ISO 27001 Anwendbarkeitserklärung –
Statement of Applicability (SoA)
ISO 27001 Anwendbarkeitserklärung
Das Statement of Applicability (SoA) – auf Deutsch auch „Anwendbarkeitserklärung“ genannt – ist ein Pflichtdokument im Informationssicherheitsmanagementsystem (ISMS) gemäß ISO/IEC 27001:2022. Es enthält eine Übersicht aller Kontrollen (Controls) aus Anhang A (Annex A) der Norm und dokumentiert, welche Sicherheitsmaßnahmen für die Organisation relevant sind, umgesetzt wurden oder bewusst ausgeschlossen wurden – jeweils mit Begründung.
Hier erfahren Sie, was Ihre Zertifizierung kostet!
Die Anwendbarkeitserklärung – Statement of Applicability (SoA) ist ein Dokument im Rahmen einer ISO 27001-Zertifizierung und spielt eine zentrale Rolle bei der Auditvorbereitung, Risikobehandlung und der Nachweisführung über die Wirksamkeit des Informationssicherheitsmanagementsystems (ISMS).
Warum ist die Anwendbarkeitserklärung / Statement of Applicability so wichtig?
Das SoA ist nicht nur ein internes Kontrollinstrument, sondern wird auch im externen ISO 27001 Audit geprüft. Es zeigt auf einen Blick, wie das Unternehmen die Anforderungen der Norm erfüllt, und ist damit ein zentraler Nachweis für die Wirksamkeit und Relevanz der Sicherheitsmaßnahmen.
Typische Vorteile:
-
Klare Übersicht aller relevanten Sicherheitsmaßnahmen
-
Nachvollziehbarkeit der Auswahl / Ablehnung von Maßnahmen
-
Wichtige Grundlage für interne Audits und externe Zertifizierung
-
Unterstützt die gezielte Umsetzung der ISO 27001 Controls
-
Reduziert Risiken durch gezielte Schutzmaßnahmen
Hier finden Sie die ausführliche SoA Checkliste: ISO 27001 SoA Checkliste
Für ein individuelles Angebot mit einem speziell für Ihr Unternehmen zugeschnittenem und günstigem Preis kontaktieren Sie bitte EUROCERT EQC.
ISO 27001 Statement of Applicability (SoA)
ISO 27001 Annex A – SoA Checkliste (deutsch)
1. Organisatorische Kontrollen (37 Kontrollen)
A.5 Informationssicherheitsrichtlinien
☐ Existiert eine aktuelle Informationssicherheitsrichtlinie?
☐ Wird die Richtlinie regelmäßig überprüft und kommuniziert?
A.6 Organisation der Informationssicherheit
☐ Sind Verantwortlichkeiten für Informationssicherheit klar definiert?
☐ Gibt es eine Steuerungsstruktur für das ISMS?
☐ Werden Kontakte zu Behörden und relevanten Gruppen gepflegt?
☐ Ist Threat Intelligence (Bedrohungsinformationen) implementiert (neu A.5.7)?
☐ Werden Informationssicherheitsrisiken überwacht und behandelt?
A.7 Personalsicherheit
☐ Werden Mitarbeiter vor der Einstellung überprüft?
☐ Gibt es Schulungen und Sensibilisierungsmaßnahmen?
☐ Sind Vertraulichkeitsvereinbarungen vorhanden?
A.8 Asset Management
☐ Sind alle Informationswerte (Assets) inventarisiert und klassifiziert?
☐ Gibt es Regelungen zur Kennzeichnung und Handhabung von Informationen?
A.9 Zugriffskontrolle
☐ Sind Zugriffsrechte klar definiert und verwaltet?
☐ Werden Zugriffe regelmäßig überprüft?
☐ Ist Identity Management implementiert?
A.10 Kryptographie
☐ Werden kryptographische Verfahren angemessen eingesetzt?
☐ Sind Schlüsselmanagementprozesse etabliert?
A.11 Physische und umgebungsbezogene Sicherheit
☐ Sind Sicherheitsbereiche definiert und geschützt?
