La Declaración de Aplicabilidad o Statement of Applicability (SOA) referenciado en la cláusula 4.2.1j del estándar ISO 27001 es un documento que lista los objetivos y controles que se van a implementar en una Organización, asi como las justificaciones de aquellos controles que no van a ser implementados. Para conseguir este listado único, se requiere de una identificación de riesgos, definición de controles, identificación de requisitos legales, regulatorios, contractuales, etc, y claro esta, de revisar las necesidades de la Organización.
Esta identificación se conoce como un ANALISIS DE BRECHA o GAP ANALYSIS, el cual identifica la diferencia entre lo que debería tenerse implementado en la organización y lo que se tiene realmente disponible. Para nuestro caso especifico, este tipo de análisis se hace evaluando el cumplimiento de la norma ISO 27002:2005, para cada uno de los controles establecidos en los 11 dominios o temas relacionados con la gestión de la seguridad de la información que este estándar especifica; y una vez se completa este análisis ya se puede realizar la Declaración de aplicabilidad ó Statement of Applicability (SOA).
Normalmente los controles incluidos se basan en la Norma ISO 27002, pero es normal encontrar controles adicionales a los incluidos en dicha Norma informando la inclusión de tales controles en una sección propia del documento para los mismos. Ahora, para los controles que no se vayan a implementar debe incluirse una justificación individual para cada uno de ellos explicando el por que no se implementaron (Ej: Comercio electrónico).
Es muy importante recalcar en que el SOA es parte esencial de un SGSI, y que como todos los documentos que hacen parte de este sistema requiere ser actualizado periódicamente para que no se desactualice debido a por ejemplo, la adición de nuevos servicios en la Organización.
Uds pueden encontrar un modelo de la Declaración de Aplicabilidad en este link:
Statement of Applicability - ISO27k infosec management standards
Esta identificación se conoce como un ANALISIS DE BRECHA o GAP ANALYSIS, el cual identifica la diferencia entre lo que debería tenerse implementado en la organización y lo que se tiene realmente disponible. Para nuestro caso especifico, este tipo de análisis se hace evaluando el cumplimiento de la norma ISO 27002:2005, para cada uno de los controles establecidos en los 11 dominios o temas relacionados con la gestión de la seguridad de la información que este estándar especifica; y una vez se completa este análisis ya se puede realizar la Declaración de aplicabilidad ó Statement of Applicability (SOA).
Normalmente los controles incluidos se basan en la Norma ISO 27002, pero es normal encontrar controles adicionales a los incluidos en dicha Norma informando la inclusión de tales controles en una sección propia del documento para los mismos. Ahora, para los controles que no se vayan a implementar debe incluirse una justificación individual para cada uno de ellos explicando el por que no se implementaron (Ej: Comercio electrónico).
Es muy importante recalcar en que el SOA es parte esencial de un SGSI, y que como todos los documentos que hacen parte de este sistema requiere ser actualizado periódicamente para que no se desactualice debido a por ejemplo, la adición de nuevos servicios en la Organización.
Uds pueden encontrar un modelo de la Declaración de Aplicabilidad en este link:
Statement of Applicability - ISO27k infosec management standards
3 comentarios:
Es importante Recalcar que la Declaracion de aplicabilidad tiene como fin la justificacion de la eleccion o exclusion de los controles del anexo A de la norma ISO 27001:2005 y que debe suministrarse evidencia de que los riesgos asociados han sido aceptados apropiadamente por las personas responsables.
adicionalmente quiero aportar que la seleccion de los controles de la Declaracion de aplicabilidad debe realizarse tomando como punto de partida el ANEXO A. con el fin que no se pasen por alto controles importantes, ver 4.2.1 g)
En efecto, muy precisa y acertada tu colaboración.
Amigo leonardo, me ha sido de mucha ayuda tu blog, pude despejar algunas dudas del tema.
Muchas Gracias
Publicar un comentario