Hvad er et SoA-dokument
I SoA-dokumentet skal organisationen forholde sig til de til- og fravalg af foranstaltninger, som organisationen vil implementere for at håndtere de identificerede risici.
Listen af foranstaltninger, som man skal forholde sig til findes i ISO/IEC 27001’s Anneks A.
Udarbejdelsen af SoA-dokumentet er tiltænkt som en opfølgning på risikohåndteringsplanen, men udføres i praksis i en parallel proces, da foranstaltninger i Anneks A kan bruges som tjekliste for, om risici er håndteret efter forskrifterne.
SoA-dokumentet skal indeholde begrundelser for, hvorfor visse foranstaltninger evt. er blevet valgt fra. De tilvalgte foranstaltninger indgår som grundlag for handlingsplaner for aktiviteter, der skal medføre en implementering af foranstaltningerne.
Udover listen af foranstaltninger fra Anneks A, skal SoA-dokumentet også indeholde andre foranstaltninger som skønnes relevante for den enkelte organisation og tage højde for lovgivningen.
Det færdige SoA-dokument skal godkendes af organisationens ledelse.
