Heimat der Akademie
Blogs
Was ist die Erklärung zur Anwendbarkeit (SoA) in ISO 27001?
Teil der ISO 27001-Sammlung
Teil der NIS2-Sammlung

Was ist die Erklärung zur Anwendbarkeit (SoA) in ISO 27001?

ISO 27001-Sammlung
Was ist die Erklärung zur Anwendbarkeit (SoA) in ISO 27001?
NIS2-Sammlung
Was ist die Erklärung zur Anwendbarkeit (SoA) in ISO 27001?
Cyberday Blog
Was ist die Erklärung zur Anwendbarkeit (SoA) in ISO 27001?

Das Statement of Applicability (auch bekannt als SoA) ist eines der obligatorischen Dokumente für die ISO 27001-Zertifizierung. Kurz gesagt, erklärt das SoA, welche Sicherheitskontrollen (von derzeit insgesamt 93) aus der ISO 27001-Norm für Ihre Organisation relevant sind, ob Sie sie bereits implementiert haben und wie Sie das getan haben.

Allzu oft wird das SoA als statisches Dokument betrachtet, obwohl es eine aktive Rolle bei der Einhaltung der Vorschriften, der kontinuierlichen Verbesserung und der Überwachung des Gesamtfortschritts Ihrer ISO 27001-Norm spielen sollte.

In diesem Blog werden wir den Hauptzweck und die Vorteile eines gut funktionierenden SoA-Dokuments behandeln. Wir erläutern auch seine Hauptaufgaben in einem guten Informationssicherheitsmanagement, das auf ISO 27001 basiert.

Was ist die Erklärung zur Anwendbarkeit (SoA) in ISO 27001?

In der Erklärung zur Anwendbarkeit wird erläutert, welche Sicherheitskontrollen aus der Auflistung in Anhang A der ISO 27001-Norm für Ihre Organisation relevant sind, ob Sie diese bereits umgesetzt haben und wie Sie dies getan haben.

Gut zu wissen: Die genauen Inhalte, der Zweck und die Benennung der SoA sind spezifisch für die ISO 27001-Norm, aber die allgemeine Idee, Anforderungen oder Kontrollen aufzulisten und Ihren Status und Ihre Antwort auf jede Anforderung klar darzustellen, kann auf jede Art von Compliance-Berichterstattung angewandt werden - z. B. auf jeden Rahmen für Informationssicherheit.

In einem typischen SoA-Dokument würden Sie alle 93 Kontrollen der ISO 27001:2022 auflisten (oft in einer Excel-Datei) und für jede die folgenden Dinge anzeigen:

  • Anwendbarkeitsstatus (anwendbar oder nicht anwendbar)
  • Stichhaltige Begründung für jede nicht anwendbare Kontrolle
  • Stand der Umsetzung
  • Verweise auf weitere Nachweise / Details zur Umsetzung
Auszug aus einem traditionellen SoA-Dokument

Es ist wichtig zu verstehen, dass die Liste der Kontrollen in ISO 27001 sorgfältig von Branchenexperten erstellt und im Laufe der Jahre von Hunderttausenden von Organisationen erprobt worden ist. Aus diesem Grund können Sie nicht rechtfertigen, dass einige grundlegende Kontrollen nicht anwendbar sind, und Sie brauchen eine überzeugende Begründung für alle Kontrollen, die Sie nicht implementieren wollen.

Auch aus dem oben beschriebenen Grund sehen die meisten SoA-Dokumente von zertifizierten Organisationen überwiegend grün aus (d. h. die Kontrolle wurde implementiert), wobei möglicherweise einige Kontrollen als nicht anwendbar definiert sind. Aber selbst in diesen Fällen kann die Umsetzungstiefe der einzelnen anwendbaren Kontrollen sehr unterschiedlich sein.

Ein intelligentes SoA-Dokument kann weitere Umsetzungsinformationen aus Ihrem ISMS einbeziehen, so dass Sie das SoA auch als Instrument zur Überwachung der Umsetzung und der Stärke der Umsetzung jeder Kontrolle direkt aus dem SoA verwenden können.

