Til og fravalg i SoA-dokumentet

Et SoA-dokument består af en liste med kontroller, der kan være relevante for en organisation at implementere som led i håndtering af risici. Med SoA-dokumentet forholder organisationen aktivt til de til- og fravalg af kontroller, som skal indføres for at håndtere de identificerede risici.

SoA-dokumentet følger således af risikohåndteringsplanen, men udføres i praksis i en parallel proces, da kontrollerne i Annex kan bruges som tjekliste for om risici er håndteret efter foreskrifterne. Beskrivelsen i SoA-dokumentet skal indeholde begrundelser for, hvorfor visse kontroller evt. er blevet valgt fra.

Det udarbejdede SoA-dokuments tilvalg indgår som grundlag for handlingsplaner for konkrete aktiviteter, der skal implementere sikkerhedsforanstaltningerne.

SoA-dokumentet udarbejdes som regel af sikkerhedskoordinatoren og skal godkendes af organisationens ledelse.

SoA-dokumentet (Statement of Applicability)

Få hjælp til SoA-dokumentet i guiden, der vejleder om hvordan man udarbejder et SoA-dokument og beskriver, hvordan man bruger SoA-skabelonen.

Selve SoA-skabelonen indeholder listen med kontrollerne fra Anneks A.

Værdifuld fælles forståelse

Selve udarbejdelsen af SoA-dokumentet giver de involverede en værdifuld fælles og konkret forståelse for den mere abstrakte risikovurdering.

Det kan for eksempel være:

  • Er det vigtigt med en striks adgangsstyring?
  • Hvordan forholder organisationen sig til styring af hændelser og beredskaber
  • I hvor høj grad skal der være compliance?
  • På hvilke områder skal der prioriteres høje sikkerhedsniveauer?
  • Hvor er det irrelevant i forhold til forretningens mål og risikoprofil?

Risikovurderingen, risikohåndteringsplan og SoA-dokumentet skal altid godkendes af topledelsen.