«ЕЙ-БІ-СІ ГРУП» ТОВ
“A-B-C GROUP” LLS
- +38 (050) 550-65-83
- ТОВ ЕЙ-БІ-СІ ГРУП", Україна, м Київ, вул Вишгородська, 44 - 84, 04114
- office@abcgroup.com.ua
Посібник для початківців Заяви про застосовність ISO 27001
Зміст
- Заява про застосовність ISO 27001
- Що таке Заява про застосовність ISO 27001?
- Чому важлива Заява про застосовність ISO 27001?
- Контроль ISO 27001
- Як ви вирішуєте, які засоби контролю включити до Заяви про застосовність (SoA)?
- Що робити, якщо елементи керування Заяви про застосовність (SoA) не застосовуються?
- Як створити заяву про застосовність ISO 27001
- Приклад заяви про застосовність ISO 27001
- Заява про застосовність ISO 27001: поширені запитання
Заява про застосовність ISO 27001
Заява про застосовність ISO 27001 документує засоби контролю інформаційної безпеки, що застосовуються до вашого бізнесу, і є ключовим документом у системі управління інформаційною безпекою (СУІБ). Це один з перших документів, який зазвичай запитує аудитор. Як мінімум, вона містить перелік усіх засобів контролю та записів Додатку А ISO 27001, незалежно від того, чи застосовуються чи ні вони до вашого бізнесу. Якщо ні, то буде зафіксовано, чому ні.
У цьому вичерпному посібнику я покажу вам усе, що вам потрібно знати про Заяву про застосовність (SoA) ISO 27001.
Ви навчитеся
- Що таке Заява про застосовність ISO 27001?
- Як створити заяву про застосовність ISO 27001
Що таке Заява про застосовність ISO 27001?
Заява про застосовність (SoA) – це перелік заходів контролю інформаційної безпеки, які ви застосовуєте у своїй організації. Ця Заява про застосовність є обов’язковим документом, необхідним для сертифікації ISO 27001.
Заява про застосовність ISO 27001 Мета
Мета Заяви про застосовність ISO 27001 полягає в тому, щоб мати змогу повідомити аудиторам, персоналу та третім сторонам, які з контролів Додатку А ISO 27001 застосувала ваша організація.
Оскільки всі засоби контролю, зазначені в Додатку А до ISO 27001, не є обов'язковими, це допомагає людям зрозуміти, які засоби контролю ви застосували для підтримки вашої сертифікації ISO 27001.
Люди можуть отримати сертифікат ISO 27001, маючи дуже мало контролю згідно з Додатком А, і тому документ «Заява про застосовність» є другим за кількістю запитів документом після самого сертифіката ISO 27001.
Визначення Заяви про застосовність ISO 27001
Заява про застосовність ISO 27001 визначена в пункті 6.1.3 ISO 27001 «Обробка ризиків інформаційної безпеки» як:
підготувати Заяву про застосовність, яка містить:
— необхідні засоби контролю
— обґрунтування їх включення;
— чи впроваджено необхідні засоби контролю, чи ні; та
— обґрунтування виключення будь-яких заходів контролю, зазначених у Додатку А ISO27001:2022, пункт 6.1.3 d, Заява про застосовність
Заява про застосовність ISO27001:2022
Стандарт ISO 27001 змінився у 2022 році, а разом з ним змінився і перелік заходів контролю.
Ви можете знайти всі елементи керування Заявою про застосовність ISO27001:2022 у Довідковому посібнику з елементів керування, Додаток А ISO27001:2022 .
Щоб побачити, що змінилося, що нового, що було видалено та що змінилося, ви можете прочитати «Повний посібник зі змін до стандарту ISO 27002» .
Це означає, що коли ви проходите сертифікацію ISO 27001, вам слід звернутися до органу сертифікації та уточнити, який набір контролю, тобто яку версію стандарту ISO 27001 або перелік контролю , вони перевірятимуть та сертифікуватимуть вас.
Чому важлива Заява про застосовність ISO 27001?
Заява про застосовність – це документ, який у вас завжди просять.
Вас попросять про це аудитори, а також треті сторони, такі як ваші клієнти та потенційні клієнти.
Фактично, будь-хто, хто переглядає вашу систему управління інформаційною безпекою, захоче знати, що таке заява про застосовність.
Заява про застосовність (SoA) важлива, оскільки в ній перелічено засоби контролю, які ваша організація впровадила для інформаційної безпеки.
Люди хочуть знати, яка сфера дії вашої сертифікації ISO 27001, іншими словами, що охоплює сертифікат, і які засоби контролю інформаційної безпеки ви впровадили для її захисту.
