Soveltuvuuslausunto (engl. Statement of Applicability tai SoA) on keskeinen dokumentti joka määrittelee, kuinka organisaatio toteuttaa ison osan omasta tietoturvastaan.
Sovelutuvuuslausunto kuvaa, mitkä ISO 27001 -standardin suosittelemista hallintakeinosta organisaatiossa toteutetaan, kuinka ne toteutetaan ja mikä on hallintakeinojen tämänhetkinen tila. Lisäksi kuvataan mahdolliset perustelut tiettyjen hallintakeinojen käyttämättä jättämiselle.
Organisaatio on määritellyt menettelyt tietoturvariskien arviointiin ja käsittelyyn. Määrittely sisältää ainakin:
Tehtävän omistaja tarkistaa säännöllisesti, että riskikriteerit ovat selkeitä ja tuottavat johdonmukaisia arvioita.
Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:
Organisaation täytyy määrittää hyväksyttävä taso riskeille. Taso lasketaan riskien todennäköisyyden, vakavuuden ja hallintakeinojen pohjalta.