logo_FEDER español
gss-logo-header
FR
ESENPT
DémoDemander une démo
Sécurité

Qu’est-ce que la déclaration d’applicabilité, SoA ? Et quelle est son utilité ?

Victor Parrado
🕑 4 minutes read

Table of contents

Qu’est-ce que la SoA, déclaration d’applicabilité ?

La déclaration d’applicabilité (SoA, Statement of Applicability) de la norme ISO 27001, relative aux systèmes de gestion de la sécurité de l’information (SGSI), est un document constitué de la liste complète des contrôles de sécurité de l’information évaluables, qui sont indiqués à l’annexe A de la norme.

Dans ce document, l’organisation indique si chacun d’eux est applicable ou non, en précisant les motifs et son état de mise en œuvre.

Bien que l’annexe A soit la référence pour la mise en œuvre de mesures de protection de l’information, l’organisation peut ajouter d’autres contrôles et objectifs de contrôle si elle le juge nécessaire.

À quel moment du processus de mise en œuvre du système de gestion de la sécurité de l’information la SoA est-elle élaborée ?

Une fois l’analyse et l’évaluation des risques réalisées, l’organisation doit définir les options de traitement des risques et appliquer les mesures de sécurité à prendre pour les atténuer. C’est à ce moment-là que le document SoA est généralement élaboré, afin d’enregistrer les contrôles de sécurité qui sont applicables.

 

Exemple : si, à partir de l’évaluation des risques, la nécessité d’appliquer un contrôle contre les logiciels malveillants est identifiée, un plan de traitement sera défini, consistant en l’acquisition, la configuration et l’installation d’un logiciel antivirus, les dates de mise en œuvre, l’affectation des ressources, etc. Une fois mis en œuvre, la justification de sa mise en œuvre et les références nécessaires aux procédures ou contrôles techniques mis en œuvre devront être enregistrées dans la déclaration d’applicabilité.

Caractéristiques de la SoA

Le document SoA peut être enregistré dans le format que l’organisation juge le plus approprié, l’important étant son contenu, qui comprendra généralement :

  • les contrôles de la norme,
  • s’ils s’appliquent ou non et leurs justifications,
  • leur état de mise en œuvre,
  • la documentation connexe (procédures, preuves, etc.),
  • toutes les données supplémentaires qui peuvent être considérées comme nécessaires à enregistrer.

Importance et avantages de la SoA

  • La SoA permet la traçabilité entre les contrôles de la norme et ce qui est réellement fait dans l’organisation, offrant ainsi une vision large de ce que l’organisation réalise pour protéger ses informations, et contribuant à l’identification, à l’organisation et à l’enregistrement des mesures de sécurité mises en œuvre.
  • Elle permet de justifier l’inclusion ou l’exclusion de chaque contrôle, aspects qui ne sont pas inclus dans le rapport d’évaluation des risques.
  • Les organisations qui développent et mettent en œuvre un système de gestion de la sécurité de l’information (SGSI), et qui souhaitent obtenir la certification pour la norme ISO 27001, doivent obligatoirement disposer du document SoA.
  • En documentant chaque contrôle applicable et en indiquant s’il a été mis en œuvre ou non, elle devient le guide principal pour les auditeurs internes et externes. En général, l’auditeur accédera à la déclaration d’applicabilité et, sur cette base, il réalisera l’audit et vérifiera le respect de ce qui a été documenté.

Révision et mise à jour

  • La SoA est un document vivant, qui doit être révisé et approuvé par la plus haute autorité de sécurité de l’organisation, et mis à jour lorsque l’une des situations suivantes se produit, impliquant l’application de nouveaux contrôles de sécurité ou la révision de ceux déjà mis en œuvre :
    • Nouvelles informations, générées en interne, cédées par des tiers (clients, fournisseurs, etc.) ou liées au respect des réglementations ou des lois.
    • L’acquisition ou le remplacement d’actifs contenant ou gérant des informations (appareils mobiles, logiciels, fournisseurs, nouvelles technologies de communication, etc.), qui peuvent entraîner l’apparition de nouvelles menaces et vulnérabilités.
    • Changements organisationnels ou opérationnels qui entraînent un changement dans la gestion de l’information.
    • Changements dans le contexte ou les besoins ou exigences des parties intéressées : exigence de contrats ou de clauses de confidentialité, apparition de nouvelles lois ou réglementations, extension à de nouveaux marchés, nouvelles menaces de cybersécurité, etc.

    Il est nécessaire de tenir un contrôle des versions des déclarations d’applicabilité que nous réalisons, en enregistrant les changements effectués.

Chez GlobalSuite Solutions, nous offrons l’aide et les conseils nécessaires à la mise en œuvre de votre système de gestion de la sécurité de l’information (SGSI).

De plus, notre logiciel GlobalSuite®, entièrement développé par notre équipe, permet la mise en œuvre, la gestion et la maintenance de toutes les exigences requises par la norme ISO 27001 dans tous les types d’organisations et de secteurs.

Share:

Victor Parrado
. CISO en GlobalSuite Solutions Ingeniero informático por la UCLM con máster en Ciberseguridad y Seguridad de la Información. Está acreditado como Certified Ethical Hacker por el EC Council, CISA, Lead Auditor ISO 27001, ISO 20000 y es GlobalSuite Expert

More articles