Zum Inhalt springen
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Anwendbarkeitserklärung ISO 27001

Anwendbarkeitserklärung ISO 27001

Anwendbarkeitserklärung ISO 27001

Anwendbarkeitserklärung SoA ISO 27001

Rolle und Bedeutung der Anwendbarkeitserklärung

Zentrales Steuerungsinstrument des ISMS Die Anwendbarkeitserklärung ist das wichtigste Dokument zur Steuerung des gesamten ISMS. Sie zeigt nachvollziehbar, welche Sicherheitsmaßnahmen berücksichtigt wurden und wie diese mit den identifizierten Risiken zusammenhängen. Ohne eine klar strukturierte SoA kann weder die Wirksamkeit des ISMS beurteilt werden noch ein Audit erfolgreich durchgeführt werden.
Verbindung von Risikoanalyse und Sicherheitsmaßnahmen Jede in der SoA aufgeführte Maßnahme steht in direkter Beziehung zu einem Risiko aus der Risikobewertung. Auditoren prüfen hierbei vor allem die logische Kette: identifiziertes Risiko → ausgewählte Maßnahme → dokumentierter Nachweis. Die SoA ist somit nicht nur eine Liste, sondern ein risikoorientiertes Nachweisdokument.
Transparenz für interne und externe Audits Die SoA ist das erste Dokument, das Auditoren anfassen. Sie muss klar, nachvollziehbar und vollständig sein. Eine gut gepflegte SoA reduziert Rückfragen, erleichtert Audits und macht das ISMS für Beteiligte transparent.

Struktur des Annex A in der ISO IEC 27001 2022

Vier klar definierte Bereiche Die neue Struktur mit organisatorischen, personenbezogenen, physischen und technologischen Kontrollen erleichtert die Einordnung von Verantwortlichkeiten. Teams erkennen schneller, welche Bereiche sie betreffen und wie Kontrollen im Alltag umgesetzt werden sollen.
Reduktion von 114 auf 93 Maßnahmen Durch das Zusammenführen redundanter Maßnahmen wurde der Standard deutlich übersichtlicher. Unternehmen können sich stärker auf risikorelevante Maßnahmen konzentrieren und müssen weniger Dokumentation pflegen, was den Aufwand reduziert und die Praxisnähe verbessert.
Verbesserte Zuordenbarkeit zu Prozessen Die neue Struktur erleichtert das Mapping zwischen Normanforderungen und Geschäftsprozessen. Besonders bei integrierten Systemen (z. B. ISO 9001 und ISO 27001 kombiniert) bringt dies klare Vorteile in der Dokumentation und den Abläufen.

Zweck und Nutzen der Anwendbarkeitserklärung

Begründung relevanter Sicherheitsmaßnahmen Die SoA dokumentiert, warum eine Maßnahme angewendet wird und welche Risiken dadurch adressiert werden. Damit entsteht eine nachvollziehbare Argumentation, die sowohl Führungskräften als auch Auditoren zeigt, warum bestimmte Kontrollen notwendig sind.
Dokumentation bewusster Ausschlüsse Nicht alle Maßnahmen sind für jedes Unternehmen relevant. Dennoch müssen Ausschlüsse nachvollziehbar begründet werden, z. B. bei fehlenden eigenen Rechenzentren oder extern ausgelagerter Softwareentwicklung. Ein sauberer Ausschluss verhindert Major-Abweichungen.
Nachweis gelebter Informationssicherheit Die SoA zeigt, dass das Unternehmen Risiken aktiv steuert und Maßnahmen nicht nur auf dem Papier existieren. Es ist ein praktischer Nachweis für die Wirksamkeit des ISMS und die Einhaltung gesetzlicher und vertraglicher Anforderungen.

Praxistipps zur Erstellung einer auditfesten SoA

Jede Maßnahme klar und verständlich begründen Eine gute Begründung enthält Risiko, Umsetzung und Nachweis. Der Text sollte kurz, präzise und ohne technische Überladung sein. Auditoren bewerten vor allem Nachvollziehbarkeit und Risikobezug, nicht die Länge des Textes.
Verknüpfung mit Richtlinien und Nachweisen Eine SoA ist nur dann auditfest, wenn jede Maßnahme auf gültige Nachweise verweist, beispielsweise Richtlinien, Organigramme, Protokolle oder Technologiekonzepte. Fehlen diese Nachweise, gilt die Maßnahme als nicht umgesetzt.
Regelmäßige Pflege statt einmaliger Erstellung Die SoA ist ein lebendes Dokument. Änderungen in Infrastruktur, Systemlandschaft, Prozessen oder externen Anforderungen müssen zeitnah eingepflegt werden. Besonders beim Wechsel auf Cloud Dienste ist eine Aktualisierung unerlässlich.

Erweiterung durch BSI IT Grundschutz

Integration nationaler Sicherheitsanforderungen Neben den 93 Kontrollen aus Annex A können Unternehmen zusätzliche Bausteine aus dem BSI IT Grundschutz ergänzen, insbesondere wenn sie deutschen Compliance Anforderungen unterliegen oder öffentliche Aufträge bedienen.
Stärkung der Risikotiefe IT Grundschutz bringt eine höhere Detailtiefe für bestimmte Themen mit, beispielsweise Notfallmanagement, Netzwerksicherheit, Verschlüsselung und organisatorische Rollen. Diese Ergänzungen erhöhen die Robustheit des ISMS.
Vorteil für Audits und behördliche Prüfungen Organisationen mit kombinierten ISO und BSI Maßnahmen zeigen ein besonders hohes Sicherheitsniveau. In Audits, Prüfungen oder Kundenbewertungen führt dies zu starkem Vertrauen und klaren Wettbewerbsvorteilen.
Anwendbarkeitserklärung ISO 27001

Zusammenfassung

Die Anwendbarkeitserlärung beinhaltet die im Annex A der ISO 27001 beschriebenen Kontrollen und welche davon implementiert worden sind bzw. als nicht anwendbar definiert wurden. Hier ist wichtig, dass eine Begründung stattfinden muss, sobald Sie eine Entscheidung getroffen haben, dass eine Kontrolle nichtzutreffend ist.

Key Facts zur Anwendbarkeitserklärung SoA ISO 27001

Wichtige Eckpunkte für auditfeste Anwendbarkeitserklärung

Zentrales Dokument für die ISO 27001 Zertifizierung
Die Anwendbarkeitserklärung ist ein Pflichtdokument der ISO 27001. Sie legt fest, welche Kontrollen aus dem Anhang A für das Unternehmen relevant sind und in welcher Form sie umgesetzt werden. Die SoA ist damit das zentrale Steuerungs und Nachweisdokument des Informationssicherheits Managementsystems.

Individuell an das Unternehmen angepasst
Jedes Unternehmen hat eigene Risiken, Prozesse und Rahmenbedingungen. In der SoA wird für jede Kontrolle begründet, ob sie angewendet wird oder warum sie nicht erforderlich ist. Dadurch spiegelt die Erklärung die reale Sicherheitslage und die tatsächlichen Schwerpunkte der Organisation wider.

Verknüpfung von Risiken und Kontrollen
Die Auswahl der Kontrollen basiert auf der Risikobeurteilung. Die SoA dokumentiert transparent, welche Maßnahmen aufgrund identifizierter Risiken ausgewählt wurden und wie sie zur Risikominderung beitragen. Sie ist damit die Schnittstelle zwischen Risikoanalyse und technischer oder organisatorischer Umsetzung.

Dokumentation und Nachweispflicht
Die Anwendbarkeitserklärung zeigt Auditorinnen und Auditoren, dass relevante Sicherheitsmaßnahmen geplant und umgesetzt werden. Sie bildet die Grundlage, um die Konformität mit den Anforderungen der ISO 27001 nachzuweisen. Ohne eine vollständige und konsistente SoA ist eine Zertifizierung praktisch nicht möglich.

