ISO/IEC 27001

SoA: Täydellinen opas

Saavuta ISO 27001 helposti ISMS.onlinen avulla

Katso se toiminnassa
Kirjailija Max Edwards | Päivitetty 14. maaliskuuta 2024

SoA (SoA) on olennainen osa tietoturvan hallintajärjestelmääsi (ISMS). SoA on yksi tärkeimmistä asiakirjoista, jotka sinun on laadittava ISO 27001 -sertifiointia varten. Tässä oppaassa kerromme, mitä se on ja mitä sisällytetään sellaisen luomiseen.

Hyppää aiheeseen

Mikä on soveltuvuuslausunto?

Yksinkertaisesti sanottuna tavoitteenaan suojella arvokasta tietovarallisuutta ja hallita tietojenkäsittelylaitteita SoA ilmoittaa, mitä ISO 27001 -valvontaa ja -käytäntöjä organisaatio soveltaa. Se vertailee ISO 27001 -standardissa asetettua liitteen A valvontaa (kuvattu ISO-standardiasiakirjan takana vertailutavoitteina ja -kontrolleina).

Soveltuvuusselvitys löytyy ISO 6.1.3 -standardin päävaatimusten kohdasta 27001, joka on osa laajempaa 6.1:tä, joka keskittyy toimiin riskien ja mahdollisuuksien käsittelemiseksi.

SoA on siksi olennainen osa pakollista ISO 27001 -dokumentaatiota, joka on esitettävä ulkopuoliselle tarkastajalle, kun ISMS:lle tehdään riippumaton auditointi esim. UKAS-auditointisertifiointielimen toimesta.

Keitä ISO 27001 koskee?

ISO 27001 -standardia sovelletaan kaikentyyppisiin ja -kokoisiin organisaatioihin, mukaan lukien julkiset ja yksityiset yritykset, julkisyhteisöt ja voittoa tavoittelemattomat organisaatiot. Yhteinen lanka organisaation koosta, tyypistä, maantieteellisestä sijainnista tai toimialasta riippumatta on, että organisaatio pyrkii esittelemään parhaita käytäntöjä tietoturvan hallinnassa. Parhaat käytännöt voidaan tietysti tulkita eri tavalla.

ISO-standardissa on kyse tietoturvariskien hallintajärjestelmän kehittämisestä. Riippuen siis organisaation johtajuudesta tietoriskin halukkuudesta ja riskien hallintaan liittyvien resurssien laajuudesta, sovellettavat kontrollit ja käytännöt voivat vaihdella huomattavasti organisaatioittain, mutta silti ne täyttävät ISO 27001 -valvontatavoitteet.

On kuitenkin selvää, että ISO 27001 -sertifioinnin saavuttaminen hyväksytyn ISO-sertifiointielimen suorittaman riippumattoman auditoinnin kautta tarkoittaa, että organisaatio on saavuttanut tunnustetun hallintatason (standardina paras käytäntö) tietoresursseille ja käsittelylaitoksille.

ISO 27001 -sertifikaatti antaa kiinnostuneille osapuolille, kuten tehokkaille asiakkaille ja tulevaisuudennäkymille, korkeamman tason luottamusta kuin itse kehitetyt menetelmät tai vaihtoehtoiset standardit, joilla ei ole samaa riippumatonta auditointia tai kansainvälistä tunnustusta.

Ilmainen lataus

Hanki opas
ISO 27001 menestys

Kaikki mitä sinun tulee tietää saavuttaaksesi ISO 27001 ensimmäistä kertaa

Hanki ilmainen opas

Miksi SoA on tärkeä?

Yhdessä tietoturvan hallintajärjestelmän Scope (ISO 4.3:n 27001) kanssa SoA tarjoaa yhteenvetoikkunan organisaation käyttämistä ohjauksista. SoA on perusedellytys ISMS:n ISO-sertifioinnin saavuttamiselle ja laajuuden ohella yksi ensimmäisistä asioista, joita tilintarkastaja tarkastelee tarkastustyössään.

