ISO 27701:2025 סטעיטמענט פון אַפּליקאַביליטי גייד

ISO 27701:2025 דערקלערונג פון אַפּליקאַביליטי: וואָס צו אַרייַננעמען און ווי צו בויען עס

די סטעיטמענט פון אַפּליקאַביליטי איז איינע פון די וויכטיקסטע דאָקומענטן אין אייער ISO 27701:2025 סערטיפיקאַציע. די גייד דערקלערט וואָס עס מוז אַנטהאַלטן, ווי עס צו בויען עפֿעקטיוו און די טעותים וואָס פירן צו אוידיט רעזולטאַטן.

זעט ווי ISMS.online דזשענערירט אייער SoA

וואָס איז די סטעיטמענט פון אַפּליקאַביליטי און פארוואס איז עס וויכטיק?

די סטעיטמענט אף אנווענדלעכקייט (SoA) איז א דאקומענט וואס ליסט יעדע קאנטראל פון אַנעקס א פון ISO 27701:2025 און זאגט צי יעדער איינער איז אָנווענדלעך צו אייער אָרגאַניזאַציע. פֿאַר יעדן אָנווענדלעכן קאָנטראָל, רעקאָרדירט איר זיין ימפּלעמענטאַציע סטאַטוס. פֿאַר יעדן אויסגעשלאָסענעם קאָנטראָל, גיט איר אַ באַרעכטיקונג.

עס איז וויכטיג פֿאַר דריי סיבות:

עס דעפינירט דעם פאַרנעם פון דיין PIMS — די SoA זאגט אייער סערטאַפאַקיישאַן גוף פּונקט וועלכע קאָנטראָלן איר האָט אײַנגעפֿירט און פֿאַרוואָס אַנדערע זענען אויסגעשלאָסן. דאָס איז די יסוד פֿון אײַער סערטיפֿיקאַציע־אויפֿראַגע.
עס איז אַ פארלאנגטע פארלאנג — קלאָז 6.1.3 e) פון ISO 27701:2025 פארלאנגט אויסדריקליך א סטעיטמענט פון אַפּליקאַביליטי וואָס כולל די נייטיקע קאָנטראָלן, א בארעכטיקונג פֿאַר זייער ארייננעמען, צי זיי זענען ימפּלאַמענטאַד, און א בארעכטיקונג פֿאַר אויסשליסן קיין אַנעקס A קאָנטראָלן.
דאָס איז אייער אוידיט ראָודמאַפּ — דער אוידיטאָר ניצט אייער SoA (SoA) ווי די הויפּט רעפערענץ בעת דעם סטאַגע 2 אוידיט. יעדער קאָנטראָל וואָס איז געמאַרקט ווי אָנווענדלעך וועט ווערן אָפּגעשאַצט פֿאַר באַווייַז פון דורכפירונג.

וואָס מוז די SoA אַנטהאַלטן?

אונטער ISO 27701:2025, מוז אייער SoA ארייננעמען די פאלגענדע פאר יעדן אנעקס A קאנטראל:

פארלאנגט עלעמענט	באַשרייַבונג	בייַשפּיל
קאָנטראָל רעפֿערענץ	דער אַנעקס א קאָנטראָל נומער און טיטל	A.1.2 — פּריוואַטקייט נאָטיץ
אַפּליקאַביליטי סטאַטוס	צי די קאָנטראָל איז אָנווענדלעך צו אייער אָרגאַניזאַציע	אָנווענדלעך / נישט אָנווענדלעך
ימפּלאַמענטיישאַן סטאַטוס	פֿאַר אָנווענדלעכע קאָנטראָלן: צי די קאָנטראָל איז גאָר דורכגעפֿירט, טיילווייז דורכגעפֿירט, צי געפּלאַנט	ימפּלעמענטעד
באַרעכטיקונג פֿאַר אַרייננעמען	פארוואס די קאנטראל איז נויטיג פאר אייער PIMS (געווענליך פארבונדן מיט אייער ריזיקע אפשאצונג)	פארלאנגט צו אדרעסירן ריזיקע R-014 (נישט גענוגיקע טראנספארענץ צו דאטן סוביעקטן)
באַרעכטיקונג פֿאַר אויסשליסונג	פֿאַר אויסגעשלאָסענע קאָנטראָלן: פארוואס די קאָנטראָל איז נישט אָנווענדלעך צו אייערע דאַטן פּראַסעסינג אַקטיוויטעטן	נישט אָנווענדלעך — די אָרגאַניזאַציע אַקטירט נישט ווי אַ PII פּראַסעסער

ווי איז די 2025 SoA אַנדערש סטרוקטורירט פֿון 2019?

