Zum Inhalt springen
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Anwendbarkeitserklärung ISO 27001

Anwendbarkeitserklärung ISO 27001

Anwendbarkeitserklärung ISO 27001

Anwendbarkeitserklärung ISO 27001

In der ISO 27001 muss durch eine Anwendbarkeitserklärung (Statement of Applicability, SoA) definiert werden, welche der im Anhang A vorgeschlagenen Sicherheitskontrollen anwendbar und umgesetzt werden. Diese Erklärung gilt als zentrales Steuerungsinstrument im Informationssicherheits-Managementsystem (ISMS).

Struktur des Annex A – ISO 27001:2022

Der aktualisierte Annex A der ISO/IEC 27001:2022 enthält 93 Sicherheitsmaßnahmen, unterteilt in vier Hauptkategorien. Diese Struktur erleichtert die Anwendung und das Mapping auf betriebliche Prozesse:

🏢 Organisatorische Kontrollen 👩‍💻 Personenbezogene Kontrollen 🏠 Physische Kontrollen 💻 Technologische Kontrollen

Zweck und Bedeutung der SoA

Die Anwendbarkeitserklärung dokumentiert nachvollziehbar, welche Maßnahmen umgesetzt oder bewusst ausgeschlossen wurden – und warum. Dadurch dient sie als zentrales Nachweisdokument für interne und externe Audits.

✔️ Übersicht über alle anwendbaren Sicherheitsmaßnahmen
📋 Begründung für Ausnahmen und Ausschlüsse
🔍 Nachweis der Risikobehandlung
📈 Grundlage für interne und externe Audits

Praxis-Tipps zur Erstellung der SoA

Nutzen Sie eine strukturierte Vorlage oder digitale Tools für die fortlaufende Pflege Ihrer Anwendbarkeitserklärung:

  • Anwendbarkeit: Festlegen, ob eine Maßnahme relevant ist
  • 🧩 Begründung: Warum sie umgesetzt oder ausgeschlossen wird
  • 📄 Verweis: Zugehörige Richtlinie, Prozess oder Nachweis
  • 🔁 Status: Geplant, umgesetzt oder in Prüfung

Erweiterung mit dem BSI IT-Grundschutz

Die ISO 27001 erlaubt jederzeit die Erweiterung der SoA durch zusätzliche Kontrollen, wenn neue Risiken identifiziert werden. Ein Blick in den BSI IT-Grundschutz lohnt sich: Er bietet praxisorientierte Sicherheitsbausteine und kann zur Ergänzung der ISO-Kontrollen verwendet werden. Dadurch entsteht ein besonders robustes Sicherheitsframework, das internationalen und nationalen Anforderungen gerecht wird.

Anwendbarkeitserklärung ISO 27001

Zusammenfassung

Die Anwendbarkeitserlärung beinhaltet die im Annex A der ISO 27001 beschriebenen Kontrollen und welche davon implementiert worden sind bzw. als nicht anwendbar definiert wurden. Hier ist wichtig, dass eine Begründung stattfinden muss, sobald Sie eine Entscheidung getroffen haben, dass eine Kontrolle nichtzutreffend ist.

Key Facts – zur Anwendbarkeitserklärung (SoA)

📘 Zentrales Dokument für ISO 27001

Die Anwendbarkeitserklärung (Statement of Applicability, SoA) ist ein Pflichtdokument in der ISO-27001-Zertifizierung. Sie legt fest, welche Controls aus Anhang A relevant sind und wie sie umgesetzt werden.

⚙️ Individuelle Anpassung

Jedes Unternehmen hat eigene Anforderungen und Risikoszenarien. In der Anwendbarkeitserklärung wird für jede Control begründet, ob sie angewendet wird – oder warum nicht. Diese individuelle Betrachtung spiegelt die reale Sicherheitslage wider.

🔒 Verknüpfung von Risiken und Maßnahmen

Die Auswahl der ISO 27001 Controls basiert auf der Risikobeurteilung. Die SoA dokumentiert klar, welche Maßnahmen aufgrund identifizierter Risiken implementiert wurden und wie sie zur Risikominimierung beitragen.

📄 Dokumentation und Nachweispflicht

Die Anwendbarkeitserklärung zeigt Auditoren, dass sämtliche relevanten Sicherheitsmaßnahmen geplant und/oder umgesetzt sind. Sie dient als zentraler Nachweis für die Konformität mit ISO 27001.

🔁 Kontinuierliche Überarbeitung

Die SoA ist kein statisches Dokument. Bei Änderungen in der IT-Landschaft, neuen Bedrohungen oder organisatorischen Anpassungen muss sie regelmäßig aktualisiert werden, um den aktuellen Sicherheitsstand abzubilden.

🧭 Strukturierte Übersicht

Typischerweise listet die SoA alle Controls aus Anhang A auf und dokumentiert:

  • Anwendbarkeit oder Ausschluss der Control
  • Umsetzungsstatus (voll umgesetzt, in Arbeit, geplant)
  • Begründung und Verweis auf zugehörige Richtlinien

🌐 Transparenz gegenüber Stakeholdern

Eine gut gepflegte SoA ermöglicht internen und externen Stakeholdern – etwa Kunden, Auditoren und Partnern – einen schnellen Überblick über das Sicherheitsniveau und die Compliance Ihres Unternehmens.

🧩 Übereinstimmung mit der Risikobehandlung

Die SoA baut direkt auf der Risikobeurteilung und dem Risikobehandlungsplan auf. Beide Dokumente müssen konsistent miteinander verknüpft sein, um Widersprüche zu vermeiden und Nachvollziehbarkeit zu gewährleisten.

📘 Ergänzung zum ISMS-Handbuch

Die Anwendbarkeitserklärung wird üblicherweise im ISMS-Handbuch referenziert und ergänzt dieses. Gemeinsam bilden sie das Fundament eines nachvollziehbaren und wirksamen Sicherheitskonzepts nach ISO 27001.

🏆 Erforderlich für erfolgreiche Zertifizierung

Ohne eine vollständige und aktuelle SoA kann kein Auditor die ISO 27001 Konformität eindeutig bestätigen. Sie ist ein Schlüsselelement für die erfolgreiche Zertifizierung und ein Nachweis für ein lebendiges Informationssicherheitsmanagement.

Notwendigkeit der Anwendbarkeitserklärung (SoA) nach ISO 27001

🎯 Verbindung zur Risikobewertung

In der Risikoeinschätzung wird bereits auf die Annex-A-Kontrollen Bezug genommen, um Risiken systematisch zu minimieren. Die Anwendbarkeitserklärung (Statement of Applicability, SoA) dient als logische Fortführung dieser Bewertung. Sie zeigt transparent, welche Kontrollen aktiv zur Risikominderung beitragen und wie sie im Unternehmen umgesetzt werden.

⚖️ Berücksichtigung gesetzlicher Anforderungen

Neben den Ergebnissen der Risikobewertung müssen auch gesetzliche, behördliche und vertragliche Anforderungen berücksichtigt werden. Ebenso spielen Erkenntnisse aus anderen Managementprozessen, wie der Vertragsprüfung oder dem Lieferantenmanagement, eine Rolle. Dadurch wird die SoA zu einem integralen Steuerungsinstrument, das über reine Sicherheitsmaßnahmen hinausgeht.

📝 Begründung der Anwendbarkeit

In der SoA muss für jede Control begründet werden, ob und warum sie angewendet oder ausgeschlossen wird. Diese Begründungspflicht entspricht dem Vorgehen anderer Normen – etwa dem Ausschluss einzelner Kapitel in der ISO 9001 (z. B. Produktentwicklung). Eine klare Dokumentation erhöht die Nachvollziehbarkeit und zeigt Auditierenden, dass jede Entscheidung fundiert getroffen wurde.

📚 Verknüpfung mit Nachweisen und Dokumenten

Für jede implementierte oder ausgeschlossene Kontrolle sollte ein Verweis auf relevante Dokumente (z. B. Richtlinien, Verfahren, Prozessbeschreibungen) ergänzt werden. Kurze Erläuterungen helfen Auditoren, den Zusammenhang zwischen Risiko, Control und Nachweis schnell zu erkennen. Dies schafft Transparenz und fördert eine effiziente Auditdurchführung.

