Что такое ISO 9001: кратко и по делу для бизнеса в Грузии
SoA (Statement of Applicability, «Заявление о применимости») — один из тех документов, которые аудитор любит так же сильно, как бухгалтер любит сверку. Он показывает, какие меры контроля информационной безопасности вы выбрали, какие не выбрали и главное — почему. Для компаний, которым важна защита бизнеса в Грузии (особенно если есть международные клиенты, аутсорсинг, финтех, e-commerce), SoA становится доказательством зрелости подхода, а не просто «папкой для галочки».
Что такое SoA и зачем он нужен
Если ISO 27001 — это «правила игры», то SoA — это «ваша расстановка игроков на поле». В SoA обычно фиксируют:
Как SoA связано с управлением рисками
SoA живёт не отдельно, а в связке с оценкой рисков: активы → угрозы → уязвимости → риск → решение по обработке риска → контроль → подтверждение выполнения. Если у вас выстроена система управления рисками на предприятии, SoA становится её «витриной» для аудитора: по нему быстро видно, насколько выбор контролей осмысленный.
Важно также помнить про управление рисками проекта: внедрение ISO 27001 — это проект, и провалы часто происходят не из-за «плохого стандарта», а из-за срыва сроков, размытых ролей и отсутствия владельцев процессов. Поэтому аудитор нередко задаёт вопросы не только про ИБ, но и про то, как вы управляете изменениями и выполнением плана.
Что именно проверяет аудитор в SoA
Перед списком — ключевая мысль: аудитор ищет связность. Ему нужно увидеть, что SoA не скопирован из шаблона, а отражает ваш контекст, бизнес и реальные риски.
Типичные ошибки, из-за которых SoA проседает на аудите1) SoA не привязан к оценке рисков
Контроли выбираются «потому что так в шаблоне». В результате у вас есть меры, которые не закрывают ключевые риски, и нет мер там, где они нужны.
2) Не применим без реального обоснования
Фраза «не используем облака» не работает, если почта на SaaS или бэкапы лежат в облачном хранилище.
3) Нет следов выполнения
Контроль есть на бумаге, но нет логов, отчётов, результатов проверок, подтверждений обучения сотрудников.
Как подготовиться, чтобы аудит прошёл спокойно
Если вы хотите привести SoA и управление рисками в порядок без лишней бюрократии — проще идти с консультантами, которые понимают и стандарт, и местную бизнес-практику. На сайте Baltum Bureau можно посмотреть направления и формат работ. Также полезно изучить страницы услуг для подготовки и сопровождения:
Грамотно собранный SoA — это не только про пройти аудит, но и про понятную картину: какие риски важны вашему бизнесу, чем вы их закрываете и как это поддерживается каждый день. Это и есть практичная защита бизнеса в Грузии, а не «сертификат ради сертификата».
Что такое SoA и зачем он нужен
Если ISO 27001 — это «правила игры», то SoA — это «ваша расстановка игроков на поле». В SoA обычно фиксируют:
- перечень контролей (чаще всего на базе ISO/IEC 27002);
- статус: применим / не применим / применим частично;
- обоснование выбора или исключения;
- ссылку на риск (или группу рисков), которые закрывает контроль;
- связь с политиками, процедурами и доказательствами внедрения.
Как SoA связано с управлением рисками
SoA живёт не отдельно, а в связке с оценкой рисков: активы → угрозы → уязвимости → риск → решение по обработке риска → контроль → подтверждение выполнения. Если у вас выстроена система управления рисками на предприятии, SoA становится её «витриной» для аудитора: по нему быстро видно, насколько выбор контролей осмысленный.
Важно также помнить про управление рисками проекта: внедрение ISO 27001 — это проект, и провалы часто происходят не из-за «плохого стандарта», а из-за срыва сроков, размытых ролей и отсутствия владельцев процессов. Поэтому аудитор нередко задаёт вопросы не только про ИБ, но и про то, как вы управляете изменениями и выполнением плана.
Что именно проверяет аудитор в SoA
Перед списком — ключевая мысль: аудитор ищет связность. Ему нужно увидеть, что SoA не скопирован из шаблона, а отражает ваш контекст, бизнес и реальные риски.
- Актуальность версии SoA: совпадают ли даты/релизы с актуальной оценкой рисков и планом обработки рисков.
- Полнота охвата контролей: все ли релевантные контроли рассмотрены, нет ли «дырок» без объяснений.
- Обоснование “не применим”: логика должна быть ясной и проверяемой (например, «нет удалённого доступа» — тогда покажите, как он технически исключён).
- Трассируемость “риск → контроль”: можно ли по SoA понять, какой риск закрывает конкретная мера и где это отражено в документах.
- Доказательства внедрения: политики, процедуры, журналы, записи обучения, результаты тестов, отчёты мониторинга.
- Практическая применимость: соответствует ли написанное реальности (например, «есть управление доступами», а по факту у всех общий аккаунт — это быстро вскроется).
Типичные ошибки, из-за которых SoA проседает на аудите1) SoA не привязан к оценке рисков
Контроли выбираются «потому что так в шаблоне». В результате у вас есть меры, которые не закрывают ключевые риски, и нет мер там, где они нужны.
2) Не применим без реального обоснования
Фраза «не используем облака» не работает, если почта на SaaS или бэкапы лежат в облачном хранилище.
3) Нет следов выполнения
Контроль есть на бумаге, но нет логов, отчётов, результатов проверок, подтверждений обучения сотрудников.
Как подготовиться, чтобы аудит прошёл спокойно
- Проверьте, что SoA обновлён и совпадает с текущими рисками и планом обработки.
- Для каждого ключевого контроля соберите «пакет доказательств»: документ + запись/лог + пример применения.
- Сверьте SoA с реальными процессами: доступы, инциденты, резервное копирование, управление изменениями.
- Назначьте владельцев контролей — аудитору важно, чтобы «у меры был хозяин», а не «это где-то у IT».
Если вы хотите привести SoA и управление рисками в порядок без лишней бюрократии — проще идти с консультантами, которые понимают и стандарт, и местную бизнес-практику. На сайте Baltum Bureau можно посмотреть направления и формат работ. Также полезно изучить страницы услуг для подготовки и сопровождения:
Грамотно собранный SoA — это не только про пройти аудит, но и про понятную картину: какие риски важны вашему бизнесу, чем вы их закрываете и как это поддерживается каждый день. Это и есть практичная защита бизнеса в Грузии, а не «сертификат ради сертификата».
