Die Anwendbarkeitserklärung (SoA) für die ISO 27001 im Detail

Im Kontext eines Informationssicherheits-Managementsystems (ISMS) gemäß ISO/IEC 27001 ist die Erklärung zur Anwendbarkeit (SoA, Statement of Applicability) ein zentrales Dokument. Es dokumentiert, welche der Sicherheitskontrollen aus Anhang A für die Organisation relevant sind und in welchem Umfang diese umgesetzt werden.


Zwecke der SoA die Hauptziele der SoA sind

Transparenz: Deutlichkeit schaffen über die angewendeten Kontrollen und deren Gründe.
Risikomanagement: Belegen, dass Risiken angemessen behandelt werden.
Compliance: Gewährleistung, dass alle gesetzlichen, regulatorischen und vertraglichen Vorgaben eingehalten werden.


Inhalte der SoA

Stellungnahme zur Aussage Die SoA wird in den folgenden Schritten erstellt:
Ermittlung der relevanten Kontrollen: Prüfung der Kontrollen im Anhang A der ISO 27001 und Auswahl derjenigen, die für die Organisation von Bedeutung sind.
Beurteilung der Risiken: Durchführung einer Risikobeurteilung, um die notwendigen Sicherheitsvorkehrungen zu ermitteln.
Dokumentation: Erstellung einer SoA, die eine detaillierte Beschreibung der Anwendbarkeit und Umsetzung der Kontrollen enthält.
Prüfung und Freigabe: Gewährleistung, dass die SoA von den verantwortlichen Stellen überprüft und freigegeben wird.


Relevanz der SoA

Die SoA ist ein wichtiges Hilfsmittel für das Informationssicherheits-Managementsystem und hat eine zentrale Funktion bei internen, externen sowie Zertifizierungsaudits. Sie demonstriert, dass die Organisation ihre Risiken in Bezug auf die Informationssicherheit systematisch ermittelt und angegangen ist, und bietet einen detaillierten Überblick über die Informationssicherheitspraktiken der Organisation. Zusammenfassend lässt sich sagen, dass die Erklärung zur Anwendbarkeit einen essenziellen Teil eines wirkungsvollen Managementsystems für Informationssicherheit ausmacht. Sie hilft dem Unternehmen dabei, seine Sicherheitsziele zu verwirklichen und bei Kunden sowie Stakeholdern Vertrauen aufzubauen.


Umsetzung der SoA für die ISO 27001

Im Kapitel 6.1.3 d) der ISO 27001 sind die Anforderungen für die SoA detailliert beschrieben.

Risiken und getroffene Maßnahme

In der Risikoanalyse wurden fürs Unternehmen Risiken ermittelt. Die ISO 27001 sieht vor, dass der Annex A eine angemessene Anzahl von Maßnahmen für die Unternehmensrisiken darstellt. Es ist dem Unternehmen freigestellt, weitere Maßnahmen anhand anderer Frameworks zu Verhinderung von Risiken zu bestimmen. Jedes Risiko muss auf einen Prozess oder ein Asset referenziert werden, damit man die Tragweite und die Eintrittswahrscheinlichkeit definieren kann.
Alle Maßnahmen in Risikomanagement sollten mit dem Annex A in Verbindung stehen und verknüpft werden.


Begründung für die Anwendbarkeit

Jede Maßnahme aus dem Annex A und anderen Frameworks müssen begründet werden. Es reicht nicht aus, nur zu definieren, dass ein Risiko vorliegt, es sollten auch die jeweiligen Prozesse oder die jeweiligen Assets, die es betrifft. Wobei man festhalten muss, dass die Maßnahmen meist Prozessschritte sind.


Ausschluss für die Anwendbarkeit

Jede Maßnahme aus dem Annex A und anderen Frameworks, die nicht verwendet werden, müssen detailliert beschrieben werden. Hier reicht es nicht aus, zu dokumentieren der Prozess wird nicht durchgeführt. Es muss durch den Scope, dem Handelsregisterauszug und weiteren Nachweisen belegt werden, dass diese Maßnahme nicht umgesetzt wird.
Ein Mapping zu den drei Zielen des ISMS können auch ein gangbarer Weg sein, um die Anwendbarkeit zu dokumentieren.


Status der Umsetzung

Es muss für jede Kontrolle, die umgesetzt wird, ein definitiver Umsetzungsgrad definiert werden. Dieser Umsetzungsgrad kann in Form einer Prozentzahl eines Reifegrads definiert werden. Wir nicht der vollständige Reifegrad (Reifegrad mindestens 3) oder die 100% Umsetzung erreicht, so muss der Auditor hier eine Prozesslücke finden und eine Abweichung schreiben. Daher wird empfohlen, egal in welchem Stand die Umsetzung ist hier 100% oder Reifegrad 3 anzugeben.


Versionierung, Legende und Freigabe

Es sollte auch eine Legende dokumentiert werden, damit Dritte wissen, wie die Werte gemeint sind. (Umsetzungsgrad bzw. Reifegrad)
Die Version ist eine entscheidende Information auf dem Zertifikat. Dieses Dokument stellt die Geprüften Kontrollen der ISO 27001 da und sollte im Gültigkeitszeitraum des Zertifikats nicht verändert werden.
Wird die Version dennoch verändert, so müsste das Zertifikat neu ausgestellt werden. Die gültige Version muss von der obersten Leitung freigegeben werden.


Konkrete Umsetzung

Annex A KontrolleZiele Umsetzungsgrad
Reifegrad
AnwendbarkeitProzessBegründungRisiko
A.5.1x Verfügbarkeit
x Vertraulichkeit
x Integrität
100%
RG 3
JaComplianceEs wurden spezifische Dokumente für das ISMS erstellt. Die Kontrolle ist anwendbar für das Unternehmen.Risiko Nummer 1

Der Reifegrad (RG) 3 bzw. die Umsetzung von 100% bedeutet, dass die Kontrollen im Unternehmen implementiert wurden.

SoA Version: 1.0, Datum: 01.01.2025. Freigabe durch das Managementreview vom 01.02.2025


Wir bieten für die folgenden Managementsysteme Dienstleistungen im Bereich der Beratung und Auditierung an.

Informationssicherheit: → ISO 27001

Compliance.Management: → ISO 37301

Datenschutz: → DSGVO, ISO 27701

Business Continuity Management: → ISO 22301


Unser Partner  ↗ IT-Richtlinien.de bietet Vorlagen für Managementsysteme an.

Diese Vorlagen sind geeignet für die Zertifizierung.