Tämän dokumentaation on oltava saatavilla tarkastettavaksi vaiheen 1 sertifiointiauditoinnin aikana, vaikka siihen perehdytään vain vaiheen 2 auditoinnin aikana, jolloin auditoija testaa joitain ISO 27001 -kontrolleista ja varmistaa, että ne eivät vain kuvaa, vaan myös osoittavat riittävästi. valvontatavoitteet saavutetaan.

Tarkastaja tarkastelee tietovarastoa, harkitsee riskejä, niiden arviointia ja hoitoja sekä etsii fyysistä näyttöä siitä, että organisaatio on toteuttanut tyydyttävästi ne kontrollit, jotka se väittää vähentävän riskiä.

SoA ja laajuus kattavat organisaation tuotteet ja palvelut, sen tietovarat, prosessointitilat, käytössä olevat järjestelmät, mukana olevat ihmiset ja liiketoimintaprosessit, olipa kyseessä sitten virtuaalinen yhden henkilön yritys tai monitoimipaikkainen kansainvälinen operaatio, jossa työskentelee tuhansia työntekijöitä.

Tehokkaat koulutetut asiakkaat, joilla on merkittävä tietoriski (esim. GDPR:n tai muiden kaupallisten tietoresurssien vuoksi), saattavat haluta nähdä laajuuden ja vaatimustenmukaisuuden ennen ostamista toimittajalta varmistaakseen, että ISO-sertifiointi todella koskee heidän liiketoimintaansa liittyviä osa-alueita. omaisuutta.

Ei ole hyvä hankkia Iso-Britannian pääkonttorille ISO-sertifikaatti, jossa on laajuus ja soA, kun todellinen tietojenkäsittelyriski tapahtuu offshore-rakennuksessa, jonka resurssit eivät ole voimassa! Tämä on itse asiassa yksi syy siihen, miksi sertifiointielimet rohkaisevat nyt "koko organisaation" soveltamisalaa, mikä voi tietysti tarkoittaa, että vaaditaan paljon laajempi ja syvällisempi soveltuvuuslausunto.

Yhteenvetona voidaan todeta, että hyvin esitetty ja helposti ymmärrettävä vaatimustenmukaisuustodistus osoittaa sovellettavien ja toteutettujen liitteen A kontrollien välisen suhteen, kun otetaan huomioon riskit ja tietovarat. Se antaa tarkastajalle tai muulle asiasta kiinnostuneelle valtavan varmuuden siitä, että organisaatio ottaa tietoturvan johtamisen vakavasti, varsinkin jos tämä kaikki yhdistetään kokonaisvaltaiseksi tietoturvan hallintajärjestelmäksi.

Mikä on liite A ISO 27001?

ISO 27001:n liite A on luettelo tietoturvallisuuden valvontatavoitteista ja -toimenpiteistä, jotka on otettava huomioon ISO 27001 -standardin käyttöönoton aikana. ISO:lle käytetty tekninen termi koskee valvonnan "perustelua". SoA osoittaa, onko liitteen A ohjaus:

  • Sovellettavissa ja toteutettu nyt kontrollina
  • Sovellettavissa, mutta ei toteutettu kontrollina (esim. se saattaa olla osa parannusta tulevaisuutta varten ja sisällytetty 10.2:een osana parannusta tai johto on valmis sietämään riskin, kun otetaan huomioon muut toteutetut valvontaprioriteetit)
  • Ei sovelleta (huomaa, että jos jotakin ei pidetä soveltuvana, tarkastaja pyrkii ymmärtämään, miksi näin on, myös siitä tulee pitää dokumentoitu kirjaa vakuutustodistuksessa).

Säätimet on tarkistettava ja päivitettävä säännöllisesti 3 vuoden ISO-sertifioinnin elinkaaren aikana. Tämä on osa jatkuvaa tietoturvan hallinnan kehittämisfilosofiaa, joka on sisällytetty standardiin. Kyberrikollisuuden kasvun nopeutuessa myös kyberturvallisuus etenee nopeasti, joten mikä tahansa vähemmän kuin vuosittainen valvonnan tarkastus voisi lisätä organisaation uhkia.

Kuinka monta säädintä ISO 27001 sisältää?

