ISO/IEC 42001 no exige que las organizaciones seleccionen controles únicamente del Anexo A. También pueden seleccionar controles de otras fuentes o diseñarlos ellas mismas.

La SoA es un documento clave en la implementación del SGIA que sirve como referencia para el auditor externo durante la auditoría de certificación; como tal, es parte de la primera información documentada que será sometida a un análisis.

ISO/IEC 42001 describe brevemente la elaboración de la Declaración de Aplicabilidad, que requiere una lista de controles de la IA y justificaciones para su inclusión o exclusión del anexo.

La elección de aplicar un control de seguridad debería estar justificada principalmente por la evaluación del riesgo. Esa es la razón por la que la Declaración de Aplicabilidad no debería ser redactada antes de llenar el informe del análisis y tratamiento del riesgo.

La SoA resultante debería ser un gráfico de control conciso, sujeto al examen y aprobación de la alta dirección.