Zum Inhalt springen
Startseite » Unser Blog » Informationsmanagementsysteme » Bedeutung der Statement of Applicability (SoA) ISO 27001

Bedeutung der Statement of Applicability (SoA) ISO 27001

Nachhaltigkeit SAQ 5.0

Bei Buchung von SAQ 5.0 Assessment Questionaire - erhalten Sie Rabatt auf unser Hinweisgebersystem

Statement of Applicability
Statement of Applicability SoA

Im Fokus jedes Informationssicherheitsmanagementsystems (ISMS) steht ein Dokument, das oft übersehen, aber von entscheidender Bedeutung ist: die Statement of Applicability (SoA). Die SoA ist nicht nur ein zentrales Element für Audits, sondern auch ein Schlüsselwerkzeug für das kontinuierliche Management von Informationssicherheitsrisiken. 

Key Facts: Statement of Applicability

  • Das Statement of Applicability (SoA) bildet das Herzstück eines ISMS nach ISO 27001
  • Es listet alle relevanten Sicherheitsmaßnahmen (Controls) aus Annex A auf
  • Für jede Maßnahme wird festgelegt, ob sie angewendet, ausgeschlossen oder teilweise umgesetzt wird
  • Begründungen und Verweise auf Risikobeurteilungen untermauern die Auswahl
  • Das SoA dient als Nachweis über die Normkonformität und hilft bei internen sowie externen Audits
  • Es sollte regelmäßig aktualisiert werden, wenn sich Bedrohungen oder Unternehmensstrukturen ändern
  • Ein klares und gut dokumentiertes SoA schafft Transparenz und Akzeptanz für Informationssicherheit im gesamten Unternehmen

Was ist die SoA

Die SoA ist ein dokumentierter Nachweis, der die für eine Organisation notwendigen Informationssicherheitskontrollen, deren Implementierungsstatus und die Begründung für die Auswahl oder den Ausschluss bestimmter Kontrollen aus Anhang A der ISO/IEC 27001 enthält. Sie reflektiert den Kontext einer Organisation und verbindet die Anforderungen des Standards mit der realen Welt.

Gängige Missverständnisse

Es gibt einige Missverständnisse bezüglich der SoA Statement of Applicability, die zu ihrer falschen Anwendung führen können. Ein weit verbreiteter Irrglaube ist, dass die SoA alle Kontrollen aus Anhang A enthalten muss. In Wirklichkeit sollten Kontrollen basierend auf einer gründlichen Risikobewertung ausgewählt werden, und nicht relevante Kontrollen müssen nicht aufgenommen werden. Die SoA ist auch kein statisches Dokument, sondern sollte als lebendiges Dokument betrachtet werden, das regelmäßig aktualisiert wird.

Alles aus einer Hand - Beratung und Umsetzung
Alles aus einer Hand – Beratung und Umsetzung

Der Aufbau eines Informationssicherheits- und Datenschutzmanagementsystems (ISMS) nach den Standards ISO 27001 und 27701 bietet eine systematische Herangehensweise zur Sicherung sensibler Informationen und zum Schutz der Privatsphäre von Kunden und Mitarbeitern.

Unsere Experten unterstützen Sie bei der Implementierung eines solchen Systems, das die Einhaltung gesetzlicher Vorschriften gewährleistet und das Vertrauen in Ihr Unternehmen stärkt.

Die Rolle der SoA im Auditprozess

Während eines Audits dient die SoA dazu, dem Auditor den Ansatz der Organisation zum Risikomanagement zu vermitteln. Sie zeigt auf, wo die Organisation Risiken akzeptiert hat und wo sie Kontrollen implementiert hat, um diese Risiken zu steuern. Eine effektive SoA geht über die Compliance hinaus und trägt zur kontinuierlichen Verbesserung bei.

Fazit

Die SoA ist mehr als nur ein Dokument für Audits; sie ist ein wesentlicher Bestandteil des ISMS und ein Instrument für das laufende Risikomanagement. Sie hilft dabei, sicherzustellen, dass alle in der Organisation über die Informationssicherheitskontrollen und deren Gründe informiert sind. Eine gut gepflegte SoA ist ein Zeichen dafür, dass eine Organisation ihre Informationssicherheitsrisiken ernst nimmt und systematisch verwaltet.