Liitteessä A on 114 valvontaa, jotka on jaettu 14 eri luokkaan. Alla on lueteltu ISO 27001 -standardin liitteen A hallintalaitteet.

Mitä ohjaimia minun pitäisi sisällyttää?

Soveltuvuusselvitys on tärkein linkki tietoturvariskinarvioinnin ja hoitotyön välillä, ja se näyttää "missä" olet valinnut tietoturvavalvonnan toteuttamiseksi 114-valvontatavoitteista. (Hyvä SoA pystyy myös porautumaan ja näyttämään, kuinka ne on myös toteutettu.)

Vaikka liitteen A hallintalaitteet tarjoavat hyödyllisen tarkistuslistan harkittavaksi, pelkkä kaikkien 114 säädön toteuttaminen "alhaalta ylöspäin" voi olla kallista ja jättää huomiotta standardin perustavoitteet. Valitettavasti jotkut tietoturvakonsultit ja -palveluntarjoajat, jotka kauppaavat "täydellisiä ISO 27001 -dokumentaatiotyökaluja", kannattavat tätä lähestymistapaa, mutta se on väärä tapa tehdä tietoturvan hallintaa.

ISO 27001 -standardin 4.1-10.2 ydinvaatimukset ovat syynsä olemassa. Ne auttavat omaksumaan organisaation liiketoiminta- ja strategialähtöisen lähestymistavan, jossa katsot ylhäältä alas. Otettuaan huomioon asiat, asianosaiset, laajuuden ja tietovarat organisaatio voi tunnistaa riskit, arvioida ne ja harkita hoitoja niille riskeille.

Arvokkaisiin tietoihin ja käsittelylaitoksiin, laitteisiin, asiaan liittyviin henkilöihin jne. liittyvät riskit tulee arvioida tietojen luottamuksellisuus, eheys ja saatavuus (CIA) mielessä.

Tämä CIA:n erittely on myös tärkeä näkökohta, jonka tarkastaja ymmärtää ja osoittaa, että organisaatio on ottanut riskin kokonaisvaltaisemmin huomioon. Ratkaisevaa se tarkoittaa myös sitä, että SoA on kehitetty tällä kattavammalla lähestymistavalla sen sijaan, että vain yksi osa olisi otettu huomioon esimerkiksi tietomurron aiheuttaman tiedon menettämisen riskinä.

Vaikka organisaatio tarkastelee toiminnastaan ​​aiheutuvia riskejä ylhäältä katsottuna, on syytä mainita, että yksi liitteen A valvonta-alueista, joka on aina sovellettava, on "Soveltuvan lainsäädännön ja sopimusvaatimusten tunnistaminen" kohdassa A.18.1.1. . Tämä tarkoittaa, että otat huomioon myös asiaankuuluvien lakien, määräysten ja sopimusvaatimusten vaatimukset. Tämä on saamassa paljon näkyvämpää EU:n GDPR:n ansiosta EU:n kansalaisten tietoja käsitteleville henkilöille ja yhä enemmän myös kaikkialla maailmassa muiden tietosuojastandardien, kuten Etelä-Afrikan POPI:n, Brasilian LGPD:n ja Kalifornian CCPA:n, myötä.

Ymmärtääksemme tietosuojamääräysten odotukset, se myös sanelee tehokkaasti, että monet ISO 27001 -säätimistä vaaditaan, olivatpa ne mielestäsi tai eivät. Joten älykäs tarkastaja odottaa ymmärtävänsä organisaatioosi vaikuttavan sovellettavan lainsäädännön ja sen, kuinka se myös kertoo soA-perustelussa sovellettavien kontrollien valinnasta.

Tietyt tietoturvariskit voitaisiin tietysti lopettaa kokonaan, siirtää toiselle osapuolelle, käsitellä tai sietää. Kaikki liitteen A hallintakeinot auttavat sinua harkitsemaan ja tarvittaessa toteuttamaan riskejä koskevaa siirto-, hoito- tai sietofilosofiaa. SoA näyttää sitten, mitä turvallisuustoimenpiteitä liitteen A ohjaimista käytät ja kuinka olet ne toteuttanut eli käytäntösi ja menettelysi.

ISO 27001 -standardissa luetellut liitteen A valvontatavoitteet ja tarkastukset eivät ole ohjeellisia, mutta ne on otettava huomioon ja että sovellettavuuden perustelut ovat olennaisia ​​ISO-sertifiointielimen riippumattoman sertifioinnin kannalta.

Hanki 81 % etumatka

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo

ISO 27002 ja soveltuvuuslausunto

Riippumatta siitä, onko riippumaton sertifiointi tavoite tai vain vaatimustenmukaisuus yhdessä täydentävän ISO 27002 -ohjeistuksen kanssa, liitteen A hallintalaitteet ovat positiivinen perusta mille tahansa organisaatiolle, joka haluaa parantaa tietoturva-asentoaan ja harjoittaa liiketoimintaansa turvallisemmin.

ISO 27002 on ISO 27001 -standardia täydentävä standardi, joka tarjoaa käytännesäännöt ja hyödylliset linjaukset tietoturvaohjauksille ja tarjoaa siten erittäin hyvän luettelon riskien hallinnan valvontatavoitteista ja valvonnasta sekä ohjeita niiden toteuttamiseen.

Se, mitä turvatoimenpiteitä (liite A) käytät näiden riskien hallitsemiseksi, riippuvat itse asiassa organisaatiostasi, sen riskinhalusta ja laajuudesta sekä sovellettavasta lainsäädännöstä. Mutta mikä tahansa se on, se on esitettävä soveltuvuusselvityksessä, jos haluat saavuttaa ISO 27001 -sertifikaatin!

Mitä tietoja SoA:n tulee sisällyttää?

Tehdään siis yhteenveto, mitä tietoja on sisällytettävä vähintään SoA:ta varten.

  • Luettelo 114 liitteen A valvonnasta
  • Onko valvonta toteutettu vai ei
  • Perustelut sen sisällyttämiselle tai poissulkemiselle
  • Lyhyt kuvaus tai kuinka kukin soveltuva ohjausobjekti on toteutettu, viitaten käytäntöön ja säätimeen, joka kuvaa sitä oikein yksityiskohtaisesti

Kuten edellä mainittiin, SoA on ikkuna organisaation ISMS:ään. Jos et pysty näyttämään, kuinka tämä ikkuna avautuu tietoturvan hallintajärjestelmän syvyyteen ja yhdistettyyn luonteeseen, mikä voi aiheuttaa ongelmia. Kuvittele tilanne, jossa tilintarkastaja saapuu paikalle ja 114-kontrollit näyttävä taulukko on vanhentunut, kun varsinaiset johdon kontrollit ovat käytössä.

Yksi yleisimmistä syistä epäonnistua ISO 27001 -auditoinnissa on se, että tarkastaja ei pysty luottamaan ISMS:n hallintoon ja dokumentaatio on huonosti hallittu tai puuttuu. Erillinen SoA-dokumentti integroidun ja automatisoidun SoA-dokumentaation sijaan lisää tätä riskiä.

Kuinka luot soveltuvuuslausunnon?

Niin kauan kuin SoA:ssa on oikeat tiedot, se on tarkka ja ajan tasalla, voit luoda SoA:n paperista, laskentataulukoista, asiakirjoista tai ammattimaisista järjestelmistä, jotka automatisoivat sen osana laajempaa GRC-kykyään (Governance, Regulation & Compliance). .

Ihanteellisessa maailmassa SoA tuskin muutu (etenkään siksi, että sertifiointielimet voivat veloittaa SoA-version muutoksista). Sen, mikä sijaitsee SoA:n alla, eli ISMS:n itsensä sykkivä sydän, pitäisi kuitenkin olla dynaaminen elävänä hengittävänä esityksenä kehittyvästä tietoturvaympäristöstäsi.

SoA on tarkistettava, kun käytäntöjäsi ja valvontatoimiasi tarkistetaan (vähintään vuosittain), jotta se hyötyisi silti tehokkaasta prosessista, kun otetaan huomioon 114-kontrollit.

