¿Qué exige este criterio?
El Anexo A §5 de ISO 27001:2022 incluye controles organizativos clave: 5.1 políticas, 5.2 roles, 5.3 segregación de funciones, 5.9 inventario de activos, 5.19-5.23 gestión de proveedores y cadena de suministro, 5.24-5.28 gestión de incidentes. La implementación de estos controles complementa directamente los requisitos organizativos de EN 319 401. La SoA debe documentar qué controles aplican al QERDS.

¿Qué hay que revisar al cliente?

• SoA con controles del Anexo A §5 aplicados al QERDS.
• Justificación de controles excluidos.
• Evidencia de implementación de los controles incluidos.
• Coherencia con los controles organizativos de EN 319 401.

Preguntas clave para las entrevistas

• ¿La SoA cubre todos los controles del Anexo A §5 con justificación de inclusión/exclusión?
• ¿Los controles de gestión de proveedores (5.19-5.23) cubren los subcontratistas del QERDS?
• ¿Los controles de gestión de incidentes (5.24-5.28) están integrados con el procedimiento eIDAS?

¿Por qué es esencial para QERDS y TSA?
La SoA es la pieza central de la certificación ISO 27001 y la que demuestra que el SGSI cubre el alcance del QERDS. Para la cualificación, la certificación ISO 27001 con alcance QERDS es el punto diferencial del Criterio 8.

Evidencia que demostraría conformidad

• SoA completa con estado de implementación por control.
• Evidencia de implementación de controles clave.