Wat is 'n verklaring van toepaslikheid?
Eenvoudig gestel, in sy strewe om waardevolle inligtingsbates te beskerm en die inligtingverwerkingsfasiliteite te bestuur, stel die SoA watter ISO 27001-kontroles en -beleide deur die organisasie toegepas word. Dit meet teen die Bylae A-kontrole wat in die ISO 27001-standaard gestel is (wat agter in daardie ISO-standaarddokument beskryf word as verwysingsbeheerdoelwitte en -kontroles).
Die verklaring van toepaslikheid word gevind in 6.1.3 van die hoofvereistes vir ISO 27001, wat deel is van die breër 6.1, gefokus op aksies om risiko's en geleenthede aan te spreek.
Die SoA is dus 'n integrale deel van die verpligte ISO 27001 dokumentasie wat aan 'n eksterne ouditeur voorgelê moet word wanneer die ISMS 'n onafhanklike oudit ondergaan, bv. deur 'n UKAS ouditsertifiseringsliggaam.
Op wie is ISO 27001 van toepassing?
ISO 27001 is van toepassing op alle tipes en groottes van organisasies, insluitend openbare en private maatskappye, regeringsentiteite en nie-winsgewende organisasies. Die gemeenskaplike draad, ongeag organisasiegrootte, tipe, geografie of sektor, is dat die organisasie poog om die beste praktyk in sy benadering tot inligtingsekuriteitbestuur te demonstreer. Beste praktyk kan natuurlik anders geïnterpreteer word.
Die ISO-standaard gaan alles oor die ontwikkeling van 'n stelsel vir die bestuur van inligtingsekuriteitsrisiko's. Dus, afhangende van die organisasie se leierskapaptyt vir inligtingsrisiko en die omvang van bates om risiko's aan te spreek, kan die beheermaatreëls en beleide wat toegepas word aansienlik verskil van een organisasie na 'n ander, maar tog voldoen aan die ISO 27001-beheerdoelwitte.
Wat wel duidelik is, is dat die bereiking van ISO 27001-sertifisering deur 'n onafhanklike oudit van 'n goedgekeurde ISO-sertifiseringsliggaam sal beteken dat die organisasie 'n erkende vlak van beheer (beste praktyk as 'n standaard) vir die inligtingsbates en verwerkingsfasiliteite bereik het.
ISO 27001-sertifisering gee belangstellendes soos kragtige kliënte en vooruitsigte 'n hoër vlak van vertroue as selfontwikkelde metodes of alternatiewe standaarde wat nie dieselfde onafhanklike oudit of internasionale erkenning dra nie.
Kry jou gids vir
ISO 27001 sukses
Alles wat jy moet weet oor die eerste keer om ISO 27001 te behaal
Kry jou gratis gidsHoekom is die SoA belangrik?
Saam met die Omvang van die inligtingsekuriteitbestuurstelsel, (4.3 van ISO 27001), verskaf die SoA 'n opsommingsvenster van die kontroles wat deur die organisasie gebruik word. Die SoA is 'n kernvereiste om ISO-sertifisering van die ISMS te behaal en sal saam met die omvang een van die eerste dinge wees waarna 'n ouditeur in hul ouditwerk sal kyk.
Hierdie dokumentasie sal beskikbaar moet wees vir hersiening tydens die Fase 1-sertifiseringsoudit, alhoewel dit eers tydens die Fase 2-oudit ingeskryf sal word, wanneer die ouditeur sommige van die ISO 27001-kontroles sal toets en sal verseker dat hulle nie net beskryf nie, maar voldoende demonstreer die beheerdoelwitte word bereik.
Die ouditeur sal die inligtingsbate-inventaris hersien, die risiko's, hul evaluering en behandelings oorweeg, en kyk vir fisiese bewyse dat die organisasie die beheermaatreëls wat hy beweer het om die risiko aan te spreek bevredigend geïmplementeer het.
Die SoA en Scope sal die organisasie se produkte en dienste, sy inligtingsbates, verwerkingsfasiliteite, stelsels wat gebruik word, mense betrokke en die besigheidsprosesse dek, of dit nou 'n virtuele eenpersoon-onderneming of 'n multi-site internasionale bedrywigheid met duisende personeel is.