Beispiel für eine automatisierte Zusammenfassung eines SoA-Dokuments, das sich selbst aus dem Inhalt der ISMS-Aufgaben erstellt

Zu den wichtigsten Zielen der SoA gehören:

  • Nachweis der Umsetzung der Kontrollen: Die Kontrollliste von ISO 27001 umfasst 93 Kontrollen, die alle verschiedenen Aspekte der Informationssicherheit abdecken. SoA kommuniziert mit einem Blick, wie stark Ihre aktuelle Kontrollimplementierung aussieht.
  • Bietet einen ISMS-Überblick: Die SoA ist oft eine der besten Möglichkeiten, sich einen Überblick über Ihr ISMS zu verschaffen, da sie eine Momentaufnahme der derzeit vorhandenen Sicherheitsmaßnahmen liefert.
  • Erleichtert den Zertifizierungsprozess: SoA ist ein Schlüsseldokument bei ISO 27001-Zertifizierungsaudits. Bei Zertifizierungsaudits müssen alle Abschnitte der Norm geprüft werden, und das SoA wird in der Regel als zentraler Punkt für die Navigation zu detaillierteren Unterlagen verwendet, die die Umsetzung belegen.
  • Unterstützt das Risikomanagement der Informationssicherheit: SoA stellt sicher, dass Sie alle empfohlenen Kontrollen von ISO 27001 ganzheitlich betrachten müssen, wenn Sie über den Umgang mit bestimmten Informationssicherheitsrisiken entscheiden.
  • Unterstützt die kontinuierliche Verbesserung: Nachdem Sie die anfängliche Konformität oder Zertifizierung einmal erreicht haben, muss Ihre Sicherheitsarbeit kontinuierlich verbessert werden. Möglicherweise möchten Sie die Umsetzung bestimmter Kontrollen verstärken, wenn es zu Zwischenfällen oder hervorgehobenen Risiken kommt. Eine gute SoA sollte Ihnen dabei helfen, die aktuelle Umsetzungstiefe der verschiedenen Kontrollen zu verstehen.

3 Hauptgründe, warum SoA so wichtig ist

1. Es ist ein obligatorisches Dokument für die Zertifizierung

  • ISO 27001 verlangt ausdrücklich ein SoA als Teil der ISMS-Dokumentation.
  • Das bedeutet, dass Sie die ISO 27001-Zertifizierung nicht ohne ein SoA-Dokument bestehen können.
  • Der Prüfer wird den SoA als wichtige Referenz für die Bewertung der Umsetzung und Auswahl von Kontrollen verwenden.

2. Es zeigt ein gerechtfertigtes Sicherheitskonzept

  • SoA beweist, dass die Organisation die Sicherheitskontrollen auf der Grundlage der Ergebnisse der Risikobewertung sorgfältig ausgewählt hat
  • SoA liefert insbesondere eine klare Begründung für alle Kontrollen, die von der Kontrollliste in Anhang A ausgeschlossen wurden.
  • Auf diese Weise wird z.B. vermieden, dass kritische Sicherheitsmaßnahmen übersehen werden, die Teil jedes ausgereiften Informationssicherheitsprogramms sind.

3. Er dient als Fahrplan für die Umsetzung und die Audits

  • Die SoA dient den internen Sicherheitsteams als Leitfaden zur Verbesserung der ISO 27001-Konformität, da sie die Umsetzung der erforderlichen Kontrollen verfolgen können.
  • Die Prüfer verwenden die SoA, um zu überprüfen, ob die Kontrollen funktionsfähig und wirksam sind. Die Prüfer können z. B. auf Kontrollen hinweisen, die zu vage implementiert sind.
  • SoA unterstützt auch die kontinuierliche Verbesserung, da Organisationen es aktualisieren sollten, wenn sich das Risikoumfeld oder die eigenen Sicherheitsbedürfnisse weiterentwickeln.

4 Hauptaufgaben für SoA in der Informationssicherheitsarbeit

Im Folgenden werden vier Schlüsselrollen untersucht, die ein gut strukturiertes SoA-Dokument für ein effektives Informationssicherheitsmanagement spielt. Das Verständnis dieser Funktionen hilft Unternehmen, Sicherheitskontrollen effizient zu implementieren und gleichzeitig die Einhaltung gesetzlicher und geschäftlicher Anforderungen zu gewährleisten.