Regelmäßige Aktualisierung statt statischem Dokument
Die SoA ist kein Dokument, das einmal ausgefüllt und dann abgelegt wird. Neue Systeme, geänderte Prozesse, geänderte Bedrohungslagen oder organisatorische Änderungen erfordern eine regelmäßige Überprüfung und Anpassung. Nur eine aktuelle SoA bildet den tatsächlichen Sicherheitsstand korrekt ab.

Strukturiertes Format für alle Kontrollen
Typischerweise listet die SoA alle Kontrollen des Anhangs A auf und ergänzt pro Kontrolle Felder wie Anwendbarkeit oder Ausschluss, Umsetzungsstatus, Begründung und Verweise auf Richtlinien oder Nachweise. Dieses Format erleichtert die Arbeit im Audit und im täglichen Betrieb.

Transparenz gegenüber internen und externen Stakeholdern
Eine gut gepflegte SoA verschafft Kunden, Partnern, Auditoren und dem Management schnellen Einblick in das Sicherheitsniveau des Unternehmens. Sie zeigt, welche Themen adressiert sind und wo bewusst Risiken akzeptiert oder an Dritte übertragen wurden.

Übereinstimmung mit Risikoanalyse und Risikobehandlung
Die SoA baut direkt auf Risikobeurteilung und Risikobehandlungsplan auf. Risiken, Maßnahmen und Kontrollen müssen inhaltlich miteinander übereinstimmen. Widersprüche zwischen Risikoanalyse und SoA werden im Audit schnell erkannt und führen häufig zu Abweichungen.

Einbettung in das ISMS Handbuch
Die Anwendbarkeitserklärung wird im ISMS Handbuch referenziert und ergänzt dieses um eine detaillierte Maßnahmenebene. Zusammen bilden beide Dokumente das Fundament eines nachvollziehbaren und wirksamen Sicherheitskonzepts nach ISO 27001.

Voraussetzung für eine erfolgreiche Zertifizierung
Ohne eine vollständige, aktuelle und konsistente SoA kann ein Auditor die Konformität mit ISO 27001 nicht eindeutig bestätigen. Sie ist ein Schlüsselelement für eine erfolgreiche Zertifizierung und ein deutlicher Nachweis für ein gelebtes, risikobasiertes Informationssicherheitsmanagement.

Notwendigkeit der Anwendbarkeitserklärung SoA nach ISO 27001

Warum die SoA für Risiko, Compliance und Audit unverzichtbar ist

Verbindung zur Risikobewertung
Bereits in der Risikoeinschätzung werden Maßnahmen aus dem Annex A genutzt, um Risiken strukturiert zu bewerten und zu minimieren. Die Anwendbarkeitserklärung führt diese Betrachtung weiter, indem sie transparent zeigt, welche Kontrollen tatsächlich zur Risikominderung eingesetzt werden und wie sie im Unternehmen umgesetzt sind. So wird aus abstrakter Risikoanalyse eine klar nachvollziehbare Maßnahmenlandschaft.

Berücksichtigung gesetzlicher und vertraglicher Anforderungen
Die SoA stützt sich nicht nur auf Risikobewertungen, sondern auch auf rechtliche, behördliche und vertragliche Vorgaben. Erkenntnisse aus Vertragsprüfungen, Lieferantenbewertungen oder internen Compliance Prozessen fließen in die Auswahl und Begründung der Kontrollen ein. Damit wird die Anwendbarkeitserklärung zu einem zentralen Steuerungsinstrument, das Informationssicherheit und Compliance eng miteinander verzahnt.

Begründung der Anwendbarkeit und Ausschlüsse
Für jede Kontrolle ist in der SoA festzuhalten, ob und warum sie angewendet oder ausgeschlossen wird. Diese Begründungspflicht ähnelt dem Vorgehen anderer Normen, etwa der Dokumentation von Ausschlüssen in der ISO 9001. Eine klare, kurze Begründung erhöht die Nachvollziehbarkeit und zeigt, dass jede Entscheidung bewusst und auf Basis von Risiko und Anforderungen getroffen wurde.

