SoA: Vorteile, Erstellung und Bedeutung für die ISO 27001

Ein Statement of Applicability (SoA), auch als "Anwendbarkeitserklärung" bezeichnet, ist ein kritisches Dokument im Rahmen der Zertifizierung des Informationssicherheits-Managementsystems (ISMS) nach ISO 27001. Es dient dazu, die umfassende Evaluierung der Sicherheitsrisiken einer Organisation zu konkretisieren. Indem es die Maßnahmenziele und Maßnahmen, die von einer Organisation strategisch entwickelt und festgelegt wurden, aufzeigt. Sie fungiert als unverzichtbare Roadmap, die verdeutlicht, wie die Organisation Informationssicherheits-Standards erfüllt und gewährleistet, dass Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen gewahrt bleiben. 

Die Zertifizierung des Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 kann für alles Unternehmen, die Daten erfassen, von entscheidender Bedeutung sein. Auch wenn eine Zertifizierung nicht vorgeschrieben ist, kann sie dazu beitragen, das Vertrauen der Kunden und die Werte des Unternehmens zu stärken. Außerdem bietet sie Ihrer Organisation ein gestärktes, rechtliches Umfeld.

In mehreren Phasen des ISO 27001-Zertifizierungsprozesses ist eine Dokumentation erforderlich. Die SoA ist eines der wichtigsten Dokumente, die erstellt werden müssen. In diesem Artikel erhalten Sie detaillierte Informationen zur SoA. Zudem erfahren Sie, warum sie wichtig ist und wie sie erstellt wird.

 

Was ist die SoA (Statement of Applicability)?

Die SoA ist ein zentraler Bestandteil des Informationssicherheits-Managementsystems (ISMS) von Unternehmen. In der SoA werden die Maßnahmenziele (Control Objectives) und Maßnahmen (Controls), die von einer Organisation festgelegt wurden, aufgezeigt. Die SoA beinhaltet regelmäßig:

  • die notwendigen Maßnahmen (v.a. Maßnahmen aus Anhang A der ISO 27001),
  • die Gründe für den Einschluss,
  • die Gründe bei Ausschluss von Maßnahmen,
  • den Status der Umsetzung.

Dementsprechend ist die SoA ein wichtiges Dokument für Unternehmen, die ihr ISMS nach ISO zertifizieren möchten, und eines der ersten Dinge, die ein externer Prüfer bei der Durchführung eines Audits sehen möchte. Darüber hinaus gehört die SoA zu Punkt 6.1.3 der primären ISO-Normen für ISO 27001, d. h. zu den Anforderungen unter 6.1, die sich auf die Aktivitäten im Zusammenhang mit Risiken und Chancen beziehen.

Mithilfe der SoA kann ein Unternehmen bestimmen, welche ISO 27001-Anforderungen und -Richtlinien derzeit umgesetzt werden, und sie mit den Maßnahmen in Anhang A der ISO 27001 vergleichen. ISO 27001 Anhang A umfasst 114 Informationssicherheitsmaßnahmen (in 14 Kategorien) und Ziele, die Unternehmen bei der Umsetzung der ISO 27001 berücksichtigen müssen.

Die SoA muss im gesamten Audit-Prozess verfügbar sein. Der Auditor prüft einige der ISO 27001-Maßnahmen, um sicherzustellen, dass diese hinreichend belegen, dass das Unternehmen seine Kontrollziele erreicht.

Die ISO 27001 ist eine internationale Norm für Informationssicherheit in Unternehmen aller Branchen und Größen, einschließlich öffentlicher und privater Unternehmen, Regierungsbehörden und gemeinnütziger Organisationen. Es müssen nicht unbedingt alle 114 Maßnahmen umgesetzt werden, die in ISO 27001 Anhang A beschrieben sind. Jedoch müssen Unternehmen begründen können, welche Kontrollmaßnahmen warum angewendet werden.

 

Welche Maßnahmen sollten Sie in Ihrem Unternehmen umsetzen?

Wie die in Anhang A aufgeführten Maßnahmen umgesetzt werden, hängt vom jeweiligen Unternehmen ab. Da der Anhang A der ISO 27001 ist „normativ“ ist, müssen alle darin enthaltenden Anforderungen bearbeitet werden. Allerdings können Anforderungen ausgeschlossen werden, wen diese nicht zum Unternehmen passen oder außerhalb des Geltungsbereichs liegen. Jeder Ausschluss einer Maßnahme muss jedoch begründet und die mit dem Ausschluss verbunden Risiken (bewusst) akzeptiert werden. Zudem darf der Ausschluss, die Aufrechterhaltung der Informationssicherheit nicht beeinträchtigen.

 

Was ist eine Gap Analysis nach ISO 27001?

Eine Gap Analysis nach ISO 27001, die auch als Compliance Assessment oder Pre-Evaluation bezeichnet wird, ist eine Bewertung des aktuellen Sicherheitsstatus Ihres Unternehmens. Im Zuge dieser Bewertung werden u. a. die aktuellen Informationssicherheitsmaßnahmen mit den Anforderungen der ISO 27001 verglichen. Organisationen können diesen Bericht für die Zertifizierung nach ISO 27001 nutzen.

Im Gap-Analysis-Prozess werden der aktuelle Status der Maßnahmen zur Einhaltung der Norm und der Umfang der ISMS-Parameter über alle Geschäftsprozesse hinweg analysiert. Unternehmen erhalten die erforderlichen Informationen zu Anforderungen, um etwaige Lücken zu schließen. Mit der Gap Analysis können Unternehmen besser verstehen, wie sie ihre internen Informationssicherheits-Managementsysteme verbessern und vereinfachen können, um die ISO 27001-Norm zu erfüllen.

 

Was ist eine Risikobewertung der Informationssicherheit?

Eine Risikobewertung nach ISO 27001 hilft Unternehmen dabei, Vorfälle zu identifizieren, die sensible Daten gefährden könnten, und entsprechende Maßnahmen zu treffen. Cyberkriminelle können diese Schwachstellen ausnutzen. Es kann aber auch sein, dass Mitarbeiter Fehler machen. Daher beginnt das Verfahren mit der Identifizierung potenzieller Bedrohungen. Danach wird das Ausmaß des Risikos bestimmt und schließlich wird die beste Vorgehensweise zur Risikovermeidung ermittelt.

Sowohl die Gap Analyse als auch die Risikobewertung der Informationssicherheit unterstützen Unternehmen dabei, potenzielle Risiken zu identifizieren. Diese werden dann den entsprechenden Maßnahmen zugeordnet, die umgesetzt werden müssen.

Alle Maßnahmen werden in Anhang A beschrieben. Anhang A ist zwar ein hilfreicher Leitfaden, dennoch wünschen Sie sich wahrscheinlich umfassendere Informationen für die Umsetzung. Hier kommt die ISO 27002 ins Spiel.

Die ISO 27002-Norm besteht aus einer Reihe von Informationssicherheitsstandards, die Unternehmen bei der Umsetzung, Pflege und Verbesserung ihres Informationssicherheitsmanagements unterstützen sollen. Es handelt sich um ein Framework mit Best-Practice-Empfehlungen zur Umsetzung der in Anhang A der ISO 27001 aufgeführten Maßnahmen. Sie ist eine Ergänzung zur ISO 27001 und sollte ebenfalls geprüft werden.

In beiden ISO-Normen finden Sie Informationen, die für die Erstellung Ihrer SoA erforderlich sind. Sie brauchen also Exemplare beider Normen.

 

Warum ist die SoA für die ISO 27001-Zertifizierung wichtig?

Die SoA bietet in Verbindung mit dem Geltungsbereich des Informationssicherheits-Managementsystems (4.3 der ISO 27001) eine Übersicht über Maßnahmen, die vom Unternehmen angewendet werden. Die SoA ist eine wesentliche Voraussetzung für die Zertifizierung des ISMS nach ISO 27001. Im Rahmen eines Audits werden als Erstes die SoA und der Geltungsbereich geprüft. 

Die SoA und der Geltungsbereich umfassen die Waren und Dienstleistungen des Unternehmens, Informations-Assets, Verarbeitungseinrichtungen, verwendete Systeme, beteiligte Personen und Geschäftsprozesse, unabhängig davon, ob es sich um ein virtuelles Ein-Personen- oder ein multinationales Unternehmen mit Tausenden von Mitarbeitern und mehreren Standorten handelt.