Коли настане час для аудиту сертифікації ISO 27001, орган сертифікації запросить Заяву про застосовність (SoA), щоб знати, які засоби контролю вони перевіряють.
Контроль ISO 27001
Засоби контролю інформаційної безпеки – це засоби контролю, які зменшують ризики інформаційної безпеки.
Інформаційна безпека стосується конфіденційності, цілісності та доступності даних.
Стандарт ISO 27001 містить Додаток А, який містить перелік поширених заходів контролю інформаційної безпеки, які, як відомо, зменшують ризики інформаційної безпеки.
Додаток A до стандарту ISO 27001 базується на стандарті ISO 27002:2022, який визначає засоби контролю інформаційної безпеки з детальним керівництвом щодо впровадження.
Як ви вирішуєте, які засоби контролю включити до Заяви про застосовність (SoA)?
Ви вирішуєте, які засоби контролю включити до Заяви про застосовність (SoA), кількома різними способами.
Основний підхід до визначення необхідних вам елементів керування полягає в наступному:
- Визначте сферу застосування вашої системи управління інформаційною безпекою (СУІБ)
- Проведіть оцінку ризиків для виявлення ризиків інформаційної безпеки
- Оберіть засоби контролю з додатка А до ISO 27001, які зменшують ці ризики.
Як мінімум, цей перелік контролю включатиме елементи контролю, зазначені в Додатку А стандарту ISO 27001. Це є мінімальною частиною сертифікації ISO 27001. І, справедливості заради, цього часто достатньо.
Звичайно, можуть бути додаткові засоби контролю, які ви також збираєтеся записувати, що ви впроваджуєте або з інших стандартів, або на основі прямих запитів ваших клієнтів.
Додаткові вимоги клієнтів будуть внесені до вашого юридичного та договірного реєстру , а фактичні засоби контролю будуть додані до вашої Заяви про застосовність (SoA).
Як основну вимогу, ми почнемо з включення елементів керування Додатку А стандарту ISO 27001 та їх переліку.
Що робити, якщо елементи керування Заяви про застосовність (SoA) не застосовуються?
Цілком можливо, що перелік заходів контролю, наведений у додатку А до стандарту ISO 27001, містить заходи контролю, які не застосовуються до вашої організації.
То що ж вам слід зробити? Все одно впровадити їх, щоб пройти сертифікацію ISO 27001?
Ні.
Підхід, який ви обрали, полягає у записі у Заяві про застосовність (SoA) того, що засоби контролю застосовуються до вас, і ви вказуєте причину, чому вони не застосовуються.
Якщо у вас немає фізичного приміщення та ви працюєте віддалено, то цілком можливо, що заходи контролю фізичної безпеки, такі як ISO 27001 Додаток A Контроль 7.1 Фізичний периметр безпеки , ISO 27001 Додаток A Контроль 7.2 Контроль фізичного входу , що застосовуються до об'єктів обробки даних, не застосовуватимуться до вас. Якщо ви не займаєтеся розробкою програмного забезпечення, то заходи контролю розробки програмного забезпечення, такі як ISO 27001 Додаток A 8.25 Безпечний життєвий цикл розробки, до вас не застосовуються.
Майте повний список, але вкажіть та запишіть ті засоби контролю, які не застосовуються, вказавши причину.
Як головна порада, я б рекомендував записувати всі заходи контролю поза межами сфери застосування в реєстр ризиків та керувати ними через процес управління ризиками, що включає прийняття ризику та документування рішення як доказу.
Як створити заяву про застосовність ISO 27001
Дотримуйтесь цього простого покрокового посібника, щоб створити свою Заяву про застосовність ISO 27001.
1. Придбайте копію стандарту ISO27002:2022
Хоча засоби контролю перелічені в додатку А до стандарту ISO 27001, фактичні інструкції щодо впровадження містяться в стандарті ISO 27002. Більшість людей почнуть з купівлі копії стандарту.
Вам завжди слід купувати копію стандарту.
Потім ви б опрацювали стандарт ISO 27002 та ретельно скопіювали та вставили елементи керування в електронну таблицю.
Стандарт не встановлений таким чином, щоб спростити це для вас. Це займе у вас багато часу, якщо ви будете робити це самостійно.
Це може бути величезна втрата часу.
Я бачу, що люди завжди починають з цього моменту, а потім майже доходять до кінця цього кроку, усвідомлюють, скільки часу це вимагає, і тоді шукають допомоги, такої як мій шаблон заяви про застосовність ISO 27001, який вже виконав всю важку роботу за вас.