☐ Werden Zugänge kontrolliert und dokumentiert?
☐ Gibt es Maßnahmen zur Überwachung physischer Sicherheitsbereiche (neu A.7.4)?
A.12 Betriebssicherheit
☐ Werden Betriebsverfahren dokumentiert und eingehalten?
☐ Gibt es Schutzmaßnahmen gegen Schadsoftware?
☐ Werden Backups regelmäßig durchgeführt und getestet?
☐ Sind Maßnahmen zur Überwachung und Protokollierung implementiert (neu A.8.16)?
☐ Werden Konfigurationsmanagementprozesse angewandt (neu A.8.9)?
☐ Werden sichere Löschverfahren für Informationen angewendet (neu A.8.10)?
A.13 Kommunikationssicherheit
☐ Sind Netzwerke geschützt und segmentiert?
☐ Werden Kommunikationskanäle gesichert?
☐ Gibt es Maßnahmen zur Webfilterung (neu A.8.23)?
A.14 Systemerwerb, -entwicklung und -wartung
☐ Werden Sicherheitsanforderungen bei der Entwicklung berücksichtigt?
☐ Sind sichere Codierpraktiken etabliert (neu A.8.28)?
☐ Werden Änderungen kontrolliert und dokumentiert?
A.15 Lieferantenbeziehungen
☐ Werden Informationssicherheitsanforderungen an Lieferanten definiert?
☐ Werden Lieferanten regelmäßig bewertet?
A.16 Informationssicherheitsvorfälle
☐ Gibt es Verfahren zur Meldung und Behandlung von Sicherheitsvorfällen?
A.17 Informationssicherheitsaspekte der Business Continuity
☐ Sind Notfallpläne und Wiederherstellungsverfahren vorhanden?
☐ Ist ICT-Readiness für die Geschäftskontinuität sichergestellt (neu A.5.30)?
A.18 Einhaltung von Anforderungen
☐ Werden rechtliche, regulatorische und vertragliche Anforderungen eingehalten?
2. Personelle Kontrollen (8 Kontrollen)
A.7 Personalsicherheit (ergänzend)
☐ Werden Mitarbeiter über ihre Informationssicherheitsverantwortung informiert?
☐ Gibt es Maßnahmen für Remote-Arbeit und Homeoffice?
☐ Werden Sicherheitsvorfälle durch Mitarbeiter gemeldet?
☐ Sind Vertraulichkeitsvereinbarungen und Vertragsklauseln vorhanden?
3. Physische Kontrollen (14 Kontrollen)
A.11 Physische und umgebungsbezogene Sicherheit (ergänzend)
☐ Sind Sicherheitsperimeter und gesicherte Bereiche definiert?
☐ Gibt es Richtlinien für „Clean Desk“ und „Clear Screen“?
☐ Werden unterstützende Versorgungsleistungen (z.B. Strom, Klimatisierung) überwacht?
☐ Ist die physische Infrastruktur (Kabel, Geräte) gesichert?
☐ Werden Wartungsarbeiten an Geräten dokumentiert und kontrolliert?
4. Technologische Kontrollen (34 Kontrollen)
A.12 Betriebssicherheit (ergänzend)
☐ Sind Schutzmaßnahmen gegen Malware implementiert?
☐ Werden Protokollierungs- und Überwachungsmaßnahmen durchgeführt?
☐ Sind Netzwerksicherheitsmaßnahmen und Segmentierungen vorhanden?
☐ Werden Backups regelmäßig getestet und aufbewahrt?
☐ Gibt es Mechanismen zur Datenmaskierung (neu A.8.11)?
☐ Sind Maßnahmen zur Verhinderung von Datenverlust implementiert (Data Leakage Prevention, neu A.8.12)?
A.14 Systemerwerb, -entwicklung und -wartung (ergänzend)
☐ Werden sichere Entwicklungspraktiken angewandt?
☐ Sind Sicherheitsanforderungen in Verträgen mit Softwarelieferanten enthalten?
