Compliance-Lexikon · Strategie
Statement of Applicability – Strategie
Das SoA wird häufig als buerokratische Pflicht betrachtet. Strategisch ist es das wichtigste Steuerungsdokument des ISMS – die Verbindung zwischen Risikobewertung und Kontrollmassnahmen.
Die strategische Perspektive
Ein gut gepflegtes SoA ist mehr als ein Zertifizierungsdokument: Es ist der Spiegel des Sicherheitsprogramms. Wer das SoA jährlich aktualisiert, muss zwangslaeuisg prüfen: Haben sich Risiken geändert? Sind neue Kontrollen notwendig? Sind implementierte Kontrollen noch wirksam? Diese Reflexion ist der Kern des kontinuierlichen Verbesserungsprozesses nach ISO 27001.
SoA und Executable Compliance
Der strategische Hebel liegt in der Automatisierung: Wenn der Implementierungsstatus im SoA automatisch aus Systemkonfigurationen und Evidence-Quellen aktualisiert wird, entsteht ein lebendiges Dokument statt eines jährlichen Stichtagsberichts. Das BAM-Objekt ISO-SV-01 verbindet SoA-Anforderungen mit dem Evidence-Framework.
Strategischer Kern
Die entscheidende Frage lautet nicht „Haben wir ein SoA?“, sondern „Spiegelt unser SoA den tatsächlichen Stand unseres Sicherheitsprogramms wider – und nutzen wir es aktiv zur Steuerung?“
Übergang von ISO 27001:2013 auf 2022
ISO 27001:2022 hat die Annex-A-Struktur grundlegend verändert: von 114 Kontrollen in 14 Domänen auf 93 Kontrollen in 4 Themengruppen, mit 11 neuen Kontrollen (u.a. Threat Intelligence, Cloud Security, ICT Readiness). Organisationen mit 2013-Zertifizierung mussten bis Oktober 2025 migrieren. Das SoA muss auf die 2022-Struktur aktualisiert sein – ein SoA auf 2013-Basis führt im Rezertifizierungsaudit zum Nichtbestätigungsbeschluss.
BAM Enterprise · Executable Compliance
Enterprise-Setup besprechen
SoA als ausfuehrbares Compliance-Artefakt – ISO 27001 vollständig abdecken.
Den praktischen Einstieg findet sich auf Ebene 2.