🔍 Bedeutung für das ISMS-Audit

Im ISMS-Audit fungiert die SoA als zentrales Referenzdokument. Während im Qualitätsmanagement der Produktionslenkungsplan (PLP) als Leitfaden für das Prozessaudit dient, bildet im ISMS die SoA die Grundlage für den Auditpfad. Auditoren „gehen entlang der SoA“ und prüfen, wie die Kontrollen in der Praxis implementiert und überprüft wurden.

Schritt-für-Schritt-Anleitung Umsetzung Annex A

Diese Anleitung hilft Ihnen, die Annex-A-Kontrollen strukturiert, nachvollziehbar und praxisnah umzusetzen. Jeder Schritt baut auf dem vorherigen auf und unterstützt Sie bei der Erstellung einer fundierten Anwendbarkeitserklärung (Statement of Applicability, SoA).

1️⃣ Scope und Risikoanalyse klären

  • ISMS-Geltungsbereich definieren: Welche Standorte, Abteilungen und Systeme sind einbezogen?
  • 🔍 Risiken identifizieren: Führen Sie eine Risikoanalyse mit ISO 31000, NIST oder einer eigenen Methode durch.
  • ⚖️ Risikoakzeptanzkriterien festlegen: Definieren Sie, ab wann Risiken akzeptabel oder kritisch sind.

2️⃣ Kontrollen auswählen und bewerten

  • 📋 Liste der Annex-A-Kontrollen: Nutzen Sie die aktuelle ISO 27001:2022-Version als Grundlage.
  • 🎯 Relevanz prüfen: Welche Kontrollen adressieren Ihre identifizierten Risiken?
  • 🧩 Entscheidungsgrundlage erstellen: Notieren Sie für jede Kontrolle, warum sie angewendet oder ausgeschlossen wurde.

3️⃣ Begründung und Dokumentation

  • 📝 Begründung: Erfassen Sie kurz, warum eine Kontrolle notwendig oder nicht relevant ist.
  • 🔗 Referenzen: Verweisen Sie auf Richtlinien, Verfahren oder Nachweise, die die Kontrolle belegen.
  • 👤 Verantwortlichkeiten: Legen Sie fest, wer für Implementierung und Überwachung zuständig ist.

4️⃣ Integration ins ISMS

  • 🤝 Abstimmung mit Management: Holen Sie Freigaben und Budgets ein.
  • 📢 Kommunikation: Informieren Sie Stakeholder über ihre Rollen und Pflichten.
  • 🔄 Regelmäßige Aktualisierung: Prüfen Sie die SoA bei Änderungen, neuen Risiken oder Technologien.

5️⃣ Interne und externe Audits vorbereiten

  • 🧭 Internes Audit: Simulieren Sie eine Testprüfung, um Wirksamkeit der Kontrollen zu bestätigen.
  • 🔍 Review: Aktualisieren Sie Ihr SoA vor der externen Auditierung.
  • 📚 Externer Auditor: Halten Sie Referenzen bereit und sorgen Sie für klare Nachvollziehbarkeit Ihrer Maßnahmen.

Häufige Fehler und Best Practices

Die Anwendbarkeitserklärung (SoA) ist das Herzstück der ISO 27001-Dokumentation. Trotzdem schleichen sich in der Praxis immer wieder Fehler ein, die Zeit, Nerven und Geld kosten. Die folgenden Beispiele zeigen, worauf Sie achten sollten – und wie Sie es besser machen können.

❌ Fehlende Klarheit im Umfang

Wenn nicht eindeutig festgelegt ist, welche Standorte, Systeme und Prozesse vom Informationssicherheits-Managementsystem (ISMS) abgedeckt werden, entsteht Unsicherheit im gesamten SoA. Tipp: Definieren Sie den Scope präzise und stimmen Sie ihn mit der Geschäftsleitung ab. Das schafft Klarheit für alle Beteiligten – intern wie extern.

⚠️ Unvollständige Risikoanalyse

Ohne eine fundierte Risikobewertung kann die Anwendbarkeitserklärung nicht schlüssig begründen, warum bestimmte Kontrollen umgesetzt oder ausgeschlossen sind. Führen Sie Ihre Analyse nach einem strukturierten Modell durch (z. B. ISO 31000 oder NIST), um konsistente und nachvollziehbare Ergebnisse zu erzielen.