Kragtige opgevoede kliënte met beduidende inligtingsrisiko (bv. as gevolg van GDPR of ander kommersiële inligtingsbates) sal dalk die Omvang en SoA wil sien voordat hulle van 'n verskaffer koop, om te verseker dat die ISO-sertifisering wel die areas van die besigheid wat betrokke is by hul bates.
Dit help nie om 'n ISO-sertifisering met 'n Scope en SoA vir 'n Britse hoofkantoor te hê wanneer die werklike inligtingsverwerkingsrisiko in 'n buitelandse gebou plaasvind met hulpbronne buite omvang nie! Dit is eintlik een van die redes waarom die sertifiseringsliggame nou 'hele organisasie'-bestekke aanmoedig, wat natuurlik kan beteken dat 'n baie breër en dieper verklaring van toepaslikheid vereis word.
Samevattend, 'n goed aangebied en maklik verstaanbare SOA toon die verband tussen die toepaslike en geïmplementeerde Bylae A-kontroles, gegewe die risiko's en inligtingsbates in omvang. Dit sal groot vertroue aan 'n ouditeur of ander belanghebbende party gee dat die organisasie inligtingsekuriteitbestuur ernstig opneem, veral as dit alles saamgevoeg is in 'n holistiese inligtingsekuriteitbestuurstelsel.
Wat is Bylae A ISO 27001?
Bylae A van ISO 27001 is 'n katalogus van die inligtingsekuriteitsbeheerdoelwitte en -kontroles wat in ag geneem moet word tydens die ISO 27001-implementering. Die tegniese term wat vir ISO gebruik word, gaan oor 'regverdiging' van die beheer. Die SoA sal wys of die Bylae A-beheer is:
- Nou van toepassing en geïmplementeer as 'n kontrole
- Toepaslik maar nie geïmplementeer as 'n beheer nie (bv. dit kan deel wees van 'n verbetering vir die toekoms en vasgevang in 10.2 as deel van 'n verbetering, of die leierskap is bereid om die risiko te duld gegewe hul ander geïmplementeerde beheerprioriteite)
- Nie van toepassing nie (let daarop dat as iets as nie van toepassing beskou word nie, die ouditeur sal kyk om te verstaan waarom dit so 'n gedokumenteerde rekord daaroor ook in die SOA gehou moet word).
Die kontroles moet hersien en gereeld opgedateer word in die loop van die 3 jaar ISO-sertifiseringslewensiklus. Dit is deel van die voortdurende verbeteringsfilosofie vir inligtingsekuriteitbestuur wat in die standaard ingebed is. Gegewe die toenemende tempo van groei in kubermisdaad, beweeg kuberveiligheid ook vinnig, sodat enigiets minder as 'n jaarlikse hersiening van beheermaatreëls moontlik die organisasie se bedreigingsblootstelling sal verhoog.
Hoeveel kontroles is daar in ISO:27001?
Die ISO 27001:2022 Bylae A-kontroles is geherstruktureer, gekonsolideer en gemoderniseer. Die 93 kontroles (af van 114 in 2013) word nou in vier sleutelkontrolegroepe gekategoriseer, in plaas van die 14 domeine in die vorige weergawe.
1. Organisatoriese kontroles (37 kontroles)
Wat dit dek:
Hierdie beheermaatreëls fokus op bestuur, risikobestuur, operasionele sekuriteit en nakoming.
Waarom hierdie kategorie saamgevoeg en opgedateer is:
- Vereenvoudigde nakoming en risikobestuur – Voorheen was voldoeningsverwante kontroles oor verskeie domeine versprei (bv. A.18 – Nakoming en A.6 – Organisasie van Inligtingsekuriteit).
- Fokus op moderne sekuriteitsbestuur – Risikobepaling, bedreigingsintelligensie en verskaffersekuriteit word nou onder hierdie kategorie verenig om met ontwikkelende sakepraktyke te pas.
- Beter integrasie met ISO 31000 (Risikobestuur) – Help organisasies om risikobepaling en behandelingsmetodologieë in lyn te bring met globale standaarde.
