I SoA-dokumentet skal organisationen forholde sig til de til- og fravalg af foranstaltninger, som organisationen vil implementere for at håndtere de identificerede risici.
Listen af foranstaltninger, som man skal forholde sig til findes i ISO/IEC 27001’s Anneks A.
Udarbejdelsen af SoA-dokumentet er tiltænkt som en opfølgning på risikohåndteringsplanen, men udføres i praksis i en parallel proces, da foranstaltninger i Anneks A kan bruges som tjekliste for, om risici er håndteret efter forskrifterne.
SoA-dokumentet skal indeholde begrundelser for, hvorfor visse foranstaltninger evt. er blevet valgt fra. De tilvalgte foranstaltninger indgår som grundlag for handlingsplaner for aktiviteter, der skal medføre en implementering af foranstaltningerne.
Udover listen af foranstaltninger fra Anneks A, skal SoA-dokumentet også indeholde andre foranstaltninger som skønnes relevante for den enkelte organisation og tage højde for lovgivningen.
Det færdige SoA-dokument skal godkendes af organisationens ledelse.
ISO 27001 er en international ledelsesstandard for informationssikkerhed. Standarden er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde.
ISO/IEC 27002 er en vejledning i at udvælge foranstaltninger i forbindelse med implementering af et ledelsessystem for informationssikkerhed.
ISO/IEC 27005 er en vejledende standard, der hjælper organisationer med at etablere en proces for risikostyring.
Standarden for privatlivsbeskyttelse, ISO/IEC 27701, er et ledelsesværktøj, som giver indblik i de arbejdsgange og foranstaltninger, som organisationer bør etablere for at opnå en passende beskyttelse af personoplysninger.