SoA (Statement of Applicability) là gì?
Statement of Applicability (SoA): hay Tuyên bố về Khả năng Áp dụng, là một tài liệu bắt buộc trong hệ thống quản lý bảo mật thông tin theo tiêu chuẩn ISO/IEC 27001. Tài liệu này liệt kê toàn bộ các controls (biện pháp kiểm soát) được định nghĩa trong Annex A của ISO 27001, đồng thời nêu rõ lý do tổ chức quyết định áp dụng (include) hoặc loại trừ (exclude) từng control trong phạm vi ISMS của mình.
SoA không chỉ đơn giản là một danh sách đánh dấu "có" hay "không". Đây là tài liệu thể hiện quá trình tư duy và quyết định bảo mật của tổ chức, phản ánh mức độ trưởng thành trong quản lý rủi ro thông tin.
Tại sao SoA quan trọng?
SoA đóng vai trò là cầu nối giữa quá trình đánh giá rủi ro và việc triển khai các biện pháp kiểm soát thực tế. Khi tổ chức hoàn thành risk assessment, kết quả đó phải dẫn đến một quyết định rõ ràng: control nào cần được áp dụng và tại sao.
Trong quá trình kiểm toán chứng nhận ISO 27001, auditor sẽ xem xét SoA để xác minh rằng:
- Tổ chức đã xem xét đầy đủ tất cả 93 controls trong Annex A (phiên bản ISO 27001:2022)
- Các controls được loại trừ có lý do chính đáng và được ghi lại rõ ràng
- Các controls được áp dụng thực sự được triển khai trong thực tế
Một SoA thiếu sót hoặc không nhất quán với thực tế triển khai là một trong những lý do phổ biến khiến tổ chức không vượt qua được giai đoạn kiểm toán Stage 2.
Cách xây dựng SoA trong ISO 27001
Quy trình xây dựng SoA thường bao gồm các bước sau:
- Hoàn thành risk assessment: Xác định các rủi ro thông tin trong phạm vi ISMS.
- Chọn risk treatment options: Quyết định cách xử lý từng rủi ro, chấp nhận, giảm thiểu, chuyển giao, hoặc tránh.
- Mapping controls: Với mỗi rủi ro cần giảm thiểu, xác định control tương ứng trong Annex A.
- Đánh giá toàn bộ Annex A: Xem xét từng control, bất kể có xuất hiện trong risk treatment hay không, và quyết định include/exclude.
- Ghi lý do rõ ràng: Với controls được loại trừ, lý do phải thuyết phục và có thể bảo vệ được trước auditor.
- Ghi nhận trạng thái triển khai: Mỗi control được include cần ghi rõ đã triển khai hay chưa, và tài liệu tham chiếu liên quan.
Ví dụ thực tế
Một công ty phần mềm SaaS có thể quyết định loại trừ control A.7.1, Physical security perimeters với lý do toàn bộ hạ tầng vận hành trên cloud, không có data center vật lý. Ngược lại, control A.8.8, Management of technical vulnerabilities sẽ được include vì tổ chức triển khai quy trình quét lỗ hổng định kỳ trên môi trường production.
Cách tiếp cận này cho thấy SoA phản ánh bối cảnh thực tế của từng tổ chức, thay vì là một template áp dụng đồng loạt.
SoA và compliance automation
Việc duy trì SoA luôn cập nhật là thách thức liên tục, đặc biệt khi môi trường kỹ thuật thay đổi, nhân sự biến động, hoặc phạm vi ISMS mở rộng. Mỗi khi có thay đổi trong hệ thống hay quy trình, tổ chức cần đánh giá lại xem các controls hiện tại còn phù hợp không.
Các nền tảng compliance automation giúp gắn kết SoA với bằng chứng triển khai thực tế, tự động thu thập evidence, theo dõi trạng thái từng control, và cảnh báo khi có khoảng trống giữa tài liệu và thực tế vận hành.
pTrackly hỗ trợ đội ngũ compliance theo dõi trạng thái từng control trong SoA theo thời gian thực, giúp chuẩn bị kiểm toán ISO 27001 một cách có hệ thống và giảm thiểu rủi ro phát sinh vào phút chót.