Til og fravalg: SoA-dokumentet

SoA-dokumentet er et af de mest centrale dokumenter i sikkerhedsarbejdet efter ISO27001-standarden. Processen bag dokumentet fører til erkendelser hos sikkerhedskoordinatoren og prioriteringer hos ledelsen.

SoA er et beslutningsdokument

SoA-dokumentet er et krav i standarden og en af forudsætningerne for at kunne have et fungerende ledelsessystem for informationssikkerhed. Med et godkendt SoA-dokument kender sikkerhedskoordinatoren ledelsens prioriteringer og kan derfor agere i forhold standardens sikringsforanstaltninger.

Uden SoA (statement of applicability) kan koordinatoren i princippet ikke vide, hvad ledelsen ønsker at prioritere.

Processen giver et værdifuldt udbytte

Udover at SoA-dokumentet giver sikkerhedskoordinatoren et konkret produkt at arbejde ud fra, kan selve processen med at udarbejde dokumentet give de deltagende parter en værdifuld fælles og konkret forståelse for den mere abstrakte risikovurdering.

Er det vigtigt med en striks adgangsstyring, hvordan forholder organisationen sig til styring af hændelser og beredskabet, og i hvor høj grad skal der være compliance? På hvilke områder skal der prioriteres høje sikkerhedsniveauer, på hvilke områder vurderes det til at være irrelevant i forhold til forretningens mål og risikoprofil?

Digitaliseringsstyrelsen har udarbejdet en guide til SoA-dokumentet og et skema, som indeholder alle områder i standardens Annex A. Når skemaet er udfyldt, har man sin SoA-dokumentation, der kan bruges som grundlag for ledelsesrapportering.

Hent