ISO 27001 Anwendbarkeitserklärung SoA Checkliste deutsch
ISO 27001 Anwendbarkeitserklärung
Das Statement of Applicability (SoA) – auf Deutsch auch „Anwendbarkeitserklärung“ genannt – ist ein Pflichtdokument im Informationssicherheitsmanagementsystem (ISMS) gemäß ISO/IEC 27001:2022. Es enthält eine Übersicht aller Kontrollen (Controls) aus Anhang A (Annex A) der Norm und dokumentiert, welche Sicherheitsmaßnahmen für die Organisation relevant sind, umgesetzt wurden oder bewusst ausgeschlossen wurden – jeweils mit Begründung.
Hier erfahren Sie, was Ihre Zertifizierung kostet!
Hier ist eine ausführliche Checkliste für das Statement of Applicability (SoA) gemäß ISO 27001:2022 Annex A mit allen 93 Kontrollpunkten, strukturiert nach den vier Hauptkategorien der Kontrollen. Die Checkliste unterstützt bei der systematischen Erfassung, Bewertung, Dokumentation und Rechtfertigung der Kontrollen im SoA.
ISO 27001:2022 Statement of Applicability (SoA) Checkliste
Allgemeine Hinweise zum SoA
-
☐ Wurde eine vollständige Liste aller Annex A Kontrollen erstellt?
-
☐ Für jede Kontrolle ist dokumentiert, ob sie anwendbar oder nicht anwendbar ist.
-
☐ Für jede anwendbare Kontrolle ist der Umsetzungsstatus (z.B. implementiert, teilweise implementiert, geplant) dokumentiert.
-
☐ Für jede Kontrolle gibt es eine Begründung für die Auswahl oder den Ausschluss basierend auf der Risikobewertung.
-
☐ Das SoA ist mit der Risikobewertung verknüpft (jeder Kontrollpunkt adressiert definierte Risiken).
-
☐ Das SoA wird regelmäßig überprüft und aktualisiert (mindestens jährlich).
Für ein individuelles Angebot mit einem speziell für Ihr Unternehmen zugeschnittenem und günstigem Preis kontaktieren Sie bitte EUROCERT EQC.
ISO 27001 Statement of Applicability (SoA)
1. Organisatorische Kontrollen (37 Kontrollen)
|
Kontrollnummer bzw. Kapitel |
Kontrollbeschreibung // anwendbar? (Ja/Nein) |
| A.5.1 | Informationssicherheitsrichtlinien festlegen und kommunizieren |
| A.5.2 | Überprüfung der Informationssicherheitsrichtlinien |
| A.5.3 | Rollen und Verantwortlichkeiten für Informationssicherheit |
| A.5.4 | Steuerung der Informationssicherheitsorganisation |
| A.5.5 | Kontakt zu Behörden und relevanten externen Parteien |
| A.5.6 | Management von Informationssicherheitsrisiken |
| A.5.7 | Threat Intelligence (Bedrohungsinformationen) |
| A.5.8 | Steuerung von Informationssicherheitsrisiken |
| A.6.1 | Personalsicherheitsmaßnahmen vor, während und nach der Beschäftigung |
| A.6.2 | Schulung und Sensibilisierung der Mitarbeiter |
| A.6.3 | Vertraulichkeitsvereinbarungen |
| A.7.1 | Inventarisierung und Klassifikation von Informationswerten |
| A.7.2 | Regelungen zur Handhabung von Informationswerten |
| A.8.1 | Zugriffsrechte und Zugriffskontrolle |
| A.8.2 | Verwaltung von Benutzeridentitäten |
| A.8.3 | Verwaltung von Zugriffsrechten |
| A.9.1 | Einsatz von Kryptographie |
| A.9.2 | Schlüsselmanagement |
