Osa ISO 27001 -kokoelmaa
Osa NIS2-kokoelmaa

Mikä on soveltuvuuslausunto (SoA) ISO 27001 -standardissa?

ISO 27001
Mikä on soveltuvuuslausunto (SoA) ISO 27001 -standardissa?
NIS2
Mikä on soveltuvuuslausunto (SoA) ISO 27001 -standardissa?
Artikkelit
Mikä on soveltuvuuslausunto (SoA) ISO 27001 -standardissa?

Soveltuvuuslausunto (tunnetaan myös nimellä SoA) on yksi ISO 27001 -sertifioinnin pakollisista asiakirjoista. Lyhyesti sanottuna SoA:ssa selitetään, mitkä ISO 27001 -standardin tietoturvan hallintakeinot (nykyisistä 93:sta) ovat organisaatiosi kannalta merkityksellisiä, onko ne jo otettu huomioon ja miten ne on toteutettu.

Liian usein SoA:ta pidetään staattisena asiakirjana, vaikka sillä pitäisi olla aktiivinen rooli vaatimustenmukaisuudessa, jatkuvassa parantamisessa ja ISO 27001 -standardin yleisen edistymisen seurannassa.

Tässä blogissa käsittelemme hyvin toimivan SoA-dokumentin tärkeintä tarkoitusta ja hyötyjä. Perehdymme myös sen tärkeimpiin tehtäviin ISO 27001 -standardiin perustuvassa hyvässä tietoturvan hallinnassa.

Mikä on Soveltuvuuslausunto (SoA) ISO 27001 -standardissa?

Soveltuvuuslausunnossa selitetään, mitkä ISO 27001 -standardin liitteessä A luetelluista tietoturvan hallintakeinoista koskevat organisaatiotasi, oletteko jo soveltaneet niitä ja miten olette toteuttaneet nämä toimet.

Hyvä tietää: SoA:n tarkka sisältö, tarkoitus ja nimitys ovat ISO 27001 -standardin erityispiirteitä, mutta yleinen ajatus vaatimusten tai valvontatoimien luetteloinnista ja kunkin vaatimuksen tilan ja vastauksen selkeästä esittämisestä voidaan soveltaa mihin tahansa vaatimustenmukaisuuden raportointiin - esimerkiksi minkä tahansa vaatimuskehikon  osalta.
Tyypillisessä SoA-dokumentissa luetellaan kaikki ISO 27001:2022 -standardin93 valvontakeinoa (usein Excel-tiedostossa) ja näytetään kunkin osalta seuraavat asiat:
  • Sovellettavuuden tila (”sovelletaan” tai ”ei sovelleta”).
  • Vahvat perustelut kullekin soveltumattomalle valvonnalle.
  • täytäntöönpanon tila
  • Viittaukset täytäntöönpanoa koskeviin todisteisiin / yksityiskohtiin
Ote perinteisestä SoA-asiakirjasta

On tärkeää ymmärtää, että alan asiantuntijat ovat laatineet ISO 27001 -standardin hallintakeinojen luettelon huolellisesti ja että sadat tuhannet organisaatiot ovat testanneet sen vuosien mittaan. Tästä syystä et voi perustella joitakin keskeisiä hallintakeinoja sillä, että niitä ei voida soveltaa, vaan tarvitset vahvat perustelut kaikille hallintakeinoille, jotka olet päättänyt jättää toteuttamatta.

Myös edellä mainitusta syystä useimmat sertifioitujen organisaatioiden SoA-dokumentit näyttävät enimmäkseen vihreiltä (eli kontrollit on toteutettu), ja mahdollisesti pari hallintakeinoa on määritelty soveltumattomiksi. Mutta näissäkin tapauksissa kunkin sovellettavan hallintakeinon toteuttamisen syvyydessä voi olla paljon vaihtelua.

Älykkäässä SoA-dokumentissa voidaan hyödyntää ISMS-järjestelmästä saatavaa lisätietoa täytäntöönpanosta, joten SoA:ta voidaan käyttää myös välineenä, jonka avulla voidaan seurata kunkin hallintakeinon täytäntöönpanoa ja täytäntöönpanon vahvuutta suoraan SoA:sta.

Esimerkki automatisoidusta SoA-asiakirjan tiivistelmästä, joka luodaan itse ISMS-tehtävien sisällön avulla.

SoA:n tärkeimpiä tavoitteita ovat:

  • Hallintakeinojen toteuttamisen osoittaminen: ISO 27001 -standardin hallintakeinoluettelo sisältää 93 hallintakeinoa, jotka kattavat kaikki tietoturvan eri osa-alueet. SoA osoittaa yhdellä silmäyksellä, kuinka vahvalta nykyinen hallintakeinosi näyttää.
  • Antaa yleiskatsauksen ISMS:ään: SoA on usein yksi parhaista tavoista saada yleiskuva ISMS-järjestelmästäsi, sillä se antaa tilannekuvan nykyisin käytössä olevista tietoturvatoimista
  • Helpottaa sertifiointiprosessia: SoA on keskeinen asiakirja ISO 27001 -sertifiointiauditoinneissa. Sertifiointiauditoinneissa vaaditaan kaikkien standardin osien tarkastelua, ja SoA:ta käytetään yleensä keskipisteenä, jonka avulla voidaan siirtyä yksityiskohtaisempaan dokumentaatioon, joka todistaa toteutuksen.
  • Tukee tietoturvariskien hallintaa: SoA varmistaa, että kaikkia ISO 27001 -standardin suositeltuja tietoturvan hallintakeinoja on tarkasteltava kokonaisvaltaisesti, kun päätetään joidenkin tietoturvariskien käsittelystä.
  • Tukee jatkuvaa parantamista: Kun olet kerran saavuttanut alkuperäisen vaatimustenmukaisuuden tai sertifioinnin, tietoturvatyötäsi on parannettava jatkuvasti. Saatat haluta tiukentaa tiettyjen hallintakeinojen täytäntöönpanoa, kun on ilmennyt häiriöitä tai korostuneita riskejä. Hyvän SoA:n pitäisi auttaa sinua ymmärtämään, miten syvällisesti eri hallintakeinoja on tällä hetkellä toteutettu.

3 keskeistä syytä, joiden vuoksi SoA on niin tärkeä

1. Pakollinen asiakirja sertifiointia varten

  • ISO 27001 -standardissa vaaditaan nimenomaisesti, että SoA on osa ISMS-asiakirjoja.
  • Tämä tarkoittaa, että ISO 27001 -sertifiointia ei voi läpäistä ilman SoA-dokumenttia.
  • Auditoija käyttää SoA:ta keskeisenä viitteenä arvioidessaan hallintakeinojen toteuttamista ja valintaa.

2. Sillä todistetaan perusteltu lähestymistapa tietoturvaan.

  • SoA todistaa, että organisaatio on valinnut tietoturvan hallintakeinot huolellisesti riskinarvioinnin tulosten perusteella.
  • SoA tarjoaa erityisesti selkeät perustelut kaikille liitteen A hallintakeinoista pois rajatuille hallintakeinoille.
  • Tällä tavoin vältetään esimerkiksi kriittisten tietoturvatoimien huomiotta jättäminen, jotka ovat osa mitä tahansa kehittynyttä tietoturvaohjelmaa.

3. Toimii toteutuksen ja auditoinnin etenemissuunnitelmana.

  • SoA toimii ISO 27001 -vaatimustenmukaisuuden parantamisen oppaana sisäisille tietoturvatiimeille, koska ne voivat seurata tarvittavien hallintakeinojen toteuttamista.
  • Auditoijat käyttävät SoA:ta todentaakseen, ovatko hallintakeinot toiminnassa ja tehokkaita. Auditoijat voivat esimerkiksi huomauttaa liian epämääräisesti toteutetuista hallintakeinoista.
  • SoA tukee myös jatkuvaa parantamista, sillä organisaatioiden olisi päivitettävä sitä riskiympäristön tai omien tietoturvatarpeiden kehittyessä.

