Zum Inhalt springen

Support für ISO 27001:2022 und TISAX – von der Einführung bis zur Zertifizierung
Wir begleiten Ihr Unternehmen umfassend bei der Einführung und Umsetzung von ISO 27001:2022 und TISAX. Vereinbaren Sie ein unverbindliches Erstgespräch. Fordern Sie noch heute Ihr individuelles Angebot an.

Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Informationsmanagementsysteme » Anwendbarkeitserklärung ISO 27001

Anwendbarkeitserklärung ISO 27001

In der ISO 27001 muss durch eine Anwendbarkeitserklärung (SoA) definiert werden, welche der aus dem Annex A ISO 27001 vorgeschlagenen Kontrollen anwendbar und umgesetzt werden. Der Annex A der ISO 27001 besteht aus 114 Kontrollen und kann durch die Organisation jederzeit erweitert werden, wenn Sie feststellen, dass Sie noch weitere Kontrollen benötigen. Hier ist es auch lohnenswert einmal ein Blick auf den IT-Grundschutz des BSI zu werfen.

Key Facts – zur Anwendbarkeitserklärung

  • Zentrales Dokument für ISO 27001
    Die Anwendbarkeitserklärung (Statement of Applicability, SoA) ist ein Pflichtdokument in der ISO-27001-Zertifizierung. Sie legt fest, welche Controls aus Anhang A relevant sind und wie sie umgesetzt werden.
  • Individuelle Anpassung
    Jedes Unternehmen hat eigene Anforderungen und Risikoszenarien. Daher wird in der Anwendbarkeitserklärung für jede Control begründet, ob sie angewendet wird – oder warum nicht.
  • Verknüpfung von Risiken und Maßnahmen
    Die Auswahl der Controls basiert auf der Risikobeurteilung. Die SoA dokumentiert klar, welche Maßnahmen aufgrund identifizierter Risiken implementiert wurden.
  • Dokumentation und Nachweispflicht
    Die Anwendbarkeitserklärung zeigt Auditierenden, dass sämtliche relevanten Sicherheitsmaßnahmen geplant und/oder umgesetzt sind. Sie ist ein zentraler Nachweis für die Konformität mit ISO 27001.
  • Kontinuierliche Überarbeitung
    Die Anwendbarkeitserklärung ist kein statisches Dokument. Bei Änderungen in der IT-Landschaft, neuen Bedrohungen oder sonstigen Anpassungen wird die SoA aktualisiert.
  • Strukturierte Übersicht
    Typischerweise listet die SoA alle Controls aus Anhang A auf und gibt an:
    Anwendbar oder nicht anwendbar
    Umsetzungsgrad (z. B. voll umgesetzt, teilweise in Arbeit, geplant)
    Begründung und Verweis auf relevante Richtlinien oder Verfahren
  • Transparenz gegenüber Stakeholdern
    Eine sorgfältig erstellte Anwendbarkeitserklärung ermöglicht internen und externen Interessengruppen (z. B. Auditoren, Kunden, Partnern) einen schnellen Überblick über das Sicherheitsniveau im Unternehmen.
  • Übereinstimmung mit der Risikobehandlung
    Da die SoA auf der Risikobehandlung aufbaut, muss sie eng mit der Risikobeurteilung und dem Risiko-Behandlungsplan verknüpft sein, um Widersprüche zu vermeiden.
  • Ergänzung zum ISMS-Handbuch
    Die Anwendbarkeitserklärung wird meist im ISMS-Handbuch (Informationssicherheits-Managementsystem) referenziert. Gemeinsam bilden sie die Basis für ein nachvollziehbares Sicherheitskonzept.
  • Erforderlich für erfolgreiche Zertifizierung
    Ohne eine vollständige und aktuelle Anwendbarkeitserklärung kann der Auditor die Konformität mit ISO 27001 nicht eindeutig bestätigen. Sie ist damit ein Schlüsselelement für die erfolgreiche Zertifizierung.