| A.10.1 | Physische Sicherheitsbereiche definieren und schützen |
| A.10.2 | Zutrittskontrollen zu physischen Bereichen |
| A.10.3 | Überwachung physischer Sicherheitsbereiche |
| A.11.1 | Dokumentation und Steuerung von Betriebsverfahren |
| A.11.2 | Schutz vor Schadsoftware |
| A.11.3 | Backup-Management |
| A.11.4 | Überwachung und Protokollierung von Systemaktivitäten |
| A.11.5 | Konfigurationsmanagement |
| A.11.6 | Sichere Löschung von Informationen |
| A.12.1 | Netzwerksicherheit und Segmentierung |
| A.12.2 | Sicherung von Kommunikationskanälen |
| A.12.3 | Webfilterung |
| A.13.1 | Sicherheitsanforderungen bei Systementwicklung und -wartung |
| A.13.2 | Sichere Softwareentwicklung |
| A.13.3 | Änderungsmanagement |
| A.14.1 | Lieferantenmanagement |
| A.15.1 | Behandlung von Informationssicherheitsvorfällen |
| A.16.1 | Business Continuity und Notfallmanagement |
| A.16.2 | ICT-Readiness für Business Continuity |
| A.17.1 | Einhaltung gesetzlicher und regulatorischer Anforderungen |
2. Personelle Kontrollen (8 Kontrollen)
|
Kontrollnummer bzw. Kapitel |
Kontrollbeschreibung // anwendbar? (Ja/Nein) |
| A.6.1.1 | Hintergrundüberprüfungen vor Beschäftigungsbeginn |
| A.6.1.2 | Informationssicherheitsverantwortlichkeiten klären |
| A.6.2.1 | Schulung und Sensibilisierung der Mitarbeiter |
| A.6.2.2 | Umgang mit Sicherheitsvorfällen durch Mitarbeiter |
| A.6.3.1 | Vertraulichkeitsvereinbarungen mit Mitarbeitern |
| A.6.3.2 | Maßnahmen bei Beendigung oder Änderung der Beschäftigung |
| A.6.3.3 | Remote-Arbeit und Homeoffice-Regelungen |
| A.6.3.4 | Kontinuierliche Überwachung der Mitarbeiteraktivitäten |
3. Physische Kontrollen (14 Kontrollen)
|
Kontrollnummer bzw. Kapitel |
Kontrollbeschreibung // anwendbar? (Ja/Nein) |
| A.10.1.1 | Sicherheitsperimeter definieren |
| A.10.1.2 | Zugangskontrolle zu gesicherten Bereichen |
| A.10.1.3 | Schutz von Einrichtungen und Anlagen |
| A.10.1.4 | Überwachung physischer Bereiche |
| A.10.1.5 | Richtlinien für „Clean Desk“ und „Clear Screen“ |
| A.10.1.6 | Schutz der physischen Infrastruktur (Kabel, Geräte) |
| A.10.1.7 | Dokumentation und Steuerung von Wartungsarbeiten |
| A.10.1.8 | Schutz vor Umwelteinflüssen (z.B. Feuer, Wasser) |
| A.10.1.9 | Zutrittsprotokollierung und Überwachung |
| A.10.1.10 | Schutz von mobilen Geräten und Medien |
| A.10.1.11 | Physische Trennung von Netzwerken |
| A.10.1.12 | Schutz vor Diebstahl und Sabotage |
| A.10.1.13 | Sicherstellung der Versorgung (Strom, Klima) |
| A.10.1.14 | Notfallmaßnahmen für physische Sicherheit |
4. Technologische Kontrollen (34 Kontrollen)
|
Kontrollnummer bzw. Kapitel |
Kontrollbeschreibung // anwendbar? (Ja/Nein) |
| A.8.1.1 | Schutz von Benutzerendgeräten |
| A.8.1.2 | Zugangskontrollrichtlinien |
| A.8.1.3 | Verwaltung von Benutzerkonten |
| A.8.1.4 | Authentifizierungsmechanismen |
| A.8.1.5 | Verwaltung von privilegierten Zugriffsrechten |
