Anvendelseserklæring (SoA)

Anvendelseserklæringen (Statement of Applicability eller SoA) er et obligatorisk ISO 27001-dokument, der viser præcist, hvilke af standardens Annex A-kontroller din organisation har valgt at implementere. Det er et af de mest centrale dokumenter i din ISMS-dokumentation og gennemgås altid ved certificering.

Tilbage til ordbog

Hvad er en anvendelseserklæring?

Anvendelseserklæringen, på engelsk Statement of Applicability (SoA), er krævet af ISO 27001 klausul 6.1.3 d). Dokumentet fungerer som bindeleddet mellem din risikovurdering og de konkrete kontroller fra Annex A, som din organisation vælger at implementere.

For hver af de 93 kontroller i Annex A (ISO 27001:2022) skal din SoA angive, om kontrollen er inkluderet eller ekskluderet, og give en begrundelse. Det giver et komplet overblik over din organisations informationssikkerhedsmæssige kontrollandskab.

Hvad skal SoA'en indeholde?

En komplet SoA indeholder typisk følgende for hver Annex A-kontrol:

Kontrol-ID og navn: Identifikation af den pågældende kontrol.
Inkluderet/ekskluderet: Markering af om kontrollen anvendes.
Begrundelse for valget: Forklaring baseret på risikovurdering, lovkrav eller forretningsbehov.
Implementeringsstatus: Om kontrollen er fuldt implementeret, delvist implementeret eller planlagt.
Reference til dokumentation: Link til den procedure eller politik, der understøtter kontrollen.

Fravalg af kontroller

Det er legitimt at fravælge Annex A-kontroller, men det kræver en dokumenteret begrundelse. Typiske begrundelser for fravalg kan være, at kontrollen ikke er relevant for organisationens risikomiljø, at en risiko er accepteret, eller at en alternativ kontrol opnår samme resultat.

Vær specifik i begrundelserne: Vage formuleringer som “ikke relevant” er ikke tilstrækkelige. Beskriv præcist, hvorfor netop denne kontrol ikke er nødvendig i din organisations kontekst.

SoA ved certificering

Den eksterne revisor vil altid gennemgå anvendelseserklæringen grundigt. De vil kontrollere, at der er sammenhæng mellem risikovurderingens resultater og de valgte kontroller, og at fravalg er velunderbyggede. En inkonsistent SoA er en hyppig årsag til afvigelser ved certificeringsaudit. Din adgangskontrol og aktivstyring er blandt de kontroller, der undersøges mest nøje.

Ofte stillede spørgsmål om anvendelseserklæringen

Hvad er en anvendelseserklæring?

En anvendelseserklæring (Statement of Applicability eller SoA) er et obligatorisk dokument i ISO 27001. Det specificerer, hvilke af standardens Annex A-kontroller din organisation har implementeret, og giver en begrundelse for fravalg af kontroller.

Kan man fravælge Annex A-kontroller?

Ja. Ikke alle Annex A-kontroller er relevante for alle organisationer. Du kan fravælge kontroller, men du skal dokumentere begrundelsen i anvendelseserklæringen. Fravalget skal typisk baseres på din risikovurdering.

Hvem gennemgår anvendelseserklæringen?

Den eksterne revisor (certificeringsorgan) gennemgår altid anvendelseserklæringen som en central del af certificeringsprocessen. Dokumentet er et af de vigtigste i hele ISMS-dokumentationen.

Hvor ofte skal SoA'en opdateres?

SoA'en bør gennemgås og opdateres, når der sker væsentlige ændringer i organisationens risikomiljø, efter ledelsesgennemgange, eller når Annex A-kontroller tilføjes eller fjernes. Som minimum bør den gennemgås årligt.

Hvad er forskellen på SoA og risikobehandlingsplanen?

SoA'en opremser alle Annex A-kontroller og angiver, om hver er inkluderet eller ekskluderet. Risikobehandlingsplanen beskriver de specifikke handlinger, tidsfrister og ansvar for implementering af de valgte kontroller. De er komplementære dokumenter.