Notwendigkeit der Anwendbarkeitserklärung

In der Risikoeinschätzung haben Sie bereits Bezug zu den in Annex A aufgeführten Kontrollen genommen, um die Risiken zu minimieren. Es gibt auch andere Gründe, die in der Anwendungserklärung von Bedeutung sind. Beispielsweise Gesetzliche & behördliche Anforderungen, Aspkete aus der Vertragsüberprüfung, Aspekte aus anderen Prozessen und so weiter.

Zum anderen muss in der SoA auch die Anwendbarkeit dieser Kontrollen begründet werden. D.h., Kontrollen, die Sie nicht anwenden, müssen in der SoA auch mit einer Begründung dokumentiert werden. Das kennen Sie bereits aus anderen Regelwerken wo Sie einen Ausschluss der Norm (z.B. ISO 9001 Kapitel 8.3 Produktentwicklung) als Ausschluss definieren. Zum anderen ist die Erklärung zur Anwendbarkeit eine gute Übersicht nachweisen, welche Kontrollen implementiert worden sind und welche nicht. Bezüglich der Implementierung von Kontrollen sollten Sie durch Bezugnahme zu dem Dokument, Verfahren etc. eine kurze Erläuterung hinzufügen. Dadurch erkennen beispielsweise die Auditoren sofort, warum Sie implementiert bzw. als nicht anwendbar definiert worden ist.

Bei einem Prozessaudit ist für den Auditor der Produktionslenkungsplan (PLP) das wichtigste Dokument für den Auditprozess. Mit dem PLP auditiert der Auditor entlang des Materialflusses den Produktionsprozess. Im ISMS Audit nimmt sich der Auditor die Anwendbarkeitserklärung und auditiert entlang der SoA um sicherzustellen, wie die Kontrollen installiert worden sind.

Anwendbarkeitserklärung ISO 27001

Zusammenfassung

Die Anwendbarkeitserlärung beinhaltet die im Annex A der ISO 27001 beschriebenen Kontrollen und welche davon implementiert worden sind bzw. als nicht anwendbar definiert wurden. Hier ist wichtig, dass eine Begründung stattfinden muss, sobald Sie eine Entscheidung getroffen haben, dass eine Kontrolle nichtzutreffend ist.

Schritt für Schritt Umsetzung der Kontrollen Anhang A

Schritt-für-Schritt-Anleitung zur Erstellung

  1. Scope und Risikoanalyse klären

    ISMS-Geltungsbereich definieren
    Welche Standorte, Abteilungen und Systeme sind einbezogen?
    Risiken identifizieren
    Führen Sie eine Risikoanalyse durch. Nutzen Sie dafür eine anerkannte Methodik (z. B. ISO 31000, NIST oder eigens entwickelte Verfahren).
    Risikoakzeptanzkriterien festlegen
    Wann betrachten Sie ein Risiko als akzeptabel, wann als kritisch?

  2. Kontrolle auswählen und bewerten

    Liste der Annex-A-Kontrollen (aktuelle Version) heranziehen.
    Relevanz prüfen
    Welche Kontrolle adressiert Ihre identifizierten Risiken?
    Entscheidungsgrundlage erstellen
    Führen Sie zu jeder Kontrolle auf, warum sie angewendet oder nicht angewendet wird.

  3. Begründung und Dokumentation

    Begründung für jede Kontrolle
    Kurz, aber präzise.
    Referenzen
    Verweisen Sie auf Richtlinien oder Verfahren, die diese Kontrolle konkret umsetzen.
    Verantwortliche Person
    Wer überwacht die Umsetzung dieser Kontrolle?

  4. Integration ins ISMS

    Abstimmung mit Management
    Holen Sie Freigaben ein, klären Sie Budgets für Maßnahmen.
    Kommunikation
    Stellen Sie sicher, dass alle relevanten Stakeholder (z. B. IT-Abteilung, HR, externe Dienstleister) wissen, welche Kontrollen sie umsetzen müssen.
    Regelmäßige Aktualisierung
    Legen Sie fest, wie und wann Sie das SoA überprüfen (z. B. bei neuen Risiken, neuen Technologien oder Änderungen in der Organisationsstruktur).

  5. Interne und externe Audits vorbereiten

    Internes Audit
    Prüfen Sie in einer Test-Audit-Situation, ob alle Kontrollen wie geplant greifen.
    Review
    Aktualisieren Sie das SoA bei Änderungen, bevor Sie ins externe Zertifizierungsaudit gehen.
    Externer Auditor
    Präsentieren Sie das SoA als zentrale Dokumentation. Achten Sie darauf, dass alle Referenzen leicht auffindbar sind.

Häufige Fehler und Best Practices

  • Häufige Fehler
    Fehlende Klarheit im Umfang: Wenn unklar bleibt, welche Standorte, Systeme oder Prozesse vom ISMS abgedeckt sind, leidet das ganze SoA an Unsicherheit.
  • Unvollständige Risikoanalyse
    Ohne eine solide Risikoanalyse kann das SoA nicht schlüssig begründen, warum bestimmte Kontrollen ein- oder ausgeschlossen sind.
  • Zu allgemeine Begründungen
    Aussagen wie „Wir haben diese Kontrolle implementiert, weil es ISO 27001 so vorgibt“ reichen nicht aus. Das Warum und Wie muss nachvollziehbar sein.
  • Keine Verbindung zu anderen ISMS-Dokumenten
    Fehlende Referenzen erschweren die Nachvollziehbarkeit.
    Einmal erstellt, nie wieder aktualisiert: Das SoA ist ein „lebendes Dokument“, das regelmäßig an Veränderungen angepasst werden sollte.

Zusammenfassung Anhang A (Annex A)

Der Anhang A enthält eine umfassende Liste der Maßnahmenziele (controll objektives) und Maßnahmen (controls). Im Vergleich zu den in Anhang A festgelegten Maßnahmenziele und Maßnahmen kann die Organisation auch alternative Maßnahmen zu den in 6.1.3 b) festgelegten Maßnahmen identifizieren, die bei der Änderung des Informationssicherheitsrisikos effektiver sein können.

Die in ISO/IEC 27001:2022, Anhang A aufgeführten Maßnahmenziele und Maßnahmen sind nicht erschöpfend, und bei Bedarf sollten zusätzliche Maßnahmenziele und Maßnahmen hinzugefügt werden. Nicht jede Steuerung innerhalb der ISO/IEC 27001, Anhang A muss aufgenommen werden. Jede Maßnahme innerhalb der ISO/IEC 27001:2022, Anhang A, die nicht zur Änderung des Risikos beiträgt, sollte ausgeschlossen und der Ausschluss begründet werden.

Für den SoA sollte eine Tabelle mit allen 93 Maßnahmen (früher 114 Maßnahmen) aus Anhang A der ISO/IEC 27001:2022 erstellt werden. Eine Spalte der Tabelle kann angeben, ob eine Maßnahme aus Anhang A erforderlich ist oder ausgeschlossen werden kann. Eine weitere Spalte kann die Begründung für die Anwendung der Maßnahmen oder den Ausschluss liefern. In der letzten Spalte tragen Sie den Status der Implementierung ein.

Weitere Spalten können verwendet werden, z.B. für Details, die nicht von ISO/IEC 27001 benötigt werden, aber in der Regel für nachfolgende Überprüfungen nützlich sind. Diese Details können eine detailliertere Beschreibung der Implementierung der Maßnahme oder ein Querverweis auf eine detailliertere Beschreibung und dokumentierte Informationen oder Richtlinie sein, die für die Implementierung der Maßnahme relevant ist. Obwohl es sich nicht um eine spezifische Anforderung von ISO/IEC 27001 handelt, kann es für die Organisation nütztlich sein, Verantwortlichkeiten für den Betrieb jeder in der SoA enthaltenen Maßnahme anzugeben.

