Bedeutung der Statement of Applicability (SoA) – ISO 27001

Im Fokus jedes Informationssicherheits-Managementsystems (ISMS) steht ein Dokument, das oft unterschätzt, aber geschäftskritisch ist: die Statement of Applicability (SoA). Sie ist nicht nur zentral für Audits, sondern ein Steuerungsinstrument für die wirksame Behandlung von Risiken und die kontinuierliche Verbesserung der Informationssicherheit.

Hinweis: Controls (Maßnahmen) aus Annex A

Die im Annex A aufgeführten Controls sind organisatorische und technische Maßnahmen (z. B. Vorgaben, Richtlinien, Prozesse), die Risiken identifizieren und mindern sowie Compliance-Anforderungen (Gesetze, Verträge, interne Policies, Standards) absichern. Durch ihren gezielten Einsatz werden Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gewährleistet.

Key Facts: Statement of Applicability (SoA)

Herzstück des ISMS
Die SoA bildet das steuernde Zentrum eines ISO 27001-Systems.

Alle Controls im Blick
Führt alle relevanten Controls aus Annex A (ISO/IEC 27001:2022) auf.

Status je Maßnahme
Kennzeichnet angewendet, ausgeschlossen oder teilweise umgesetzt.

Begründung & Verweise
Verknüpft Begründungen mit Risiko- und Compliance-Anforderungen.

Audit-Nachweis
Dient als zentrale Evidenz für innere/äußere Audits & Normkonformität.

Lebendes Dokument
Regelmäßig aktualisieren bei Änderungen von Risiken, Prozessen, Strukturen.

Transparenz schaffen
Erhöht Akzeptanz und Verständnis für Informationssicherheit.

Was ist die SoA?

Die Statement of Applicability (SoA) ist ein dokumentierter Nachweis, der festhält, welche Informationssicherheits-Controls aus Annex A der ISO/IEC 27001 für die Organisation relevant sind, welchen Implementierungsstatus sie haben und warum einzelne Maßnahmen angewendet oder bewusst ausgeschlossen werden. Sie spiegelt den organisationalen Kontext wider und verbindet die Anforderungen des Standards (Risiko, Compliance, Business) mit der praktischen Umsetzung.

Inhalte
Annex-A-Control-Liste, Anwendbarkeit, Status (umgesetzt/teilweise/ausgeschlossen), Begründung, Referenzen (Risiko, Gesetze, Verträge), Verweise auf Policies/Prozesse/Nachweise.

Nutzen
Klare Priorisierung, Audit-Sicherheit, konsistente Steuerung von Maßnahmen, Nachvollziehbarkeit gegenüber Management, Kunden und Auditoren.

Pflege
Als lebendes Dokument mit dem ISMS verändern: Änderungen an Risiken, Technologien, Organisation, Prozessen und Compliance zeitnah nachführen.

Alles aus einer Hand - Beratung und Umsetzung — Alles aus einer Hand – Beratung und Umsetzung

Der Aufbau eines Informationssicherheits- und Datenschutzmanagementsystems (ISMS) nach den Standards ISO 27001 und 27701 bietet eine systematische Herangehensweise zur Sicherung sensibler Informationen und zum Schutz der Privatsphäre von Kunden und Mitarbeitern.

Unsere Experten unterstützen Sie bei der Implementierung eines solchen Systems, das die Einhaltung gesetzlicher Vorschriften gewährleistet und das Vertrauen in Ihr Unternehmen stärkt.

Fazit – SoA als Steuerungsinstrument im ISMS

Die SoA ist mehr als nur ein Dokument für Audits; sie ist ein wesentlicher Bestandteil des ISMS und ein Instrument für das laufende Risikomanagement. Sie hilft dabei, sicherzustellen, dass alle in der Organisation über die Informationssicherheitskontrollen und deren Gründe informiert sind. Eine gut gepflegte SoA ist ein Zeichen dafür, dass eine Organisation ihre Informationssicherheitsrisiken ernst nimmt und systematisch verwaltet.

ISO/IEC 27002:2022 – Leitfaden zur Umsetzung der Controls

Die ISO 27002:2022 kann als ergänzender Leitfaden für Organisationen dienen, die ein ISMS nach ISO 27001 implementieren. Sie hilft bei der Auswahl und Implementierung der Kontrollen, die auf der Grundlage der Risikobewertung als notwendig erachtet werden. ISO 27002 ist besonders nützlich, um zu verstehen, wie jede Kontrolle (Statement of Applicability) umgesetzt werden kann, bietet aber keine Anleitung zur Einrichtung des ISMS selbst – das ist die Rolle von ISO 27001.

Zusammengefasst legt die ISO 27001 die Anforderungen für das ISMS fest und enthält eine Liste von Zielen und Maßnahmen, während ISO 27002 detaillierte Leitlinien und Best Practices für die Implementierung dieser Kontrollen bietet.

Leitfadenstandard: ISO 27002 ist ein Leitfaden für Informationssicherheitskontrollen und bietet Implementierungshinweise. Er ist nicht für die Zertifizierung gedacht.
Kontrollen und Leitlinien: Bietet detaillierte Leitlinien zu den Kontrollen, die in ISO 27001 Annex A aufgeführt sind, und erweitert diese um zusätzliche Kontrollen und Praktiken.
Struktur: Die Struktur von ISO 27002 ist thematisch organisiert und bietet eine umfassendere und detailliertere Darstellung der Kontrollen als ISO 27001.

FAQs – Statement of Applicability (SoA) ISO 27001

1 Was ist das Statement of Applicability (SoA) genau?

Das SoA ist eine zentrale Dokumentation, in der alle Sicherheitsmaßnahmen (Controls) aus Annex A der ISO 27001 aufgeführt werden. Hier wird definiert, welche Controls umgesetzt, teils angewendet oder ausgeschlossen sind – und warum.

2 Warum ist das SoA für die ISO-27001-Zertifizierung so wichtig?

Es zeigt Auditoren und Behörden klar auf, mit welchen Mitteln das Unternehmen Risiken adressiert. Damit dient es als Nachweis für die Konformität zur Norm und bildet eine Grundlage für das externe Audit.

3 Welche Informationen sollte ein SoA enthalten?

Typischerweise listet das SoA das jeweilige Control aus Annex A, den Status (umgesetzt, ausgeschlossen, teilweise umgesetzt) sowie eine Begründung für diesen Status. Oft werden auch Verweise auf relevante Dokumentationen oder Prozessbeschreibungen eingefügt.

4 Darf ich einzelne Controls komplett ausschließen?

Ja, sofern dafür eine fundierte Begründung besteht (beispielsweise wenn ein Control für das Unternehmen nicht relevant ist). Das SoA muss jedoch erläutern, warum das ausgeschlossen wurde und wie die Risikosituation bewertet wurde.

5 Wie oft muss das SoA aktualisiert werden?

Das SoA ist ein „lebendes Dokument“ und sollte nach jeder größeren Änderung in der IT- oder Organisationsstruktur, nach neuen Risikobewertungen oder bei Revisionen der Norm angepasst werden. Mindestens einmal pro Jahr bietet sich eine Prüfung an.

6 Wie geht man bei der Erstellung des SoA konkret vor?

Zunächst wird eine Risikoanalyse durchgeführt, um die relevanten Bedrohungen und Schwachstellen zu identifizieren. Anschließend werden die Controls aus Annex A geprüft und anhand des Risikos ausgewählt, ergänzt oder ausgeschlossen. In einem letzten Schritt werden alle Entscheidungen im SoA dokumentiert und intern freigegeben.

7 Was passiert, wenn im Audit Abweichungen beim SoA festgestellt werden?

Werden fehlende Controls oder unzureichende Begründungen erkannt, kann dies als Abweichung (Nonconformity) vermerkt werden. Das Unternehmen muss dann Korrekturmaßnahmen ergreifen und das SoA entsprechend anpassen, bevor eine Zertifizierung oder Rezertifizierung erteilt wird.

8 Wie unterstützt SMCT Management bei der Erstellung und Pflege des SoA?

Wir helfen bei der Risikoanalyse, bewerten die Relevanz der Controls, formulieren präzise Begründungen und integrieren das SoA in Ihr bestehendes ISMS. Zudem begleiten wir interne Audits und sorgen für eine kontinuierliche Aktualisierung.

Weiterführende Themen zur ISO 27001 und SoA

Vertiefen Sie Ihr Wissen rund um das Statement of Applicability, die praktische Umsetzung der Controls und das Risikomanagement nach ISO 27001:2022. Diese Artikel helfen Ihnen, Ihr ISMS praxisnah und auditfest aufzubauen.

📘 ISO 27001 Dokumentation 💡 ISO 27002 Leitfaden zur Umsetzung ⚙️ Risikobasierte Sicherheitskontrollen 🧩 ISO 27001 Best Practices 🔍 Audit-Vorbereitung ISO 27001 💾 ISO 27001 Asset Management 🛡️ Business Continuity Management 🧾 ISO 27001 Audit Fragenkatalog 🤝 ISO 27001 Beratung & Unterstützung 📖 Leitfaden zur ISO 27001 Zertifizierung

Offizielle Quellen & Ressourcen

Für vertiefende Informationen zur Risikoanalyse, IT-Grundschutz und den aktuellen Entwicklungen in der Informationssicherheit empfehlen wir folgende offizielle BSI-Quellen:

📚 BSI IT-Grundschutz-Bausteine (Download) 📄 BSI-Standard 200-3 – Risikoanalyse (PDF) 📰 BSI-Lagebericht IT-Sicherheit in Deutschland