ISO/IEC 27002:2022

Die ISO 27002:2022 kann als ergänzender Leitfaden für Organisationen dienen, die ein ISMS nach ISO 27001 implementieren. Sie hilft bei der Auswahl und Implementierung der Kontrollen, die auf der Grundlage der Risikobewertung als notwendig erachtet werden. ISO 27002 ist besonders nützlich, um zu verstehen, wie jede Kontrolle (Statement of Applicability) umgesetzt werden kann, bietet aber keine Anleitung zur Einrichtung des ISMS selbst – das ist die Rolle von ISO 27001.

Zusammengefasst legt die ISO 27001 die Anforderungen für das ISMS fest und enthält eine Liste von Kontrollzielen und Kontrollen, während ISO 27002 detaillierte Leitlinien und Best Practices für die Implementierung dieser Kontrollen bietet.

  • Leitfadenstandard: ISO 27002 ist ein Leitfaden für Informationssicherheitskontrollen und bietet Implementierungshinweise. Er ist nicht für die Zertifizierung gedacht.
  • Kontrollen und Leitlinien: Bietet detaillierte Leitlinien zu den Kontrollen, die in ISO 27001 Annex A aufgeführt sind, und erweitert diese um zusätzliche Kontrollen und Praktiken.
  • Struktur: Die Struktur von ISO 27002 ist thematisch organisiert und bietet eine umfassendere und detailliertere Darstellung der Kontrollen als ISO 27001.

FAQs – Statement of Applicability (SoA) ISO 27001

1. Was ist das Statement of Applicability (SoA) genau?

Das SoA ist eine zentrale Dokumentation, in der alle Sicherheitsmaßnahmen (Controls) aus Annex A der ISO 27001 aufgeführt werden. Hier wird definiert, welche Controls umgesetzt, teils angewendet oder ausgeschlossen sind – und warum.

2. Warum ist das SoA für die ISO-27001-Zertifizierung so wichtig?

Es zeigt Auditoren und Behörden klar auf, mit welchen Mitteln das Unternehmen Risiken adressiert. Damit dient es als Nachweis für die Konformität zur Norm und bildet eine Grundlage für das externe Audit.

3. Welche Informationen sollte ein SoA enthalten?

Typischerweise listet das SoA das jeweilige Control aus Annex A, den Status (umgesetzt, ausgeschlossen, teilweise umgesetzt) sowie eine Begründung für diesen Status. Oft werden auch Verweise auf relevante Dokumentationen oder Prozessbeschreibungen eingefügt.

4. Darf ich einzelne Controls komplett ausschließen?

Ja, sofern dafür eine fundierte Begründung besteht (beispielsweise wenn ein Control für das Unternehmen nicht relevant ist). Das SoA muss jedoch erläutern, warum das ausgeschlossen wurde und wie die Risikosituation bewertet wurde.

5. Wie oft muss das SoA aktualisiert werden?

Das SoA ist ein „lebendes Dokument“ und sollte nach jeder größeren Änderung in der IT- oder Organisationsstruktur, nach neuen Risikobewertungen oder bei Revisionen der Norm angepasst werden. Mindestens einmal pro Jahr bietet sich eine Prüfung an.

6. Wie geht man bei der Erstellung des SoA konkret vor?

Zunächst wird eine Risikoanalyse durchgeführt, um die relevanten Bedrohungen und Schwachstellen zu identifizieren. Anschließend werden die Controls aus Annex A geprüft und anhand des Risikos ausgewählt, ergänzt oder ausgeschlossen. In einem letzten Schritt werden alle Entscheidungen im SoA dokumentiert und intern freigegeben.

7. Was passiert, wenn im Audit Abweichungen beim SoA festgestellt werden?

Werden fehlende Controls oder unzureichende Begründungen erkannt, kann dies als Abweichung (Nonconformity) vermerkt werden. Das Unternehmen muss dann Korrekturmaßnahmen ergreifen und das SoA entsprechend anpassen, bevor eine Zertifizierung oder Rezertifizierung erteilt wird.

8. Wie unterstützt SMCT Management bei der Erstellung und Pflege des SoA?

Wir helfen bei der Risikoanalyse, bewerten die Relevanz der Controls, formulieren präzise Begründungen und integrieren das SoA in Ihr bestehendes Informationssicherheits-Managementsystem. Zudem begleiten wir interne Audits und sorgen für eine kontinuierliche Aktualisierung.

Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB Integrations Modell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität | Lead Auditor ISO 14001 u. ISO 45001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner