In der ISO 27001 muss durch eine Anwendbarkeitserklärung (SoA) definiert werden, welche der aus dem Annex A ISO 27001 vorgeschlagenen Kontrollen anwendbar und umgesetzt werden. Der Annex A der ISO 27001 besteht aus 114 Kontrollen und kann durch die Organisation jederzeit erweitert werden, wenn Sie feststellen, dass Sie noch weitere Kontrollen benötigen. Hier ist es auch lohnenswert einmal ein Blick auf den IT-Grundschutz des BSI zu werfen.
Notwendigkeit der Anwendbarkeitserklärung
In der Risikoeinschätzung haben Sie bereits Bezug zu den in Annex A aufgeführten Kontrollen genommen, um die Risiken zu minimieren. Es gibt auch andere Gründe, die in der Anwendungserklärung von Bedeutung sind. Beispielsweise Gesetzliche & behördliche Anforderungen, Aspkete aus der Vertragsüberprüfung, Aspekte aus anderen Prozessen und so weiter.
Zum anderen muss in der SoA auch die Anwendbarkeit dieser Kontrollen begründet werden. D.h., Kontrollen, die Sie nicht anwenden, müssen in der SoA auch mit einer Begründung dokumentiert werden. Das kennen Sie bereits aus anderen Regelwerken wo Sie einen Ausschluss der Norm (z.B. ISO 9001 Kapitel 8.3 Produktentwicklung) als Ausschluss definieren. Zum anderen ist die Erklärung zur Anwendbarkeit eine gute Übersicht nachweisen, welche Kontrollen implementiert worden sind und welche nicht. Bezüglich der Implementierung von Kontrollen sollten Sie durch Bezugnahme zu dem Dokument, Verfahren etc. eine kurze Erläuterung hinzufügen. Dadurch erkennen beispielsweise die Auditoren sofort, warum Sie implementiert bzw. als nicht anwendbar definiert worden ist.
Bei einem Prozessaudit ist für den Auditor der Produktionslenkungsplan (PLP) das wichtigste Dokument für den Auditprozess. Mit dem PLP auditiert der Auditor entlang des Materialflusses den Produktionsprozess. Im ISMS Audit nimmt sich der Auditor die Anwendbarkeitserklärung und auditiert entlang der SoA um sicherzustellen, wie die Kontrollen installiert worden sind.
Zusammenfassung
Die Anwendbarkeitserlärung beinhaltet die im Annex A der ISO 27001 beschriebenen Kontrollen und welche davon implementiert worden sind bzw. als nicht anwendbar definiert wurden. Hier ist wichtig, dass eine Begründung stattfinden muss, sobald Sie eine Entscheidung getroffen haben, dass eine Kontrolle nichtzutreffend ist.
Anhang A
Der Anhang A enthält eine umfassende Liste der Maßnahmenziele (controll objektives) und Maßnahmen (controls). Im Vergleich zu den in Anhang A festgelegten Maßnahmenziele und Maßnahmen kann die Organisation auch alternative Maßnahmen zu den in 6.1.3 b) festgelegten Maßnahmen identifizieren, die bei der Änderung des Informationssicherheitsrisikos effektiver sein können.
Die in ISO/IEC 27001:2017, Anhang A aufgeführten Maßnahmenziele und Maßnahmen sind nicht erschöpfend, und bei Bedarf sollten zusätzliche Maßnahmenziele und Maßnahmen hinzugefügt werden. Nicht jede Steuerung innerhalb der ISO/IEC 27001:2017, Anhang A muss aufgenommen werden. Jede Maßnahme innerhalb der ISO/IEC 27001:2017, Anhang A, die nicht zur Änderung des Risikos beiträgt, sollte ausgeschlossen und der Ausschluss begründet werden.
Für den SoA sollte eine Tabelle mit allen 114 Maßnahmen aus Anhang A der ISO/IEC 27001:2017 erstellt werden. Eine Spalte der Tabelle kann angeben, ob eine Maßnahme aus Anhang A erforderlich ist oder ausgeschlossen werden kann. Eine weitere Spalte kann die Begründung für die Anwendung der Maßnahmen oder den Ausschluss liefern. In der letzten Spalte tragen Sie den Status der Implementierung ein.
Weitere Spalten können verwendet werden, z.B. für Details, die nicht von ISO/IEC 27001 benötigt werden, aber in der Regel für nachfolgende Überprüfungen nützlich sind. Diese Details können eine detailliertere Beschreibung der Implementierung der Maßnahme oder ein Querverweis auf eine detailliertere Beschreibung und dokumentierte Informationen oder Richtlinie sein, die für die Implementierung der Maßnahme relevant ist. Obwohl es sich nicht um eine spezifische Anforderung von ISO/IEC 27001 handelt, kann es für die Organisation nütztlich sein, Verantwortlichkeiten für den Betrieb jeder in der SoA enthaltenen Maßnahme anzugeben.