SoA-dokumentet hænger tæt sammen med organisationens overordnede risikovurdering. De sikkerhedsforanstaltninger, som vælges i SoA-dokumentet, skal være relevante i arbejdet med at håndtere de risici, som en organisation har identificeret i risikovurderingen. Dokumentet skal desuden indeholde begrundelser for, hvorfor en foranstaltning er medtaget, også selvom den ikke er implementeret endnu.
Endelig skal det begrundes, hvorfor en foranstaltning er fravalgt. Et eksempel er foranstaltningen 8.31 om ”Adskillelse af udviklings-, test- og produktions-miljøer”, som ikke er relevant for organisationer, der ikke selv udvikler systemer og løsninger.
ISO 27001 anneks A som tjekliste i SoA-dokumentet
I SoA-dokumentet skal organisationen som minimum forholde sig til sikkerhedsforanstaltningerne, der er listet i ISO 27001 anneks A. Dette er en slags tjekliste, der sikrer, at organisationen kommer hele vejen rundt i sine valg af foranstaltninger. Der kan være andre foranstaltninger, som er relevante for organisationen, og som vil skulle tilføjes i SoA-dokumentet.
SoA-dokumentet er obligatorisk i arbejdet med ISO 27001. Er man ikke underlagt ISO 27001-standarden, kan SoA-dokumentet alligevel være god inspiration og fungere som tjekliste i arbejdet med informationssikkerhed.
Rolle og ansvar samt formkrav
SoA-dokumentet udarbejdes som regel af sikkerhedskoordinatoren med hjælp fra inputgivere i organisationen, eksempelvis systemejere. Dokumentet skal godkendes af organisationens ledelse.
Der er ikke et formkrav til, hvordan SoA-dokumentet skal udfærdiges. Digitaliseringsstyrelsen har udarbejdet en skabelon, der kan bruges som SoA-dokument. Den lister alle foranstaltningerne fra ISO 27001 anneks A, som organisationen én efter én kan tage stilling til. Andre foranstaltninger, som ikke er med i skabelonen, men som er relevante for organisationens arbejde med informationssikkerhed, skal tilføjes.
Hent SoA skabelonen baseret på ISO 27001:2022(ulåst)
Hent SoA-skabelonen baseret på ISO 27001:2013