SoA Declaração de Aplicabilidade.

A SoA é o documento controlado que indica ao auditor quais controlos do Anexo A se aplicam à organização, com que fundamento e onde reside a evidência. Obrigatória ao abrigo da ISO 27001. A incoerência entre a SoA, o plano de tratamento de risco e as operações reais é a causa mais frequente de não conformidades na auditoria de fase 2.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyInformation securityAll entries

A perspetiva da Cyber Academy

A SoA é o documento controlado que indica ao auditor quais controlos do Anexo A se aplicam à organização, com que fundamento e onde reside a evidência. Obrigatória ao abrigo da ISO 27001. A incoerência entre a SoA, o plano de tratamento de risco e as operações reais é a causa mais frequente de não conformidades na auditoria de fase 2.

Por que a ISO 27001 torna a SoA obrigatória

A declaração de aplicabilidade é a ponte entre o seu trabalho sobre os riscos e os controlos que um auditor irá efetivamente inspecionar. A ISO/IEC 27001 deixa deliberadamente em aberto, no corpo da norma, quais controlos deve executar, porque a resposta certa depende do seu contexto e dos seus riscos. A SoA é onde fecha essa lacuna: para cada controlo de referência do Anexo A, regista se se aplica, a justificação para o incluir ou excluir, se já está implementado e onde reside a evidência de suporte. É um dos poucos documentos que a norma designa explicitamente como saída exigida, razão pela qual nenhuma auditoria de certificação avança sem ela.

Uma forma útil de pensar nisto é que a SoA transforma um catálogo de controlos genérico numa declaração sobre a sua organização especificamente. O conjunto de referência do Anexo A é o mesmo para todos. A sua SoA não é. Duas empresas certificadas de dimensão semelhante podem legitimamente excluir controlos diferentes, porque as suas apreciações de risco e o seu contexto operacional diferem. O documento existe para tornar essas escolhas visíveis e defensáveis em vez de implícitas.

Como a SoA se relaciona com a apreciação do risco e o tratamento do risco

A SoA não existe isoladamente. É o produto a jusante da apreciação do risco e do plano de tratamento do risco, e os três têm de concordar. A apreciação do risco identifica o que pode correr mal. O plano de tratamento do risco decide o que fazer em relação a cada risco, incluindo quais controlos aplicar. A SoA declara então, controlo a controlo, o que essa decisão significa face ao conjunto de referência do Anexo A. Quando um auditor lê a SoA, está na verdade a verificar que a linha que vai de um risco documentado a uma decisão de tratamento, depois a um controlo aplicado, e depois a evidência real, se mantém coerente de ponta a ponta.

As exclusões merecem cuidado especial. Marcar um controlo como não aplicável é legítimo, mas apenas com um motivo declarado e ligado ao seu contexto. «Não desenvolvemos software internamente» é uma base defensável para restringir certos controlos de desenvolvimento. «Não chegámos a fazê-lo» não é uma exclusão, é uma lacuna. Os auditores sondam as exclusões precisamente porque é aí que as organizações por vezes escondem trabalho por terminar.

O que os profissionais mantêm de facto

Tratar a SoA como um registo vivo em vez de uma folha de cálculo pontual é o que separa uma auditoria de acompanhamento tranquila de uma correria. Na prática, mantê-la bem é assim:

  1. Mantenha uma linha por cada controlo do Anexo A, com aplicabilidade, justificação, estado de implementação e um apontador para a evidência que um auditor possa seguir sem si na sala.
  2. Refaça a SoA sempre que a apreciação do risco ou o plano de tratamento mudarem, para que os três documentos nunca divirjam em silêncio.
  3. Ligue cada apontador de evidência a algo real e atual: uma política, uma configuração, um ticket, um log, e não uma promessa de o produzir mais tarde.
  4. Reveja o documento a uma cadência fixa e na revisão pela gestão, e não apenas nas semanas que antecedem uma auditoria.
  5. Ao transitar entre versões da norma, remapeie a SoA face ao conjunto de controlos revisto e confirme que nada ficou pelo caminho entre controlos fundidos ou recém-introduzidos.

Feita desta forma, a SoA deixa de ser papelada de auditoria e torna-se o índice de todo o seu sistema de gestão da segurança da informação. É o primeiro documento que um auditor experiente pede, porque lhe indica onde reside tudo o resto.

Frequently asked questions

01Uma declaração de aplicabilidade é obrigatória para a ISO 27001?

Sim. A SoA é um dos documentos que a ISO/IEC 27001 exige explicitamente. Uma auditoria de certificação não pode ser concluída sem ela, porque é assim que o auditor sabe quais controlos do Anexo A afirma aplicar e porquê.

02Qual é a diferença entre a SoA e o plano de tratamento do risco?

O plano de tratamento do risco decide o que fará em relação a cada risco identificado, incluindo quais controlos aplicar e em que prazo. A SoA é a declaração controlo a controlo face ao conjunto de referência do Anexo A, registando aplicabilidade, justificação, estado e evidência. Têm de manter-se coerentes entre si.

03Posso excluir controlos na SoA?

Sim, desde que apresente uma justificação fundamentada no seu contexto e na sua apreciação do risco. Um controlo que genuinamente não se aplica às suas operações pode ser excluído; um controlo que simplesmente ainda não implementou é uma lacuna, não uma exclusão, e os auditores testam a diferença.

04Com que frequência deve a SoA ser atualizada?

Sempre que a apreciação do risco ou o plano de tratamento do risco mudarem, e em cada revisão pela gestão. Tratá-la como um documento vivo mantém-na alinhada com as operações e evita o desvio que produz achados de auditoria.

05Quem é responsável pela declaração de aplicabilidade?

É um documento controlado no âmbito do SGSI, pelo que recai sobre quem gere o sistema de gestão, normalmente o responsável pela segurança da informação ou o responsável do SGSI, com aprovação através da revisão pela gestão. Os responsáveis pelos controlos fornecem o estado de implementação e a evidência das suas áreas.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.