Verknüpfung mit Nachweisen und Dokumenten
Zu jeder angewendeten oder ausgeschlossenen Kontrolle sollten passende Nachweise verlinkt werden, zum Beispiel Richtlinien, Prozessbeschreibungen, Protokolle oder technische Konzepte. Kurze Erläuterungen in der SoA erleichtern es Auditorinnen und Auditoren, den Zusammenhang zwischen Risiko, Kontrolle und Nachweis effizient nachzuvollziehen. Das schafft Transparenz und beschleunigt den Auditablauf.

Zentrale Bedeutung im ISMS Audit
Im ISMS Audit dient die SoA als Hauptreferenz für den Auditpfad. Während im Qualitätsmanagement ein Produktionslenkungsplan als Leitfaden für das Prozessaudit dient, nutzen Auditoren im ISMS die SoA als Einstieg. Sie prüfen entlang der aufgelisteten Kontrollen, wie diese in der Praxis implementiert, überwacht und regelmäßig bewertet werden. Eine strukturierte und aktuelle SoA ist daher entscheidend für ein schlankes, erfolgreiches Audit.

Schritt für Schritt Umsetzung von Annex A und Anwendbarkeitserklärung

Anleitung zur Umsetzung der Annex A Kontrollen

Scope und Risikoanalyse klären
Zu Beginn ist zu definieren, welche Standorte, Abteilungen und Systeme vom Informationssicherheits Managementsystem erfasst werden. Dieser Geltungsbereich bildet den Rahmen für alle weiteren Schritte. Anschließend wird eine Risikoanalyse durchgeführt, zum Beispiel mit Methoden aus ISO 31000 oder NIST. Auf dieser Basis legt das Unternehmen Risikoakzeptanzkriterien fest und entscheidet, ab wann Risiken toleriert oder zwingend behandelt werden müssen.

Kontrollen auswählen und bewerten
Im nächsten Schritt wird die Liste der Annex A Kontrollen der ISO 27001 2022 als Grundlage genutzt. Für jede Kontrolle wird geprüft, ob sie ein identifiziertes Risiko adressiert oder eine gesetzliche beziehungsweise vertragliche Anforderung unterstützt. Für jede Maßnahme wird festgehalten, ob sie angewendet oder ausgeschlossen wird und welche Gründe dieser Entscheidung zugrunde liegen. Dadurch entsteht eine strukturierte Entscheidungsbasis für die spätere Anwendbarkeitserklärung.

Begründung und Dokumentation der Kontrollen
Für jede Kontrolle wird in knapper Form festgehalten, warum sie notwendig ist oder weshalb sie als nicht relevant eingestuft wurde. Zusätzlich werden Verweise auf Richtlinien, Verfahren oder sonstige Nachweise ergänzt, die die Umsetzung belegen. Verantwortlichkeiten werden klar zugewiesen, damit ersichtlich ist, wer die Implementierung und Überwachung der Kontrolle trägt. Diese Informationen fließen später direkt in die SoA Tabelle ein.

Integration der Kontrollen in das ISMS
Die geplanten Maßnahmen müssen mit Führungskräften abgestimmt, freigegeben und in das bestehende Managementsystem eingebettet werden. Das schließt Kommunikationsmaßnahmen für Stakeholder ein, damit Rollen und Pflichten klar sind. Die Anwendbarkeitserklärung wird regelmäßig überprüft und bei neuen Risiken, Technologien oder organisatorischen Veränderungen angepasst, damit sie den aktuellen Stand widerspiegelt.

Interne und externe Audits vorbereiten
Ein internes Audit dient dazu, die Wirksamkeit der ausgewählten Kontrollen zu testen und etwaige Lücken zu erkennen. Die SoA wird vor dem externen Audit nochmals aktualisiert und konsolidiert. Für externe Prüfungen sollten alle relevanten Nachweise, Referenzen und Prozessbeschreibungen greifbar sein, damit die Umsetzung der Maßnahmen für Auditorinnen und Auditoren klar nachvollziehbar ist.

Häufige Fehler und Best Practices bei der SoA

Unklare Geltungsbereiche
Wenn der Scope des ISMS nicht eindeutig beschrieben ist, etwa welche Standorte, Systeme und Prozesse einbezogen werden, wirkt sich dies direkt auf die SoA aus. Kontrollen lassen sich nicht sauber zuordnen und Audits geraten ins Stocken. Eine präzise Scope Definition, abgestimmt mit der Geschäftsleitung, schafft hier die notwendige Klarheit.

Unvollständige oder unsystematische Risikoanalyse
Ohne eine fundierte und strukturierte Risikobewertung kann die SoA nicht schlüssig darlegen, warum Kontrollen angewendet oder ausgeschlossen werden. Wer hier nach einem klaren Modell vorgeht, zum Beispiel ISO 31000 oder NIST, stellt sicher, dass Entscheidungen nachvollziehbar und konsistent sind.

Zu vage Begründungen ohne Praxisbezug
Allgemeine Aussagen wie „wird umgesetzt, da von ISO 27001 gefordert“ reichen nicht aus. Eine überzeugende Begründung erläutert, welches Risiko adressiert wird, wie die Maßnahme umgesetzt ist und welche Organisationseinheit verantwortlich ist. Nur so wirkt die SoA für Auditoren schlüssig und glaubwürdig.

Isolierte SoA ohne Referenzen
Eine SoA ohne Verknüpfung zu relevanten ISMS Dokumenten wirkt unvollständig. Verweise auf Notfallkonzepte, Richtlinien zur Zugriffskontrolle, Backup Prozesse oder Awareness Programme ermöglichen es Auditorinnen und Auditoren, die Umsetzung schnell nachzuvollziehen und verringern den Prüfaufwand.

Veraltete Anwendbarkeitserklärung
Eine einmal erstellte SoA verliert schnell an Aussagekraft, wenn sie bei organisatorischen oder technischen Änderungen nicht fortgeschrieben wird. Neue Systeme, Standortwechsel, Cloud Migrationen oder Änderungen im Risikoprofil müssen zeitnah nachgeführt werden, damit das ISMS auditfähig bleibt und die SoA den tatsächlichen Sicherheitsstand widerspiegelt.

Zusammenfassung Annex A und SoA Tabellensystematik

Flexibilität bei der Auswahl von Maßnahmen
Annex A bietet einen Rahmen von 93 Kontrollen, schreibt aber nicht vor, dass alle zwingend umgesetzt werden müssen. Unternehmen können passende Maßnahmen auswählen oder ergänzen und alternative Kontrollen verwenden, sofern diese nachweislich geeignet sind, identifizierte Risiken zu mindern. Entscheidend ist der risikobasierte und begründete Ansatz.

Ergänzungen und nachvollziehbare Ausschlüsse
Die in Annex A gelisteten Maßnahmen sind nicht abschließend. Unternehmen können zusätzliche Kontrollen aufnehmen, zum Beispiel aus BSI IT Grundschutz. Gleichzeitig dürfen nicht relevante Maßnahmen ausgeschlossen werden, sofern die Gründe dafür nachvollziehbar dokumentiert sind und keine ungeklärten Risiken bleiben.

Aufbau einer gut strukturierten SoA Tabelle
Für die Anwendbarkeitserklärung empfiehlt sich eine Tabelle mit allen 93 Maßnahmen aus Annex A. Wesentliche Spalten sind unter anderem Anwendbarkeit, Begründung und Umsetzungsstatus. So entsteht eine klare Übersicht, die sowohl für Audits als auch für Managementbewertungen eine solide Entscheidungsgrundlage bietet.

Erweiterte Informationen und Verantwortung
Neben Pflichtangaben können weitere Spalten hilfreich sein, etwa Verweise auf Richtlinien oder konkrete Nachweise, Termine für Reviews und verantwortliche Personen. Dies unterstützt die Steuerung des ISMS im Alltag und macht Verantwortlichkeiten sichtbar. Eine regelmäßig gepflegte SoA ist damit nicht nur Grundlage für die Zertifizierung, sondern auch ein wirksames Instrument zur operativen Steuerung der Informationssicherheit.

FAQ – Anwendbarkeitserklärung ISO 27001

1Was ist die Anwendbarkeitserklärung in ISO 27001?
Die Anwendbarkeitserklärung (Statement of Applicability, SoA) ist ein zentrales Dokument, in dem alle relevanten Sicherheits-Controls aus Anhang A von ISO 27001 aufgelistet und begründet werden. Sie zeigt auf, welche Maßnahmen angewandt werden und warum bestimmte Controls ggf. nicht angewendet sind.
2Warum ist die Anwendbarkeitserklärung so wichtig?
Auditoren nutzen die SoA, um zu prüfen, ob das Unternehmen seine Risikobeurteilung in konkrete Controls umgesetzt hat. Fehlt die Anwendbarkeitserklärung oder ist sie unvollständig, kann die ISO-27001-Zertifizierung gefährdet sein.
3Wie erstelle ich eine Anwendbarkeitserklärung?
  • Schritt 1: Führe eine Risikobeurteilung durch, um relevante Bedrohungen und Schwachstellen zu ermitteln.
  • Schritt 2: Ordne die identifizierten Risiken den Controls aus Anhang A zu.
  • Schritt 3: Liste in der SoA auf, welche Controls du anwendest, wie sie umgesetzt sind und weshalb andere Controls nicht relevant sind.
4Muss jedes einzelne Control aus Anhang A abgedeckt sein?
Nein. Du kannst einige Controls als „nicht anwendbar“ deklarieren, wenn sie für dein Unternehmen nicht relevant sind. Wichtig ist allerdings eine schlüssige Begründung in der Anwendbarkeitserklärung.
5Wie oft sollte die Anwendbarkeitserklärung aktualisiert werden?
Die SoA wird regelmäßig überprüft und aktualisiert, z. B. wenn sich Geschäftsprozesse, IT-Systeme oder Risiken ändern. Meist erfolgt dies jährlich oder anlassbezogen.
6Welche Informationen gehören in die SoA?
  • Control-Bezeichnung (z. B. A.5.1 Information Security Policies)
  • Status (anwendbar/nicht anwendbar)
  • Umsetzungsgrad (z. B. vollständig umgesetzt, teilweise in Arbeit, geplant)
  • Begründung mit Verweis auf Richtlinien oder technische Maßnahmen
7Kann ich mich ausschließlich auf die Anwendbarkeitserklärung stützen?
Die SoA ist eines von mehreren Dokumenten im ISMS. Daneben sind auch Risikobeurteilung, Risiko-Behandlungsplan und Richtlinien (z. B. Sicherheitsleitlinie) erforderlich, um das Gesamtbild der Informationssicherheit darzustellen.
8Wie detailliert muss die Begründung für nicht anwendbare Controls sein?
Die Begründung sollte klar und nachvollziehbar sein. Eine einfache Aussage wie „nicht relevant“ reicht nicht. Erkläre, warum bestimmte Szenarien in deinem Unternehmen nicht vorkommen oder bereits durch andere Maßnahmen abgedeckt sind.
9Was passiert, wenn Controls noch nicht vollständig umgesetzt sind?
Du kannst diese Controls als „in Umsetzung“ kennzeichnen. Wichtig ist, dass ein klarer Zeitplan existiert und du im Audit Fortschritte und geplante Maßnahmen nachweisen kannst.
10Wie unterscheidet sich die SoA nach ISO 27001:2022 von 2013?
Mit ISO 27001:2022 wurde der Anhang A restrukturiert und von 114 auf 93 Controls reduziert. Die Funktion bleibt gleich: Die SoA dokumentiert, welche Controls anwendbar sind und warum. Verwende die neue Control-Liste (Anhang A 2022) und aktualisiere alte Referenzen.

Weiterführende Themen zu ISO 27001

Vertiefen Sie Ihr Wissen rund um Informationssicherheit, Risikomanagement und Zertifizierung – mit unseren praxisnahen Leitfäden und Best-Practice-Beispielen zu ISO 27001 und TISAX®.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel