בלוג

Statement of Applicability או SoA, בתקן ISO 27001: מהו ולמה הוא חשוב?

ה-Statement of Applicability, או בקיצור SoA, הוא אחד המסמכים המרכזיים במערכת ניהול אבטחת מידע לפי ISO/IEC 27001:2022. SoA – מסמך ניהולי ולא רק דרישת תיעוד. המשך קריאה

ה-Statement of Applicability, או בקיצור SoA, הוא אחד המסמכים המרכזיים במערכת ניהול אבטחת מידע לפי ISO/IEC 27001:2022.

המסמך מציג את הבקרות שהארגון בחר ליישם, את הסיבות לבחירה או להחרגה שלהן, ואת הקשר ביניהן לבין תהליך ניהול הסיכונים.

בפועל, ה-SoA הוא המסמך שמחבר בין סקר הסיכונים, תוכנית הטיפול בסיכונים והבקרות המיושמות בארגון.

מה כולל ה־SoA?

ה-SoA צריך להציג, לכל הפחות:

  • אילו בקרות רלוונטיות לארגון
  • אילו בקרות נבחרו ליישום
  • מהי ההצדקה להכללת כל בקרה
  • אילו בקרות הוחרגו ומדוע
  • מהו סטטוס היישום
  • היכן נמצאות הראיות ליישום

בגרסת ISO/IEC 27001:2022, ה־SoA מתייחס ל-93 הבקרות המופיעות ב-Annex A. עם זאת, הארגון אינו חייב להסתפק רק בהן, והוא רשאי לכלול גם בקרות נוספות ממקורות אחרים אם הן נדרשות לטיפול בסיכונים.

למה ה־SoA חשוב?

ה-SoA מספק תמונה מרוכזת של מערך הבקרות הארגוני. הוא מאפשר להבין כיצד הארגון מתרגם סיכונים לדרישות יישומיות, ואילו אמצעים נבחרו לצמצום החשיפה.

המסמך חשוב במיוחד לצורך:

  • הכנה למבדקי הסמכה ומעקב
  • הצגת עקיבות בין סיכונים לבקרות
  • ניהול פערים ותוכנית עבודה
  • חלוקת אחריות בין בעלי תפקידים
  • הצגת ראיות להנהלה, לקוחות ומבקרים
  • בחינת התאמה לדרישות רגולטוריות וחוזיות

ה־SoA אינו רשימת סימון

טעות נפוצה היא להתייחס ל־SoA כאל טבלה טכנית שמטרתה לסמן “מיושם” או “לא מיושם”.

בפועל, מבקר מצפה לראות קשר ברור בין הבקרה לבין הסיכון שבגינו נבחרה. סימון של בקרה כמיושמת אינו מספיק אם אין מדיניות, תהליך, אחריות וראיות תפעוליות שתומכות בכך.

לדוגמה, אם הארגון מציין שבקרת גיבויים מיושמת, עליו להיות מסוגל להציג לא רק נוהל, אלא גם תוצאות גיבוי, בדיקות שחזור, טיפול בכשלים ועמידה ביעדי התאוששות.

מה נחשב SoA איכותי?

SoA איכותי צריך להיות:

  • מעודכן בהתאם לשינויים בסיכונים ובמערכות
  • תואם להיקף ה־ISMS
  • מקושר לסקר הסיכונים ולתוכנית הטיפול
  • ברור ביחס לסטטוס היישום
  • מבוסס על ראיות
  • מאושר ומנוהל תחת בקרת מסמכים

המסמך צריך להשתנות כאשר הארגון מכניס מערכת חדשה, עובר לענן, מחליף ספק, משנה תהליך עסקי או מזהה סיכון חדש.

טעויות נפוצות בניהול SoA

בין הפערים הנפוצים ניתן למצוא:

  • העתקת SoA מארגון אחר
  • הכללת כל הבקרות ללא ניתוח אמיתי
  • החרגת בקרות ללא נימוק מספק
  • חוסר התאמה בין ה־SoA לסקר הסיכונים
  • סטטוס יישום שאינו נתמך בראיות
  • אי־עדכון המסמך לאחר שינוי טכנולוגי או ארגוני
  • שימוש במסמך ישן המבוסס על גרסת 2013

פערים אלה עלולים להוביל לממצאים בביקורת, אך חשוב מכך – הם עלולים להעיד שמערכת ניהול הסיכונים אינה משקפת את מצב הארגון בפועל.

