Menu

               ¿Qué es la Declaración de Aplicabilidad o SoA en la 

ISO 27001? 

Introducción

La Declaración de Aplicabilidad  en el contexto de la ISO/IEC 27001 o también conocido como SoA en inglés (por sus siglas Statement of Applicability) es un documento clave dentro del Sistema de Gestión de Seguridad de la Información (SGSI). Tiene como objetivo detallar cuáles de los controles de seguridad incluidos en el Anexo A de la norma son aplicables a la organización y cuáles no, justificando esta decisión.

Según la propia norma, en su requisito en 6.1.3 “Tratamiento de los riesgos de seguridad de la información” en su apartado “d”, indica que la Organización debe de elaborar una “Declaración de Aplicabilidad” que contenga:

  •              los controles necesarios [véase 6.1.3 b) y c)] *;
  •              la justificación de las inclusiones;
  •              si los controles necesarios están implementados o no; y
  •              la justificación de las exclusiones de cualquiera de los controles del anexo A;

Nota (*):

  • 1.3 b) determinar todos los controles que sean necesarios para implementar la(s) opción(es) elegida(s) de tratamiento de riesgos de seguridad de la información;
  • c) comparar los controles determinados en el punto 6.1.3 b) con los del anexo A y comprobar que no se han omitido controles necesarios;

Funciones del SoA

Dentro de la misión que tiene la Declaración de Aplicabilidad caben destacar las siguientes funciones:

  1. Identificación de Controles Aplicables: La ISO 27001:2022 contiene 93 controles de la ISO/IEC 27001 y los agrupa en 4 temas en su Anexo A. El SoA indica cuáles de esos controles son relevantes para la organización, basándose en los riesgos de seguridad identificados durante el análisis de riesgos.
    • A.5 Controles organizacionales (37)
    • A.6 Controles de personas (8)
    • A.7 Controles físicos (14)
    • A.8 Controles tecnológicos (34)
  1. Justificación de Exclusiones: Si un control no se aplica a la organización, el SoA debe explicar por qué se ha excluido. Esto es importante para garantizar que la organización ha considerado todos los controles, pero solo ha adoptado los que son pertinentes a su situación.
  2. Vinculación con los Riesgos Identificados: Los controles seleccionados deben estar vinculados a los riesgos de seguridad que se identificaron previamente en el proceso de análisis de riesgos. Esto asegura que el SGSI está diseñado específicamente para mitigar los riesgos relevantes para la organización.
  3. Base para Auditoría y Seguimiento: El SoA es un documento que también se utiliza durante las auditorías, tanto internas como externas. Los auditores revisarán el SoA para verificar que la organización ha implementado los controles declarados y ha excluido razonablemente otros.

Contenido típico del SoA

  • Lista de controles (extraídos del Anexo A).
  • Estado de aplicabilidad (si cada control es aplicable o no).
  • Justificación de exclusión (si no se aplica un control).
  • Descripción de la implementación (cómo se aplican los controles que han sido adoptados). Habitualmente, se hace con referencia a otros documentos que describen de que manera dichos controles se implementan.

Importancia del SoA

El SoA es esencial para demostrar el cumplimiento con la ISO 27001 y es un documento vivo que debe ser actualizado en función de cambios en el entorno de riesgos de la organización. También ayuda a garantizar que la implementación de la norma sea flexible y adaptada a las necesidades reales de cada empresa.

Cuando se revisa y actualiza el SoA

La SoA es un documento vivo, que debe ser revisado y aprobado por la máxima autoridad de Seguridad de la organización, y actualizado cuando se produzca alguna de las siguientes situaciones, que supongan aplicar nuevos controles de seguridad o revisar los ya implantados:

  • Nueva información, generada internamente, cedidas por terceros (clientes, proveedores, etc) o relacionada con el cumplimiento normativo o legislativo.
  • La adquisición o sustitución de activos que contengan o gestionen información (dispositivos móviles, software, proveedores, nuevas tecnologías de comunicación, etc), que pueden suponer la aparición de nuevas amenazas y vulnerabilidades.
  • Cambios organizativos u operacionales que supongan un cambio en la gestión de la información.
  • Cambios en el contexto o las necesidades o requisitos de las partes interesadas: exigencia de contratos o cláusulas de confidencialidad, aparición de nuevas leyes o reglamentos, ampliación a nuevos mercados, nuevas amenazas de ciberseguridad, etc.

Es necesario llevar un control de versiones de las Declaraciones de Aplicabilidad que vayamos realizando, registrando los cambios realizados.

Conclusiones

Es de gran importancia contar con esta declaración de aplicabilidad y mucho más si la organización quiere certificarse en la norma ISO 27001:2002, pues además de ser un documento obligatorio requerido por la norma, facilita la gestión, el mantenimiento y la mejora continua del SGSI permitiendo a estas tener un documento que concrete en todo momento cómo se manejan los controles de seguridad determinados que permitan garantizar las dimensiones de seguridad (confidencialidad, integridad y disponibilidad) de la información.

 

Soluciones relacionadas

AUTOR

Rafael Antona

Rafael Antona es licenciado en CC. Químicas en la especialidad de Ciencia de los Materiales e Ingeniería Metalúrgica por la Universidad Complutense de Madrid (U.C.M), Curso Superior en Ingeniería de Calidad por la Fundación Confemetal y Master MBA por el ICADE Business School de la Universidad Pontificia de Comillas. Con una dilatada experiencia nacional como internacional en implantación de  Gestión de Proyectos de Sistemas de Información, Consultoría de Sistema de Gestión  y Modelos de Excelencia es Sales&Business Director de ExpertSoft. 

¡Reciba contenido gratuito en su e-mail!

Inscríbase en nuestra Newsletter y reciba contenidos sobre las mejores prácticas

en gestión producidos por especialistas.

Al hacer clic en el siguiente botón, usted confirma que ha leído y acepta nuestra Política de Privacidad.

Conozca también

CONTACTOS

Teléfono: +34 91 197 73 95

NEWSLETTER

Al hacer clic en el siguiente botón, usted confirma que ha leído y acepta nuestra Política de Privacidad.

ExpertSoft

All trademarks, trade names, service marks, and logos referenced herein belong to the respective companies.