SoA-spezifische Checkpunkte für jede Kontrolle
Für jede der oben genannten Kontrollen im SoA sollte geprüft und dokumentiert werden:
-
☐ Ist die Kontrolle für die Organisation anwendbar?
-
☐ Wenn ja, warum wurde sie ausgewählt?
-
☐ Wie ist der Umsetzungsstatus der Kontrolle? (z.B. implementiert, teilweise implementiert, geplant)
-
☐ Falls die Kontrolle nicht angewendet wird, ist die Begründung für den Ausschluss dokumentiert?
-
☐ Sind Nachweise für die Umsetzung und Wirksamkeit der Kontrolle vorhanden?
-
☐ Wird die Kontrolle regelmäßig überprüft und bei Bedarf angepasst?
Wenn Sie auf das Menü „ISO-Zertifizierung„ klicken, gelangen Sie zur Liste unserer Dienstleistungen. Auch interessant, der nächste Artikel: ISO 50001 Energiemanagement
Wichtige Änderungen und Neuerungen in der Version 2022
-
Die Anzahl der Kontrollen wurde von 114 (ISO 27001:2013) auf 93 reduziert, da mehrere Kontrollen zusammengeführt wurden.
-
11 neue Kontrollen wurden hinzugefügt, darunter:
-
Threat Intelligence (A.5.7)
-
Informationssicherheit bei Cloud-Diensten (A.5.23)
-
ICT-Readiness für Business Continuity (A.5.30)
-
Physische Sicherheitsüberwachung (A.7.4)
-
Konfigurationsmanagement (A.8.9)
-
Informationslöschung (A.8.10)
-
Datenmaskierung (A.8.11)
-
Data Leakage Prevention (A.8.12)
-
Überwachungsaktivitäten (A.8.16)
-
Webfilterung (A.8.23)
-
Sicheres Codieren (A.8.28)
-
Diese Checkliste unterstützt Organisationen dabei, den Annex A der ISO 27001:2022 systematisch zu bewerten, die Auswahl der Kontrollen zu begründen und den Status im Statement of Applicability transparent zu dokumentieren. Sie ist ein wichtiges Werkzeug für interne Audits und für die Vorbereitung auf Zertifizierungsaudits.
Hier finden Sie die ausführliche SoA Checkliste: ISO 27001 SoA Checkliste
Annex A der ISO 27001:2022 – Anwendbarkeitserklärung – Statement of Applicability (SoA)
Ein zentrales Element ist Anhang A (Annex A). Hier sind 93 Sicherheitsmaßnahmen in 4 Themenbereiche gegliedert:
-
Organisatorische Maßnahmen (37 Kontrollen)
-
Personenbezogene Maßnahmen (8 Kontrollen)
-
Physische Maßnahmen (14 Kontrollen)
-
Technologische Maßnahmen (34 Kontrollen)
Beispiele:
-
Zugriffskontrolle
-
Verschlüsselung
-
Netzwerksicherheit
-
Notfallvorsorge
-
Lieferantenmanagement
Dürfen wir Ihnen ein kostenloses und individuelles Angebot erstellen?
ISO 27001 Zertifizierung
Annex A Anwendbarkeitserklärung – Statement of Applicability (SoA) der ISO 27001:2022 umfasst 93 Sicherheitskontrollen, die in vier Kategorien gegliedert sind: organisatorische (37), personelle (8), physische (14) und technologische Kontrollen (34). Die Kontrollen wurden gegenüber der Vorgängerversion überarbeitet, reduziert und modernisiert, um aktuellen Sicherheitsanforderungen gerecht zu werden.
Für weitere Fragen und Antworten einfach auf die folgenden Links klicken:
Was ist eine ISO 27001 Zertifizierung?
Was kostet eine ISO 27001 Zertifizierung?
