SoA – A importância da Declaração de Aplicabilidade na ISO 27001

SoA – A importância da Declaração de Aplicabilidade na ISO 27001

Entenda o que é SoA (Declaração de Aplicabilidade) e por que ela é tão vital na Certificação ISO 27001 e na Segurança da Informação! Leia agora!

Infelizmente, muitos profissionais ainda acham que a SoA – Declaração de Aplicabilidade – é um documento meramente burocrático. Uma tabela criada para “o auditor ver”. Entretanto, isso é um erro grave, que precisa ser solucionado para a segurança da informação e, igualmente, para assegurar a certificação ISO 27001.

Quando a SoA não existe ou é mal estruturada, a empresa corre um risco a mais: se perder em seus próprios controles. Isso pode levar a organização a esquecer pontos vitais do sistema de gestão da segurança da informação (SGSI) e, ainda pior, a não cobrir riscos críticos às suas informações. Quando isso acontece, a chance de vazamentos é enorme!

Por isso, no texto de hoje, vamos entender como a Declaração de Aplicabilidade extrapola a certificação ISO. Entenderemos o que ela é, sua importância e estrutura básica e verdadeira utilidade dentro do dia a dia das empresas. Mesmo porque, como o próprio nome diz, ela trata diretamente da aplicabilidade da segurança, e isso é extremamente importante! Então, dito isto, vamos ao conteúdo!

 

O que é SoA (Declaração de Aplicabilidade)?

SoA é a sigla em inglês para Statement of Applicability ou, em tradução livre para o português, Declaração de Aplicabilidade. Ela está diretamente ligada à ISO 27001, e serve para listar quais controles da norma a empresa decidiu adotar.

Ao todo, a ISO 27001 possui 93 controles divididos em 4 categorias: organizacionais, tecnológicos, físicos e de pessoas. Estes controles estão listados no Anexo A da norma, e servem aos mais diversos propósitos. Porém, eles não são aplicáveis a todos os contextos, e é aqui que a SoA entra!

Podemos dizer que a Declaração de Aplicabilidade funciona como uma espécie de “mapa estratégico” dos controles de segurança adotados por uma organização. Ela oferece uma lista clara de quais deles são aplicáveis, quais não são aplicáveis e quais os motivos da inclusão ou exclusão.

Além disso, ela também demonstra como esses controles são implementados e, o mais importante, qual a relação deles com os riscos à segurança da informação da empresa. Esse documento é obrigatório para a certificação na ISO 27001, afinal sem uma SoA bem arquitetada, podemos dizer que o SGSI praticamente não existe, pois não há como tratar riscos sem controles claros e bem delimitados.

 

A Declaração de Aplicabilidade é exclusiva da ISO 27001? 

Para fins de certificação, formalmente, sim, uma vez que ela é obrigatória na ISO 27001. Entretanto, o conceito de Declaração de Aplicabilidade pode ser utilizado em diversos outros sistemas de gestão.

Isso acontece porque nem todos os requisitos de uma norma podem ser aplicáveis na totalidade. Na ISO 9001, por exemplo, requisitos como os de Projeto e desenvolvimento de produtos e serviços (cláusula 8.3) ou de Propriedade pertencente a clientes ou provedores externos (8.5.3) podem não fazer sentido. Imagine dois exemplos simplificados:

  • Uma empresa que apenas realiza a montagem de peças, ela não desenvolve nada, assim, ela não se aplica ao requisito 8.3;
  • Uma organização que executa desenhos técnicos criados por ela mesma, sem utilizar absolutamente nada de seus clientes, assim o requisito 8.5.3 não faz sentido em seu contexto.

Dessa forma, apesar de surgir especificamente na ISO 27001, a SoA (Declaração de Aplicabilidade) pode inspirar outros sistemas de gestão. Seja representando a conexão lógica entre riscos, ou apenas demonstrando a aplicabilidade – ou não – de requisitos.

