跳到主要內容

ISO 27001 核心文件 SoA 完整解析:控制項採用決策與 ISMS 認證必備指南

在 ISO 27001 認證過程中,SoA(Statement of Applicability,適用性聲明)是稽核員最先索取的核心文件。它完整記錄組織對 Annex A 所有控制項的採用或排除決策,缺少它,認證審查無從啟動。

什麼是 SoA?它包含哪些必要元素?

SoA 是一份結構化清單,對應 ISO 27001:2022 Annex A 的 93 個控制項,逐一標註「採用」或「排除」,並說明決策理由。每筆記錄需包含四個欄位:控制項編號與名稱、是否採用、採用或排除的理由、實作狀態。排除的控制項尤其需要充分說明,若稽核員認為理由不足,將直接影響認證結果。SoA 必須與風險評估報告、風險處理計畫相互對應,三份文件共同構成 ISMS 決策鏈的完整證據。

如何正確建立 SoA?常見錯誤有哪些?

建立 SoA 的正確流程是:先完成風險評估 → 確認風險處理選項 → 再對應 Annex A 控制項,而非反向從控制項開始填表。最常見的錯誤包含三類:一、全部勾選採用卻無對應實作證據;二、排除理由過於簡略,例如僅寫「不適用」而無業務背景說明;三、SoA 版本未與風險評估同步更新,導致文件不一致。SoA 應視為動態文件,每次重大變更或年度審查後均需更新版本號與審核日期。

💡 SoA 四大關鍵要點

  • 對應版本正確:ISO 27001:2022 共 93 個控制項,2013 版為 114 個,勿混用。
  • 排除理由須具體:以業務範疇、合約義務或風險評估結果作為排除依據。
  • 實作狀態需真實:區分「已實作」、「進行中」、「計畫中」三種狀態。
  • 文件鏈須完整:SoA、風險評估報告、風險處理計畫三者必須相互引用一致。

SoA 不只是認證的交付物,更是組織資訊安全決策的透明化記錄。維持 SoA 的準確性與時效性,是 ISMS 持續有效運作的基礎條件,也是通過監督稽核的關鍵保障。

留言