De Statement of Applicability (SoA) is het document waar uw certificeringsauditor het meest naar kijkt. Het legt voor elk van de drieënnegentig Annex A controls vast of u het toepast, in welke vorm en waarom. Een goed onderbouwde SoA is uw belangrijkste bewijslast bij de audit. Een slecht onderbouwde SoA leidt tot onnodig veel doorvragen.
Wat een goede SoA onderscheidt
Per control een heldere status (toegepast, niet toegepast, gedeeltelijk) met motivering. Toegepaste controls verwijzen naar de specifieke implementatie (beleidsdocument, proces, systeem). Niet toegepaste controls hebben een onderbouwde uitsluiting. Gedeeltelijk toegepaste controls bevatten een plan om naar volledige toepassing te komen. Een SoA die zonder additionele toelichting begrijpelijk is voor uw auditor.
Veel gemaakte fouten
Een SoA die alle drieënnegentig controls als toegepast verklaart zonder onderbouwing, vooral niet zonder de bijhorende documentatie en implementatie. Uitsluitingen die niet aansluiten op uw risico analyse. Discrepantie tussen de SoA en uw bestaande beleidsdocumenten. Voor uw auditor zijn dit allemaal indicatoren dat het ISMS niet diep zit.
Hoe wij werken
Een ISO 27001 specialist met audit ervaring stelt uw SoA op in samenwerking met uw eigenaars per control gebied. Doorgaans twee tot vier weken voor een mid market organisatie met heldere scope.
Plan een eerste gesprek via het formulier hieronder. Verwant: Annex A 2022 controls implementeren.
Verwant: Onafhankelijke ISO 27001 consultant, ISO 27001 voor banken en verzekeraars.