 

Estrutura básica da SOA

A Declaração de Aplicabilidade é um documento vivo, que pode ter diferentes estruturas a depender do contexto da sua organização. Bem como, ao longo do tempo, sofrerá atualizações, acrescentando ou eliminando informações. Porém, algumas informações básicas contidas nela podem ser:

  • Os controles do Anexo A da ISO 27001;
  • O nome do controle (adotado pela empresa);
  • Se o controle é aplicável ou não;
  • A justificativa sobre a decisão de aplicabilidade;
  • Informações de implementação (sim, não, em andamento, como, etc.);
  • Evidências de implementação (muito útil em auditoria).

Vale ressaltar, é claro, que a norma ISO 27001 não impõe um formato único, rígido ou restrito. Assim, a SoA normalmente possui uma tabela com colunas que trazem as informações acima. Porém, algumas empresas podem incluir informações como:

  • Responsável específico pelo controle; 
  • Nível de maturidade do controle; 
  • Relação com riscos específicos; 
  • Indicadores afetados; 
  • Observações de auditoria;
  • Entre outros campos.

O importante é compreender que a Declaração de Aplicabilidade é um documento útil, que serve não apenas para demonstrar conformidade, mas também para orientar estrategicamente a organização e seus processos. Ou seja, ela é um “mapa estratégico” dos controles do sistema de gestão da segurança da informação.

 

Aplicação diária da SoA nas empresas

A Declaração de Aplicabilidade garante que os controles de segurança adotados tenham relação direta com os riscos reais da organização, centralizando justificativas, decisões e evidências. Assim como, tornando as auditorias mais organizadas e transparentes.

Dessa forma, a organização consegue visualizar lacunas, riscos críticos e necessidades reais de melhoria. Ou seja, por meio da Soa, pessoas de diferentes áreas –  como TI, segurança, compliance, diretoria e auditoria – passam a ter uma visão mais clara e alinhada dos controles. Algo que impacta diretamente a rotina de várias áreas da organização e de seus colaboradores.

Isso faz com que, na prática, a Declaração de Aplicabilidade SoA funcione também como uma referência para decisões, controles e responsabilidades do dia a dia. Assim, ao se deparar com dificuldades, decisões difíceis ou priorização de controles e melhorias, ela serve como uma bússola, mostrando os rumos que as empresas – e as pessoas que nelas trabalham – devem tomar. 

 

Declaração de Aplicabilidade: aliando o “quê” ao “porquê”

Resumindo tudo, se a ISO 27001 define “o quê” precisa ser gerenciado, a SoA mostra quais controles foram escolhidos e, ainda mais importante, “por quê” eles foram escolhidos! Dessa forma, ela acaba por ser um dos documentos mais importantes dentro da ISO 27001, um poderoso auxílio para as auditorias e um retrato fiel de como as empresas tratam seus riscos de segurança da informação.

Assim, muito mais do que uma obrigação documental, a Declaração de Aplicabilidade conecta riscos, decisões, controles e estratégia em um único ponto de referência. Quando bem construída, ela deixa de ser apenas uma tabela técnica e passa a funcionar como uma bússola para nossos SGSIs! Isso porque ela orienta nossos processos sobre quais caminhos seguir para proteger as informações de maneira lógica, consistente e alinhada ao contexto em que estamos inseridos.

Em outras palavras, portanto, a SoA nos ajuda a transformar segurança da informação em algo racional e estruturado, evitando controles implantados apenas “por obrigação” ou sem propósito claro. E em uma era de ameaças digitais que crescem diariamente, compreender exatamente o motivo por trás de cada controle pode ser a diferença entre um sistema de gestão robusto e um conjunto de medidas frágeis e desconectadas.

Foto de QMS Certification

QMS Certification

A QMS Certification é um organismo de certificação internacional acreditado que atua especificamente com certificação de sistemas de gestão e treinamentos de normas aplicáveis.

Webinar do mês

Confira nossos conteúdos ao vivo!

Todo mês ensinamos ao novo gratuitamente, confira e se inscreva!

Nos webinars que você assistir ao vivo, há liberação de um certificado de participação ;)

CONFERIR AGENDA
Logo Q Academy Branco

Cursos online de
Sistemas de Gestão

  • Auditor Líder
  • Entendimento normativo
  • Imersões presenciais em SP
VER CURSOS