Декларацията за приложимост е основен и важен документ за СУСИ, който прави връзката между оценяването на риска и въздействието върху риска за сигурността на информацията. Нейната цел е да даде цялостен поглед върху управлението на сигурността на информацията в организацията.
Изисквания
Декларацията за приложимост е задължителен елемент според т.6.1.3.d от ISO/IEC 27001:2022. Според изискванията на стандарта тя трябва да съдържа:
- информация за всички механизми за контрол, които са необходими за въздействие върху риска за сигурността на информацията като се отчете информацията представена в Приложение А към ISO/IEC 27001:2022;
- обосновка за включване на механизмите за контрол;
- информация за техния статус – внедрени или не;
- обосновка за изключването на механизми за контрол от Приложение А, които не са приложими.
Приложение А се счита за изчерпателно, но не и за всички ситуации. Ето защо организациите могат да обмислят и други източници за механизми за контрол (например специални публикации на NIST, насоки на ENISA и др.).
Защо е необходима декларацията за приложимост?
ISO/IEC 27001:2022 е приложим за всякакъв вид и размер организации, включително публични и частни компании, правителствени организации и организации с нестопанска цел. Общото между различните организации е, че всяка една от тях има за цел да демонстрира най-добрия подход към управлението на сигурността на информацията. В зависимост от разбиранията и стемежът на ръководството по отношение на риска за сигурността на информацията и наличните активи за справяне с него, прилаганите механизми за контрол могат да варират значително в различните организации. Декларацията за приложимост показва какъв е подходът на конкретната организация.
Понякога написването на декларацията отнема повече време от очакваното, защото се изисква задълбочено обмисляне на приложението на всеки механизъм за контрол – какви ще са отговорностите, правилата, необходимо ли е закупуването на техника, оборудване или др. Поради тази причина не бива да се гледа на декларацията като неизползваем и ненужен документ, който отнема излишно време и не носи никава реална полза за организацията. Гледайте на него като на основен документ, в който показвате какво прави организацията по отношение на сигурността на информацията, защо и как се прави.
В декларацията за приложимост се посочват механизмите за контрол(Приложение А), които организацията прилага, както и тези които са изключени поради определени причини. Освен това, в декларацията се включват механизми за контрол извън Приложение А, които организацията е определела като необходими поради други причини като законови или договорни изисквания.
Ползи от декларацията за приложимост
В декларацията за приложимост е налична информация за състоянието на механизмите за контрол. Добра практика е за всеки механизъм за контрол да се опише как се прилага, например чрез препратка към документ (политика/процедура/инструкция), в който са описани правилата за прилагане на съответния механизъм за контрол, отговорности, използвано оборудване и др. Така документът се превръща в полезен оперативен документ, както за служителите, имащи отговорности към СУСИ, така и за одиторите на СУСИ.
Декларацията за приложимост играе централна роля по време на одити – вътрешен или независим одит с цел сертификация. Обикновено, одиторът се ръководи от декларацията за приложимост, за да провери дали организацията е внедрила механизмите за контрол по начина, по който са описани в декларацията.
0 отговори на "Какво е декларация за приложимост в ISO/IEC 27001?"