ISO 27001 Zertifizierungsstellen
ISO 27001 PDF deutsch – Übersicht der ISO 27001:2022
ISO 27001 Anwendbarkeitserklärung Statement of Applicability SoA
Sollten Sie Interesse an einer Zertifizierung haben, können wir Ihnen gerne ein unverbindliches Angebot unterbreiten. Am Besten heute noch…
ISO 27001 Anwendbarkeitserklärung –
Statement of Applicability (SoA)
ISO 27001 Anwendbarkeitserklärung
Das Statement of Applicability (SoA) – auf Deutsch auch „Anwendbarkeitserklärung“ genannt – ist ein Pflichtdokument im Informationssicherheitsmanagementsystem (ISMS) gemäß ISO/IEC 27001:2022. Es enthält eine Übersicht aller Kontrollen (Controls) aus Anhang A (Annex A) der Norm und dokumentiert, welche Sicherheitsmaßnahmen für die Organisation relevant sind, umgesetzt wurden oder bewusst ausgeschlossen wurden – jeweils mit Begründung.
Hier erfahren Sie, was Ihre Zertifizierung kostet!
Die Anwendbarkeitserklärung – Statement of Applicability (SoA) ist ein Dokument im Rahmen einer ISO 27001-Zertifizierung und spielt eine zentrale Rolle bei der Auditvorbereitung, Risikobehandlung und der Nachweisführung über die Wirksamkeit des Informationssicherheitsmanagementsystems (ISMS).
Warum ist die Anwendbarkeitserklärung / Statement of Applicability so wichtig?
Das SoA ist nicht nur ein internes Kontrollinstrument, sondern wird auch im externen ISO 27001 Audit geprüft. Es zeigt auf einen Blick, wie das Unternehmen die Anforderungen der Norm erfüllt, und ist damit ein zentraler Nachweis für die Wirksamkeit und Relevanz der Sicherheitsmaßnahmen.
Typische Vorteile:
-
Klare Übersicht aller relevanten Sicherheitsmaßnahmen
-
Nachvollziehbarkeit der Auswahl / Ablehnung von Maßnahmen
-
Wichtige Grundlage für interne Audits und externe Zertifizierung
-
Unterstützt die gezielte Umsetzung der ISO 27001 Controls
-
Reduziert Risiken durch gezielte Schutzmaßnahmen
Hier finden Sie die ausführliche SoA Checkliste: ISO 27001 SoA Checkliste
Für ein individuelles Angebot mit einem speziell für Ihr Unternehmen zugeschnittenem und günstigem Preis kontaktieren Sie bitte EUROCERT EQC.
ISO 27001 Statement of Applicability (SoA)
ISO 27001 Annex A – SoA Checkliste (deutsch)
1. Organisatorische Kontrollen (37 Kontrollen)
A.5 Informationssicherheitsrichtlinien
☐ Existiert eine aktuelle Informationssicherheitsrichtlinie?
☐ Wird die Richtlinie regelmäßig überprüft und kommuniziert?
A.6 Organisation der Informationssicherheit
☐ Sind Verantwortlichkeiten für Informationssicherheit klar definiert?
☐ Gibt es eine Steuerungsstruktur für das ISMS?
☐ Werden Kontakte zu Behörden und relevanten Gruppen gepflegt?
☐ Ist Threat Intelligence (Bedrohungsinformationen) implementiert (neu A.5.7)?
☐ Werden Informationssicherheitsrisiken überwacht und behandelt?
A.7 Personalsicherheit
☐ Werden Mitarbeiter vor der Einstellung überprüft?
☐ Gibt es Schulungen und Sensibilisierungsmaßnahmen?
☐ Sind Vertraulichkeitsvereinbarungen vorhanden?
A.8 Asset Management
☐ Sind alle Informationswerte (Assets) inventarisiert und klassifiziert?
☐ Gibt es Regelungen zur Kennzeichnung und Handhabung von Informationen?
A.9 Zugriffskontrolle
☐ Sind Zugriffsrechte klar definiert und verwaltet?
☐ Werden Zugriffe regelmäßig überprüft?
☐ Ist Identity Management implementiert?
A.10 Kryptographie
☐ Werden kryptographische Verfahren angemessen eingesetzt?
☐ Sind Schlüsselmanagementprozesse etabliert?
A.11 Physische und umgebungsbezogene Sicherheit
☐ Sind Sicherheitsbereiche definiert und geschützt?
☐ Werden Zugänge kontrolliert und dokumentiert?
☐ Gibt es Maßnahmen zur Überwachung physischer Sicherheitsbereiche (neu A.7.4)?
A.12 Betriebssicherheit
☐ Werden Betriebsverfahren dokumentiert und eingehalten?
☐ Gibt es Schutzmaßnahmen gegen Schadsoftware?
☐ Werden Backups regelmäßig durchgeführt und getestet?
☐ Sind Maßnahmen zur Überwachung und Protokollierung implementiert (neu A.8.16)?
☐ Werden Konfigurationsmanagementprozesse angewandt (neu A.8.9)?
☐ Werden sichere Löschverfahren für Informationen angewendet (neu A.8.10)?
A.13 Kommunikationssicherheit
☐ Sind Netzwerke geschützt und segmentiert?
☐ Werden Kommunikationskanäle gesichert?
☐ Gibt es Maßnahmen zur Webfilterung (neu A.8.23)?
A.14 Systemerwerb, -entwicklung und -wartung
☐ Werden Sicherheitsanforderungen bei der Entwicklung berücksichtigt?
☐ Sind sichere Codierpraktiken etabliert (neu A.8.28)?
☐ Werden Änderungen kontrolliert und dokumentiert?
A.15 Lieferantenbeziehungen
☐ Werden Informationssicherheitsanforderungen an Lieferanten definiert?
☐ Werden Lieferanten regelmäßig bewertet?
A.16 Informationssicherheitsvorfälle
☐ Gibt es Verfahren zur Meldung und Behandlung von Sicherheitsvorfällen?
A.17 Informationssicherheitsaspekte der Business Continuity
☐ Sind Notfallpläne und Wiederherstellungsverfahren vorhanden?
☐ Ist ICT-Readiness für die Geschäftskontinuität sichergestellt (neu A.5.30)?
A.18 Einhaltung von Anforderungen
☐ Werden rechtliche, regulatorische und vertragliche Anforderungen eingehalten?
2. Personelle Kontrollen (8 Kontrollen)
A.7 Personalsicherheit (ergänzend)
☐ Werden Mitarbeiter über ihre Informationssicherheitsverantwortung informiert?
☐ Gibt es Maßnahmen für Remote-Arbeit und Homeoffice?
☐ Werden Sicherheitsvorfälle durch Mitarbeiter gemeldet?
☐ Sind Vertraulichkeitsvereinbarungen und Vertragsklauseln vorhanden?
3. Physische Kontrollen (14 Kontrollen)
A.11 Physische und umgebungsbezogene Sicherheit (ergänzend)
☐ Sind Sicherheitsperimeter und gesicherte Bereiche definiert?
☐ Gibt es Richtlinien für „Clean Desk“ und „Clear Screen“?
☐ Werden unterstützende Versorgungsleistungen (z.B. Strom, Klimatisierung) überwacht?
☐ Ist die physische Infrastruktur (Kabel, Geräte) gesichert?
☐ Werden Wartungsarbeiten an Geräten dokumentiert und kontrolliert?
4. Technologische Kontrollen (34 Kontrollen)
A.12 Betriebssicherheit (ergänzend)
☐ Sind Schutzmaßnahmen gegen Malware implementiert?
☐ Werden Protokollierungs- und Überwachungsmaßnahmen durchgeführt?
☐ Sind Netzwerksicherheitsmaßnahmen und Segmentierungen vorhanden?
☐ Werden Backups regelmäßig getestet und aufbewahrt?
☐ Gibt es Mechanismen zur Datenmaskierung (neu A.8.11)?
☐ Sind Maßnahmen zur Verhinderung von Datenverlust implementiert (Data Leakage Prevention, neu A.8.12)?
A.14 Systemerwerb, -entwicklung und -wartung (ergänzend)
☐ Werden sichere Entwicklungspraktiken angewandt?
☐ Sind Sicherheitsanforderungen in Verträgen mit Softwarelieferanten enthalten?
