logo_FEDER español
gss-logo-header
PT
ESENFR
DemoSolicite uma demonstração
Segurança

O que é a declaração de aplicabilidade, SOA? E qual é a sua utilidade?

Victor Parrado
🕑 4 minutes read

Table of contents

O que é SoA, Declaração de Aplicabilidade?

A Declaração de Aplicabilidade (SoA, do inglês Statement of Applicability) da norma ISO 27001, de Sistemas de Gestão de Segurança da Informação (SGSI), é um documento formado pela relação completa dos controlos de segurança da informação avaliáveis, que se indicam no anexo A da norma.

Nela, a organização indica se cada um deles é de aplicação ou não, detalhando os motivos e o seu estado de implementação.

Embora o Anexo A seja a referência para a implementação de medidas de proteção da informação, a organização pode adicionar outros controlos e objetivos de controlo se o considerar necessário.

gss-contacto-laptop-fondo

Em que ponto do processo de implementação do Sistema de Gestão de Segurança da Informação se desenvolve a SoA?

Após a realização da análise e avaliação de riscos, a organização deve definir as opções de tratamento para os riscos e aplicar as medidas de segurança a tomar para os mitigar. É neste ponto que habitualmente se desenvolve o documento SoA, onde se registam os controlos de segurança que são aplicáveis.

 

Exemplo: se, a partir da avaliação de riscos, se identificar a necessidade de aplicar um controlo contra malware, será definido um plano de tratamento consistente na aquisição, configuração e instalação de software antivírus, datas de implementação, atribuição de recursos, etc. Após a implementação, deverá ser registado na Declaração de Aplicabilidade a justificação da sua implementação e as referências necessárias aos procedimentos ou controlos técnicos implementados.

Características da SoA

O documento SoA pode ser registado no formato que a organização considerar mais conveniente, o que é realmente importante é o seu conteúdo, que geralmente incluirá:

  • os controlos do padrão,
  • se aplicam ou não e as suas justificações,
  • o seu estado de implementação,
  • documentação relacionada (procedimentos, evidências, etc.),
  • todos aqueles dados adicionais que possam ser considerados necessários registar.

Importância e vantagens da SoA

  • A SoA permite a rastreabilidade entre os controlos da norma e o que realmente se faz na organização, proporcionando assim uma visão ampla do que a organização está a realizar para proteger a sua informação, e contribuindo para a identificação, organização e registo das medidas de segurança implementadas.
  • Permite justificar a inclusão ou exclusão de cada controlo, aspetos que não se incluem no relatório de Avaliação de Riscos.
  • As organizações que desenvolvem e implementam um Sistema de Gestão de Segurança da Informação (SGSI), e que queiram obter a certificação para a norma ISO 27001, deverão contar obrigatoriamente com o documento SoA.
  • Ao documentar cada controlo aplicável e indicar se foi implementado ou não, converte-se no guia principal para auditores, tanto internos como externos. Em geral, o auditor acederá à declaração de Aplicabilidade e, com base nela, desenvolverá a auditoria e verificará o cumprimento do documentado.

Revisão e atualização

  • A SoA é um documento vivo, que deve ser revisto e aprovado pela máxima autoridade de Segurança da organização, e atualizado quando se produza alguma das seguintes situações, que suponham aplicar novos controlos de segurança ou rever os já implementados:
    • Nova informação, gerada internamente, cedida por terceiros (clientes, fornecedores, etc.) ou relacionada com o cumprimento normativo ou legislativo.
    • A aquisição ou substituição de ativos que contenham ou gerem informação (dispositivos móveis, software, fornecedores, novas tecnologias de comunicação, etc.), que podem supor o aparecimento de novas ameaças e vulnerabilidades.
    • Alterações organizacionais ou operacionais que suponham uma alteração na gestão da informação.
    • Alterações no contexto ou nas necessidades ou requisitos das partes interessadas: exigência de contratos ou cláusulas de confidencialidade, aparecimento de novas leis ou regulamentos, ampliação a novos mercados, novas ameaças de cibersegurança, etc.

    É necessário manter um controlo de versões das Declarações de Aplicabilidade que vamos realizando, registando as alterações realizadas.

Na GlobalSuite Solutions, oferecemos a ajuda e o aconselhamento necessários para a implementação do seu Sistema de Gestão de Segurança da Informação (SGSI).

Além disso, contamos com o software GlobalSuite®, integralmente desenvolvido pela nossa equipa, que permite a implementação, gestão e manutenção de todos os requisitos exigidos pela norma ISO 27001 em todo o tipo de organizações e setores.

Share:

Victor Parrado
. CISO en GlobalSuite Solutions Ingeniero informático por la UCLM con máster en Ciberseguridad y Seguridad de la Información. Está acreditado como Certified Ethical Hacker por el EC Council, CISA, Lead Auditor ISO 27001, ISO 20000 y es GlobalSuite Expert

More articles