根据GB/T 22080-2016标准的要求，SOA宜包含（）的控制，即组织已有的控制、作为风险处置过程结果的控制。

GB/T 22080-2016标准6.1.3信息安全风险处置

d）制定一个适用性声明，包含必要的控制（见6.1.3b）和c））及其选择的合理性说明（无论该控制是否已实现），以及对附录A控制删减的合理性说明。SOA的核心是“必要性”而非“全面性”。组织通过风险评估确定哪些控制是必需的（包括已有和新增），并据此形成SOA。

标准中提到组织在制定适用性声明时，要包含必要的控制及其选择的合理性说明，这里的必要控制既包括组织已有的，也包括风险处置过程中确定需要的，以确保对信息安全风险的有效管理，且要对附录A控制删减的合理性说明，以验证没有忽略必要的控制。