La Declaración de Aplicabilidad en el contexto de la ISO/IEC 27001 o también conocido como SoA en inglés (por sus siglas Statement of Applicability) es un documento clave dentro del Sistema de Gestión de Seguridad de la Información (SGSI). Tiene como objetivo detallar cuáles de los controles de seguridad incluidos en el Anexo A de la norma son aplicables a la organización y cuáles no, justificando esta decisión.
Según la propia norma, en su requisito en 6.1.3 “Tratamiento de los riesgos de seguridad de la información” en su apartado “d”, indica que la Organización debe de elaborar una “Declaración de Aplicabilidad” que contenga:
Nota (*):
Funciones del SoA
Dentro de la misión que tiene la Declaración de Aplicabilidad caben destacar las siguientes funciones:
Contenido típico del SoA
Importancia del SoA
El SoA es esencial para demostrar el cumplimiento con la ISO 27001 y es un documento vivo que debe ser actualizado en función de cambios en el entorno de riesgos de la organización. También ayuda a garantizar que la implementación de la norma sea flexible y adaptada a las necesidades reales de cada empresa.
Cuando se revisa y actualiza el SoA
La SoA es un documento vivo, que debe ser revisado y aprobado por la máxima autoridad de Seguridad de la organización, y actualizado cuando se produzca alguna de las siguientes situaciones, que supongan aplicar nuevos controles de seguridad o revisar los ya implantados:
Es necesario llevar un control de versiones de las Declaraciones de Aplicabilidad que vayamos realizando, registrando los cambios realizados.
Conclusiones
Es de gran importancia contar con esta declaración de aplicabilidad y mucho más si la organización quiere certificarse en la norma ISO 27001:2002, pues además de ser un documento obligatorio requerido por la norma, facilita la gestión, el mantenimiento y la mejora continua del SGSI permitiendo a estas tener un documento que concrete en todo momento cómo se manejan los controles de seguridad determinados que permitan garantizar las dimensiones de seguridad (confidencialidad, integridad y disponibilidad) de la información.
AUTOR
Rafael Antona
Rafael Antona es licenciado en CC. Químicas en la especialidad de Ciencia de los Materiales e Ingeniería Metalúrgica por la Universidad Complutense de Madrid (U.C.M), Curso Superior en Ingeniería de Calidad por la Fundación Confemetal y Master MBA por el ICADE Business School de la Universidad Pontificia de Comillas. Con una dilatada experiencia nacional como internacional en implantación de Gestión de Proyectos de Sistemas de Información, Consultoría de Sistema de Gestión y Modelos de Excelencia es Sales&Business Director de ExpertSoft.
Inscríbase en nuestra Newsletter y reciba contenidos sobre las mejores prácticas
en gestión producidos por especialistas.
Al hacer clic en el siguiente botón, usted confirma que ha leído y acepta nuestra Política de Privacidad.
Al hacer clic en el siguiente botón, usted confirma que ha leído y acepta nuestra Política de Privacidad.
WhatsApp us