אויב איר זענט באַקאַנט מיט דער 2019 אויסגאַבע, די SoA סטרוקטור האט זיך באַדייטנד געביטן:

אַספּעקט	2019 edition	2025 edition
קאָנטראָל מקור	קלאָזעס 6, 7 און 8 (פאַרברייטערונגען צו ISO 27002)	אַנעקס א (78 זעלבשטענדיקע קאָנטראָלן איבער 3 טישן)
ביניען	די SoA האט באדעקט ביידע ISO 27001 אַנעקס A און ISO 27701 קלאָז צוגעבן	ISO 27701:2025 האט זיין אייגענע דעדיקירטע SoA וואָס באַדעקט נאָר אַנעקס A.
קאָנטראָל טישן	אָרגאַניזירט לויט ISO 27002 קלאָז סטרוקטור	דריי טישן: A.1 (קאָנטראָללער, 31 קאָנטראָלן), A.2 (פּראַסעסער, 18 קאָנטראָלן), A.3 (געטיילט, 29 קאָנטראָלן)
באַציִונג צו ISO 27001 SoA	קאָמבינירט אָדער קראָס-רעפערענסד	באַזונדער דאָקומענט. אויב איר האַלט ביידע סערטיפיקאַציעס, האַלט איר צוויי SoAs.

ISMS.online שטיצט איבער 100 סטאַנדאַרדס און רעגיאַליישאַנז, געבן איר אַ איין פּלאַטפאָרמע פֿאַר אַלע דיין העסקעם דאַרף.

ספר דיין דעמאָ

ווי זאָלט איר זיך צוגיין צו בויען די SoA?

שריט 1: באַשטימען אייערע ראָלע(ס)

ISO 27701:2025 אונטערשיידט צווישן PII קאנטראלערס און PII פראסעסארס. אייער ראלע באשטימט וועלכע אנאקס א טאבעלעס זענען גילטיק:

נאָר PII קאָנטראָללער — טאַבעלע A.1 (31 קאָנטראָלן) + טאַבעלע A.3 (29 קאָנטראָלן) = 60 קאָנטראָלן
נאָר PII פּראַסעסער — טאַבעלע A.2 (18 קאָנטראָלן) + טאַבעלע A.3 (29 קאָנטראָלן) = 47 קאָנטראָלן
ביידע קאָנטראָללער און פּראַסעסער — אַלע דריי טישן = 78 קאָנטראָלן

פילע אָרגאַניזאַציעס אַקטן ווי ביידע קאָנטראָללער (פֿאַר אַרבעטער דאַטן) און פּראַסעסער (פֿאַר קונה דאַטן). אויב דאָס אַפּלייז צו אײַך, אַלע 78 קאָנטראָלן זענען אין דעם פאַרנעם.

שריט 2: פֿאַרבינדן קאָנטראָלן צו אייער ריזיקאָ אַסעסמענט

יעדער אָנווענדלעכער קאָנטראָל זאָל זיך צוריקפירן צו אַ ריזיקע וואָס איז אידענטיפיצירט געוואָרן אין אייער פּריוואַטקייט ריזיקע אַסעסמענט. דער לינק איז וואָס די קאָנטראָלירןאדער ניצט צו באשטעטיגן אז אייער קאנטראל אויסוואל איז ריזיקע-באזירט אנשטאט ארביטראר. אויב א קאנטראל אדרעסירט א ריזיקע וואס איר האט אידענטיפיצירט, זאל עס זיין אנגעווענדלעך. אויב קיין ריזיקע רעכטפארטיגט נישט די קאנטראל און אייער דאטן באארבעטונג פארלאנגט עס נישט, קענט איר עס אויסשליסן מיט א דאקומענטירטע רעכטפארטיגונג.

שריט 3: דאקומענט אימפלעמענטאציע סטאטוס ערליך

פֿאַר יעדן אָנווענדלעכן קאָנטראָל, רעקאָרדירט זײַן איצטיקן סטאַטוס:

ימפּלעמענטעד — די קאָנטראָל איז גאָר אָפּעראַציאָנעל מיט באַווייַזן
טיילווייז דורכגעפירט — עטלעכע עלעמענטן זענען שוין אויף זייער פלאץ; ארבעט בלייבט נאך
פּלאַננעד — די קאָנטראָל איז אין אייער אימפּלעמענטאַציע פּלאַן אָבער נאָך נישט אָפּעראַציאָנעל

זייט ערלעך וועגן טיילווייזער אימפלעמענטאציע. אוידיטארן רעספּעקטירן טראַנספּאַרענץ און וועלן ארבעטן מיט אייך אויף א צייט-פלאן פאר קארעקטיווע אקציע. זייט פארלאנגען פולע אימפלעמענטאציע ווען יידעס - זאָגן איז דין איז אַ שנעלער וועג צו אַ גרויסער ניט-קאָנפאָרמיטעט.

שריט 4: שרייבט פארטיידיקבארע אויסשליסונגס-בארעכטיקונגען

פֿאַר יעדן אויסגעשלאָסענעם קאָנטראָל, מוז אייער באַרעכטיקונג דערקלערן פאַרוואָס עס איז נישט אָנווענדלעך צו אייער ספּעציפֿישן דאַטן פּראַסעסינג קאָנטעקסט. אַלגעמיינע באַרעכטיקונגען ווי "נישט באַטייַטיק" זענען נישט גענוג. ביישפילן פון פאַרטיידיקבאַרע אויסשליסונגען:

"קאָנטראָל A.2.x איז נישט אָנווענדלעך ווײַל די אָרגאַניזאַציע אַקטירט נישט ווי אַ PII פּראַסעסער פֿאַר קיין דריט פּאַרטיי."
"קאָנטראָל A.1.x (דירעקט מאַרקעטינג) איז נישט אָנווענדלעך ווייל די אָרגאַניזאַציע פאַראַרבעט נישט פּערזענלעך אינפֿאָרמאַציע (PII) פֿאַר דירעקט מאַרקעטינג צוועקן."
"קאָנטראָל A.3.x (פיזישע מעדיע) איז נישט אָנווענדלעך ווייל די אָרגאַניזאַציע פּראַסעסירט פּערזענלעך אינפֿאָרמאַציע אויסשליסלעך אין דיגיטאַלער פֿאָרעם אָן קיין פיזישע רעקאָרדס."

וואָסערע טעותים פאַראורזאַכן אוידיט געפינסן אויף די SoA?

פעלנדיקע בארעכטיקונגען פאר אויסשליסונגען — די מערסטע פארשפרייטע געפינס. יעדע אויסגעשלאסענע קאנטראל דארף א ספעציפישע, דאקומענטירטע סיבה. "נישט אנwendbar" אליין איז נישט גענוג.
קאָנטראָלן געמאַרקט ווי ימפּלאַמענטירט אָן באַווייַזן — אויב איר מאַרקירט אַ קאָנטראָל ווי אימפּלעמענטירט, וועט דער אוידיטאָר בעטן צו זען באַווייזן. זיכערט זיך אַז די באַווייזן עקזיסטירן און זענען פֿאַרבונדן איידער אייער אוידיט.
SoA שטימט נישט מיט די ריזיקע אפשאצונג — אויב אייער ריזיקע אפשאצונג אידענטיפיצירט א פריוואטקייט ריזיקע אבער די קארעספאנדירנדע קאנטראל איז אויסגעשלאסן אין די SoA, וועט דער אוידיטאר דאס אויפהייבן אלס א נישט-קאנפארמיטי.
ניצן די 2019 סטרוקטור — אויב אייער SoA רעפערענצירט קלאָז 7/8 קאָנטראָללער/פּראַסעסער צוגאָבן אַנשטאָט אַנעקס A טאַבעלעס, טרעפט עס נישט די 2025 באדערפענישן.
קיין ווערסיע קאָנטראָל — די SoA איז אַ לעבעדיק דאָקומענט. אויב עס האט נישט קיין ווערסיע געשיכטע וואָס ווייזט ווען עס איז לעצט איבערגעקוקט און דערהייַנטיקט געוואָרן, קען דער אוידיטאָר פרעגן צי עס שפּיגלט אָפּ אייער איצטיקן צושטאַנד.

איינער פון אונדזערע אָנבאָאַרדינג ספּעציאַליסטן וועט אייך דורכפֿירן אונדזער פּלאַטפאָרמע צו העלפֿן אייך אָנהייבן מיט בטחון.

ספר דיין דעמאָ

ווי האַלט מען די SoA אַקטועל?

אייער SoA איז נישט קיין איין-מאליקער דאקומענט. מען דארף עס איבערקוקן און אפדעיטן:

נאך ענדערונגען אין ריזיקע אפשאצונג — נייע ריזיקעס קענען פארלאנגען נאָך קאָנטראָלן; אויסגעטריבענע ריזיקעס קענען ערלויבן אויסשליסונגען
ווען דאַטן פּראַסעסינג אַקטיוויטעטן טוישן זיך — נייע סערוויסעס, נייע דאטן טיפן אדער נייע פראצעסינג באציאונגען קענען אפעקטירן וועלכע קאנטראלן זענען אנwendbar
פאר יעדן אוידיט — זיכער מאַכן אַז די SoA שפּיגלט גענוי אָפּ אייער איצטיקן אימפּלעמענטאַציע סטאַטוס
אלס טייל פון די פאַרוואַלטונג איבערבליק — ארייננעמען SoA וואלוטע אלס א שטייענדיקע זאך אויף דער אגענדע

A קאָמפּליאַנס פּלאַטפאָרמע וואָס דזשענערירט די SoA פֿון אייערע לעבעדיקע קאָנטראָל דאַטן מאַכט דאָס אויטאָמאַטיש אַנשטאָט מאַנועל. ווען איר דערהייַנטיקט אַ קאָנטראָל'ס סטאַטוס אָדער לייגט צו אַ נייעם ריזיקע, שפּיגלט די SoA די ענדערונג גלייך אָפּ.

פארוואס קלייַבן ISMS.online פֿאַר ISO 27701:2025?

אויטאָמאַטישע SoA דזשענעריישאַן — בויען אייער דערקלערונג פון אַפּליקאַביליטי פון אייערע קאָנטראָל סעלעקשאַנז, מיט באַרעכטיקונגען און באַווייַזן לינקס אויטאָמאַטיש באַפעלקערט
אַלע 78 אַנעקס א קאָנטראָלס פאַר-לאָודיד — קאָנטראָללער, פּראַסעסער און געטיילטע קאָנטראָלן זענען גרייט צו אָפּשאַצן, מיט גיידליינז פֿאַר יעדן
ריזיקע-צו-קאנטראל טרעיסאַביליטי — פֿאַרבינדן יעדן קאָנטראָל צו די ריזיקעס וואָס עס אַדרעסירט, געבן די אויטאָרן די באַווייַז קייט וואָס זיי דערוואַרטן
לעבעדיקע דאָקומענט — אייער SoA ווערט אויטאָמאַטיש דערהייַנטיקט ווען איר ענדערט קאָנטראָל סטאַטוסן, לייגט צו ריזיקעס אָדער מאָדיפֿיצירט אויסשליסונג באַרעכטיקונגען
ווערסיע געשיכטע — פולע אוידיט שפּור פון SoA ענדערונגען, וואָס באַפרידיקן די ווערסיע קאָנטראָל פאָדערונג אָן מאַנועלע טראַקינג
עקספּאָרט-גרייט — עקספּאָרטירן אייער SoA אין אַ פּראָפעסיאָנעלן פֿאָרמאַט פֿאַר אייער סערטיפֿיקאַציע גוף, קאַסטאַמערז אָדער פאַרוואַלטונג איבערבליק
מולטי-פרעמווערק — אויב איר האַלט ביידע ISO 27001 און ISO 27701, פאַרוואַלטעט די פּלאַטפאָרמע ביידע SoAs מיט געטיילטע קאָנטראָלס וואָס זענען געמאַפּט איבער פריימווערקס.

גרייט צו בויען אייער סטעיטמענט פון אַפּליקאַביליטי? ספר אַ דעמאָ און זען ווי ISMS.online מאכט דיין ISO 27701: 2025 סערטאַפאַקיישאַן גרייט פֿאַר SoA אוידיט פֿון טאָג איינס.

אָפֿט געשטעלטע פֿראגן

וויפיל קאנטראלס זאלן זיין אין מיין SoA?

אייער SoA מוז אויסרעכענען אלע 78 אנעקס א קאנטראלן (אדער די אונטערגרופע וואס איז באַטייַטיק צו אייער ראלע אלס קאנטראלער, פראסעסאר אדער ביידע). יעדער קאנטראל איז אדער אָנווענדלעך אדער אויסגעשלאסן מיט א בארעכטיקונג. די צאל אָנווענדלעכע קאנטראלן ווערירט לויט ארגאניזאציע, אבער רוב ארגאניזאציעס וואס אקטן אלס ביידע קאנטראלער און פראסעסאר וועלן האבן 50-70 אָנווענדלעכע קאנטראלן.

דארף איך א באזונדערע SoA פאר ISO 27701 און ISO 27001?

יא. אונטער דער 2025 אויסגאבע, האט ISO 27701 זיין אייגענעם אנעקס A מיט פּריוואַטקייט-ספּעציפֿישע קאָנטראָלן, באַזונדער פֿון ISO 27001'ס אנעקס A. אויב איר האַלט ביידע סערטיפֿיקאַטן, האַלט איר צוויי SoAs. א קאָנפאָרמאַנס פּלאַטפאָרמע ווי ISMS.online פירט ביידע און מאַפּט שערד קאָנטראָלס אַזוי אַז איר זאָלט נישט דופּליקאַטן מי.

קען איך אויסשליסן א גאנצע אנאקס א טאבעלע?

יא, אויב אייער ראלע רעכטפארטיקט עס. למשל, אויב איר זענט אויסשליסלעך א PII פראסעסאר און האנדלט קיינמאל נישט אלס א קאנטראלער, קענט איר אויסשליסן אלע טאבעלע A.1 (קאנטראלער) קאנטראלן מיט דער בארעכטיגונג אז איר באשטימט נישט די צוועקן אדער מיטלען פון PII פראסעסינג. טאבעלע A.3 (געטיילטע קאנטראלן) גילט פאר אלע ארגאניזאציעס אומאפהענגיק פון ראלע.

וואָסערע באַווײַזן זאָלן פֿאַרבינדן זיך מיט יעדן קאָנטראָל?

באווייזן ווערייִרן לויט קאָנטראָל טיפּ אָבער טיפּיש אַרייַננעמען: פּאָליטיקס (באַשטעטיקט און אנערקענט), פּראָצעדורן (דאָקומענטירט און נאכגעפאָלגט), רעקאָרדס (לאָגס, רעגיסטערס, זיצונג פּראָטאָקאָל), און טעכנישע באווייזן (סיסטעם קאָנפיגוראַציעס, אַקסעס קאָנטראָלס). דער שליסל איז צו ווייַזן אַז די קאָנטראָל איז נישט נאָר דאָקומענטירט נאָר אַרבעט עפֿעקטיוו.

ווי אָפט זאָל מען איבערקוקן די SoA?

צום מינדסטן, איבערקוקט די SoA יערליך אלס טייל פון אייער מענעדזשמענט איבערבליק ציקל און פאר יעדער סערטיפיקאציע אדער אויפזיכט אוידיט. איר זאלט עס אויך אפדעיטן ווען עס איז א באדייטנדע ענדערונג צו אייערע דאטן פראצעסינג אקטיוויטעטן, ריזיקע פראפיל אדער ארגאניזאציאנעלע סטרוקטור. א לעבעדיגע, פלאטפארמע-גענערירטע SoA בלייבט אויטאמאטיש אקטועל ווען איר אפדעיט אייערע קאנטראלן.

מאַקס עדוואַרדס

מאַקס אַרבעט ווי אַ טייל פון די ISMS.online פֿאַרקויף מאַנשאַפֿט און ינשורז אַז אונדזער וועבזייטל איז דערהייַנטיקט מיט נוציק אינהאַלט און אינפֿאָרמאַציע וועגן אַלע זאכן ISO 27001, 27002 און העסקעם.

מיר זענען אַ פירער אין אונדזער פעלד

"ISMS.Online, בוילעט געצייַג פֿאַר רעגולאַטאָרי העסקעם"
— דזשים מ.

"מאַכן פונדרויסנדיק אַדאַץ אַ ווינטל און סימלאַסלי פֿאַרבינדט אַלע אַספּעקץ פון דיין ISMS צוזאַמען"
— קארען סי.

"ינאַווייטיוו לייזונג צו אָנפירן ISO און אנדערע אַקרעדאַטיישאַנז"
— בן ה.