1. SoA hilft Ihnen, die Einhaltung der Vorschriften aktiv zu verbessern

SoA sollte nicht nur eine Liste von Kontrollen und Links zu statischen Richtlinien sein, die sich mit diesen Kontrollen befassen. Es sollte eine lebendige Referenz für Security Governance sein.

Wenn Sie die SoA mit einem ISMS-Tool erstellen, können Sie die Verbesserung Ihrer Konformitätsbewertung und den Grad der Sicherheit, dass die Bewertung korrekt ist, verfolgen. Dies bedeutet im Wesentlichen, wie stark Sie relevante Kontrollen implementiert haben und wie viele Details im ISMS vorhanden sind, um diesen Implementierungsstatus zu untermauern (diese Details sind z. B. benannte Verantwortliche, durchgeführte Überprüfungen, verknüpfte Technologien, verknüpfte Aufzeichnungen oder andere verwandte Nachweise, die die Implementierung belegen).

Verfolgung des aktuellen Stands der Einhaltung der Vorschriften und der Sicherheit in einem SoA-Dokument in Cyberday

2. SoA bietet Struktur und Überblick für Überprüfungen und Audits

Ob Sie ein internes oder externes Audit auf der Grundlage von ISO 27001 durchführen, das SoA wird Ihr wichtigstes Dokument sein. Auditoren verlassen sich auf das SoA, um Ihre Sicherheitsmaßnahmen mit der ISO 27001-Struktur zu vergleichen.

Ihre internen Auditoren können dasselbe tun und Ihre eigenen Sicherheitspraktiken mit Hilfe von SoA auditieren, wobei gleichzeitig sichergestellt wird, dass Audits in kleinere Teile aufgeteilt werden können und immer noch eine nachweisbare Abdeckung des gesamten Standards haben.

Wenn Ihr SoA auch genügend Informationen über die Umsetzung der Kontrollen enthält, können sich Ihre internen Audits auf die erste Ebene konzentrieren, um zu untersuchen, ob die auf der SoA-Ebene gefundenen Details tatsächlich funktionieren.

SoA, die von einem internen Prüfer in der Auditansicht verwendet wird

SoA hilft auch bei Management-Reviews, indem es der obersten Führungsebene einen Überblick über die derzeitige Umsetzung der ISO 27001-Kontrollen verschafft, bevor es in weitere Details geht.

3. SoA unterstützt kontinuierliche Verbesserung

Die ISO 27001-Norm kann Ihnen keine genauen Angaben zur Umsetzung der einzelnen Kontrollen machen. Es gibt viel Spielraum für die Umsetzung einiger Kontrollen mit einem leichteren Ansatz und die Vertiefung einiger Kontrollen - derjenigen, mit denen Sie die größten Risiken verbunden sehen.

Ein intelligentes SoA-Dokument kann als Leitfaden für Ihre Überlegungen zur Verstärkung der Kontrollimplementierung dienen. Sie können nachvollziehen, welche Kontrollen bereits sehr stark implementiert sind und in welchen Fällen Sie einfache Härtungsmaßnahmen ergreifen können.

Signifikante Änderungen an Ihren Abläufen oder Ihrer Bedrohungslage sollten auch als Verbesserungen bei der Umsetzung Ihrer Kontrollen sichtbar werden.

Sind Sie mit der Tiefe Ihrer derzeitigen Implementierung der Kontrolle zufrieden, oder sollten Sie noch weiter gehen?

4. SoA zur Unterstützung der Kunden-Sicherheitskommunikation

Die Anwendbarkeitserklärung ist auch eines der beliebtesten Dokumente, die Ihre Kunden oder andere Interessengruppen sehen möchten. Da jede ISO 27001-zertifizierte Organisation mit der Anwendbarkeitserklärung gut vertraut ist, möchten sie vielleicht auch Ihre Version sehen.

SoA ist eines der Dokumente, die einige Organisationen ihren Interessengruppen auf Anfrage zur Verfügung stellen. Dies kann z. B. auf der Seite /Sicherheit Ihrer Website geschehen oder z. B. auf der Trust Center-Seite einer ISMS-App, die einen "by-request"-Link zu Ihrem zuletzt veröffentlichten Live-SoA bereitstellen kann.