4 tärkeintä SoA:n roolia tietoturvatyössä

Seuraavassa tarkastelemme neljää keskeistä roolia, jotka hyvin jäsennelty SoA-dokumentti täyttää tehokkaassa tietoturvan hallinnassa. Näiden roolien ymmärtäminen auttaa organisaatioita toteuttamaan tietoturvan hallintakeinot tehokkaasti ja varmistamaan samalla lainsäädännöllisten ja liiketoiminnan vaatimusten noudattamisen.

1. SoA auttaa aktiivisesti parantamaan vaatimustenmukaisuutta

SoA:n ei pitäisi olla pelkkä luettelo hallintakeinoista ja linkkejä staattisiin käytäntöihin, joissa näitä hallintakeinoja käsitellään. Sen tulisi olla elävä viite tietoturvan hallinnointia varten.

Kun luot SoA:n ISMS-työkalun avulla, voit seurata vaatimustenmukaisuuden parantumista ja varmuuden tasoa, samalla kun pistemäärä pysyy täsmällisenä. Tämä merkitsee pohjimmiltaan sitä, kuinka vahvasti olet toteuttanut asiaankuuluvat hallintakeinot ja kuinka yksityiskohtaisesti ISMS:ssä on tietoja, jotka tukevat tätä täytäntöönpanoa (näitä yksityiskohtia ovat esimerkiksi nimetyt omistajat, tehdyt tarkistukset, linkitetyt teknologiat, linkitetyt asiakirjat tai muut asiaan liittyvät todisteet, jotka osoittavat täytäntöönpanon).

Seuraa nykyistä vaatimustenmukaisuuden pistemäärääsi ja varmuutta SoA-dokumentin osalta Digiturvamallissa.

2. SoA, joka tarjoaa rakenteen ja yleiskuvan katsauksia ja auditointeja varten.

Suoritatpa sitten ISO 27001 -standardiin perustuvan sisäisen tai ulkoisen auditoinnin, SoA on tärkein dokumenttisi. Auditoijat luottavat SoA:han nähdessään, miten tietoturvatoimenpiteet vastaavat ISO 27001 -standardin rakennetta.

Sisäiset auditoijat voivat tehdä samoin ja auditoida omia tietoturvakäytäntöjäsi SoA:n avulla ja varmistaa samalla, että auditoinnit voidaan jakaa pienempiin osiin ja että ne kattavat silti todistettavasti koko standardin.

Jos SoA sisältää myös riittävästi tietoa hallintakeinojen toteuttamisesta, sisäiset auditoinnit voivat keskittyä ensimmäiseen tasoon ja tutkia, ovatko SoA-tasolla havaitut yksityiskohdat todella toiminnassa.

Sisäisen auditoijan auditoinnissa hyödyntämä SoA.

SoA auttaa myös johdon katselmuksissa, sillä se antaa ylimmälle johdolle yleiskuvan ISO 27001 -hallintakeinojen nykyisestä toteutuksesta, ennen kuin syvennytään tarkempiin yksityiskohtiin.

3. SoA tukee jatkuvaa parantamista

ISO 27001 -standardissa ei voida antaa tarkkoja yksityiskohtia kunkin hallintakeinon toteuttamisesta. Joidenkin hallintakeinojen toteuttamisessa voidaan soveltaa kevyempää lähestymistapaa, ja joidenkin hallintakeinojen osalta voidaan edetä syvemmälle - niiden osalta, joihin liittyvät riskit ovat suurimmat.

