I punkt 6.1.3 i ISO 27001 nämns för första gången bilaga A. Här konstateras att organisationen ska gå igenom sina egna säkerhetsåtgärder och jämföra med de som tas upp i bilaga A. Dessutom ska organisationen skapa ett uttalande om tillämplighet och där berätta hur man förhåller sig till åtgärderna i bilaga A.
Så vad betyder det i praktiken?
Bilaga A och dess 114 säkerhetsåtgärder (i 2013 års version) är i praktiken ska-krav. Det vill säga, organisationen ska förhålla sig till åtgärderna i bilagan på ett eller annat sätt:
- Uteslutning – ”åtgärden berör inte oss”.
Om en åtgärd helt uppenbart inte berör organisationen utesluter man den. Man berättar i en motivering i sitt uttalande om tillämplighet varför man anser att den inte är tillämplig. Exempelvis, om ni inte utvecklas mjukvara är det mesta i A.14.2 inte aktuellt. För de flesta är det aktuellt med vissa uteslutningar, men revisorn kommer utmana samtliga av dem och dess motiveringar. - Implementerad:
Om en åtgärd inte kan eller bör uteslutas så behöver den implementeras. I de flesta organisationer som arbetat några år med IT-säkerhet i praktiken har normalt infört många åtgärder redan. Berätta hur. - Att implementera (handlingsplan):
Åtgärder som inte kan/bör uteslutas ska implementeras om det ännu inte är gjort. Berätta i uttalandet att det ska implementeras, status, ansvarig och när det förväntas vara klart.
Slutsats
Bilaga A och dess 114 åtgärder är ska-krav, men det innebär alltså inte nödvändigtvis att åtgärderna ska vara implementerade. Det är helt okej att ha en handlingsplan för sådant som ännu inte är klart. Ta hjälp med att utveckla ett uttalande om tillämplighet som fungerar för just din organisation – det finns många exempel på Internet men det är trots allt komplicerat att få till det på ett bra sätt. Ta också gärna hjälp med att bedöma vilka säkerhetsåtgärder som är tillämpningsbara för just er.