Skip to content

System Management

Statement of Applicability (SoA): ключевой документ ISO 27001

SoA ISO 27001: что это и как составить в Украине

Statement of Applicability ISO 27001 — это документ, который превращает абстрактные требования стандарта в чёткий ответ: какие именно меры безопасности вы применили, почему именно эти, и где это подтверждено документами и доказательствами. Для бизнеса в Украине SoA часто становится тем самым мостом между рисками, реальными процессами и сертификационным аудитом по ISO/IEC 27001:2022.

Что такое SoA ISO 27001 простыми словами

SoA ISO 27001 (Statement of Applicability) — это перечень контролей из Annex A ISO 27001, где напротив каждого контроля указано:

  • применяется или нет;
  • обоснование (почему применяете / почему исключили);
  • статус внедрения (внедрён / частично / в планах);
  • ссылки на политики, процедуры и доказательства (логи, отчёты, настройки, записи обучения и т. д.).

То есть SoA — это паспорт вашей системы защиты, который показывает аудитору: вы не просто читали стандарт, а реально управляете требованиями ISO 27001 к информационной безопасности.

Откуда берутся контроли: роль Annex A ISO 27001

Контроли для SoA берутся из Annex A ISO 27001 (в версии 2022 — 93 контроля). Важный нюанс: SoA — это не список галочек, а документ, который должен логично вытекать из оценки рисков. Если контроль отмечен как “Applicable”, но нет доказательств или связи с риском — на аудите это становится проблемой.

Как SoA связан с рисками и документацией ISO 27001

SoA работает как индекс ко всей вашей системе управления информационной безопасностью:

  1. вы оцениваете риски (что может пойти не так);
  2. выбираете способы обработки рисков;
  3. подбираете контролы из Annex A;
  4. фиксируете это в SoA и привязываете документацию ISO 27001.

Именно поэтому SoA часто проверяют одним из первых: он быстро показывает зрелость ISMS и то, насколько управляемы у вас решения в области безопасности.

Что обязательно должен содержать Statement of Applicability ISO 27001

SoA як інструмент Перед тем как составлять SoA, полезно представить его как таблицу: одна строка = один контроль Annex A. Ниже — минимальный набор полей, которые делают документ пригодным для аудита:

  • Код контроля Annex A (например, A.5.1) и название
  • Применимость (Applicable / Not applicable)
  • Обоснование (1–3 предложения, без «просто не нужно»)
  • Статус (Implemented / Partly / Planned)
  • Ссылка на риск (Risk Register / Treatment Plan)
  • Ссылка на документы (политики/процедуры/инструкции)
  • Доказательства (логи, отчёты, скриншоты конфигураций, протоколы обучения)
  • Владелец контроля (роль) и периодичность проверки

После таблицы добавьте краткое описание того, как вы обновляете SoA: например, после изменений в инфраструктуре, появления новых поставщиков или инцидентов.

Типичные ошибки, из-за которых SoA «проседает» на аудите

SoA чаще всего портят не сложные вещи, а мелкие упрощения, которые аудиторы замечают за километр:

  • Исключение контролей без нормального объяснения («не актуально» — не аргумент).
  • Нет ссылок на доказательства: контроль как будто есть, а подтверждение — «на словах».
  • SoA не согласован с рисками: риски одни, контролы — другие.
  • Устаревший документ: процессы изменились, SoA — нет.
  • Путаница между SoA и планом внедрения: SoA фиксирует применимость и статус, а план — шаги проекта.

Чтобы лучше понять логику этапов сертификации и подготовки к аудиту, удобно держать под рукой гайд как получить сертификат ISO 27001: пошаговое руководство.

SoA как инструмент для бизнеса, а не «ещё один файл»

Грамотно составленный Statement of Applicability ISO 27001 помогает не только пройти аудит, но и говорить с клиентами и партнёрами языком фактов: что именно у вас защищено и какими контролами. Особенно это ценно для IT-компаний и организаций, работающих с персональными данными клиентов, где доверие напрямую влияет на продажи.

Если вам нужен сопровождение во внедрении и сертификации, можно ориентироваться на услугу заказа сертификата ISO/IEC 27001 в Украине. А если стоит задача «прокачать команду» перед внедрением, закажите консультацию у наших менеджеров, чтобы быстрее выровнять понимание стандарта между IT, юристами, службой безопасности и бизнесом.

Команда «Систем Менеджмент» помогает оформить SoA так, чтобы он был не для галочки, а реально работал в вашей системе управления информационной безопасностью.

Заказать консультацию
Сертификация ISO 9001:2015