📋 Zu allgemeine Begründungen

Aussagen wie „Diese Kontrolle wurde implementiert, weil es ISO 27001 so vorgibt“ sind unzureichend. Beschreiben Sie das Warum und Wie konkret: Welche Risiken adressiert die Maßnahme? Wie wurde sie umgesetzt? Welche Abteilung ist verantwortlich? Nur so ist Ihr SoA für Auditoren nachvollziehbar und glaubwürdig.

🔗 Fehlende Verbindung zu anderen ISMS-Dokumenten

Eine SoA ohne Querverweise auf relevante Prozesse, Richtlinien und Verfahren wirkt unvollständig. Fügen Sie Referenzen zu Ihren ISMS-Dokumenten ein (z. B. Notfallmanagement, Zugriffskontrolle, Awareness-Schulungen). So können Auditoren den Umsetzungsstand leicht nachvollziehen.

🕒 Einmal erstellt, nie wieder aktualisiert

Die Anwendbarkeitserklärung ist kein einmaliges Projekt, sondern ein lebendes Dokument. Prüfen und aktualisieren Sie es regelmäßig – insbesondere bei organisatorischen Veränderungen, neuen technischen Systemen oder geänderten Risikoprofilen. Nur so bleibt Ihr ISMS auditfähig und praxisrelevant.

Zusammenfassung Anhang A (Annex A)

Der Anhang A der ISO/IEC 27001:2022 enthält eine umfassende Liste von Maßnahmenzielen (Control Objectives) und Maßnahmen (Controls), die zur Risikobehandlung im Rahmen eines Informationssicherheits-Managementsystems (ISMS) dienen. Er bildet das Herzstück der Anwendbarkeitserklärung (SoA).

🎯 Flexibilität bei der Auswahl der Maßnahmen

Im Vergleich zu den in Anhang A festgelegten Maßnahmenzielen und Maßnahmen kann eine Organisation auch alternative Maßnahmen identifizieren, die zur Minderung eines bestimmten Informationssicherheitsrisikos besser geeignet sind. Diese Flexibilität erlaubt eine praxisnahe Anpassung an den tatsächlichen Risikokontext des Unternehmens.

⚙️ Ergänzungen und Ausschlüsse

Die in der ISO/IEC 27001:2022, Anhang A aufgeführten Maßnahmen sind nicht abschließend. Unternehmen können bei Bedarf zusätzliche Maßnahmen hinzufügen. Gleichzeitig muss nicht jede Maßnahme zwingend aufgenommen werden – nicht relevante Controls dürfen ausgeschlossen werden, sofern die Entscheidung nachvollziehbar begründet wird.

📊 Aufbau der SoA-Tabelle

Für die Statement of Applicability (SoA) sollte eine Tabelle mit allen 93 Maßnahmen (statt früher 114) aus Anhang A erstellt werden. Empfohlene Spalten:

  • Anwendbarkeit: Erforderlich oder nicht anwendbar
  • Begründung: Warum wird die Maßnahme umgesetzt oder ausgeschlossen?
  • Status: Voll umgesetzt, teilweise oder geplant

So entsteht eine übersichtliche Darstellung aller sicherheitsrelevanten Kontrollen mit transparentem Umsetzungsstatus – ideal für Audits und Managementreviews.

🔍 Erweiterte Informationen für die Praxis

Neben den Pflichtspalten können zusätzliche Details in die SoA aufgenommen werden – beispielsweise Verweise auf detaillierte Richtlinien oder dokumentierte Nachweise. Diese Angaben sind zwar kein Muss, erleichtern aber die Nachvollziehbarkeit und spätere Überprüfung erheblich.

Sinnvoll ist außerdem, für jede Maßnahme eine verantwortliche Person zu benennen. So wird klar ersichtlich, wer für Implementierung, Pflege und Überwachung einzelner Controls zuständig ist.

✅ Nutzen der SoA für Zertifizierung und ISMS-Steuerung

Eine klar strukturierte und regelmäßig aktualisierte SoA ist nicht nur eine Voraussetzung für die ISO-27001-Zertifizierung, sondern auch ein effektives Steuerungsinstrument für das gesamte ISMS. Sie ermöglicht Transparenz, fördert Verantwortlichkeit und dokumentiert den Fortschritt der Sicherheitsmaßnahmen.

