Declaració d’aplicabilitat (SoA)

/ Certificat ISO, Consultoria ISO / Per

Què és la Declaració d'aplicabilitat?

La Declaració d’Aplicabilitat (DdA) és un document clau en un Sistema de Gestió de Seguretat de la Informació (SGSI) basat en la norma ISO/IEC 27001. Identifica els controls de seguretat aplicables a l’organització, en justifica la inclusió o l’exclusió i en reflecteix l’estat d’implementació. Serveix com a referència per a auditors, clients i comunicats interessats, demostrant com l’organització gestiona i protegeix la informació segons els riscos identificats.

Declaració d'aplicabilitat a ISO 27001

Els controls que s’inclouen a la Declaració d’Aplicabilitat (DdA) provenen de l’Annex A de la norma ISO 27001, que conté un total de 93 controls, agrupats en quatre grans temes:

  • Controls organitzatius (37 controls). Polítiques, rols, responsabilitats, gestió de recursos, protecció contra amenaces, etc.
  • Controls de persones (8 controls).Formació, conscienciació, responsabilitats del personal, seguretat en relacions laborals.
  • Controls físics (14 controls). Seguretat d’accessos físics, protecció d’equips, seguretat a oficines i entorns crítics.
    Controls tecnològics (34 controls). Gestió d’accessos, xifratge, protecció contra codi maliciós (malware), backup, monitorització, gestió de vulnerabilitats.

Cada organització selecciona els controls aplicables segons la seva anàlisi de riscos i requisits legals, contractuals o de parts interessades.

Declaració d'aplicabilitat a l'ENS

A l’Esquema Nacional de Seguretat (ENS), la Declaració d’Aplicabilitat (DdA) és el document que recull les mesures de seguretat aplicables a un sistema en funció de la seva categoria (BÀSICA, MITJANA o ALTA).

Aquestes mesures estan establertes a l’Annex II de l’ENS (Reial Decret 311/2022) i s’agrupen en tres blocs principals:

  • Marc organitzatiu (15 mesures). Fa referència a mesures relacionades amb la gestió, l’organització i la normativa interna, com ara: Política de seguretat, Funció de seguretat, Normativa de seguretat, Gestió de riscos, Formació i conscienciació, Gestió de personal, Seguretat en la contractació externa, Gestió de la continuïtat, Auditoria de seguretat.
  • Marc Operacional (34 mesures). Té en compte les mesures tècniques i procedimentals per a l’operació diària segura, incloent: Planificació i control de canvis, Protecció davant de codi nociu, Gestió de suports, Registre d’activitat, Monitorització contínua, Gestió d’incidents, Còpies de seguretat, Control d’accés físic i lògic.
  • Mesures de protecció (18 mesures). Controls per protegir la informació i els serveis davant d’amenaces, com ara: Protecció de comunicacions; Protecció de serveis externs; Protecció davant de denegació de servei; Protecció criptogràfica; Gestió de vulnerabilitats; Protecció contra suplantació i manipulació; Aïllament de serveis

La Declaració d’Aplicabilitat de l’ENS inclou:

  • Relació de les mesures aplicables segons la categoria del sistema (Bàsica, Mitjana o Alta).
  • Justificació de la seva aplicació, adaptació o no-aplicació.
  • Estat dimplantació de cada mesura.