state of applicability

SOA (Uygulanabilirlik Bildirgesi)

ISO/IEC 27001 standardı ana maddeler ve ek maddelerden oluşur. Ana maddeler, standardın ilk bölümünde 0 ila 10 numaralarıyla yer alır. Ek maddeler ise ikinci bölümde A.5 ila A.18 numaralarıyla (114 madde) yer alır. (Bakınız ISO 27001 standardı)

Ana maddelerin uygulanması (hayata geçirilmesi) zorunludur. Ek maddeler ise seçimliktir, kurum bu maddelerden kendisine uygun olmayan bir ya da daha çoğunu nedenini belirterek uygulamaz. İşte bu düzenlemenin yapıldığı yani ek maddelerin uygulanıp uygulanmadığını belirtmek için SOA denilen “uygulanabilirlik bildirgesi” (state of applicability) dokümanını hazırlanır.

SOA sayesinde uygulanmayacak olan kontrollerin belirtilmesini sağlanır. Bu anlamda bu maddeler de denetim dışı tutulmuş olur. Ancak genel olarak denetçiler çok sayıda maddenin SOA içinde “uygulanmayacak” şeklinde belirtilmesine karşıdırlar. Çok net gerekçeler olmadığı sürece ek maddelerinde tümünün uygulanması önerilmektedir. Yine de kurum kendi faaliyetleri ve risk analizi sonuçları çerçevesinde uygulaması mümkün ya da gerekli olmayan Ek A kontrollerini SOA içinde gerekçeleriyle belirtebilir ve uygulamaz.