FAQ – Anwendbarkeitserklärung ISO 27001

1Was ist die Anwendbarkeitserklärung in ISO 27001?
Die Anwendbarkeitserklärung (Statement of Applicability, SoA) ist ein zentrales Dokument, in dem alle relevanten Sicherheits-Controls aus Anhang A von ISO 27001 aufgelistet und begründet werden. Sie zeigt auf, welche Maßnahmen angewandt werden und warum bestimmte Controls ggf. nicht angewendet sind.
2Warum ist die Anwendbarkeitserklärung so wichtig?
Auditoren nutzen die SoA, um zu prüfen, ob das Unternehmen seine Risikobeurteilung in konkrete Controls umgesetzt hat. Fehlt die Anwendbarkeitserklärung oder ist sie unvollständig, kann die ISO-27001-Zertifizierung gefährdet sein.
3Wie erstelle ich eine Anwendbarkeitserklärung?
  • Schritt 1: Führe eine Risikobeurteilung durch, um relevante Bedrohungen und Schwachstellen zu ermitteln.
  • Schritt 2: Ordne die identifizierten Risiken den Controls aus Anhang A zu.
  • Schritt 3: Liste in der SoA auf, welche Controls du anwendest, wie sie umgesetzt sind und weshalb andere Controls nicht relevant sind.
4Muss jedes einzelne Control aus Anhang A abgedeckt sein?
Nein. Du kannst einige Controls als „nicht anwendbar“ deklarieren, wenn sie für dein Unternehmen nicht relevant sind. Wichtig ist allerdings eine schlüssige Begründung in der Anwendbarkeitserklärung.
5Wie oft sollte die Anwendbarkeitserklärung aktualisiert werden?
Die SoA wird regelmäßig überprüft und aktualisiert – z. B. wenn sich Geschäftsprozesse, IT-Systeme oder Risiken ändern. Meist erfolgt dies jährlich oder anlassbezogen.
6Welche Informationen gehören in die SoA?
  • Control-Bezeichnung (z. B. A.5.1 Information Security Policies)
  • Status (anwendbar/nicht anwendbar)
  • Umsetzungsgrad (z. B. vollständig umgesetzt, teilweise in Arbeit, geplant)
  • Begründung mit Verweis auf Richtlinien oder technische Maßnahmen
7Kann ich mich ausschließlich auf die Anwendbarkeitserklärung stützen?
Die SoA ist eines von mehreren Dokumenten im ISMS. Daneben sind auch Risikobeurteilung, Risiko-Behandlungsplan und Richtlinien (z. B. Sicherheitsleitlinie) erforderlich, um das Gesamtbild der Informationssicherheit darzustellen.
8Wie detailliert muss die Begründung für nicht anwendbare Controls sein?
Die Begründung sollte klar und nachvollziehbar sein. Eine einfache Aussage wie „nicht relevant“ reicht nicht. Erkläre, warum bestimmte Szenarien in deinem Unternehmen nicht vorkommen oder bereits durch andere Maßnahmen abgedeckt sind.
9Was passiert, wenn Controls noch nicht vollständig umgesetzt sind?
Du kannst diese Controls als „in Umsetzung“ kennzeichnen. Wichtig ist, dass ein klarer Zeitplan existiert und du im Audit Fortschritte und geplante Maßnahmen nachweisen kannst.
10Wie unterscheidet sich die SoA nach ISO 27001:2022 von 2013?
Mit ISO 27001:2022 wurde der Anhang A restrukturiert und von 114 auf 93 Controls reduziert. Die Funktion bleibt gleich: Die SoA dokumentiert, welche Controls anwendbar sind und warum. Verwende die neue Control-Liste (Anhang A 2022) und aktualisiere alte Referenzen.

Weiterführende Themen zu ISO 27001

Vertiefen Sie Ihr Wissen rund um Informationssicherheit, Risikomanagement und Zertifizierung – mit unseren praxisnahen Leitfäden und Best-Practice-Beispielen zu ISO 27001 und TISAX®.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel