Zum Hauptinhalt springen
Informationssicherheit / NIS2

Statement of Applicability (SoA)

Das Dokument im Rahmen der ISO 27001, das alle anwendbaren Kontrollen aus Annex A und deren Umsetzungsstatus auflistet.

Das Statement of Applicability (SoA) ist eines der zentralen Pflichtdokumente der ISO/IEC 27001. Es listet alle 93 Kontrollen aus Anhang A der Norm auf und dokumentiert für jede Kontrolle, ob sie im konkreten ISMS anwendbar ist, begründet warum sie einbezogen oder ausgeschlossen wurde, und beschreibt den aktuellen Umsetzungsstatus. Das SoA verknüpft die Ergebnisse der Risikobehandlung mit den tatsächlich implementierten Sicherheitsmaßnahmen.

Gemäß ISO 27001:2022, Abschnitt 6.1.3, muss das SoA folgende Angaben enthalten: alle erforderlichen Kontrollen, eine Begründung für jede Aufnahme oder den Ausschluss, den Umsetzungsstatus sowie gegebenenfalls eine Begründung für den Ausschluss von Kontrollen. Das SoA ist damit das Bindeglied zwischen Risikobehandlungsplan und den operativen Sicherheitsmaßnahmen und wird von Auditoren besonders sorgfältig geprüft.

In der Praxis ist das SoA ein lebendes Dokument, das kontinuierlich gepflegt und aktualisiert werden muss. Jede Änderung im Risikobehandlungsplan, neue Bedrohungen oder geänderte Geschäftsprozesse können Anpassungen am SoA erforderlich machen. Ein gut gepflegtes SoA zeigt Auditoren, dass die Organisation ihre Sicherheitsmaßnahmen systematisch begründet und nicht willkürlich implementiert, was den Zertifizierungsprozess erheblich vereinfacht.

Rechtliche Grundlage

ISO/IEC 27001:2022, Abschnitt 6.1.3

Praxisbeispiel

Ein Technologieunternehmen erstellt im Rahmen seiner ISO-27001-Implementierung sein erstes Statement of Applicability. Von den 93 Kontrollen des Annex A werden 87 als anwendbar eingestuft; sechs Kontrollen – darunter solche für physische Sicherheitsperimeter und Kryptographie in spezifischen Kontexten – werden mit einer dokumentierten Begründung ausgeschlossen, da sie für das cloudbasierte Geschäftsmodell nicht relevant sind. Für jede der 87 anwendbaren Kontrollen wird der aktuelle Umsetzungsgrad dokumentiert: 64 sind vollständig umgesetzt, 23 befinden sich in der Implementierung. Das SoA bildet die Hauptgrundlage für das Zertifizierungsaudit.

Häufige Fragen

Das Statement of Applicability ist ein Pflichtdokument der ISO 27001, das alle Kontrollen aus Annex A der Norm auflistet und für jede Kontrolle begründet, ob und wie sie im ISMS umgesetzt wird. Es verbindet die Risikobehandlung mit den konkreten Sicherheitsmaßnahmen und ist ein zentrales Prüfungsdokument beim Zertifizierungsaudit.
Ja, Kontrollen können ausgeschlossen werden, wenn sie für die Organisation nicht relevant sind – etwa weil ein bestimmter Prozess oder eine Technologie nicht genutzt wird. Jeder Ausschluss muss jedoch mit einer nachvollziehbaren Begründung dokumentiert werden. Auditoren prüfen Ausschlüsse besonders sorgfältig.
Das SoA ist ein lebendes Dokument und muss immer dann aktualisiert werden, wenn sich Änderungen im Risikobehandlungsplan, in den Geschäftsprozessen oder in der IT-Infrastruktur ergeben. Mindestens einmal jährlich sollte es im Rahmen des internen Audits und des Management-Reviews überprüft werden.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

ISO 27001 ISMS (Informationssicherheits-Managementsystem) Risikobewertung (Risk Assessment) Audit Technische und organisatorische Maßnahmen (TOMs)
Zurück zum Glossar