2. Створіть свою електронну таблицю Microsoft Excel
Створіть електронну таблицю Microsoft Excel та додайте стовпці для елемента керування, зазначеного в додатку A стандарту ISO 27001, його назви, мети, причини необхідності елемента керування, чи застосовується елемент керування, дати його останньої оцінки, а якщо він не застосовується, то причини. Це базова структура.
3. Додайте кожен контрольний елемент ISO 27002 як рядок у електронній таблиці Заяви про застосовність.
Ви візьмете контрольний номер та назву за додатком А стандарту ISO 27001 безпосередньо зі стандарту, а також візьмете мету контролю, скопіюєте та вставите її в електронну таблицю.
4. Задокументуйте причину, чому цей контроль стосується вас
Потім ви розглянете рушійні сили, які ви врахували під час впровадження цього контролю.
Ви НЕ захочете казати, що ви його впровадили, бо стандарт каже, що ви повинні це зробити, що фактично правильно, але це не те, що хоче почути аудитор з сертифікації ISO 27001 .
Незалежно від того, чи це правда, ви хочете мати змогу пояснити, чому ви впровадили цей контроль, тому для спрощення ми запишемо основні причини
- Причина контракту
- Юридична причина
- Причина ризику
- Бізнес-причина
5. Задокументуйте, які засоби контролю до вас не застосовуються
Цілком можливо, що існують елементи керування згідно з додатком А стандарту ISO 27001, які вам не потрібні. Це цілком нормально.
Причини, чому засоби контролю не застосовуються до вас, можуть включати відсутність у вас ризиків, які вони пом'якшують, або посилання на щось, чого у вас просто немає, наприклад, фізичні приміщення.
Ви все одно зафіксуєте цей контроль у заяві про застосовність, але зазначите, що він не входить до сфери застосування. Іншими словами, він до вас не застосовується. Крім того, ви зафіксуєте причину, чому він до вас не застосовується.
Під час вашої сертифікації ISO 27001 аудитор хоче зрозуміти, чому, на вашу думку, певний контроль не застосовується до вас.
Рідко трапляється, що контроль не застосовується до людей, оскільки це міжнародний стандарт, який охоплює всі сфери, але трапляється, що контроль не застосовується. Просто майте свої міркування.
Ви також можете врахувати, що якщо ви не забезпечуєте безпеку розробки програмного забезпечення , то цей розділ не застосовується. Якщо ви повністю працюєте віддалено, то багато заходів контролю фізичної безпеки не застосовуватимуться.
Ви просто записуєте та вказуєте причину. Тепер вам не потрібно про них турбуватися.
6. Регулярно переглядайте застосовність засобів контролю
Застосовність засобів контролю необхідно регулярно переглядати.
Ви переглядатимете це щоразу, коли відбуватимуться суттєві зміни, і принаймні раз на рік.
У вашій Заяві про застосовність ви зазначите дату останньої оцінки кожного засобу контролю.
Для гарної розмітки документа у вас буде система контролю версій, яка показує, коли відбувся основний перегляд.
Будь-хто, хто шукає, прийде, подивиться і скаже: «Я хочу побачити тут дату, яка належить до періоду з останніх 12 місяців».
Це показує, що документ свіжий, і ви нещодавно пройшли його перевірку.
7. Ведіть протоколи зустрічей щодо перевірки контролю за ISO 27001
Тепер що одна головна порада полягає в тому, що у вас завжди мають бути протоколи зустрічей, де ви зафіксували, що це було підписане та схвалене нарадою керівництва з огляду, тому ви хочете пов'язати ці два документи разом.
Шаблон заяви про застосовність ISO 27001
Шаблон заяви про застосовність ISO 27001, що використовується в цьому посібнику, доступний для покупки . Це робочий аркуш Excel із заявою про застосовність ISO 27001, який повністю заповнений усіма необхідними елементами керування та повністю відповідає вимогам сертифікації ISO 27001.
Купить шаблон заяви про застосовність ISO 27001 всього за 1500 грн.
Заява про застосовність ISO 27001: поширені запитання
Що таке Заява про застосовність ISO 27001?
Це документ, який містить перелік бізнес-контролів та записів згідно з додатком А до стандарту ISO 27001, незалежно від того, чи застосовуються вони до вас. Він також може фіксувати будь-які додаткові контролі, впроваджені вашим бізнесом, наприклад, ті, що встановлені клієнтами. У ньому зазначено, чому контроль застосовується до вашого бізнесу, а якщо ні, то чому.
Як написати заяву про застосовність ISO 27001?
Перелічіть елементи керування додатка ISO 27001 у таблиці. Додайте стовпці, що пояснюють, чи застосовується він до вас, чи ні. Додайте стовпці, що пояснюють, чому він застосовується, наприклад, бізнес, юридичні аспекти, ризики, клієнт. Додайте стовпець, що пояснює, чому він не застосовується, для тих елементів керування, які не застосовуються, що використовується для пояснення, чому він не застосовується. Додайте стовпці для дати останнього перегляду та дати наступного перегляду. Розгляньте можливість включення короткого опису елемента керування, який ви впровадили для виконання вимоги.