SoA – מסמך ניהולי ולא רק דרישת תיעוד

ה-Statement of Applicability הוא הרבה יותר מדרישת תיעוד של ISO 27001. זהו מסמך ניהולי שמציג כיצד הארגון בחר להתמודד עם סיכוני אבטחת המידע שלו.

כאשר הוא נבנה ומתוחזק נכון, ה־SoA מאפשר להנהלה, למבקרים ולבעלי התפקידים להבין אילו בקרות פועלות, מדוע הן נדרשות, ומה עדיין דורש טיפול.

כיצד אינפוגארד יכולה לסייע?

אינפוגארד מסייעת לארגונים בבניית ועדכון Statement of Applicability, בביצוע תקינה ורגולציה, הסמכה לתקני ISO, ביצוע Gap Assessment, עדכון סקר סיכונים, בניית Statement of Applicability, בחינת אפקטיביות בקרות והכנה למבדקי ISO/IEC 27001:2022.

מידע נוסף במאמרים הבאים:

ISO 27001 בשנת 2026 – כל העדכונים והשינויים

Annex A בתקן ISO 27001: מהו ולמה הוא חשוב?

/ 5.

בלוג

הישארו תמיד צעד קדימה

בעולם דיגיטלי שמשתנה בקצב מהיר, ידע הוא שכבת ההגנה הראשונה. בבלוג של Infoguard תמצאו ניתוחים עדכניים, מדריכים פרקטיים ותובנות מקצועיות – כדי לעזור לכם ולארגון שלכם להיערך, להגן ולהוביל בבטחה.

5 דק׳ קריאה

Statement of Applicability או SoA, בתקן ISO 27001: מהו ולמה הוא חשוב?

ה-Statement of Applicability, או בקיצור SoA, הוא אחד המסמכים המרכזיים במערכת ניהול אבטחת מידע לפי ISO/IEC 27001:2022. SoA - מסמך ניהולי ולא רק דרישת תיעוד. המשך קריאה

5 דק׳ קריאה

Annex A בתקן ISO 27001: מהו ולמה הוא חשוב?

הכירו את 93 הבקרות של Annex A בתקן ISO 27001. תקנות אבטחת מידע ליישום בארגונים בהתאם למפת הסיכונים. להמשך קריאה

5 דק׳ קריאה

ISO 27001 בשנת 2026 – כל העדכונים והשינויים

2026 היא שנה משמעותית מאוד מבחינת היישום, הביקורות והתקנים המשלימים. ISO 27001 צריך לשקף את הארגון כפי שהוא היום: מערכות, ספקים, ענן, AI וסיכונים עדכניים. זה הזמן לבדוק אם סקר

לקבלת ייעוץ מקצועי, השאירו פרטים
ומומחי הסייבר שלנו יצרו איתכם קשר

ביטחון המידע שלכם מתחיל בשיחה אחת. אנחנו כאן כדי לתת מענה מקצועי, מהיר ואישי לכל שאלה, ייעוץ או פרויקט. משירותי CISO במיקור חוץ, דרך ניהול סיכונים ותקינה, ועד הדרכות עובדים ומבדקי חדירה. אנחנו מגיעים עם גישה פרואקטיבית של שותפים ונכנסים לעומק הארגון והמערכות, מבינים את האתגרים והרגולציה הרלוונטית, ובונים יחד תהליך הגנה שנותנים שליטה, מאפשרים שקיפות ויוצרים סביבה בטוחה יותר לאורך זמן.

אנו זמינים עבורכם לייעוץ מקצועי

לקבלת ייעוץ מקצועי, השאירו פרטים
ומומחי הסייבר שלנו יצרו איתכם קשר

דברו איתנו

077-9011117

בקרו אותנו

השחם 1 פתח תקווה, 4951701 ת.ד 11058 בסר סיטי בניין C קומה 11

תכתבו לנו

sales@infoguard.co.il