Im Fokus jedes Informationssicherheitsmanagementsystems (ISMS) steht ein Dokument, das oft übersehen, aber von entscheidender Bedeutung ist: die Statement of Applicability (SoA). Die SoA ist nicht nur ein zentrales Element für Audits, sondern auch ein Schlüsselwerkzeug für das kontinuierliche Management von Informationssicherheitsrisiken.
Was ist die SoA
Die SoA ist ein dokumentierter Nachweis, der die für eine Organisation notwendigen Informationssicherheitskontrollen, deren Implementierungsstatus und die Begründung für die Auswahl oder den Ausschluss bestimmter Kontrollen aus Anhang A der ISO/IEC 27001 enthält. Sie reflektiert den Kontext einer Organisation und verbindet die Anforderungen des Standards mit der realen Welt.
Gängige Missverständnisse
Es gibt einige Missverständnisse bezüglich der SoA Statement of Applicability, die zu ihrer falschen Anwendung führen können. Ein weit verbreiteter Irrglaube ist, dass die SoA alle Kontrollen aus Anhang A enthalten muss. In Wirklichkeit sollten Kontrollen basierend auf einer gründlichen Risikobewertung ausgewählt werden, und nicht relevante Kontrollen müssen nicht aufgenommen werden. Die SoA ist auch kein statisches Dokument, sondern sollte als lebendiges Dokument betrachtet werden, das regelmäßig aktualisiert wird.
Der Aufbau eines Informationssicherheits- und Datenschutzmanagementsystems (ISMS) nach den Standards ISO 27001 und 27701 bietet eine systematische Herangehensweise zur Sicherung sensibler Informationen und zum Schutz der Privatsphäre von Kunden und Mitarbeitern.
Unsere Experten unterstützen Sie bei der Implementierung eines solchen Systems, das die Einhaltung gesetzlicher Vorschriften gewährleistet und das Vertrauen in Ihr Unternehmen stärkt.
Die Rolle der SoA im Auditprozess
Während eines Audits dient die SoA dazu, dem Auditor den Ansatz der Organisation zum Risikomanagement zu vermitteln. Sie zeigt auf, wo die Organisation Risiken akzeptiert hat und wo sie Kontrollen implementiert hat, um diese Risiken zu steuern. Eine effektive SoA geht über die Compliance hinaus und trägt zur kontinuierlichen Verbesserung bei.
Fazit
Die SoA ist mehr als nur ein Dokument für Audits; sie ist ein wesentlicher Bestandteil des ISMS und ein Instrument für das laufende Risikomanagement. Sie hilft dabei, sicherzustellen, dass alle in der Organisation über die Informationssicherheitskontrollen und deren Gründe informiert sind. Eine gut gepflegte SoA ist ein Zeichen dafür, dass eine Organisation ihre Informationssicherheitsrisiken ernst nimmt und systematisch verwaltet.
ISO/IEC 27002:2022
Die ISO 27002:2022 kann als ergänzender Leitfaden für Organisationen dienen, die ein ISMS nach ISO 27001 implementieren. Sie hilft bei der Auswahl und Implementierung der Kontrollen, die auf der Grundlage der Risikobewertung als notwendig erachtet werden. ISO 27002 ist besonders nützlich, um zu verstehen, wie jede Kontrolle (Statement of Applicability) umgesetzt werden kann, bietet aber keine Anleitung zur Einrichtung des ISMS selbst – das ist die Rolle von ISO 27001.
Zusammengefasst legt die ISO 27001 die Anforderungen für das ISMS fest und enthält eine Liste von Kontrollzielen und Kontrollen, während ISO 27002 detaillierte Leitlinien und Best Practices für die Implementierung dieser Kontrollen bietet.
- Leitfadenstandard: ISO 27002 ist ein Leitfaden für Informationssicherheitskontrollen und bietet Implementierungshinweise. Er ist nicht für die Zertifizierung gedacht.
- Kontrollen und Leitlinien: Bietet detaillierte Leitlinien zu den Kontrollen, die in ISO 27001 Annex A aufgeführt sind, und erweitert diese um zusätzliche Kontrollen und Praktiken.
- Struktur: Die Struktur von ISO 27002 ist thematisch organisiert und bietet eine umfassendere und detailliertere Darstellung der Kontrollen als ISO 27001.