| A.8.1.6 | Überwachung und Protokollierung von Zugriffen |
| A.8.7.1 | Schutz vor Schadsoftware |
| A.8.9.1 | Konfigurationsmanagement |
| A.8.10.1 | Sichere Löschung von Daten |
| A.8.11.1 | Datenmaskierung |
| A.8.12.1 | Data Leakage Prevention (DLP) |
| A.8.16.1 | Überwachungsaktivitäten |
| A.8.23.1 | Webfilterung |
| A.8.28.1 | Sicheres Codieren |
| A.9.1.1 | Einsatz von Kryptographie |
| A.9.2.1 | Schlüsselmanagement |
| A.14.1.1 | Sicherheitsanforderungen bei Systementwicklung |
| A.14.1.2 | Änderungsmanagement |
| A.15.1.1 | Lieferantenbewertung und -überwachung |
| A.16.1.1 | Behandlung von Informationssicherheitsvorfällen |
| A.17.1.1 | Notfall- und Wiederherstellungspläne |
Diese Checkliste kann als Vorlage genutzt werden, um für jede Kontrolle im SoA:
-
die Anwendbarkeit zu bewerten,
-
die Umsetzung zu dokumentieren,
-
die Begründung für Auswahl oder Ausschluss zu erfassen,
-
und Nachweise für die Wirksamkeit bereitzustellen.
Sie bildet die Grundlage für Audits, Managementbewertungen und kontinuierliche Verbesserungen des ISMS.
Wenn Sie auf das Menü „ISO-Zertifizierung„ klicken, gelangen Sie zur Liste unserer Dienstleistungen. Auch interessant, der nächste Artikel: ISO 50001 Energiemanagement
Das Statement of Applicability (SoA) ist aus mehreren Gründen von grosser Bedeutung:
-
Nachweis der Compliance: Das SoA dient als formeller Nachweis dafür, dass die Organisation die relevanten Sicherheitskontrollen aus ISO 27001 Annex A identifiziert, bewertet und implementiert hat.
-
Kommunikation mit Stakeholdern: Es kommuniziert gegenüber Auditoren, Mitarbeitern und Dritten, welche Sicherheitskontrollen das Unternehmen anwendet und warum.
-
Effektives Risikomanagement: Durch die Verknüpfung von Risiken mit den entsprechenden Kontrollen wird ein effektives Risikomanagement sichergestellt.
-
Kontinuierliche Verbesserung: Das SoA dient als Grundlage für die kontinuierliche Verbesserung des ISMS, indem es regelmäßig überprüft und an neue Bedrohungen und Veränderungen angepasst wird.
Die Erstellung und Pflege eines aktuellen und vollständigen Statement of Applicability ist somit ein entscheidender Schritt für eine erfolgreiche ISO 27001 Zertifizierung und ein effektives Informationssicherheitsmanagement
Dürfen wir Ihnen ein kostenloses und individuelles Angebot erstellen?
ISO 27001 Zertifizierung
Annex A Anwendbarkeitserklärung – Statement of Applicability (SoA) der ISO 27001:2022 umfasst 93 Sicherheitskontrollen, die in vier Kategorien gegliedert sind: organisatorische (37), personelle (8), physische (14) und technologische Kontrollen (34). Die Kontrollen wurden gegenüber der Vorgängerversion überarbeitet, reduziert und modernisiert, um aktuellen Sicherheitsanforderungen gerecht zu werden.
Für weitere Fragen und Antworten einfach auf die folgenden Links klicken:
Was ist eine ISO 27001 Zertifizierung?
Was kostet eine ISO 27001 Zertifizierung?
ISO 27001 Zertifizierungsstellen
ISO 27001 PDF deutsch – Übersicht der ISO 27001:2022
ISO 27001 Anwendbarkeitserklärung Statement of Applicability SoA
Sollten Sie Interesse an einer Zertifizierung haben, können wir Ihnen gerne ein unverbindliches Angebot unterbreiten. Am Besten heute noch…
ISO 27001 Anwendbarkeitserklärung SoA Checkliste deutsch
ISO 27001 Anwendbarkeitserklärung
Das Statement of Applicability (SoA) – auf Deutsch auch „Anwendbarkeitserklärung“ genannt – ist ein Pflichtdokument im Informationssicherheitsmanagementsystem (ISMS) gemäß ISO/IEC 27001:2022. Es enthält eine Übersicht aller Kontrollen (Controls) aus Anhang A (Annex A) der Norm und dokumentiert, welche Sicherheitsmaßnahmen für die Organisation relevant sind, umgesetzt wurden oder bewusst ausgeschlossen wurden – jeweils mit Begründung.
Hier erfahren Sie, was Ihre Zertifizierung kostet!
Hier ist eine ausführliche Checkliste für das Statement of Applicability (SoA) gemäß ISO 27001:2022 Annex A mit allen 93 Kontrollpunkten, strukturiert nach den vier Hauptkategorien der Kontrollen. Die Checkliste unterstützt bei der systematischen Erfassung, Bewertung, Dokumentation und Rechtfertigung der Kontrollen im SoA.
ISO 27001:2022 Statement of Applicability (SoA) Checkliste
Allgemeine Hinweise zum SoA
-
☐ Wurde eine vollständige Liste aller Annex A Kontrollen erstellt?
-
☐ Für jede Kontrolle ist dokumentiert, ob sie anwendbar oder nicht anwendbar ist.
-
☐ Für jede anwendbare Kontrolle ist der Umsetzungsstatus (z.B. implementiert, teilweise implementiert, geplant) dokumentiert.
-
☐ Für jede Kontrolle gibt es eine Begründung für die Auswahl oder den Ausschluss basierend auf der Risikobewertung.
-
☐ Das SoA ist mit der Risikobewertung verknüpft (jeder Kontrollpunkt adressiert definierte Risiken).
-
☐ Das SoA wird regelmäßig überprüft und aktualisiert (mindestens jährlich).
Für ein individuelles Angebot mit einem speziell für Ihr Unternehmen zugeschnittenem und günstigem Preis kontaktieren Sie bitte EUROCERT EQC.
ISO 27001 Statement of Applicability (SoA)
1. Organisatorische Kontrollen (37 Kontrollen)
|
Kontrollnummer bzw. Kapitel |
Kontrollbeschreibung // anwendbar? (Ja/Nein) |
| A.5.1 | Informationssicherheitsrichtlinien festlegen und kommunizieren |
| A.5.2 | Überprüfung der Informationssicherheitsrichtlinien |
| A.5.3 | Rollen und Verantwortlichkeiten für Informationssicherheit |
| A.5.4 | Steuerung der Informationssicherheitsorganisation |
| A.5.5 | Kontakt zu Behörden und relevanten externen Parteien |
| A.5.6 | Management von Informationssicherheitsrisiken |
| A.5.7 | Threat Intelligence (Bedrohungsinformationen) |
| A.5.8 | Steuerung von Informationssicherheitsrisiken |
| A.6.1 | Personalsicherheitsmaßnahmen vor, während und nach der Beschäftigung |
| A.6.2 | Schulung und Sensibilisierung der Mitarbeiter |
| A.6.3 | Vertraulichkeitsvereinbarungen |
| A.7.1 | Inventarisierung und Klassifikation von Informationswerten |
| A.7.2 | Regelungen zur Handhabung von Informationswerten |
| A.8.1 | Zugriffsrechte und Zugriffskontrolle |
| A.8.2 | Verwaltung von Benutzeridentitäten |
