SOA (Uygulanabilirlik Bildirgesi)
ISO/IEC 27001 standardı ana maddeler ve ek maddelerden
oluşur. Ana maddeler, standardın ilk bölümünde 0 ila 10 numaralarıyla yer alır.
Ek maddeler ise ikinci bölümde A.5 ila A.18 numaralarıyla (114 madde) yer alır.
(Bakınız ISO 27001 standardı)
Ana maddelerin uygulanması (hayata geçirilmesi) zorunludur.
Ek maddeler ise seçimliktir, kurum bu maddelerden kendisine uygun olmayan bir
ya da daha çoğunu nedenini belirterek uygulamaz. İşte bu düzenlemenin yapıldığı
yani ek maddelerin uygulanıp uygulanmadığını belirtmek için SOA denilen
“uygulanabilirlik bildirgesi” (state of applicability) dokümanını hazırlanır.
SOA sayesinde uygulanmayacak olan kontrollerin belirtilmesini
sağlanır. Bu anlamda bu maddeler de denetim dışı tutulmuş olur. Ancak genel
olarak denetçiler çok sayıda maddenin SOA içinde “uygulanmayacak” şeklinde
belirtilmesine karşıdırlar. Çok net gerekçeler olmadığı sürece ek maddelerinde tümünün
uygulanması önerilmektedir. Yine de kurum kendi faaliyetleri ve risk analizi
sonuçları çerçevesinde uygulaması mümkün ya da gerekli olmayan Ek A
kontrollerini SOA içinde gerekçeleriyle belirtebilir ve uygulamaz.