Älykästä SoA-dokumenttia voidaan käyttää ohjaamaan ajattelua hallintakeinojen tehostamisesta. Voit ymmärtää, mitkä hallintakeinot on jo toteutettu hyvin vahvasti ja minkä osalta sinulla saattaa olla käytettävissä helppoja tiukennustoimia.

Merkittävät muutokset joko toiminnassasi tai uhkaympäristössäsi pitäisi myös näkyä hallintakeinoidesi toteutuksen parannuksina.

Oletko tyytyväinen nykyisen hallintakeinototeutuksen syvyyteen, vai pitäisikö mennä pidemmälle?

4. SoA tukee asiakkaan tietoturvaviestintää

Soveltuvuuslausunto on myös yksi suosituimmista dokumenteista, joita asiakkaasi tai muut sidosryhmät saattavat haluta nähdä. Koska kaikki ISO 27001 -sertifioidut organisaatiot tuntevat SoA:n hyvin, ne voivat myös haluta sinun versiosi.

SoA on yksi niistä asiakirjoista, jotka jotkin organisaatiot antavat pyynnöstä saataville sidosryhmilleen. Tämä voidaan tehdä esimerkiksi verkkosivustosi /tietoturva-sivun kautta tai esimerkiksi ISMS-sovelluksen Trust Center -sivulla, jossa voi olla pyynnöstä linkki viimeisimpään julkaistuun SoA:han.

SoA on jaettu sidosryhmille Digiturvamallin Trust Centerin kautta .

Loppuajatuksia

Yhteenvetona voidaan todeta, että oikein käytetty soveltuvuuslausunto auttaa sinua toteuttamaan jatkuvia tietoturva- ja vaatimustenmukaisuustoimia. Se on pakollinen sertifioinnin saamiseksi ja keskeinen asiakirja kaikille, jotka haluavat parantaa ISO 27001 -vaatimustenmukaisuuttaan.

Jos käytät tietoturvaan asianmukaista ISMS-työkalua, sinun ei tarvitse tehdä ylimääräistä työtä SoA-dokumentin kokoamiseksi - kaikki tarvittavat tiedot ovat aina saatavilla ISMS-järjestelmästäsi! Tässä tapauksessa SoA on ISMS:n keskeinen raportti, joka antaa yleiskatsauksen ISO 27001 -standardin ja hallintakeinojen näkökulmasta.

Kirjoittanut
Aleksi Pulkkanen
13.3.2025
@
apulkkanen
LinkedIn

Sisältö

Muita kokoelman artikkeleita

Koko ISO 27001 -kokoelma
Katso koko NIS2-kokoelma

Muita liittyviä artikkeleita

Jaa artikkeli

Muuta samanlaista sisältöä Akatemiassa

Blogikirjoitukset

Vaatimuskehikkokatsaus, SUPO:n turvallisuuskatsaus & ja roolienhallinta: Digiturvamallin tuote- ja uutiskooste 3/2025 🛡️

Maaliskuun tuote-ja uutiskooste esittelee roolinhallinnan päivitykset sekä uuden Trust centerin Lisäksi aiheina on katsaus vuoden 2025 keskeisii vaatimuskehikkoihin, SUPOn turvallisuuskatsaus sekä Yhdysvaltojen tietoturva.
28.3.2025

DORA-vaatimustenmukaisuus: Tärkeimmät vaiheet ja vaatimukset

DORA asettaa finanssialan yrityksille tiukat vaatimukset digitaalisten riskien hallintaan. Ymmärrä DORA:n keskeiset vaatimukset, organisaatioiden vastuut, ja saa käytännön ohjeita vaatimustenmukaisuuteen.
17.3.2025

Mikä on soveltuvuuslausunto (SoA) ISO 27001 -standardissa?

Tässä blogissa käsittelemme toimivan soveltamislausunnon tärkeimpiä käyttötarkoituksia ja hyötyjä. Selitämme myös, miksi SoA on tärkeä ja mitkä 4 keskeistä roolia sillä voi olla tietoturvatyössä.
13.3.2025

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin