Compliance-Lexikon · ISO 27001
Statement of Applicability
[ˈsteɪtmənt əv ˌæplɪkəˈbɪlɪti] · auch: SoA, Erklärung zur Anwendbarkeit
Das Statement of Applicability (SoA) ist das zentrale ISO-27001-Dokument, das für alle 93 Kontrollen des Annex A festlegt, ob sie anwendbar sind oder nicht – mit Begruendung für jede Entscheidung und Nachweis der Implementierung, als Herzstück jeder ISO-27001-Zertifizierung.
Warum das SoA das Herzstück der ISO-27001-Zertifizierung ist
Das Statement of Applicability verbindet Risikoanalyse und Kontrollauswahl: Aus den identifizierten Risiken leitet die Organisation ab, welche der 93 Annex-A-Kontrollen notwendig sind. Für jede Kontrolle muss dokumentiert werden: Wird sie angewandt? Warum (oder warum nicht)? Wie ist der Implementierungsstatus? Ein Zertifizierungsaudit beginnt mit dem SoA – es ist die Landkarte für den gesamten Audit-Prozess.
Wo das SoA gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 6.1.3d | Erklärung zur Anwendbarkeit: Pflichtdokument für jede ISO-27001-Implementierung. |
| ISO 27002:2022 | vollständig | Implementierungsleitlinien für alle 93 Annex-A-Kontrollen als Referenz für die SoA. |
| ISO 27001:2022 | Kap. 8.3 | Informationssicherheitsrisikobehandlung: SoA als Ergebnis der Risikobehandlungsplanung. |
| ISO 17021 | Kap. 9.1.11 | Anforderungen an Zertifizierungsstellen: SoA als Pflichtgrundlage für Zertifizierungsaudits. |
| NIS-2 / BSIG | § 30 | ISO-27001-Zertifizierung als anerkannter Nachweis der NIS-2-Konformität. |
BAM-Objektreferenz
Häufige Audit-Fehler
- SoA nicht aktuell – neue Risiken und Änderungen nicht eingearbeitet
- Ausschlussbegruendungen fehlen oder sind unzureichend („nicht relevant“ ohne Erklärung)
- Implementierungsstatus nicht realistisch – alle Kontrollen als „implementiert“ markiert
- SoA und Risikobehandlungsplan nicht konsistent
Aufbau eines vollständigen SoA
Das SoA muss für alle 93 Annex-A-Kontrollen der ISO 27001:2022 (in vier Themengruppen: Organisatorische Kontrollen, Personenbezogene Kontrollen, Physische Kontrollen, Technologische Kontrollen) eine Entscheidung enthalten: Anwendbar: Ja/Nein. Begruendung: Warum ist die Kontrolle anwendbar (Risikobehandlung, gesetzliche Anforderung, vertragliche Anforderung) oder nicht (Risiko wurde anderweitig behandelt, Kontrolle nicht relevant für den ISMS-Scope). Implementierungsstatus: Implementiert, in Umsetzung, geplant. Verweis auf Richtlinie oder Massnahme, die die Kontrolle umsetzt. Ein gut gepflegtes SoA ist gleichzeitig Kontrollkatalog, Risikobehandlungsnachweis und Audit-Fahrplan.
SoA und Risikobehandlungsplan: Verbindung
SoA und Risikobehandlungsplan müssen konsistent sein: Jede im Risikobehandlungsplan vorgesehene Kontrollmassnahme muss im SoA als anwendbar markiert sein. Jede im SoA als anwendbar markierte Kontrolle muss entweder einer Risikobehandlungsmassnahme entsprechen oder einer anderen anerkannten Anforderung (gesetzlich, vertraglich, Best Practice). Inkonsistenzen zwischen beiden Dokumenten sind ein klassischer Zertifizierungsaudit-Befund.
Nächste Ebene
SoA in der Praxis: Erstellung, Pflege und Zertifizierungsaudit
Wie ein SoA erstellt, aktuell gehalten und im Zertifizierungsaudit verteidigt wird.