Kontaktaufnahme
E-Mail senden

FAQ – Anwendbarkeitserklärung ISO 27001

1. Was ist die Anwendbarkeitserklärung in ISO 27001?

Die Anwendbarkeitserklärung (Statement of Applicability, SoA) ist ein zentrales Dokument, in dem alle relevanten Sicherheits-Controls aus Anhang A von ISO 27001 aufgelistet und begründet werden. Sie zeigt auf, welche Maßnahmen angewandt werden und warum bestimmte Controls ggf. nicht angewendet sind.

2. Warum ist die Anwendbarkeitserklärung so wichtig?

Auditoren nutzen die SoA, um zu prüfen, ob das Unternehmen seine Risikobeurteilung in konkrete Controls umgesetzt hat. Fehlt die Anwendbarkeitserklärung oder ist sie unvollständig, kann die ISO-27001-Zertifizierung gefährdet sein.

3. Wie erstelle ich eine Anwendbarkeitserklärung?

Schritt 1: Führe eine Risikobeurteilung durch, um relevante Bedrohungen und Schwachstellen zu ermitteln.
Schritt 2: Ordne die identifizierten Risiken den Controls aus Anhang A zu.
Schritt 3: Liste in der SoA auf, welche Controls Du anwendest, wie sie umgesetzt sind und weshalb andere Controls nicht relevant sind.

4. Muss jedes einzelne Control aus Anhang A abgedeckt sein?

Nein. Du kannst einige Controls als „nicht anwendbar“ deklarieren, wenn sie für Dein Unternehmen nicht relevant sind. Wichtig ist allerdings eine schlüssige Begründung in der Anwendbarkeitserklärung.

4. Wie oft sollte die Anwendbarkeitserklärung aktualisiert werden?

Die Anwendbarkeitserklärung wird im Rahmen des ISMS regelmäßig überprüft und aktualisiert – beispielsweise wenn sich Geschäftsprozesse, IT-Systeme oder Risikobeurteilungen ändern. Oft geschieht dies mindestens einmal pro Jahr oder anlassbezogen.

5. Welche Informationen gehören in die SoA?

a. Control-Bezeichnung (z. B. A.5.1 Information Security Policies)
b. Status (anwendbar/nicht anwendbar)
c. Umsetzungsgrad (z. B. vollständig umgesetzt, teilweise in Umsetzung)
d. Begründung und ggf. Verweise auf Richtlinien, Prozessbeschreibungen oder technische Maßnahmen

6. Kann ich mich ausschließlich auf die Anwendbarkeitserklärung stützen?

Die Anwendbarkeitserklärung ist eines von mehreren zentralen Dokumenten im ISMS. Daneben sind auch Risikobeurteilung, Risiko-Behandlungsplan und weitere Richtlinien (z. B. Sicherheitsleitlinie) erforderlich, um das Gesamtbild der Informationssicherheit darzustellen.

8. Wie detailliert muss die Begründung für nicht anwendbare Controls sein?

Die Begründung sollte klar und nachvollziehbar sein. Eine einfache Aussage wie „für uns nicht relevant“ reicht oft nicht aus. Erkläre stattdessen, warum bestimmte Szenarien in Deinem Unternehmen nicht vorkommen oder bereits durch andere Maßnahmen abgedeckt sind.

9. Was passiert, wenn Controls noch nicht vollständig umgesetzt sind?

Du kannst diese Controls in der SoA als „geplant“ oder „in Umsetzung“ kennzeichnen. Wichtig ist, dass ein klarer Zeitplan existiert und Du im Audit nachweisen kannst, welche Fortschritte bereits erzielt wurden und welche Maßnahmen noch anstehen.

10. Wie sehr unterscheidet sich eine Anwendbarkeitserklärung nach ISO 27001:2013 von der Version 2022?

Mit der ISO 27001:2022 wurden die Controls teilweise umstrukturiert und ergänzt. Die Anwendbarkeitserklärung wird an die neue Struktur angepasst, bleibt jedoch in ihrer Funktion unverändert: Sie dokumentiert, welche Controls anwendbar sind und warum. Achte darauf, die neue Control-Liste (Anhang A 2022) zu verwenden und ggf. alte Referenzen zu aktualisieren.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner