Compliance-Lexikon · Praxis
Statement of Applicability – Praxis
Das SoA ist im Zertifizierungsaudit das erste Dokument, das der Auditor prüft – und die Grundlage aller weiteren Prüfungshandlungen. Was Zertifizierungsauditoren konkret erwarten, zeigt dieser Abschnitt.
Was Auditoren konkret pruefen
Im Stage-2-Zertifizierungsaudit prüft der Auditor das SoA auf Vollständigkeit, Konsistenz und Aktualität. Das BAM-Objekt ISO-SV-01 definiert, was konkret vorgelegt werden muss.
Häufige Fehler
- Kontrollen ausgeschlossen ohne nachvollziehbare Begruendung
- Implementierungsstatus „implementiert“, aber Nachweis fehlt
- SoA auf Basis ISO 27001:2013 – nicht auf 2022-Version aktualisiert
- Leitungsorgan hat SoA nicht formal genehmigt
Praxis-Tipp
Für das SoA gilt: Realistischer Implementierungsstatus ist glaubwürdiger als optimistischer. Ein Auditor, der bei drei von zehn „implementiert“ markierten Kontrollen keinen Nachweis findet, wird alle übrigen kritisch hinterfragen. „In Umsetzung“ mit konkretem Zeitplan ist ehrlicher und kein Ausschlussgrund für die Zertifizierung.
Umsetzung Schritt für Schritt
Erster Schritt: Alle 93 ISO-27001:2022-Kontrollen als Ausgangsliste nehmen. Zweiter Schritt: Für jede Kontrolle die Anwendbarkeitsentscheidung auf Basis der Risikoanalyse und Anforderungen treffen. Dritter Schritt: Begruendungen dokumentieren – spezifisch, nicht generisch. Vierter Schritt: Implementierungsstatus realistisch bewerten und Verweise auf Richtlinien oder Massnahmen ergaenzen. Fünfter Schritt: SoA vom Leitungsorgan genehmigen lassen. Sechster Schritt: Jährliche Aktualisierung.
Evidence-Anforderungen im Zertifizierungsaudit
Der Auditor erwartet: datiertes, vom Leitungsorgan genehmigtes SoA mit allen 93 Kontrollen, Anwendbarkeitsentscheidungen mit Begruendungen, Implementierungsstatus und Verweisen auf Richtlinien sowie Konsistenz mit dem Risikobehandlungsplan.
Nächster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – ISO 27001 Readiness in 20 Minuten.
Die strategische Einordnung findet sich auf Ebene 3.