Sleutelkontroles in hierdie kategorie:
- A.5.7 – Bedreigingsintelligensie (nuut) – Bygevoeg om intydse bedreigingmonitering en intelligensiedeling aan te spreek.
- A.5.21 – Bestuur van Inligtingsekuriteitsinsidente (Saamgevoeg) – Konsolideer vorige voorvalreaksie en logvereistes.
- A.5.31 – Wetlike, statutêre, regulatoriese en kontraktuele vereistes (Saamgevoeg) – Kombineer A.18.1.1 (Identifisering van toepaslike wetgewing en kontraktuele vereistes) en A.18.1.4 (Privaatheid en beskerming van persoonlik identifiseerbare inligting) vir 'n enkele voldoeningsraamwerk.
2. Mensekontroles (8 kontroles)
Wat dit dek:
Hierdie beheermaatreëls spreek menslike sekuriteitsrisiko's aan, insluitend sekuriteitsbewustheid, opleiding en werknemersverantwoordelikhede.
Waarom hierdie kategorie saamgevoeg en opgedateer is:
- Mense is die swakste skakel – 'n Groot persentasie sekuriteitsbreuke vind plaas as gevolg van menslike foute, uitvissing of sosiale ingenieurswese.
- Voorheen verspreid oor veelvuldige domeine – A.7 (Menslikehulpbronsekuriteit) en A.12 (Operasionele Sekuriteit) het menseverwante kontroles bevat, wat dit moeiliker gemaak het om sekuriteitsbewustheid en opleiding holisties te bestuur.
- Belyn met kuberveiligheid-werksmagopleidingstendense – Sekuriteitsbewustheidsprogramme beklemtoon nou deurlopende leer, gesimuleerde uitvissingsaanvalle en rolgebaseerde sekuriteitsopleiding.
Sleutelkontroles in hierdie kategorie:
- A.6.3 – Inligtingsekuriteitsbewustheid, Onderwys en Opleiding (Saamgevoeg) – Kombineer A.7.2.2 (Inligtingsekuriteitsbewustheid, Onderwys en Opleiding) met elemente van A.6.2 (Interne Organisasie Verantwoordelikhede) vir 'n sterker fokus op deurlopende werknemerbetrokkenheid.
- A.6.1 – Sifting (Opgedateer) – Versterk om kontrakteur-agtergrondkontroles en derdeparty-risiko-oorwegings in te sluit.
3. Fisiese kontroles (14 kontroles)
Wat dit dek:
Hierdie afdeling fokus op fisiese sekuriteitsmaatreëls om fasiliteite, toestelle en datasentrums te beskerm.
Waarom hierdie kategorie saamgevoeg en opgedateer is:
- Konsolidasie van oortollige fisieke sekuriteitskontroles – Die 2013-weergawe het afsonderlike kontroles vir verskillende aspekte van fasiliteitsekuriteit gehad, nou vaartbelyn in 'n enkele kategorie.
- Verhoogde fokus op afstandwerk en mobiele sekuriteit – Met hibriede werkmodelle wat die norm word, spreek sekuriteitskontroles nou werk-van-huis-sekuriteitsrisiko's aan.
- IoT & Smart Building Sekuriteitsoorwegings - Fisiese sekuriteitskontroles word opgedateer om IoT-sekuriteitsrisiko's en KI-aangedrewe toesig in te sluit.
Sleutelkontroles in hierdie kategorie:
- A.7.4 – Fisiese sekuriteitsmonitering (nuut) – spreek sekuriteitskameras, slim slotte en intydse inbraakdetectie aan.
- A.7.5 – Werk in veilige gebiede (Opgedateer) – sluit nou veilige afgeleë werkvereistes in om risiko's van hibriede en afgeleë arbeidsmagte te versag.
4. Tegnologiese kontroles (34 kontroles)
Wat dit dek:
Hierdie groep fokus op IT-infrastruktuursekuriteit, wolksekuriteit, toegangsbeheer en kriptografie.
Waarom hierdie kategorie saamgevoeg en opgedateer is:
- Cyber Threat Landscape het ontwikkel – Die 2013-weergawe het nie moderne kuberbedreigings volledig aangespreek nie, insluitend losprysware, wolkgebaseerde aanvalle en KI-gedrewe inbraak.
- Opkoms van wolkrekenaars en SaaS-risiko's – Nuwe wolksekuriteitsbeheer (A.5.23 – Inligtingsekuriteit vir wolkdienste) spreek multi-wolk-omgewings en gedeelde verantwoordelikheidsmodelle aan.
- Databeskerming en Privaatheidsnakoming – Nuwe kontroles soos A.8.11 (Datamaskering) en A.8.12 (Datalekkasievoorkoming) strook met GDPR, ISO 27701 en globale privaatheidsregulasies.
Sleutelkontroles in hierdie kategorie:
- A.8.11 – Datamaskering (nuut) – Beskerm PII en sensitiewe data deur gebruik te maak van tokenisering en anonimiseringstegnieke.
- A.8.12 – Voorkoming van datalekkasie (nuut) – Implementeer DLP-beleide om ongemagtigde data-oordragte te voorkom.
- A.8.9 – Konfigurasiebestuur (nuut) – spreek wankonfigurasies in wolk- en SaaS-toepassings aan, 'n groot oorsaak van data-oortredings.
- A.8.23 – Webfiltrering (nuut) – Beskerm gebruikers teen kwaadwillige webwerwe, uitvissingpogings en wanware-geïnfekteerde aflaaie.
- A.8.28 – Veilige kodering (Opgedateer) – Versterk veilige sagteware-ontwikkelingslewensiklus (SDLC) praktyke om sagtewarekwesbaarhede te verminder.
Opsomming van veranderinge vanaf ISO 27001:2013
| ISO 27001:2013 (114 kontroles) | ISO 27001:2022 (93 kontroles) | Rede vir verandering |
|---|---|---|
| 14 beheerdomeine | 4 hoofkontrolegroepe | Vereenvoudig bestuur en pas by moderne kuberveiligheidsraamwerke |
| Oortollige nakomingskontroles | Verenig in A.5.31 | Kombineer wetlike, regulatoriese en kontraktuele vereistes |
| Afsonderlike HR-, Bewustheid- en Insidentkontroles | Gekonsolideer onder Mensekontroles | Sterker fokus op sekuriteitskultuur en werknemersbewustheid |
| Het nie moderne kuberveiligheidsbedreigings gehad nie | Bygevoeg bedreigingsintelligensie, wolksekuriteit en DLP | Pak losprysware, wolkrisiko's en moderne aanvalsvektore aan |
ISO 27001:2022 Beheerkenmerke en NIST CSF-belyning
ISO 27001:2022 bekendgestel beheer eienskappe om klassifikasie te verbeter en belyning met kuberveiligheidsraamwerke soos NIST CSF. Hierdie eienskappe help organisasies om hul kontroles na breër sekuriteitsdomeine te karteer, wat dit makliker maak om kruisraamwerk-nakoming te implementeer.
Beheer eienskappe in ISO 27001:2022
| kenmerk | Beskrywing | NIST CSF Kartering |
|---|---|---|
| beheer Tipe | Definieer of die beheer is voorkomend, speurder of regstellend | Identifiseer, beskerm, bespeur, reageer, herstel |
| Eienskappe vir inligtingsekuriteit | Spesifiseer watter CIA triade beginsel (Vertroulikheid, Integriteit, Beskikbaarheid) die beheer beskerm | Beskerm, bespeur, herstel |
| Kuberveiligheidskonsepte | Kaart die beheer na kuberveiligheidskonsepte soos bestuur, identiteitsbestuur, bedreigingopsporing, datasekuriteit, veerkragtigheid | Alle NIST CSF-funksies |
| Operasionele vermoëns | Definieer die gebied van sekuriteit wat dit ondersteun, soos monitering, aantekening, insidentreaksie, toegangsbeheer | Beskerm, bespeur, reageer |
| Sekuriteitsdomeine | Skakels na breër sekuriteitsareas soos netwerksekuriteit, databeskerming, risikobestuur, wolksekuriteit | Identifiseer, Beskerm, Bespeur |
ISO 27001:2022 Beheerkartering na NIST CSF
| ISO 27001:2022 Beheer | beheer Tipe | CIA Eiendom | Kuberveiligheidskonsep | Operasionele vermoë | Sekuriteitsdomein | NIST CSF Funksie |
|---|---|---|---|---|---|---|
| A.5.7 – Bedreigingsintelligensie | voorkomende | Vertroulikheid, integriteit | Bedreigingsmonitering en -opsporing | Logging, Analise | Risikobestuur | Identifiseer, bespeur |
| A.8.11 – Datamaskering | voorkomende | Vertroulikheid | Databeskerming, Privaatheid | Data Security | databestuur | Beskerm |
| A.8.12 – Voorkoming van datalekkasie | Voorkomende, speurder | Vertroulikheid | Eindpuntsekuriteit, netwerksekuriteit | Monitering, Voorkoming | Wolk- en eindpuntsekuriteit | Beskerm, bespeur |
| A.8.9 – Konfigurasiebestuur | voorkomende | Integriteit, Beskikbaarheid | Veiligheidsverharding | Stelsel onderhoud | Netwerk Sekuriteit | Beskerm |
Voordele van die gebruik van beheerkenmerke
- Verbeterde bestuur en nakoming – Maak dit makliker om kontroles in oudits vir ISO 27001, NIST en SOC 2 te regverdig.
- Verbeterde kruisraambelyning - Help om kontroles oor NIST CSF, CIS 18 en ISO 27701 te kaarteer.
- Sterker risiko-gebaseerde benadering – Organisasies kan beheermaatreëls prioritiseer op grond van risikofaktore en sekuriteitsdoelwitte.
- Wolk en Remote Work Security - Beheerkenmerke beklemtoon nuwe risiko's in wolkrekenaars, hibriede arbeidsmagte en voorsieningskettingsekuriteit.
Watter kontroles moet ek insluit?
Die Verklaring van Toepaslikheid is die hoofskakel tussen jou inligtingsekuriteitsrisiko-assessering en behandelingswerk, en wys 'waar' jy gekies het om inligtingsekuriteitskontroles vanaf die 93 beheerdoelwitte te implementeer. ('n Goeie SoA sal ook kan inboor om te wys 'hoe' hulle ook geïmplementeer is.)
Terwyl die Bylae A-kontroles 'n nuttige kontrolelys vir oorweging bied, kan die implementering van al 93 kontroles van 'onder na bo' duur wees en die fundamentele doelwitte van die standaard mis. Ongelukkig sal sommige inligtingsekuriteitskonsultante en -verskaffers wat 'volledige ISO 27001-dokumentasie-nutsmiddelstelle' verkoop, hierdie benadering voorstaan, maar dit is die verkeerde manier om inligtingsekuriteitbestuur te doen.
Daar is 'n rede waarom die kernvereistes in ISO 27001 van 4.1-10.2 daar is. Hulle help om die organisasie op die besigheids- en strategie-gebaseerde benadering te neem waar jy van bo af na onder kyk. Nadat die kwessies, die belanghebbende partye, die omvang en die inligtingsbates oorweeg is, kan die organisasie die risiko's identifiseer, dit dan evalueer en behandelings vir daardie risiko's oorweeg.
Die risiko's rondom die waardevolle inligting en die verwerkingsfasiliteite, toestelle, mense wat betrokke is, ens. moet geëvalueer word met die vertroulikheid, integriteit en beskikbaarheid (CIA) van inligting in gedagte.
Hierdie uiteensetting van die CIA is ook 'n belangrike aspek vir die ouditeur om te verstaan en demonstreer dat die organisasie die risiko meer holisties oorweeg het. Dit beteken ook dat die SOA ontwikkel is met daardie meer omvattende benadering, eerder as net een deel, bv. slegs die risiko vir verlies van inligting as gevolg van 'n oortreding in ag geneem.
Terwyl die organisasie die risiko's van sy bedrywighede sal oorweeg soos van bo af getrek, is dit die moeite werd om te noem dat een van die beheerareas in Bylae A wat altyd van toepassing sal wees, die “Beheer: A.5.31 – Wetlike, statutêre, regulatoriese en kontraktuele vereistes Dit sal beteken dat jy ook die vereistes van relevante wette, regulasies en kontraktuele vereistes van die EU-prominensie-proses in ag neem toenemend ook oor die hele wêreld met ander privaatheidstandaarde soos POPI in Suid-Afrika, LGPD in Brasilië, en die CCPA in Kalifornië.
