Ethvert samarbejde og enhver proces i en organisation bør tage udgangspunkt i en risikovurdering, og når det kommer til informationssikkerheden, kan en SoA (Statement of Applicability) være et godt værktøj at tage i brug.
En SoA er en integreret del af ISO 27001-standarden og fungerer som bindeled mellem risikovurdering og risikobehandling i en organisation. I praksis er det en erklæring af, hvilket informationssikkerhedsniveau en organisation aktivt har besluttet sig for i en given proces, og hvorfor de respektive til- og fravalg er taget.
Neden for giver vi dig et overblik over, hvilken rolle SoA spiller i henhold til standarden, og ikke mindst hvad der er de bærende elementer i en SoA.
Hvad er et SoA-dokument iht. ISO 27001
SoA betyder "Statement of Applicability" og er en integreret og afgørende del af ISO 27001-standarden for informationssikkerhed. SoA-dokumentet udgør en obligatorisk liste over kontrolforanstaltninger, der er specificeret i standarden og er relevante for organisationen at implementere som en del af risikostyring. SoA fungerer som en forbindelse mellem risikovurdering og risikobehandling i organisationen, idet det beskriver det aktive informationssikkerhedsniveau, som organisationen har valgt for en given proces, samt de til- og fravalg, der er foretaget.
Med et SoA-dokument forholder organisationen sig aktivt til de til- og fravalg af kontrolmål, som skal indføres i den aktuelle proces. Det underbygger og dokumenterer altså de valg, organisationen tager, og dokumentet kan ses som en statusopgørelse for organisationens arbejde med informationssikkerhed. En handlingsplan for konkrete aktiviteter til implementering af sikkerhedsforanstaltningerne.
Selvom ISO 27001 er referencen for informationsbeskyttelsesforanstaltningerne, kan organisationen naturligvis tilføje andre kontroller og kontrolmål, hvis det er nødvendigt.
LÆS OGSÅ: Forstå hovedprincipperne i informationssikkerhed
Hvad er de bærende elementer i en SoA?
Listen af de foranstaltninger, organisationen skal forholde sig til i en SoA, findes i ISO 27001s Anneks A.
Helt overordnet kræver den, at organisationen har styr på sine informationssikkerhedspolitikker. Dernæst stiller en SoA spørgsmål til samtlige kontrolområder – herunder:
- Adgangsstyring
- Driftssikkerhed
- Kommunikationssikkerhed
- Informationssystemer
- Leverandørforhold
- Håndtering af sikkerhedsbrud
Udarbejdelsen af SoA-dokumentet udføres efter, at risikovurderingen er foretaget – på den måde sikrer man, at SoA matcher de risici, der er identificeret.
Det der gør en SoA til et uundværligt værktøj i forbindelse med informationssikkerheden, er, at dokumentet skal indeholde begrundelser for, hvorfor visse foranstaltninger er valgt fra, mens andre er valgt til. Det betyder i sagens natur, at organisationen ikke kan undgå at tage stilling til alle informationssikkerhedskontroller – også dem der ikke er aktuelle i det respektive tilfælde.
Det færdige SoA-dokument skal desuden godkendes af organisationens ledelse.
SoA og audits
Den løbende kontrol med informationssikkerheden kræver måling og intern audit. Helt grundlæggende handler det om at besvare fire spørgsmål:
- Har vi det, vi siger, vi har?
- Gør vi det, vi siger, vi gør?
- Opfylder informationssikkerhedssystemet formålet?
- Virker informationssikkerhedssystemet efter hensigten?
Når man som organisation skal auditere på noget, er det nødvendigt med et solidt og konkret grundlag at gøre dette imod. En SoA kan give dig netop det. Ved at konkretisere kravene fra ISO 27001 i politikker, kontrolbeskrivelser og procedurer får du et håndgribeligt udgangspunkt for din auditering.
Software til SoA kan lette arbejdet
Drømmer du om at opnå fuld ISMS-compliance, kan det være nødvendigt at investere i software, der matcher behovet.
Hos RISMA har vi udviklet et komplet ISO 27001-softwaresystem, der giver dig overblik og en handlingsplan, så du kan systematisere informationssikkerheden i organisationen. Systemet består af en lang række værktøjer, der gør det enkelt og overskueligt at arbejde med informationssikkerhed. Blandt andet risikokatalog, risk matrix visualisering, handlingsplaner, gap analyse og databehandlertilsyn – og naturligvis muligheden for at trække et komplet SoA-dokument ud.
På enkel vis kan du få overblik over sikkerhedspolitikker, udarbejde specifikke kontrolbeskrivelser og -procedurer og ikke mindst rapportere om fremskridt med handlingsplanerne.
LÆS OGSÅ: 4 råd til at få ledelsens opbakning, når informationssikkerheden skal sikres