Statement of Applicability (SoA) nach ISO/IEC 27001

Warum das SoA ein zentrales Dokument im ISMS ist

Das Statement of Applicability (SoA) gehört zu den wichtigsten Dokumenten innerhalb eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001. Es verbindet zwei zentrale Elemente der Norm:

  • die Ergebnisse der Risikoanalyse
  • die Auswahl konkreter Sicherheitsmaßnahmen (Controls)

Viele Unternehmen unterschätzen die Bedeutung des SoA oder betrachten es als reine Formalität für das Audit. In der Praxis ist es jedoch ein zentrales Steuerungsinstrument für die gesamte Informationssicherheit.

Dieser Artikel erklärt:

  • was das Statement of Applicability ist
  • welche Rolle es im ISMS spielt
  • wie es aufgebaut ist
  • wie es mit Annex A zusammenhängt
  • und welche typischen Fehler Unternehmen vermeiden sollten

 

Was ist das Statement of Applicability (SoA)?

Das Statement of Applicability ist eine dokumentierte Erklärung darüber, welche Sicherheitsmaßnahmen (Controls) aus der ISO/IEC 27001 im Unternehmen angewendet werden – und welche nicht.

Für jedes Control wird festgelegt:

  • ob es angewendet wird
  • warum es angewendet wird
  • oder warum es nicht angewendet wird
  • wie es umgesetzt wird
  • welcher Status aktuell besteht

Das SoA ist damit eine zentrale Schnittstelle zwischen Risikoanalyse, Maßnahmenplanung und Audit.

 

Welche Rolle spielt das SoA in der ISO 27001?

Die ISO 27001 fordert, dass Unternehmen ihre Sicherheitsmaßnahmen nachvollziehbar begründen.

Das SoA erfüllt genau diese Anforderung.

Es zeigt:

  • wie Risiken behandelt werden
  • welche Controls ausgewählt wurden
  • wie die Umsetzung erfolgt
  • welche Maßnahmen ausgeschlossen wurden und warum

Im Audit dient das SoA als eines der wichtigsten Nachweisdokumente.

 

Zusammenhang zwischen Risikoanalyse, SoA und Annex A

Das SoA steht im direkten Zusammenhang mit zwei anderen Elementen:

Risikoanalyse

Die Risikoanalyse bestimmt:

  • welche Risiken bestehen
  • wie hoch diese Risiken sind
  • welche Maßnahmen erforderlich sind

 

Annex A Controls

Annex A enthält eine Sammlung von 93 Sicherheitsmaßnahmen in der ISO 27001.

Diese Controls decken verschiedene Bereiche ab, z. B.:

  • organisatorische Sicherheit
  • personelle Sicherheit
  • physische Sicherheit
  • technische Sicherheit

 

SoA als Bindeglied

Das SoA verbindet beide Elemente:

  • Risiko → Auswahl von Controls
  • Controls → dokumentierte Entscheidung

 

Aufbau eines Statement of Applicability

Ein typisches SoA enthält mehrere zentrale Informationen.

 

1. Liste aller Annex A Controls

Alle 93 Controls werden aufgeführt.

 

2. Anwendbarkeit der Controls

Für jedes Control wird festgelegt:

  • anwendbar (ja/nein)

 

3. Begründung der Entscheidung

Es wird dokumentiert:

  • warum ein Control angewendet wird
  • oder warum es ausgeschlossen wird

 

4. Umsetzungsstatus

Typische Statusangaben:

  • geplant
  • in Umsetzung
  • implementiert
  • überprüft

 

5. Verweise auf Richtlinien und Prozesse

Das SoA enthält häufig Verweise auf:

  • Sicherheitsrichtlinien
  • technische Maßnahmen
  • Prozessdokumentationen

 

Warum das SoA so wichtig ist

Das Statement of Applicability erfüllt mehrere zentrale Funktionen:

Nachweisfunktion

Es zeigt Auditoren und externen Prüfern, dass Sicherheitsmaßnahmen systematisch ausgewählt wurden.

 

Steuerungsfunktion

Es dient als zentrales Dokument zur Steuerung der Informationssicherheit.