Laskentataulukon avaaminen säätimillä tarkistuslistana on helppoa ja melko nopeaa. Mutta sen tekeminen luottavaisin mielin siihen, että kaikki aikaisempi tietoturvasuunnittelu- ja toteutustyö resurssien, riskien ja kontrollien ympärillä on tehty oikeassa järjestyksessä ja ilmaistuna tiivistelmänä SoA, ei ole aivan niin suoraviivaista. Tarkastaja haluaa nähdä, mikä on laskentataulukon yksinkertaisen 114 rivin ylälinjan alla.

Ennen vanhaan SoA:n esittäminen 200-sivuisena monisanaisena asiakirjana merkitsi todella paljon työtä erityisesti sen pitämiseksi ajan tasalla käytäntöjen ja hallintalaitteiden kehittyessä. Nyt on olemassa paljon parempia ja helpompia tapoja automatisoida SoA ja hyödyntää ISMS:n muissa osissa jo tehtyä kovaa työtä.

Kuinka säästää aikaa, kun kirjoitat soveltamisilmoitusta

SoA:n kokoaminen kestää tyypillisesti kauan sen vuoksi, mikä sille tiedottaa. Jos ajattelemme sen luomiseen liittyviä vaiheita ja siihen tarvittavaa työtä, ei ole ihme:

  • Harkitse ISMS:n kysymyksiä, kiinnostuneita osapuolia ja laajuutta
  • Tunnista vaarassa olevat tietovarat ja käsittelylaitteet ja -laitteet
  • Arvioi ja arvioi tietojen turvallisuuteen liittyviä riskejä käyttämällä luottamuksellisuutta, eheyttä ja saatavuutta
  • Arvioi nämä riskit ja päätä sitten, mitkä liitteen A 114 tarkastuksesta ovat tarpeen
  • Ymmärtää ja arvioida sovellettavaa lainsäädäntöä (ja tehokkaiden asiakkaiden tärkeimpiä sopimusvelvoitteita) korostaaksesi muita valvonta-alueita
  • Päätä, miten valvonta toteutetaan politiikan, menettelyn, ihmisten, tekniikan jne. suhteen
  • Luo sitten itse SoA-asiakirja niin, että soveltuvuuden perustelut ovat selvät
  • Ihannetapauksessa linkittäminen valvontayksityiskohtiin, riskeihin ja omaisuuteen ISMS:n toimivuuden osoittamiseksi
  • Ja hallitse sitä jatkuvasti.

    SoA on pieni mutta erittäin tärkeä osa erittäin kattavaa ISMS:ää. Hyvin tehtynä se luo organisaation auditoinnin onnistumiseen ja luottamuksen rakentamiseen älykkäille asiakkaille ja muille sidosryhmille. Huonosti tehtynä se melkein varmasti häiritsee ja viivästyttää sertifiointiin kuluvaa aikaa ja voi tarkoittaa liiketoiminnan menettämistä tai tulevaisuuden mahdollisuutta, jos sertifikaattia ei saada tai ylläpidetä.

Nopeuta SoA-prosessia ISMS.onlinen avulla

ISMS.online on kattava tietoturvan hallintajärjestelmä, joka muun muassa helpottaa tietovarantojen, riskien, käytäntöjen ja valvonnan hallintaa ja hallintaa yhdessä paikassa.

Se tarkoittaa myös, että SoA:n luominen voidaan automatisoida ja esittää yksinkertaisesti ja tehokkaasti. Siksi muiden etujen, kuten lyhyemmän ajan kustannukset ISO 27001 -menestyksen saavuttamiseksi, lisäksi se nopeuttaa myös ISO-sertifiointimatkaa.

Keskitä energiasi yrityksesi johtamiseen haluamallasi tavalla ja käytä aikaa siihen, mitä sinun on saavutettava menestyäksesi, murehtimatta vähemmän siitä, miten se tehdään. ISMS.online tekee työsi suorittamisesta niin helppoa, mukaan lukien SoA murto-osalla vaihtoehtojen kustannuksista ja ajasta.

Varaa alustan demo
täydellinen vaatimustenmukaisuusratkaisu

Haluatko tutkia?
Aloita ilmainen kokeilujaksosi.

Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia

Lue lisää

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja