De Verklaring van Toepasselijkheid (SoA) is een verplicht ISO 27001-document dat alle maatregelen uit Annex A opsomt en per maatregel aangeeft of deze van toepassing is of niet, inclusief een onderbouwing voor opname of uitsluiting. Het verwijst ook naar de implementatiestatus en koppelt elke toepasselijke maatregel aan de relevante risicobehandelingsbeslissingen, waardoor een uitgebreide kaart ontstaat tussen geïdentificeerde risico's en de maatregelen die zijn getroffen.
De SoA is een van de meest gecontroleerde documenten tijdens ISO 27001-certificeringsaudits, aangezien het aantoont dat de organisatie alle relevante maatregelen systematisch heeft overwogen en weloverwogen beslissingen heeft genomen. Het actueel houden van de SoA vereist bijwerking wanneer de reikwijdte verandert, nieuwe risico's opduiken of maatregelen worden gewijzigd, zodat het een nauwkeurige weerspiegeling blijft van de beheeromgeving van de organisatie.