ISO 27001 Erklärung zur Anwendbarkeit: Ein vollständiger Leitfaden

Einführung

Die Erklärung zur Anwendbarkeit (SoA) ist das wichtigste Dokument einer ISO 27001-Implementierung. Sie verbindet Ihre Risikobewertung mit den implementierten Kontrollen und ist das primäre Referenzdokument für Zertifizierungsauditoren.

Was ist die Erklärung zur Anwendbarkeit?

Die SoA wird durch ISO 27001 Klausel 6.1.3(d) formal gefordert. Sie muss für jede der 93 Annex-A-Kontrollen dokumentieren: Anwendbarkeit, Begründung für die Aufnahme, Implementierungsstatus und Art der Implementierung.

Die drei Entscheidungen für jede Kontrolle

Entscheidung 1 — Ist sie anwendbar? Ausschlüsse müssen begründet werden. Entscheidung 2 — Warum ist sie aufgenommen? Verknüpfen Sie jede anwendbare Kontrolle mit einem Treiber: Risiko, gesetzliche Anforderung oder vertragliche Verpflichtung. Entscheidung 3 — Was ist der Implementierungsstatus? Geplant, In Bearbeitung oder Implementiert.

Ihre SoA erstellen

Schritt 1 — Mit dem Risikobehandlungsplan beginnen. Schritt 2 — Kontrollen aus gesetzlichen/regulatorischen Anforderungen hinzufügen. Schritt 3 — Verbleibende Kontrollen überprüfen. Schritt 4 — Ausschlüsse sorgfältig dokumentieren. Schritt 5 — Management-Genehmigung einholen.

Häufige SoA-Fehler beim Audit

Allgemeine Begründungen: "N/A" ohne Erklärung ist ein Warnsignal. Entkopplung vom Risikoregister: Kontrollen ohne Verknüpfung mit spezifischen Risiken. Optimistischer Statusbericht: Kontrollen als "implementiert" markieren, obwohl sie nur teilweise vorhanden sind. Statisches Dokument: SoA einmalig erstellen statt aktuell halten.

Die SoA aktuell halten

Die SoA muss mindestens jährlich überprüft und aktualisiert werden, sowie bei wesentlichen Änderungen: neue Dienste, neue Risiken, Statusänderungen bei Kontrollen oder Auditbefunde.

Behandeln Sie die SoA-Überprüfung als festen Tagesordnungspunkt in Ihrem Quartals-ISMS-Management-Review.

Wichtige Erkenntnisse

Die SoA ist das Rückgrat Ihres ISO 27001 ISMS. Eine hochwertige SoA beschleunigt die Zertifizierung, vereinfacht Überwachungsaudits und bietet eine klare Roadmap für ISMS-Verbesserungen.