SoA wird für Interessengruppen durch einen Cyberday freigegeben Trust Center

Abschließende Gedanken

Zusammenfassend lässt sich sagen, dass ein ordnungsgemäß verwendetes Anwendbarkeitsdokument Ihnen helfen wird, Ihre laufenden Bemühungen um Sicherheit und Konformität voranzutreiben. Es ist für die Zertifizierung obligatorisch und ein Schlüsseldokument für alle, die ihre ISO 27001-Konformität verbessern wollen.

Wenn Sie Ihre Informationssicherheit mit einem geeigneten ISMS-Tool verwalten, brauchen Sie keine zusätzliche Arbeit für die Zusammenstellung des SoA-Dokuments zu leisten - alle benötigten Informationen sollten in Ihrem ISMS immer verfügbar sein! In diesem Fall ist die SoA der Schlüsselbericht Ihres ISMS, der einen Überblick über die ISO 27001 und die Umsetzung der Kontrollen gibt.

Geschrieben von
Aleksi Pulkkanen
4.3.2025
@
apulkkanen
LinkedIn

Inhalt des Artikels

Andere Artikel zum gleichen Thema

Vollständige ISO 27001-Kollektion anzeigen
Vollständige NIS2-Sammlung anzeigen

Andere verwandte Blog-Artikel

Artikel teilen

Andere ähnliche Inhalte von Academy

Blogs

ISMS-Einführung: Vergleich von Dokumenten, Wikis, ISMS-Tools und GRC

Für den Aufbau eines ISMS gibt es verschiedene Ansätze. In diesem Beitrag vergleichen wir diese verschiedenen Methoden und helfen Ihnen zu verstehen, welche für die Anforderungen Ihrer Organisation an das Sicherheitsmanagement am besten geeignet sein könnte.
6.3.2025

Was ist die Erklärung zur Anwendbarkeit (SoA) in ISO 27001?

In diesem Blog werden wir den Hauptzweck und die Vorteile eines gut funktionierenden Statement of Applicability-Dokuments behandeln. Wir erklären auch, warum SoA wichtig ist und welche 4 Schlüsselrollen es bei der Arbeit im Bereich der Informationssicherheit spielen kann.
4.3.2025

Warum ist die Einhaltung von ISO 27001 heute wichtiger denn je?

Jahr für Jahr ist die ISO 27001-Norm einer der wichtigsten Standards für die Informationssicherheit geblieben. Die weltweite Norm ist nach wie vor relevant, aber woher stammt ISO 27001? Und warum wird sie immer beliebter?
27.2.2025

Beginnen Sie noch heute

Starten Sie kostenlos, in Ihrer gewohnten Teams-Umgebung.
Wenn Sie zunächst einige Fragen haben, vereinbaren Sie einen Termin mit uns.

Kostenlose 14-tägige Testversion starten
Buchen Sie ein Online-Meeting
So geht's!
ZusammenfassungSicherheitsaufgaben und GewährleistungDokumentation der ArbeitsabläufeRichtlinien für ArbeitnehmerBerichtsvorlagen
Anwendungsfälle
Nach RahmenAlle RahmenwerkeISO 27001NIS2-RichtlinieNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Nach MethodeCyber-RisikomanagementBewusstsein der MitarbeiterCompliance-BerichterstattungKontrollmanagementVerwaltung vonAssets up: a
Dynamische RichtliniendokumenteVerwaltung der Privatsphäre
Ressourcen
AkademieWebinareBlogHilfe-ArtikelVideo-KurseInhalt der BibliothekWöchentliche NachrichtenübersichtenAbonnieren Sie die AkademieCyberday bewertenPartnerprogrammTeamNutzungsbedingungenDatenschutzbestimmungen
Kontakt
+358 10 231 6010
team@cyberday.ai
Die App funktioniert in:
In Finnland unter dem Namen Digiturvamalli bekannt
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finnland
Cyberday.ai - Verbessern und zertifizieren Sie Ihre Cybersicherheit