
Im Fokus jedes Informationssicherheitsmanagementsystems (ISMS) steht ein Dokument, das oft übersehen, aber von entscheidender Bedeutung ist: die Statement of Applicability (SoA). Die SoA ist nicht nur ein zentrales Element für Audits, sondern auch ein Schlüsselwerkzeug für das kontinuierliche Management von Informationssicherheitsrisiken.
Key Facts: Statement of Applicability
Was ist die SoA
Die SoA ist ein dokumentierter Nachweis, der die für eine Organisation notwendigen Informationssicherheitskontrollen, deren Implementierungsstatus und die Begründung für die Auswahl oder den Ausschluss bestimmter Kontrollen aus Anhang A der ISO/IEC 27001 enthält. Sie reflektiert den Kontext einer Organisation und verbindet die Anforderungen des Standards mit der realen Welt.
Gängige Missverständnisse
Es gibt einige Missverständnisse bezüglich der SoA Statement of Applicability, die zu ihrer falschen Anwendung führen können. Ein weit verbreiteter Irrglaube ist, dass die SoA alle Kontrollen aus Anhang A enthalten muss. In Wirklichkeit sollten Kontrollen basierend auf einer gründlichen Risikobewertung ausgewählt werden, und nicht relevante Kontrollen müssen nicht aufgenommen werden. Die SoA ist auch kein statisches Dokument, sondern sollte als lebendiges Dokument betrachtet werden, das regelmäßig aktualisiert wird.

Der Aufbau eines Informationssicherheits- und Datenschutzmanagementsystems (ISMS) nach den Standards ISO 27001 und 27701 bietet eine systematische Herangehensweise zur Sicherung sensibler Informationen und zum Schutz der Privatsphäre von Kunden und Mitarbeitern.
Unsere Experten unterstützen Sie bei der Implementierung eines solchen Systems, das die Einhaltung gesetzlicher Vorschriften gewährleistet und das Vertrauen in Ihr Unternehmen stärkt.
Die Rolle der SoA im Auditprozess
Während eines Audits dient die SoA dazu, dem Auditor den Ansatz der Organisation zum Risikomanagement zu vermitteln. Sie zeigt auf, wo die Organisation Risiken akzeptiert hat und wo sie Kontrollen implementiert hat, um diese Risiken zu steuern. Eine effektive SoA geht über die Compliance hinaus und trägt zur kontinuierlichen Verbesserung bei.
Fazit
Die SoA ist mehr als nur ein Dokument für Audits; sie ist ein wesentlicher Bestandteil des ISMS und ein Instrument für das laufende Risikomanagement. Sie hilft dabei, sicherzustellen, dass alle in der Organisation über die Informationssicherheitskontrollen und deren Gründe informiert sind. Eine gut gepflegte SoA ist ein Zeichen dafür, dass eine Organisation ihre Informationssicherheitsrisiken ernst nimmt und systematisch verwaltet.
ISO/IEC 27002:2022
Die ISO 27002:2022 kann als ergänzender Leitfaden für Organisationen dienen, die ein ISMS nach ISO 27001 implementieren. Sie hilft bei der Auswahl und Implementierung der Kontrollen, die auf der Grundlage der Risikobewertung als notwendig erachtet werden. ISO 27002 ist besonders nützlich, um zu verstehen, wie jede Kontrolle (Statement of Applicability) umgesetzt werden kann, bietet aber keine Anleitung zur Einrichtung des ISMS selbst – das ist die Rolle von ISO 27001.
Zusammengefasst legt die ISO 27001 die Anforderungen für das ISMS fest und enthält eine Liste von Kontrollzielen und Kontrollen, während ISO 27002 detaillierte Leitlinien und Best Practices für die Implementierung dieser Kontrollen bietet.
- Leitfadenstandard: ISO 27002 ist ein Leitfaden für Informationssicherheitskontrollen und bietet Implementierungshinweise. Er ist nicht für die Zertifizierung gedacht.
- Kontrollen und Leitlinien: Bietet detaillierte Leitlinien zu den Kontrollen, die in ISO 27001 Annex A aufgeführt sind, und erweitert diese um zusätzliche Kontrollen und Praktiken.
- Struktur: Die Struktur von ISO 27002 ist thematisch organisiert und bietet eine umfassendere und detailliertere Darstellung der Kontrollen als ISO 27001.
FAQs – Statement of Applicability (SoA) ISO 27001
Das SoA ist eine zentrale Dokumentation, in der alle Sicherheitsmaßnahmen (Controls) aus Annex A der ISO 27001 aufgeführt werden. Hier wird definiert, welche Controls umgesetzt, teils angewendet oder ausgeschlossen sind – und warum.
Es zeigt Auditoren und Behörden klar auf, mit welchen Mitteln das Unternehmen Risiken adressiert. Damit dient es als Nachweis für die Konformität zur Norm und bildet eine Grundlage für das externe Audit.
Typischerweise listet das SoA das jeweilige Control aus Annex A, den Status (umgesetzt, ausgeschlossen, teilweise umgesetzt) sowie eine Begründung für diesen Status. Oft werden auch Verweise auf relevante Dokumentationen oder Prozessbeschreibungen eingefügt.
Ja, sofern dafür eine fundierte Begründung besteht (beispielsweise wenn ein Control für das Unternehmen nicht relevant ist). Das SoA muss jedoch erläutern, warum das ausgeschlossen wurde und wie die Risikosituation bewertet wurde.
Das SoA ist ein „lebendes Dokument“ und sollte nach jeder größeren Änderung in der IT- oder Organisationsstruktur, nach neuen Risikobewertungen oder bei Revisionen der Norm angepasst werden. Mindestens einmal pro Jahr bietet sich eine Prüfung an.
Zunächst wird eine Risikoanalyse durchgeführt, um die relevanten Bedrohungen und Schwachstellen zu identifizieren. Anschließend werden die Controls aus Annex A geprüft und anhand des Risikos ausgewählt, ergänzt oder ausgeschlossen. In einem letzten Schritt werden alle Entscheidungen im SoA dokumentiert und intern freigegeben.
Werden fehlende Controls oder unzureichende Begründungen erkannt, kann dies als Abweichung (Nonconformity) vermerkt werden. Das Unternehmen muss dann Korrekturmaßnahmen ergreifen und das SoA entsprechend anpassen, bevor eine Zertifizierung oder Rezertifizierung erteilt wird.
Wir helfen bei der Risikoanalyse, bewerten die Relevanz der Controls, formulieren präzise Begründungen und integrieren das SoA in Ihr bestehendes Informationssicherheits-Managementsystem. Zudem begleiten wir interne Audits und sorgen für eine kontinuierliche Aktualisierung.