Wat is die Verklaring van Toepaslikheid en waarom is dit belangrik?
Die Toepaslikheidsverklaring (SoA) is 'n dokument wat elke beheermaatreël lys van Aanhangsel A van ISO 27701:2025 en meld of elkeen van toepassing is op u organisasie. Vir elke toepaslike beheermaatreël teken u die implementeringsstatus daarvan aan. Vir elke uitgeslote beheermaatreël verskaf u 'n regverdiging.
Dit maak om drie redes saak:
- Dit definieer die omvang van jou PIMS — Die SoA vertel jou sertifiseringsliggaam presies watter beheermaatreëls jy geïmplementeer het en hoekom ander uitgesluit is. Dit is die fondament van jou sertifiseringsoudit.
- Dit is 'n verpligte vereiste — Klausule 6.1.3 e) van ISO 27701:2025 vereis uitdruklik 'n Verklaring van Toepaslikheid wat die nodige beheermaatreëls, regverdiging vir hul insluiting, of hulle geïmplementeer word, en regverdiging vir die uitsluiting van enige Aanhangsel A-beheermaatreëls insluit.
- Dit is jou ouditpadkaart — Die ouditeur gebruik u SoA as die primêre verwysing tydens die Fase 2-oudit. Elke beheermaatreël wat as van toepassing gemerk is, sal geassesseer word vir bewyse van implementering.
Wat moet die SoA bevat?
Ingevolge ISO 27701:2025 moet u SoA die volgende vir elke Aanhangsel A-kontrole insluit:
| Vereiste element | Beskrywing | voorbeeld |
|---|---|---|
| Beheerverwysing | Die Aanhangsel A-kontrolenommer en -titel | A.1.2 — Privaatheidskennisgewing |
| Toepaslikheidstatus | Of die beheer op u organisasie van toepassing is | Toepaslik / Nie van toepassing nie |
| Implementering status | Vir toepaslike beheermaatreëls: of die beheermaatreël ten volle geïmplementeer, gedeeltelik geïmplementeer of beplan is | geïmplementeer |
| Regverdiging vir insluiting | Waarom hierdie beheer nodig is vir jou PIMS (gewoonlik gekoppel aan jou risikobepaling) | Vereis om risiko R-014 aan te spreek (onvoldoende deursigtigheid vir data-onderwerpe) |
| Regverdiging vir uitsluiting | Vir uitgeslote beheermaatreëls: waarom die beheermaatreël nie van toepassing is op u dataverwerkingsaktiwiteite nie | Nie van toepassing nie — organisasie tree nie as 'n PII-verwerker op nie |
Hoe is die 2025 SoA anders gestruktureer as 2019?
As jy vertroud is met die 2019-uitgawe, het die SoA-struktuur aansienlik verander:
| Aspek | 2019 uitgawe | 2025 uitgawe |
|---|---|---|
| Beheerbron | Klausules 6, 7 en 8 (uitbreidings na ISO 27002) | Aanhangsel A (78 losstaande kontroles oor 3 tabelle) |
| struktuur | Die SoA het beide die byvoegings tot die ISO 27001 Aanhangsel A en die ISO 27701-klousules gedek. | ISO 27701:2025 het sy eie toegewyde SoA wat slegs Aanhangsel A dek |
| Beheertabelle | Georganiseer volgens ISO 27002-klousulestruktuur | Drie tabelle: A.1 (beheerder, 31 kontroles), A.2 (verwerker, 18 kontroles), A.3 (gedeel, 29 kontroles) |
| Verwantskap met ISO 27001 SoA | Gekombineer of kruisverwys | Afsonderlike dokument. Indien jy beide sertifikate besit, behou jy twee SoAs. |
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoe moet jy die bou van die SoA benader?
Stap 1: Bepaal jou rol(le)
ISO 27701:2025 onderskei tussen PII-beheerders en PII-verwerkers. Jou rol bepaal watter Aanhangsel A-tabelle van toepassing is:
- Slegs PII-beheerder — Tabel A.1 (31 kontroles) + Tabel A.3 (29 kontroles) = 60 kontroles
- Slegs PII-verwerker — Tabel A.2 (18 kontroles) + Tabel A.3 (29 kontroles) = 47 kontroles
- Beide beheerder en verwerker — Al drie tabelle = 78 kontroles
Baie organisasies tree op as beide beheerder (vir werknemerdata) en verwerker (vir kliëntdata). Indien dit op jou van toepassing is, is al 78 beheermaatreëls binne die bestek daarvan.
Stap 2: Koppel kontroles aan jou risikobepaling
Elke toepaslike beheermaatreël moet teruggevoer word na 'n risiko wat in u privaatheidsrisikobepaling geïdentifiseer is. Hierdie skakel is wat die ouditof gebruik om te verifieer dat jou beheermaatreëlkeuse risikogebaseerd eerder as arbitrêr is. Indien 'n beheermaatreël 'n risiko aanspreek wat jy geïdentifiseer het, behoort dit van toepassing te wees. Indien geen risiko die beheermaatreël regverdig nie en jou dataverwerking dit nie vereis nie, kan jy dit uitsluit met 'n gedokumenteerde regverdiging.
Stap 3: Dokumenteer implementeringsstatus eerlik
Vir elke toepaslike beheermaatreël, teken die huidige status daarvan aan:
- geïmplementeer — Die beheer is ten volle operasioneel met bewyse
- Gedeeltelik geïmplementeer — Sommige elemente is in plek; werk bly nog
- Beplan — Die beheer is in jou implementeringsplan, maar nog nie operasioneel nie
Wees eerlik oor gedeeltelike implementering. Ouditeure respekteer deursigtigheid en sal saam met jou werk aan 'n tydlyn vir korrektiewe aksies. Eis volle implementering wanneer getuienis is dun is 'n vinnige roete na 'n groot afwyking.
Stap 4: Skryf verdedigbare uitsluitingsregverdigings
Vir elke uitgeslote kontrole moet u regverdiging verduidelik waarom dit nie van toepassing is op u spesifieke dataverwerkingskonteks nie. Generiese regverdigings soos "nie relevant" is onvoldoende. Voorbeelde van verdedigbare uitsluitings:
- “Beheer A.2.x is nie van toepassing nie, want die organisasie tree nie as 'n PII-verwerker vir enige derde party op nie.”
- “Beheer A.1.x (direkte bemarking) is nie van toepassing nie, want die organisasie verwerk nie persoonlike inligting vir direkte bemarkingsdoeleindes nie.”
- “Beheer A.3.x (fisiese media) is nie van toepassing nie, want die organisasie verwerk persoonlike inligting uitsluitlik in digitale vorm sonder enige fisiese rekords.”
Watter foute veroorsaak ouditbevindinge op die SoA?
- Ontbrekende regverdigings vir uitsluitings — Die mees algemene bevinding. Elke uitgeslote kontrole benodig 'n spesifieke, gedokumenteerde rede. "Nie van toepassing nie" alleen is nie voldoende nie.
- Kontroles gemerk as geïmplementeer sonder bewyse — Indien u 'n beheermaatreël as geïmplementeer merk, sal die ouditeur vra om bewyse te sien. Maak seker dat bewyse bestaan en gekoppel is voor u oudit.
- SoA stem nie ooreen met die risikobepaling nie — Indien u risikobepaling 'n privaatheidsrisiko identifiseer, maar die ooreenstemmende beheermaatreël in die SoA uitgesluit word, sal die ouditeur dit as 'n nie-ooreenstemming aanmeld.
- Gebruik die 2019-struktuur — Indien u SoA verwys na Klousule 7/8 beheerder/verwerker-byvoegings eerder as Aanhangsel A-tabelle, voldoen dit nie aan die 2025 vereistes.
- Geen weergawebeheer nie — Die SoA is 'n lewende dokument. Indien dit nie weergawegeskiedenis het wat wys wanneer dit laas hersien en opgedateer is nie, kan die ouditeur bevraagteken of dit u huidige stand weerspieël.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Hoe hou jy die SoA op datum?
Jou SoA is nie 'n eenmalige dokument nie. Dit moet hersien en opgedateer word:
- Na veranderinge in risikobepaling — Nuwe risiko's mag addisionele beheermaatreëls vereis; afgetrede risiko's mag uitsluitings toelaat
- Wanneer dataverwerkingsaktiwiteite verander — Nuwe dienste, nuwe datatipes of nuwe verwerkingsverhoudings kan beïnvloed watter beheermaatreëls van toepassing is
- Voor elke oudit — Maak seker dat die SoA jou huidige implementeringsstatus akkuraat weerspieël
- As deel van bestuursoorsig — Sluit SoA-geldeenheid as 'n staande agendapunt in
A voldoeningsplatform wat die SoA genereer uit jou lewendige beheerdata maak dit outomaties eerder as handmatig. Wanneer jy 'n beheer se status opdateer of 'n nuwe risiko byvoeg, weerspieël die SoA die verandering onmiddellik.
Hoekom kies ISMS.aanlyn vir ISO 27701:2025?
- Outomatiese SoA-generering — Bou jou Verklaring van Toepaslikheid op uit jou kontrolekeuses, met regverdigings en bewysskakels wat outomaties ingevul word
- Al 78 Aanhangsel A-kontroles vooraf gelaai — Beheerder, verwerker en gedeelde beheermaatreëls is gereed om te assesseer, met riglyne vir elkeen
- Risiko-tot-beheer naspeurbaarheid — Koppel elke beheermaatreël aan die risiko's wat dit aanspreek, wat ouditeure die bewysketting gee wat hulle verwag
- Lewendige dokument — Jou SoA word outomaties opgedateer soos jy beheerstatusse verander, risiko's byvoeg of uitsluitingsregverdigings wysig.
- Weergawe geskiedenis — Volledige ouditspoor van SoA-veranderinge, wat voldoen aan die weergawebeheervereiste sonder handmatige dophou
- Uitvoergereed — Voer jou SoA uit in 'n professionele formaat vir jou sertifiseringsliggaam, kliënte of bestuursoorsig
- Multi-raamwerk — Indien u beide ISO 27001 en ISO 27701 handhaaf, bestuur die platform beide SoA's met gedeelde kontroles wat oor raamwerke gekarteer is.
Gereed om jou Verklaring van Toepaslikheid op te stel? Bespreek 'n demo en kyk hoe ISMS.aanlyn maak jou ISO 27701: 2025-sertifisering Gereed vir SoA-oudits vanaf dag een.
Algemene vrae
Hoeveel kontroles moet in my SoA wees?
Jou SoA moet al 78 Aanhangsel A-kontroles lys (of die subgroep wat relevant is vir jou rol as beheerder, verwerker of albei). Elke kontrole is óf van toepassing óf uitgesluit met regverdiging. Die aantal toepaslike kontroles wissel per organisasie, maar die meeste organisasies wat as beide beheerder en verwerker optree, sal 50–70 toepaslike kontroles hê.
Het ek 'n aparte SoA vir ISO 27701 en ISO 27001 nodig?
Ja. Onder die 2025-uitgawe het ISO 27701 sy eie Aanhangsel A met privaatheidspesifieke kontroles, apart van ISO 27001 se Aanhangsel A. As jy albei sertifisering besit, handhaaf jy twee SoA's. 'n Nakomingsplatform soos ISMS.aanlyn bestuur beide en karteer gedeelde kontroles sodat jy nie pogings dupliseer nie.
Kan ek 'n hele Aanhangsel A-tabel uitsluit?
Ja, indien u rol dit regverdig. Byvoorbeeld, as u uitsluitlik 'n PII-verwerker is en nooit as 'n beheerder optree nie, kan u alle Tabel A.1 (beheerder) kontroles uitsluit met die regverdiging dat u nie die doeleindes of middele van PII-verwerking bepaal nie. Tabel A.3 (gedeelde kontroles) is van toepassing op alle organisasies ongeag rol.
Watter bewyse moet aan elke kontrole gekoppel word?
Bewyse wissel volgens die tipe beheermaatreël, maar sluit tipies in: beleide (goedgekeur en erken), prosedures (gedokumenteer en gevolg), rekords (logboeke, registers, vergaderingnotules) en tegniese bewyse (stelselkonfigurasies, toegangsbeheer). Die sleutel is om aan te toon dat die beheermaatreël nie net gedokumenteer is nie, maar effektief funksioneer.
Hoe gereeld moet die SoA hersien word?
Hersien die SoA ten minste jaarliks as deel van u bestuursoorsigsiklus en voor elke sertifiserings- of toesigoudit. U moet dit ook opdateer wanneer daar 'n beduidende verandering aan u dataverwerkingsaktiwiteite, risikoprofiel of organisatoriese struktuur is. 'n Lewendige, platformgegenereerde SoA bly outomaties op datum soos u u beheermaatreëls opdateer.