 

Transparenzfunktion

Es macht Sicherheitsentscheidungen nachvollziehbar.

 

Compliance-Funktion

Es unterstützt den Nachweis gegenüber Kunden, Partnern und Zertifizierern.

 

Typische Fehler beim SoA

1. Copy-Paste-Dokumente

Viele Unternehmen übernehmen Standard-SoAs ohne Bezug zur eigenen Realität.

 

2. Fehlende Begründungen

Wenn Entscheidungen nicht erklärt werden, verliert das SoA seine Aussagekraft.

 

3. Kein Bezug zur Risikoanalyse

Das SoA wird oft unabhängig von der Risikoanalyse erstellt – das ist ein schwerer Fehler.

 

4. Veraltete Versionen

Ein SoA muss regelmäßig aktualisiert werden.

 

5. Unklare Umsetzungsstände

Wenn nicht klar ist, was umgesetzt ist, entstehen Auditprobleme.

 

SoA und Audit-Anforderungen

Im ISO 27001 Audit wird das SoA intensiv geprüft.

Auditoren achten insbesondere auf:

  • Vollständigkeit der Controls
  • nachvollziehbare Begründungen
  • Verbindung zur Risikoanalyse
  • realen Umsetzungsstand
  • Konsistenz mit anderen ISMS-Dokumenten

Ein fehlerhaftes SoA führt häufig zu Abweichungen im Audit.

 

SoA in der Praxis

In der praktischen Umsetzung wird das SoA häufig als zentrales Excel- oder GRC-Tool-Dokument geführt.

Typische Struktur:

  • Control-ID
  • Control-Name
  • Anwendbarkeit
  • Begründung
  • Umsetzung
  • Verantwortlicher
  • Status

Wichtig ist, dass das Dokument lebendig bleibt und regelmäßig gepflegt wird.

 

Verbindung zu anderen ISMS-Bausteinen

Das SoA steht in enger Verbindung zu:

  • Risikoanalyse
  • BIA
  • ISMS-Richtlinien
  • Incident Management
  • Auditmanagement

Es bildet eine Art „Kontrollzentrum“ der ISO 27001 Umsetzung.

 

Resümee

Das Statement of Applicability (SoA) ist ein zentrales Dokument der ISO/IEC 27001. Es verknüpft Risikoanalyse, Maßnahmen und Auditanforderungen zu einer klaren Entscheidungsgrundlage. Ein gepflegtes SoA schafft Transparenz, Nachvollziehbarkeit und Auditfähigkeit. Es ist damit ein wichtiges Steuerungsinstrument eines wirksamen ISMS.

 

Unser Angebot für Sie:

  • Gap-Analyse und Bewertung Ihres ISMS nach ISO 27001
  • Aufbau oder Anpassung von Risiko- und Sicherheitskonzepten
  • Unterstützung bei Incidents, Lieferanten und Datenschutz (DSGVO)
  • Vorbereitung auf ISO 27001 Audits und Nachweise
  • Schulungen für Management und technische Teams

 

Kontaktieren Sie uns noch heute!
Für ein unverbindliches Erstgespräch – wir beraten Sie
zu ISMS, IT-Sicherheit und Datenschutz.

 

Matthias A. Walter, http://www.tec4net.com

EDV-Sachverständiger | Auditor für Datenschutz und IT-Sicherheit

Quellen und Links:

Sichere Beratung und Implementierung der ISO 27001 mit tec4net
https://www.tec4net.com/web/iso-27001/

Offizielle TISAX-Seite der ENX Association
https://enx.com/en-US/tisax/

ISO/IEC 27001:2022 – Grundlagen und Normenübersicht
https://www.iso.org/standard/27001

Umsetzung und Beratung ISO 27001, TISAX, KRITIS und NIS-2
https://compliance-expert.org/

Risikomanagement und Business Continuity nach ISO 22301
https://www.iso.org/standard/50038.html

Datenschutz-Grundverordnung (DSGVO) – offizielle Informationen
https://eur-lex.europa.eu/eli/reg/2016/679/oj

BSI – IT-Grundschutz und Informationssicherheit
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html

tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.

 

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com