Viele weitere Artikel im Qualitäts- Umwelt-, Arbeitsschutz- und zur Informationssicherheit finden Sie in unseren Blog

Anwendbarkeitserklärung ISO 27001

In der ISO 27001 muss durch eine Anwendbarkeitserklärung (SoA) definiert werden, welche der aus dem Annex A ISO 27001 vorgeschlagenen Kontrollen anwendbar und umgesetzt werden. Der Annex A der ISO 27001 besteht aus 114 Kontrollen und kann durch die Organisation jederzeit erweitert werden, wenn Sie feststellen, dass Sie noch weitere Kontrollen benötigen. Hier ist es auch lohnenswert einmal ein Blick auf den IT-Grundschutz des BSI zu werfen.

Notwendigkeit der Anwendbarkeitserklärung

In der Risikoeinschätzung haben Sie bereits Bezug zu den in Annex A aufgeführten Kontrollen genommen, um die Risiken zu minimieren. Es gibt auch andere Gründe, die in der Anwendungserklärung von Bedeutung sind. Beispielsweise Gesetzliche & behördliche Anforderungen, Aspkete aus der Vertragsüberprüfung, Aspekte aus anderen Prozessen und so weiter.

Zum anderen muss in der SoA auch die Anwendbarkeit dieser Kontrollen begründet werden. D.h., Kontrollen, die Sie nicht anwenden, müssen in der SoA auch mit einer Begründung dokumentiert werden. Das kennen Sie bereits aus anderen Regelwerken wo Sie einen Ausschluss der Norm (z.B. ISO 9001 Kapitel 8.3 Produktentwicklung) als Ausschluss definieren. Zum anderen ist die Erklärung zur Anwendbarkeit eine gute Übersicht nachweisen, welche Kontrollen implementiert worden sind und welche nicht. Bezüglich der Implementierung von Kontrollen sollten Sie durch Bezugnahme zu dem Dokument, Verfahren etc. eine kurze Erläuterung hinzufügen. Dadurch erkennen beispielsweise die Auditoren sofort, warum Sie implementiert bzw. als nicht anwendbar definiert worden ist.

Bei einem Prozessaudit ist für den Auditor der Produktionslenkungsplan (PLP) das wichtigste Dokument für den Auditprozess. Mit dem PLP auditiert der Auditor entlang des Materialflusses den Produktionsprozess. Im ISMS Audit nimmt sich der Auditor die Anwendbarkeitserklärung und auditiert entlang der SoA um sicherzustellen, wie die Kontrollen installiert worden sind.

Anwendbarkeitserklärung ISO 27001
Anwendbarkeitserklärung ISO 27001

Zusammenfassung

Die Anwendbarkeitserlärung beinhaltet die im Annex A der ISO 27001 beschriebenen Kontrollen und welche davon implementiert worden sind bzw. als nicht anwendbar definiert wurden. Hier ist wichtig, dass eine Begründung stattfinden muss, sobald Sie eine Entscheidung getroffen haben, dass eine Kontrolle nichtzutreffend ist.

nv-author-image

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB IntegrationsModell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität

Schlagwörter: