//ISO 27001

ISO 27001

Deklaracja Stosowania (SoA) ISO 27001 - co zawiera i jak ja wypelnic

26 maja 2026·6 min czytania·Marcin Rabiasz · Pełnomocnik ZSZ

Czym jest Deklaracja Stosowania?

Deklaracja Stosowania (ang. Statement of Applicability, SoA) to wymagany dokument ISO 27001 (punkt 6.1.3 d), ktory okresla ktore zabezpieczenia z Zalaeznika A normy sa stosowane w organizacji, ktore sa wylaczone i dlaczego.

SoA jest jednym z najwazniejszych dokumentow ISMS - bez niej audyt certyfikacyjny nie moze zostac zamkniety pozytywnie. To zrodlo prawdy o tym jak organizacja podchodzi do bezpieczenstwa informacji.

ISO 27001:2022 - zmiany wzgledem wersji 2013

Wersja normy z 2022 roku wprowadzila istotne zmiany w Zalaczniku A:

Stara wersja (2013): 114 zabezpieczen w 14 kategoriach (domeny A.5 - A.18)

Nowa wersja (2022): 93 zabezpieczenia w 4 kategoriach:

•A.5 Zabezpieczenia organizacyjne (37 zabezpieczen)

•A.6 Zabezpieczenia dotyczace ludzi (8 zabezpieczen)

•A.7 Zabezpieczenia fizyczne (14 zabezpieczen)

•A.8 Zabezpieczenia technologiczne (34 zabezpieczenia)

Dodatkowo wprowadzono 11 nowych zabezpieczen (m.in. Threat Intelligence, Cloud Security, Secure Coding, Data Masking).

Co musi zawierac SoA?

Zgodnie z ISO 27001:2022 pkt 6.1.3, SoA musi zawierac:

1. Wykaz wszystkich 93 zabezpieczen z Zalaeznika A - kazde zabezpieczenie musi byc wymienione

2. Uzasadnienie wlaczenia lub wylaczenia - dla kazdego zabezpieczenia:

•Jezeli STOSOWANE: jak jest zaimplementowane lub planowane

•Jezeli WYLACZONE: dlaczego nie ma zastosowania (np. "Organizacja nie prowadzi pracy zdalnej")

3. Stan wdrozenia - typowe statusy: Wdrozone / W trakcie / Planowane / Nie dotyczy

ISO Forge

Generator dokumentów ISO 27001

3 dokumenty za darmo - bez karty kredytowej

4. Odwolanie do oceny ryzyka - powiazanie z rejestr ryzyk (ktore ryzyko uzasadnia dane zabezpieczenie)

Najczesciej wykluczane zabezpieczenia

W malych i srednich organizacjach typowo wyklucza sie (z uzasadnieniem):

•A.6.7 Praca zdalna - jezeli organizacja nie dopuszcza pracy zdalnej

•A.8.10 Usuwanie informacji - jezeli brak systemow wymagajacych kontrolowanego usuwania

•A.7.4 Fizyczny monitoring - jezeli brak fizycznych serwerowni lub wrazliwych stref

Uwaga: wylaczenie zabezpieczenia musi byc uzasadnione wynikami oceny ryzyka. Nie mozna wylaczac zabezpieczen bez uzasadnienia.

SoA a ocena ryzyka

SoA i rejestr ryzyk sa ze soba nierozerwalnie powiazane:

1.Identyfikujesz ryzyka (rejestr ryzyk, ocena ryzyka IS)

2.Wybierasz zabezpieczenia ktore zmniejszaja te ryzyka

3.Dokumentujesz w SoA ze dane zabezpieczenie jest stosowane i dlaczego (powolanie na ID ryzyka)

Audytor ISMS bedzie sprawdzal te powolania - czy kazde stosowane zabezpieczenie ma swoje ryzyko, i odwrotnie: czy dla kazdego wysokiego ryzyka sa wybrane zabezpieczenia.

Czeste bledy w SoA

•Wylaczenie zabezpieczenia bez uzasadnienia - NC na pewno

•Stan "planowane" bez daty wdrozenia - audytor zapyta o harmonogram

•Brak powolania na ryzyko - SoA oderwana od oceny ryzyka

•Stara wersja SoA - zbudowana na ISO 27001:2013 (114 zabezpieczen) zamiast 2022 (93)

•Brak przegladu po zdarzeniach - SoA powinna byc aktualizowana po incydentach

SoA a zakres certyfikacji

SoA musi byc spójna z zakresem systemu ISMS (pkt 4.3). Jezeli zakres ISMS nie obejmuje np. chmury publicznej, to zabezpieczenia dotyczace chmury mozna wylaczac - ale tylko jezeli sa POZA zakresem. Nie mozna wylaczac zabezpieczen ktore dotycza dzialan w zakresie.

ISO Forge i generowanie SoA

ISO Forge generuje Deklaracje Stosowania zgodna z ISO 27001:2022 - tabela wszystkich 93 zabezpieczen z kolumnami: numer, nazwa, opis, stosowane/nie, uzasadnienie, stan wdrozenia. Dokument DOCX mozna edytowac i dostosowac do specyfiki organizacji.

Generator tworzy rowniez ocene ryzyka ISMS i rejestr zasobow informacyjnych - kompletny pakiet dokumentacji ISMS.

Wygeneruj Deklaracje Stosowania ISO 27001:2022 dla swojego systemu ISMS w ISO Forge.

Wygeneruj dokumentację ISO w minuty

Pierwszy dokument za darmo. Bez karty kredytowej.