Om die verwagtinge van die privaatheidsregulasies te verstaan, bepaal dit ook effektief dat baie van die ISO 27001-kontroles vereis word, of jy dink dit is of nie. So 'n slim ouditeur sal 'n begrip verwag van die toepaslike wetgewing wat jou organisasie raak en hoe dit ook jou keuse van toepaslike beheermaatreëls in die SoA-regverdiging inlig.
Sommige inligtingsekuriteitsrisiko's kan natuurlik heeltemal beëindig word, na 'n ander party oorgedra, behandel of geduld word. Al daardie Bylae A-kontroles help jou dan om die oordrag-, behandel- of duldfilosofie rondom die risiko's te oorweeg en waar toepaslik te implementeer. Die SoA wys dan watter sekuriteitsmaatreëls uit die Bylae A-kontroles jy gebruik en hoe jy dit geïmplementeer het, maw jou beleide en prosedures.
Die Bylae A-beheerdoelwitte en -kontroles soos gelys in die ISO 27001-standaard is nie voorskriftelik nie, maar moet wel oorweeg word en dat regverdiging vir toepaslikheid noodsaaklik is vir 'n onafhanklike sertifisering van 'n ISO-sertifiseringsliggaam.
Kry 'n voorsprong van 81%.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
ISO 27002 en die Verklaring van Toepaslikheid
Of onafhanklike sertifisering 'n doelwit of dalk bloot nakoming is, tesame met die aanvullende ISO 27002-leiding, is die Bylae A-kontroles 'n positiewe grondslag om op voort te bou vir enige organisasie wat sy inligtingsekuriteitsposisie wil verbeter en sake veiliger wil doen.
ISO 27002, is die aanvullende standaard tot ISO 27001, verskaf 'n praktykkode en nuttige uiteensetting vir inligtingsekuriteitskontroles en verskaf dus 'n baie goeie katalogus van beheerdoelwitte en kontroles vir die behandeling van risiko's asook leiding oor hoe om dit te implementeer.
Watter sekuriteitsmaatreëls (Bylae A-kontroles) jy inspan om daardie risiko's te bestuur, sal eintlik afhang van jou organisasie, sy risiko-aptyt en die omvang sowel as die toepaslike wetgewing. Maar wat dit ook al is, dit moet in die Verklaring van Toepaslikheid aangebied word as jy 'n ISO 27001-sertifisering wil behaal!
Watter inligting moet in die SOA ingesluit word?
Laat ons dus opsom watter inligting as 'n minimum vir die SOA ingesluit moet word.
- 'n Lys van die 93 bylae A-kontroles
- Of die beheer geïmplementeer word of nie
- Regverdiging vir die insluiting of uitsluiting daarvan
- 'n Kort beskrywing of hoe elke toepaslike beheer geïmplementeer word, met verwysing na die beleid en beheer wat dit in die regte detail beskryf
Soos hierbo genoem, is die SoA 'n venster na die organisasie se ISBS. As jy nie kan wys hoe daardie venster oopmaak in die diepte en gekoppelde aard van die inligtingsekuriteitbestuurstelsel nie, kan dit probleme skep. Stel jou die situasie voor wanneer die ouditeur opdaag en die sigblad wat die 93 kontroles toon, is verouderd met die werklike bestuurskontroles in plek.
Een van die mees algemene redes waarom 'n ISO 27001-oudit misluk, is omdat die ouditeur nie vertroue in die administrasie van die ISMS kan vestig nie en dokumentasie swak bestuur word of ontbreek. Om 'n selfstandige SoA 'dokument' te hê eerder as geïntegreerde en outomatiese dokumentasie van 'n SoA verhoog daardie risiko.
Hoe skep jy die Verklaring van Toepaslikheid?
Solank die SOA die regte inligting het, akkuraat is en op datum is, kan jy die SOA skep uit papier, sigblaaie, dokumente of professionele stelsels wat dit outomatiseer as deel van hul breër GRC (Governance, Regulation & Compliance) vermoë .