Що таке документ ISO 27001 SoA?
Це інша назва документа із заявою про застосовність – Заява про застосовність ISO 27001 (SoA).
Де я можу купити шаблон Заяви про застосовність ISO 27001?
Шаблон Заяви про застосовність ISO 27001 можна в мене.
Який найкращий формат для заяви про застосовність ISO 27001?
За нашим досвідом, електронна таблиця Excel працює найкраще, тому Заява про застосовність у форматі xls.
Чи потрібна заява про застосовність для сертифікації ISO 27001?
Так. Це вимога сертифікації ISO 27001 .
Вам потрібно зрозуміти, які засоби контролю бізнес вирішив впровадити як частину своєї системи управління інформаційною безпекою.
Як мені скласти заяву про застосовність ISO 27001?
Ви складаєте заяву про застосовність, створюючи електронну таблицю та перераховуючи засоби контролю, визначені в ISO 27001, а потім записуючи, чи застосовні вони до вас чи ні. Якщо ні, ви записуєте причину, чому це не так.
Чи є Заява про застосовність ISO 27001 конфіденційною?
Ні. Заява про застосовність не є конфіденційною. Це перелік впроваджених вами заходів контролю, який цілком можуть запросити клієнти та замовники.
Скільки часу потрібно, щоб написати Заяву про застосовність ISO 27001?
Створення заяви про застосовність з нуля має зайняти приблизно день. Основні витрати часу витрачаються на копіювання та вставку зі стандарту, а потім на заповнення правильних та обов'язкових колонок. Потім на завершення документа.
Кому належить Заява про застосовність ISO 27001?
Власника заяви про застосовність визначатиме бізнес, але гарною практикою є призначити її члену правління або вищої керівної команди, оскільки це має прямий вплив на бізнес.
Кому я можу надавати Заяву про застосовність ISO 27001?
Він буде наданий аудиторам для сертифікації ISO 27001. Його можуть запитувати клієнти та замовники.
Ви надаєте заяву про застосовність усім, хто її запитує та з ким хочете нею поділитися.
Чи можу я розмістити Заяву про застосовність ISO 27001 на своєму вебсайті?
Рекомендовано та найкращою практикою є розмістити інформацію про сертифікат ISO 27001 на вашому вебсайті та надавати заяву про застосовність на запит (зазвичай це Ваші клієнти).
Чи можу я видалити елементи керування із Заяви про застосовність ISO 27001?
Ви не видалятимете контрольні заходи із заяви про застосовність, але якщо вони до вас не застосовуються, ви зазначатимете, що вони не застосовуються, та вкажіть причину. Такий підхід показує, що ви врахували це, зрозуміли, оцінили та вважали незастосовним, а не не знали про це або забули включити.
Чи можна додати елементи керування до Заяви про застосовність ISO 27001?
Так. Ви можете додати стільки елементів контролю, скільки потрібно для вашої організації, за умови, що у вас є перелік як мінімум елементів контролю, зазначених у додатку А до стандарту ISO 27001.
Що робити, якщо контрольна заява про застосовність ISO 27001 не застосовується до мене?
Якщо вони до вас не стосуються, ви маєте зазначити, що вони не застосовуються, та вказати причину. Такий підхід показує, що ви врахували це, зрозуміли, оцінили та вважали незастосовним, а не не знали про це чи забули включити.
Чи потрібна мені заява про застосовність для сертифікації ISO 27001?
Так. Це перелік впроваджених вами заходів контролю, і аудитору потрібно буде знати, що перевіряти.
Що означає SoA?
SoA означає Заява про застосовність.
Яка мета Заяви про застосовність ISO 27001?
Повідомити про впроваджені вами заходи контролю інформаційної безпеки. Це забезпечить певний рівень впевненості в тому, що ваші заходи контролю відповідають потребам та вимогам ваших клієнтів.
З невеликою допомогою ви можете отримати сертифікат простим способом. Ваше рішення для сертифікації ISO 27001 доступне лише одним клацанням миші… Для цього Ви можете придбати у мене комплект документів, який допоможе Вам самостійно побудувати систему управління інформаційною безпекою, більш детально описано в розділі «Інструменти ISO 27001» або відкрити за посиланням https://abcgroup.com.ua/nashi_uslughi#ul-id-header-sitename
Як завжди, боріться у доброму бою!
Я, містер ISO 27001 Станіслав Бичков,