SoA là gì? Cách quản lý Tuyên bố Áp dụng ISO/IEC 27001:2022
SoA là gì? Cách quản lý Tuyên bố Áp dụng ISO/IEC 27001:2022
Soạn bởi: Nguyễn Đăng Quang
Lead Auditor ISO/IEC27001 - ISO 9001, 14001, 22301, 27001, 45001, 50001
Completed training in TISAX Assessor
Trong quá trình triển khai ISO/IEC 27001:2022, một tài liệu bắt buộc mà mọi tổ chức phải xây dựng chính là Tuyên bố Áp dụng – Statement of Applicability (SoA). Dù chỉ gói gọn trong một bảng danh sách, nhưng SoA lại là trái tim của hệ thống ISMS, thể hiện rõ ràng các biện pháp kiểm soát an toàn thông tin mà tổ chức đã áp dụng – hoặc không áp dụng – và lý do tại sao.
📌 SoA là gì?
SoA (Statement of Applicability) là bảng liệt kê toàn bộ các kiểm soát trong Phụ lục A của tiêu chuẩn ISO/IEC 27001:2022 (gồm 93 kiểm soát), kèm theo các thông tin:
• Kiểm soát nào được áp dụng hoặc không áp dụng
• Lý do cho việc áp dụng hoặc không áp dụng
• Tình trạng thực hiện của mỗi kiểm soát (nếu có)
🧩 Mục đích của SoA
✅ Là căn cứ để tổ chức thiết lập các biện pháp bảo vệ thông tin phù hợp với rủi ro
✅ Là tài liệu quan trọng được tổ chức chứng nhận yêu cầu kiểm tra khi đánh giá ISO 27001
✅ Giúp minh bạch hóa các quyết định liên quan đến kiểm soát và rủi ro
✅ Là công cụ hiệu quả để giao tiếp nội bộ và với khách hàng/đối tác về mức độ bảo mật thông tin
🧭 Cách quản lý SoA theo ISO/IEC 27001:2022
✳ Bước 1: Phân tích rủi ro & xác định kiểm soát cần thiết
Dựa trên kết quả đánh giá rủi ro (Risk Assessment), doanh nghiệp xác định các kiểm soát phù hợp để giảm thiểu rủi ro.
✳ Bước 2: So sánh với danh sách 93 kiểm soát trong Phụ lục A
• Với mỗi kiểm soát từ A.5 đến A.8, xác định xem tổ chức có áp dụng hay không, và lý do.
• Không được loại bỏ kiểm soát nếu không có lý do rõ ràng.
✳ Bước 3: Điền vào bảng SoA
Tài liệu SoA thường có các cột:
• Mã kiểm soát (ví dụ: A.5.7)
• Tên kiểm soát
• Áp dụng / Không áp dụng
• Lý do áp dụng hoặc loại trừ
• (Tùy chọn) Trạng thái triển khai / Tài liệu tham chiếu
📋 Gợi ý nội dung mẫu cho một dòng SoA:
Mã | Tên kiểm soát | Áp dụng? | Lý do | Trạng thái |
A.5.23 | An toàn thông tin trong sử dụng dịch vụ Cloud | Có | Công ty sử dụng Cloud để lưu trữ và xử lý dữ liệu khách hàng | Đã triển khai (chính sách Cloud, hợp đồng nhà cung cấp) |
⚠️ Những lưu ý khi quản ly SoA
🔸 Không được sao chép nguyên mẫu từ nơi khác – SoA phải phản ánh đúng thực tế tổ chức
🔸 Không nên loại trừ quá nhiều kiểm soát – nếu có, cần lý do xác đáng
🔸 SoA nên được cập nhật định kỳ khi có thay đổi hệ thống, rủi ro hoặc khi đánh giá lại ISMS
🔸 Đây là tài liệu bắt buộc phải trình trong cuộc đánh giá chứng nhận ISO 27001
📎 Tải mẫu SoA đơn giản (phiên bản ISO/IEC 27001:2022)
🎁 Bạn có thể nhận mẫu SoA 93 kiểm soát + hướng dẫn cách điền tại: [NQA FORM]
👉 Định dạng: Excel – dễ chỉnh sửa, dễ in ấn
👉 Có cột lý do & gợi ý diễn giải phù hợp thực tế doanh nghiệp
📝 Kết luận
SoA không chỉ là một bảng danh sách kiểm soát – mà là bằng chứng cho thấy tổ chức bạn hiểu rõ rủi ro, có chiến lược kiểm soát rõ ràng và đủ năng lực bảo vệ thông tin. Một SoA được xây dựng đúng đắn sẽ giúp quá trình đánh giá, giám sát và cải tiến hệ thống ISMS trở nên dễ dàng và hiệu quả hơn.
📩 Cần hỗ trợ quản ly SoA, đánh giá rủi ro hay triển khai ISO/IEC 27001:2022?
👉 Liên hệ NQA Việt Nam để chứng nhận ISO 27001 & bộ tài liệu quà tặng!
📞 Hotline: 0912 300 560
🌐 Website: https://nqa.com.vn