SoA- Statement of Applicability o Declaración de aplicabilidad.
Es uno de los ingredientes principales en un SGSI (Sistema de Gestión de la Seguridad de la Información). Contiene los controles relacionados con los riesgos que se aplicarán en el sistema.
La norma ISO/IEC 27001, establece 133 controles, la organización debe seleccionar aquellos que se deseen implantar y por su puesto mantener (Siguiendo el ciclo PDCA)
De los controles seleccionados que forman parte del tratamiento de riesgos, se obtiene la Declaración de la aplicabilidad.
Es muy importante resaltar que si no se aplican alguno de los 133 controles, es necesario que la empresa u organización demuestre que se ha analizado la causa y motivo de la no incorporación. Es necesario demostrarlo.
Al igual que se pueden añadir más controles si son necesarios por parte de la empresa. Un ejemplo de estos controles adicionales son los relacionados con lo que marca la LOPD o el Esquema Nacional de Seguridad.