olemus
ISO/IEC 42001:
kõigi vajalike turvameetmete ning nende kasutamise või ärajaätu põhjenduse dokumentatsioon
(i) organisatsioonid ei tarvitse nõuda kõiki lisas A loetletud meetmeid või võivad isegi täiendadaseda loetelu organisatsiooni enda kehtestatud lisameetmetega
(ii) organisatsioon peab dokumenteerima kõik tuvastatud riskid vastavalt käesoleva dokumendi nõuetele; kohaldusmäärangus peavad olema kajastatud kõik tuvastatud riskid ja nende käsitlemiseks kehtestatud riskihaldusmeetmed
= documentation of all necessary controls and justification for inclusion or exclusion of controls
Note 1. Organizations may not require all controls listed in Annex A or may even exceed the list in Annex A with additional controls established by the organization itself.
Note 2. All identified risks shall be documented by the organization according to the requirements of this document. All identified risks and the risk management measures (controls) established to address them shall be reflected in the statement of applicability.

ülevaateid
https://advisera.com/27001academy/knowledgebase/the-importance-of-statement-of-applicability-for-iso-27001/

https://www.itgovernance.co.uk/blog/the-importance-of-the-statement-of-applicability-in-iso-27001/

https://reciprocity.com/resources/what-is-the-statement-of-applicability-in-iso-27001/