Déclaration d'Applicabilité : Guide simple

Construire une Déclaration d'Applicabilité (Statement of Applicability - SoA) claire et exploitable pour piloter les contrôles ISO 27001 et préparer efficacement les audits.

ISO 27001
Audit
SMSI
Discuter de votre contexte Retour aux ressources

En 30 secondes

  • But : documenter les contrôles ISO 27001 applicables et justifier les exclusions.
  • Entrées : analyse de risques, catalogue de contrôles ISO 27001, contexte organisationnel.
  • Sorties : Statement of Applicability, justification des exclusions, traçabilité des contrôles.
  • Quand l’utiliser : création du SMSI, évolution du périmètre, mise à jour annuelle, préparation audit.
declaration-dapplicabilite-guide-simple
ISO 27001 SoA Audit-ready 

La Statement of Applicability (SoA) est l’un des documents les plus importants d’un SMSI ISO 27001. Elle établit le lien entre les risques identifiés, les contrôles de sécurité sélectionnés et leur mise en œuvre réelle.

Position NetQualIT
Une SoA doit rester simple, justifiée et maintenable. Un document trop complexe devient rapidement obsolète et inutilisable lors des audits.

Objectif d’une Statement of Applicability

  • Documenter les contrôles ISO 27001 applicables
  • Justifier les contrôles exclus
  • Assurer la traçabilité avec l’analyse de risques
  • Fournir une vue synthétique du dispositif de sécurité

Structure recommandée

  • Contrôle ISO 27001
  • Applicabilité (Oui / Non)
  • Justification
  • Statut de mise en œuvre
  • Preuves associées

Exemple simplifié

ContrôleApplicabilitéJustificationStatut
A.5.15 Gestion des accèsOuiSystèmes critiques exposésImplémenté
A.8.28 Développement sécuriséNonPas d’activité de développement interneExclu

Erreurs fréquentes

  • Copier un modèle générique sans justification
  • Ne pas relier la SoA à l’analyse de risques
  • Oublier de mettre à jour après changement du SMSI
  • Ne pas documenter les exclusions

Attentes d’un auditeur

  • Cohérence entre analyse de risques et SoA
  • Justification claire des exclusions
  • Preuves de mise en œuvre des contrôles
  • Mise à jour régulière du document

Livrables

• Modèle de Statement of Applicability
• Structure de suivi des contrôles ISO 27001
• Exemple de justification d’exclusion

Synthèse opérationnelle

Une SoA efficace doit :

• être directement liée à l’analyse de risques
• indiquer clairement les contrôles applicables
• justifier les exclusions
• être maintenue à jour après chaque évolution du SMSI

Téléchargement

Besoin d’un cadre rapide et propre ?

NetQualIT vous accompagne pour structurer, sécuriser et documenter vos systèmes avec des livrables réellement audit-ready.

Nous contacter Retour aux ressources