| A.8.3 | Verwaltung von Zugriffsrechten |
| A.9.1 | Einsatz von Kryptographie |
| A.9.2 | Schlüsselmanagement |
| A.10.1 | Physische Sicherheitsbereiche definieren und schützen |
| A.10.2 | Zutrittskontrollen zu physischen Bereichen |
| A.10.3 | Überwachung physischer Sicherheitsbereiche |
| A.11.1 | Dokumentation und Steuerung von Betriebsverfahren |
| A.11.2 | Schutz vor Schadsoftware |
| A.11.3 | Backup-Management |
| A.11.4 | Überwachung und Protokollierung von Systemaktivitäten |
| A.11.5 | Konfigurationsmanagement |
| A.11.6 | Sichere Löschung von Informationen |
| A.12.1 | Netzwerksicherheit und Segmentierung |
| A.12.2 | Sicherung von Kommunikationskanälen |
| A.12.3 | Webfilterung |
| A.13.1 | Sicherheitsanforderungen bei Systementwicklung und -wartung |
| A.13.2 | Sichere Softwareentwicklung |
| A.13.3 | Änderungsmanagement |
| A.14.1 | Lieferantenmanagement |
| A.15.1 | Behandlung von Informationssicherheitsvorfällen |
| A.16.1 | Business Continuity und Notfallmanagement |
| A.16.2 | ICT-Readiness für Business Continuity |
| A.17.1 | Einhaltung gesetzlicher und regulatorischer Anforderungen |
2. Personelle Kontrollen (8 Kontrollen)
|
Kontrollnummer bzw. Kapitel |
Kontrollbeschreibung // anwendbar? (Ja/Nein) |
| A.6.1.1 | Hintergrundüberprüfungen vor Beschäftigungsbeginn |
| A.6.1.2 | Informationssicherheitsverantwortlichkeiten klären |
| A.6.2.1 | Schulung und Sensibilisierung der Mitarbeiter |
| A.6.2.2 | Umgang mit Sicherheitsvorfällen durch Mitarbeiter |
| A.6.3.1 | Vertraulichkeitsvereinbarungen mit Mitarbeitern |
| A.6.3.2 | Maßnahmen bei Beendigung oder Änderung der Beschäftigung |
| A.6.3.3 | Remote-Arbeit und Homeoffice-Regelungen |
| A.6.3.4 | Kontinuierliche Überwachung der Mitarbeiteraktivitäten |
3. Physische Kontrollen (14 Kontrollen)
|
Kontrollnummer bzw. Kapitel |
Kontrollbeschreibung // anwendbar? (Ja/Nein) |
| A.10.1.1 | Sicherheitsperimeter definieren |
| A.10.1.2 | Zugangskontrolle zu gesicherten Bereichen |
| A.10.1.3 | Schutz von Einrichtungen und Anlagen |
| A.10.1.4 | Überwachung physischer Bereiche |
| A.10.1.5 | Richtlinien für „Clean Desk“ und „Clear Screen“ |
| A.10.1.6 | Schutz der physischen Infrastruktur (Kabel, Geräte) |
| A.10.1.7 | Dokumentation und Steuerung von Wartungsarbeiten |
| A.10.1.8 | Schutz vor Umwelteinflüssen (z.B. Feuer, Wasser) |
| A.10.1.9 | Zutrittsprotokollierung und Überwachung |
| A.10.1.10 | Schutz von mobilen Geräten und Medien |
| A.10.1.11 | Physische Trennung von Netzwerken |
| A.10.1.12 | Schutz vor Diebstahl und Sabotage |
| A.10.1.13 | Sicherstellung der Versorgung (Strom, Klima) |
| A.10.1.14 | Notfallmaßnahmen für physische Sicherheit |
4. Technologische Kontrollen (34 Kontrollen)
|
Kontrollnummer bzw. Kapitel |
Kontrollbeschreibung // anwendbar? (Ja/Nein) |
| A.8.1.1 | Schutz von Benutzerendgeräten |
| A.8.1.2 | Zugangskontrollrichtlinien |
| A.8.1.3 | Verwaltung von Benutzerkonten |
| A.8.1.4 | Authentifizierungsmechanismen |
| A.8.1.5 | Verwaltung von privilegierten Zugriffsrechten |
| A.8.1.6 | Überwachung und Protokollierung von Zugriffen |
| A.8.7.1 | Schutz vor Schadsoftware |