SoA-spezifische Checkpunkte für jede Kontrolle
Für jede der oben genannten Kontrollen im SoA sollte geprüft und dokumentiert werden:
-
☐ Ist die Kontrolle für die Organisation anwendbar?
-
☐ Wenn ja, warum wurde sie ausgewählt?
-
☐ Wie ist der Umsetzungsstatus der Kontrolle? (z.B. implementiert, teilweise implementiert, geplant)
-
☐ Falls die Kontrolle nicht angewendet wird, ist die Begründung für den Ausschluss dokumentiert?
-
☐ Sind Nachweise für die Umsetzung und Wirksamkeit der Kontrolle vorhanden?
-
☐ Wird die Kontrolle regelmäßig überprüft und bei Bedarf angepasst?
Wenn Sie auf das Menü „ISO-Zertifizierung„ klicken, gelangen Sie zur Liste unserer Dienstleistungen. Auch interessant, der nächste Artikel: ISO 50001 Energiemanagement
Wichtige Änderungen und Neuerungen in der Version 2022
-
Die Anzahl der Kontrollen wurde von 114 (ISO 27001:2013) auf 93 reduziert, da mehrere Kontrollen zusammengeführt wurden.
-
11 neue Kontrollen wurden hinzugefügt, darunter:
-
Threat Intelligence (A.5.7)
-
Informationssicherheit bei Cloud-Diensten (A.5.23)
-
ICT-Readiness für Business Continuity (A.5.30)
-
Physische Sicherheitsüberwachung (A.7.4)
-
Konfigurationsmanagement (A.8.9)
-
Informationslöschung (A.8.10)
-
Datenmaskierung (A.8.11)
-
Data Leakage Prevention (A.8.12)
-
Überwachungsaktivitäten (A.8.16)
-
Webfilterung (A.8.23)
-
Sicheres Codieren (A.8.28)
-
Diese Checkliste unterstützt Organisationen dabei, den Annex A der ISO 27001:2022 systematisch zu bewerten, die Auswahl der Kontrollen zu begründen und den Status im Statement of Applicability transparent zu dokumentieren. Sie ist ein wichtiges Werkzeug für interne Audits und für die Vorbereitung auf Zertifizierungsaudits.
Hier finden Sie die ausführliche SoA Checkliste: ISO 27001 SoA Checkliste
Annex A der ISO 27001:2022 – Anwendbarkeitserklärung – Statement of Applicability (SoA)
Ein zentrales Element ist Anhang A (Annex A). Hier sind 93 Sicherheitsmaßnahmen in 4 Themenbereiche gegliedert:
-
Organisatorische Maßnahmen (37 Kontrollen)
-
Personenbezogene Maßnahmen (8 Kontrollen)
-
Physische Maßnahmen (14 Kontrollen)
-
Technologische Maßnahmen (34 Kontrollen)
Beispiele:
-
Zugriffskontrolle
-
Verschlüsselung
-
Netzwerksicherheit
-
Notfallvorsorge
-
Lieferantenmanagement
Dürfen wir Ihnen ein kostenloses und individuelles Angebot erstellen?
ISO 27001 Zertifizierung
Annex A Anwendbarkeitserklärung – Statement of Applicability (SoA) der ISO 27001:2022 umfasst 93 Sicherheitskontrollen, die in vier Kategorien gegliedert sind: organisatorische (37), personelle (8), physische (14) und technologische Kontrollen (34). Die Kontrollen wurden gegenüber der Vorgängerversion überarbeitet, reduziert und modernisiert, um aktuellen Sicherheitsanforderungen gerecht zu werden.
Für weitere Fragen und Antworten einfach auf die folgenden Links klicken:
Was ist eine ISO 27001 Zertifizierung?
Was kostet eine ISO 27001 Zertifizierung?
ISO 27001 Zertifizierungsstellen
ISO 27001 PDF deutsch – Übersicht der ISO 27001:2022
ISO 27001 Anwendbarkeitserklärung Statement of Applicability SoA
Sollten Sie Interesse an einer Zertifizierung haben, können wir Ihnen gerne ein unverbindliches Angebot unterbreiten. Am Besten heute noch…