Uygulanabilirlik Bildirgesi (SoA) Nedir?

ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin en kritik dökümanı olan Statement of Applicability (SoA), kurumun hangi güvenlik kontrollerini uyguladığını beyan eden resmi belgedir. Özellikle denetim süreçlerinde bu döküman, sistemin kapsamını ve derinliğini gösteren bir yol haritası görevi görür. Çünkü her kurumun risk yapısı farklıdır ve standarttaki tüm kontrollerin uygulanması her zaman zorunlu olmayabilir. Aksine uygulanmayan kontrollerin neden seçilmediğinin bilimsel bir gerekçeyle açıklanması gerekir. Bu nedenle uygulanabilirlik bildirgesi (SoA) nedir sorusunun cevabı, sadece bir tablo değil, kurumun siber güvenlik stratejisinin özetidir. Profesyonel bir Sızma Testi yaptırmak, SoA dökümanında beyan ettiğiniz teknik kontrollerin sahada gerçekten çalışıp çalışmadığını kanıtlamanızı sağlar.

SoA Dökümanı Nasıl Hazırlanır? Temel Bileşenler

Başarılı bir SoA dökümanı oluşturmak için standartta yer alan Annex A (Ek-A) maddelerinin tamamı gözden geçirilmelidir. Özellikle ISO 27001:2022 revizyonu ile değişen 93 kontrol maddesi, yeni nesil siber tehditlere göre güncellenmelidir. Bununla birlikte bir SoA tablosunda şu temel sütunlar bulunmalıdır:

İlk olarak her bir kontrolün “Uygulanıp Uygulanmadığı” net bir şekilde belirtilmelidir. Çünkü denetçiler belirsiz ifadeleri doğrudan uygunsuzluk olarak puanlar. Daha sonra kontrolün seçilme veya hariç tutulma “Gerekçesi” yazılmalıdır. Örneğin; kurumunuzda yazılım geliştirme yapılmıyorsa, ilgili maddeler iş süreçlerine uygunluk gerekçesiyle hariç tutulabilir. Ayrıca kontrolün “Mevcut Durumu” ve uygulama kanıtlarına (prosedür, kayıt, ekran görüntüsü vb.) atıf yapılmalıdır. Sonuç olarak bu döküman, ISO 27001 Belgesi alırken dökümantasyon yapınızın iskeletini oluşturur.

Denetim Sürecinde SoA’nın Kritik Rolü

Denetçiler ofisinize geldiğinde inceleyecekleri ilk döküman Uygulanabilirlik Bildirgesi olacaktır. Ama sadece dökümanı doldurmuş olmak yeterli değildir. Özellikle SoA’da “uygulanıyor” dediğiniz bir maddenin sahada karşılığı yoksa, bu durum “majör bulgu” olarak raporlanır.

Buna ek olarak Türkiye’deki KVKK mevzuatı kapsamında alınan teknik tedbirler, SoA dökümanındaki ilgili kontrollerle (erişim yönetimi, veri maskeleme vb.) mutlaka eşleştirilmelidir. Bilgi güvenliği yönetimi sürekli iyileştirme prensibiyle çalışır. Bu yüzden risk analizi her güncellendiğinde SoA dökümanı da beraberinde revize edilmelidir. Böylece kurumunuzun güvenlik seviyesi her zaman güncel kalır ve denetimlerden mermi gibi geçersiniz.

Uzman Desteği ile Hatasız SoA Hazırlığı

Kurumunuza özel, teknik boşluk barındırmayan ve denetçiyi ikna edecek bir SoA dökümanı hazırlamak derin bir standart bilgisi gerektirir. Bu sebeple siber güvenlik mühendislerimizle SoA hazırlık süreçlerinizi uçtan uca yönetiyoruz. İlk olarak risk analizi sonuçlarınız incelenerek hangi Annex A kontrollerinin kurumunuz için zorunlu olduğu belirlenir. Daha sonra yeni 2022 revizyonuna tam uyumlu, 93 maddelik güncel SoA tablonuz oluşturulur. Nihayetinde denetim günü geldiğinde elinizde her maddesini savunabileceğiniz profesyonel bir beyan dökümanı bulunur.

Kurumunuza özel İletişim sayfamız üzerinden bize ulaşarak güncel SoA şablonlarımıza ve revizyon desteklerimize erişebilirsiniz. Merak ettiğiniz tüm teknik detaylar için danışmanlarımız size yardımcı olacaktır.

Hızlı Destek Hattımız:

• Telefon Hattımız: 0533 370 01 43 (Tıklayıp Hemen Bilgi Alabilirsiniz)
• Teklif Al: SoA hazırlığı ve ISO 27001 danışmanlık maliyetleri için İletişim formunu doldurun.