| A.8.9.1 | Konfigurationsmanagement |
| A.8.10.1 | Sichere Löschung von Daten |
| A.8.11.1 | Datenmaskierung |
| A.8.12.1 | Data Leakage Prevention (DLP) |
| A.8.16.1 | Überwachungsaktivitäten |
| A.8.23.1 | Webfilterung |
| A.8.28.1 | Sicheres Codieren |
| A.9.1.1 | Einsatz von Kryptographie |
| A.9.2.1 | Schlüsselmanagement |
| A.14.1.1 | Sicherheitsanforderungen bei Systementwicklung |
| A.14.1.2 | Änderungsmanagement |
| A.15.1.1 | Lieferantenbewertung und -überwachung |
| A.16.1.1 | Behandlung von Informationssicherheitsvorfällen |
| A.17.1.1 | Notfall- und Wiederherstellungspläne |
Diese Checkliste kann als Vorlage genutzt werden, um für jede Kontrolle im SoA:
-
die Anwendbarkeit zu bewerten,
-
die Umsetzung zu dokumentieren,
-
die Begründung für Auswahl oder Ausschluss zu erfassen,
-
und Nachweise für die Wirksamkeit bereitzustellen.
Sie bildet die Grundlage für Audits, Managementbewertungen und kontinuierliche Verbesserungen des ISMS.
Wenn Sie auf das Menü „ISO-Zertifizierung„ klicken, gelangen Sie zur Liste unserer Dienstleistungen. Auch interessant, der nächste Artikel: ISO 50001 Energiemanagement
Das Statement of Applicability (SoA) ist aus mehreren Gründen von grosser Bedeutung:
-
Nachweis der Compliance: Das SoA dient als formeller Nachweis dafür, dass die Organisation die relevanten Sicherheitskontrollen aus ISO 27001 Annex A identifiziert, bewertet und implementiert hat.
-
Kommunikation mit Stakeholdern: Es kommuniziert gegenüber Auditoren, Mitarbeitern und Dritten, welche Sicherheitskontrollen das Unternehmen anwendet und warum.
-
Effektives Risikomanagement: Durch die Verknüpfung von Risiken mit den entsprechenden Kontrollen wird ein effektives Risikomanagement sichergestellt.
-
Kontinuierliche Verbesserung: Das SoA dient als Grundlage für die kontinuierliche Verbesserung des ISMS, indem es regelmäßig überprüft und an neue Bedrohungen und Veränderungen angepasst wird.
Die Erstellung und Pflege eines aktuellen und vollständigen Statement of Applicability ist somit ein entscheidender Schritt für eine erfolgreiche ISO 27001 Zertifizierung und ein effektives Informationssicherheitsmanagement
Dürfen wir Ihnen ein kostenloses und individuelles Angebot erstellen?
ISO 27001 Zertifizierung
Annex A Anwendbarkeitserklärung – Statement of Applicability (SoA) der ISO 27001:2022 umfasst 93 Sicherheitskontrollen, die in vier Kategorien gegliedert sind: organisatorische (37), personelle (8), physische (14) und technologische Kontrollen (34). Die Kontrollen wurden gegenüber der Vorgängerversion überarbeitet, reduziert und modernisiert, um aktuellen Sicherheitsanforderungen gerecht zu werden.
Für weitere Fragen und Antworten einfach auf die folgenden Links klicken:
Was ist eine ISO 27001 Zertifizierung?
Was kostet eine ISO 27001 Zertifizierung?
ISO 27001 Zertifizierungsstellen
ISO 27001 PDF deutsch – Übersicht der ISO 27001:2022
ISO 27001 Anwendbarkeitserklärung Statement of Applicability SoA
Sollten Sie Interesse an einer Zertifizierung haben, können wir Ihnen gerne ein unverbindliches Angebot unterbreiten. Am Besten heute noch…