

Die Bylae A-beheerdoelwitte en -kontroles soos gelys in die ISO 27001-standaard is nie voorskriftelik nie, maar moet wel oorweeg word en dat regverdiging vir toepaslikheid noodsaaklik is vir 'n onafhanklike sertifisering van 'n ISO-sertifiseringsliggaam.

ISO 27002 en die Verklaring van Toepaslikheid

Of onafhanklike sertifisering 'n doelwit of dalk bloot nakoming is, tesame met die aanvullende ISO 27002-leiding, is die Bylae A-kontroles 'n positiewe grondslag om op voort te bou vir enige organisasie wat sy inligtingsekuriteitsposisie wil verbeter en sake veiliger wil doen.

ISO 27002, is die aanvullende standaard tot ISO 27001, verskaf 'n praktykkode en nuttige uiteensetting vir inligtingsekuriteitskontroles en verskaf dus 'n baie goeie katalogus van beheerdoelwitte en kontroles vir die behandeling van risiko's asook leiding oor hoe om dit te implementeer.

Watter sekuriteitsmaatreëls (Bylae A-kontroles) jy inspan om daardie risiko's te bestuur, sal eintlik afhang van jou organisasie, sy risiko-aptyt en die omvang sowel as die toepaslike wetgewing. Maar wat dit ook al is, dit moet in die Verklaring van Toepaslikheid aangebied word as jy 'n ISO 27001-sertifisering wil behaal!

Watter inligting moet in die SOA ingesluit word?

Laat ons dus opsom watter inligting as 'n minimum vir die SOA ingesluit moet word.

• 'n Lys van die 114 Bylae A-kontroles
• Of die beheer geïmplementeer word of nie
• Regverdiging vir die insluiting of uitsluiting daarvan
• 'n Kort beskrywing of hoe elke toepaslike beheer geïmplementeer word, met verwysing na die beleid en beheer wat dit in die regte detail beskryf

Soos hierbo genoem, is die SoA 'n venster na die organisasie se ISBS. As jy nie kan wys hoe daardie venster oopmaak in die diepte en gekoppelde aard van die inligtingsekuriteitbestuurstelsel nie, kan dit probleme skep. Stel jou die situasie voor wanneer die ouditeur opdaag en die sigblad wat die 114 kontroles toon, is verouderd met die werklike bestuurskontroles in plek.

Een van die mees algemene redes waarom 'n ISO 27001-oudit misluk, is omdat die ouditeur nie vertroue in die administrasie van die ISMS kan vestig nie en dokumentasie swak bestuur word of ontbreek. Om 'n selfstandige SoA 'dokument' te hê eerder as geïntegreerde en outomatiese dokumentasie van 'n SoA verhoog daardie risiko.

Hoe skep jy die Verklaring van Toepaslikheid?

Solank die SOA die regte inligting het, akkuraat is en op datum is, kan jy die SOA skep uit papier, sigblaaie, dokumente of professionele stelsels wat dit outomatiseer as deel van hul breër GRC (Governance, Regulation & Compliance) vermoë .

In 'n ideale wêreld sal jou SoA skaars verander (nie die minste nie omdat sertifiseringsliggame vir weergaweveranderings van die SoA kan vra). Wat egter onder die SoA sit, dws die kloppende hart van die ISMS self, behoort dinamies te wees as 'n lewende asemhalingsvoorstelling van jou ontwikkelende inligtingsekuriteitslandskap.

Die SOA moet hersien word wanneer jou beleide en kontroles hersien word (ten minste jaarliks), so dit sal steeds baat vind by 'n doeltreffende proses gegewe die 114 kontroles vir oorweging.

Om 'n sigblad op te slaan met die kontroles as 'n kontrolelys is 'n stukkie koek en redelik vinnig om te doen. Om dit egter met vertroue te doen dat al die vroeëre inligtingsekuriteitsbeplanning en implementeringswerk rondom die bates, risiko's en kontroles in die regte volgorde gedoen is en as die opsomming SoA uitgedruk is, is nie heeltemal so eenvoudig nie. 'n Ouditeur sal wil sien wat onder die eenvoudige toplyn van 114 rye in 'n sigblad sit.

In die ou dae het die aanbieding van die SoA as 'n breedvoerige dokument van 200 bladsye werklik baie werk beteken, veral om dit bygewerk te hou namate die beleide en kontroles ontwikkel het. Daar is nou baie beter en makliker maniere om die SoA te outomatiseer en voordeel te trek uit die harde werk wat reeds in ander dele van die ISMS gedoen is.

Hoe om tyd te bespaar wanneer jy jou Verklaring van Toepaslikheid skryf

Die SoA neem gewoonlik 'n lang tyd vir 'n organisasie om saam te stel as gevolg van wat dit inlig. As ons dink aan die stappe wat by die skepping daarvan betrokke is, en die werk wat daarvoor nodig is, is dit geen wonder nie:

• Oorweeg die kwessies, belanghebbende partye en omvang van die ISMS
• Identifiseer die inligtingsbates en verwerkingsfasiliteite en toestelle wat in gevaar is
• Evalueer en assesseer die risiko's wat verband hou met die sekuriteit van die inligting deur gebruik te maak van die vertroulikheid, integriteit en beskikbaarheid
• Evalueer daardie risiko's en besluit dan watter van die 114 Bylae A-kontroles nodig is
• Verstaan ​​en evalueer toepaslike wetgewing (en enige sleutelkontrakverpligtinge van kragtige kliënte) om ander beheerareas uit te lig
• Besluit oor hoe om die beheer te implementeer in terme van beleid, prosedure, mense, tegnologie ens
• Skep dan die SoA-dokument self met daardie regverdigings oor toepaslikheid duidelik
• Ideaal gesproke gekoppel aan die beheerdetail, die risiko's en die bates om te wys dat die ISMS werk
• En bestuur dit op 'n deurlopende basis.

  Die SoA is een klein maar baie belangrike deel van 'n baie omvattende ISMS. Goed gedoen, sal dit die organisasie voorberei vir oudit-sukses en vertrouebou vir slim kliënte en ander belanghebbendes. As dit sleg gedoen word, sal dit byna seker die tyd tot sertifisering ontwrig en vertraag en kan die verlies van besigheid of toekomstige geleentheid beteken as gevolg van versuim om sertifisering te bereik of te handhaaf.

Bespoedig die SoA-proses met ISMS.online

ISMS.online is 'n omvattende inligtingsekuriteitbestuurstelsel wat onder baie ander dinge die administrasie en bestuur van jou inligtingsbates, risiko's, beleide en kontroles vergemaklik, alles op een plek.

Dit beteken ook dat die skepping van die SoA geoutomatiseer en eenvoudig en doeltreffend aangebied kan word. Benewens ander voordele soos om minder tyd te kos om ISO 27001-sukses te behaal, versnel dit dus ook die ISO-sertifiseringsreis.

Fokus jou energie daarop om jou besigheid te bestuur soos jy wil, en spandeer tyd aan wat jy moet bereik vir sukses, minder bekommer oor hoe om dit te doen. ISMS.online maak dit alles so maklik om jou werk gedoen te kry, insluitend die SoA teen 'n fraksie van die koste en tyd van alternatiewe.