In 'n ideale wêreld sal jou SoA skaars verander (nie die minste nie omdat sertifiseringsliggame vir weergaweveranderings van die SoA kan vra). Wat egter onder die SoA sit, dws die kloppende hart van die ISMS self, behoort dinamies te wees as 'n lewende asemhalingsvoorstelling van jou ontwikkelende inligtingsekuriteitslandskap.
Die SOA moet hersien word wanneer jou beleide en kontroles hersien word (ten minste jaarliks), so dit sal steeds baat vind by 'n doeltreffende proses gegewe die 114 kontroles vir oorweging.
Om 'n sigblad op te slaan met die kontroles as 'n kontrolelys is 'n stukkie koek en redelik vinnig om te doen. Om dit egter met vertroue te doen dat al die vroeëre inligtingsekuriteitsbeplanning en implementeringswerk rondom die bates, risiko's en kontroles in die regte volgorde gedoen is en as die opsomming SoA uitgedruk is, is nie heeltemal so eenvoudig nie. 'n Ouditeur sal wil sien wat onder die eenvoudige toplyn van 114 rye in 'n sigblad sit.
In die ou dae het die aanbieding van die SoA as 'n breedvoerige dokument van 200 bladsye werklik baie werk beteken, veral om dit bygewerk te hou namate die beleide en kontroles ontwikkel het. Daar is nou baie beter en makliker maniere om die SoA te outomatiseer en voordeel te trek uit die harde werk wat reeds in ander dele van die ISMS gedoen is.
Hoe om tyd te bespaar wanneer jy jou Verklaring van Toepaslikheid skryf
Die SoA neem gewoonlik 'n lang tyd vir 'n organisasie om saam te stel as gevolg van wat dit inlig. As ons dink aan die stappe wat by die skepping daarvan betrokke is, en die werk wat daarvoor nodig is, is dit geen wonder nie:
- Oorweeg die kwessies, belanghebbende partye en omvang van die ISMS
- Identifiseer die inligtingsbates en verwerkingsfasiliteite en toestelle wat in gevaar is
- Evalueer en assesseer die risiko's wat verband hou met die sekuriteit van die inligting deur gebruik te maak van die vertroulikheid, integriteit en beskikbaarheid
- Evalueer daardie risiko's en besluit dan watter van die 114 Bylae A-kontroles nodig is
- Verstaan en evalueer toepaslike wetgewing (en enige sleutelkontrakverpligtinge van kragtige kliënte) om ander beheerareas uit te lig
- Besluit oor hoe om die beheer te implementeer in terme van beleid, prosedure, mense, tegnologie ens
- Skep dan die SoA-dokument self met daardie regverdigings oor toepaslikheid duidelik
- Ideaal gesproke gekoppel aan die beheerdetail, die risiko's en die bates om te wys dat die ISMS werk
- En bestuur dit op 'n deurlopende basis. Die SoA is een klein maar baie belangrike deel van 'n baie omvattende ISMS. Goed gedoen, sal dit die organisasie voorberei vir oudit-sukses en vertrouebou vir slim kliënte en ander belanghebbendes. As dit sleg gedoen word, sal dit byna seker die tyd tot sertifisering ontwrig en vertraag en kan die verlies van besigheid of toekomstige geleentheid beteken as gevolg van versuim om sertifisering te bereik of te handhaaf.
Bespoedig die SoA-proses met ISMS.online
ISMS.online is 'n omvattende inligtingsekuriteitbestuurstelsel wat onder baie ander dinge die administrasie en bestuur van jou inligtingsbates, risiko's, beleide en kontroles vergemaklik, alles op een plek.
Dit beteken ook dat die skepping van die SoA geoutomatiseer en eenvoudig en doeltreffend aangebied kan word. Benewens ander voordele soos om minder tyd te kos om ISO 27001-sukses te behaal, versnel dit dus ook die ISO-sertifiseringsreis.
Fokus jou energie daarop om jou besigheid te bestuur soos jy wil, en spandeer tyd aan wat jy moet bereik vir sukses, minder bekommer oor hoe om dit te doen. ISMS.online maak dit alles so maklik om jou werk gedoen te kry, insluitend die SoA teen 'n fraksie van die koste en tyd van alternatiewe.
Bespreek 'n platformdemoSpring na onderwerp