Kunden, deren Daten einem erheblichen Risiko ausgesetzt sind (z. B. aufgrund der DSGVO oder andere wirtschaftlich sensible Informationen), sollten den Geltungsbereich und die SoA vor dem Kauf bei einem Lieferanten überprüfen, um sicherzustellen, dass die ISO-Zertifizierung die betreffenden Informations-Assets abdeckt.

 Im Hinblick auf die Risiken und Informations-Assets, die im Geltungsbereich enthalten sind, zeigt eine gut strukturierte und einfach zu verstehende SoA die Verbindung zwischen den relevanten und umgesetzten Maßnahmen in Anhang A auf. Die SoA stärkt das Vertrauen von Kunden, Auditoren und anderen Beteiligten, da sie sich sicher sein können, dass das Unternehmen das Informationssicherheitsmanagement ernst nimmt, insbesondere wenn es in ein ganzheitliches Informationssicherheits-Managementsystem integriert ist.

 

Welche Informationen enthält die SoA?

Bevor wir uns mit der Erstellung einer SoA befassen, hier eine kurze Liste der Punkte, die in eine SoA aufgenommen werden müssen: 

  1. Eine Liste der 114 Maßnahmen in Anhang A
  2. Informationen darüber, ob die jeweiligen Maßnahmen umgesetzt wurden oder nicht
  3. Argumentation für die Einbeziehung oder den Ausschluss der jeweiligen Maßnahmen
  4. Eine kurze Erläuterung der Schritte, die zur Umsetzung der anwendbaren Maßnahmen durchgeführt werden – mit Verweis auf die Richtlinien und Maßnahmen, die den erforderlichen Kontext liefern

Die SoA bietet einen Überblick über das Informationssicherheits-Managementsystem eines Unternehmens. Das Fehlen einer klaren Übersicht über die Interkonnektivität des ISMS könnte zu Problemen führen. Wenn ein Auditor das Gefühl hat, dass das ISMS nicht vertrauenswürdig ist, oder die Dokumentation mangelhaft oder nicht vorhanden ist, wird das ISO 27001-Audit wahrscheinlich nicht erfolgreich sein. Um dies zu vermeiden, sollten Sie Ihr Dokument sorgfältig prüfen und sicherstellen, dass alle diese wichtigen Punkte erfüllt sind.

 

Was sind die Vorteile einer SoA?

Zum einen ist die SoA eines der wichtigsten Dokumente, die für die ISO 27001-Zertifizierung erforderlich sind. Zum anderen liefert sie detaillierte Einblicke in die Prozesse und Verfahren eines Unternehmens. Daraus ergeben sich folgende Vorteile:

  1. Die SoA liefert einem Unternehmen einen Überblick der Informationssicherheitsmaßnahmen (ISO 27001 Controls). Ein kleiner Bestandteil davon ist unter anderem auch der Datenschutz im Segment Compliance des ISMS. Zudem hilft sie dabei, Sicherheitsmaßnahmen zu identifizieren, zu organisieren und zu dokumentieren, indem sie die Rückverfolgung der Kontrollmaßnahmen und der Aktivitäten im Unternehmen ermöglicht.
  2. Sie enthält Argumente für die Einbeziehung oder den Ausschluss von Maßnahmen, d. h. von Komponenten, die nicht in die Risikobewertung einfließen.
  3. Eine zentrale Empfehlung für interne und externe Prüfer ist es, jede geeignete Maßnahme zu dokumentieren und anzugeben, ob sie angewendet wurde oder nicht. In den meisten Fällen überprüft ein Auditor zuerst die SoA, führt dann das Audit durch und stellt sicher, dass die Dokumentation den genannten Anforderungen entspricht.
  4. Eine SoA kann auch erhebliche Auswirkungen auf das regulatorische Umfeld haben. Das Dokument kann im Zusammenhang mit der Untersuchung einer Datenschutzverletzung verwendet werden. Damit können Sie nachweisen, dass Ihre Abwehrmaßnahmen das Ergebnis einer ISO 27001-konformen Risikobewertung sind.

Nun, da Sie die Bedeutung einer SoA kennen und wissen, welche Vorteile sie Ihrem Unternehmen bietet, sehen wir uns an, wie eine SoA erstellt wird.

 

Wie erstellen Sie eine SoA?

Für den Fall, dass Sie noch nie eine ISO 27001-Risikobewertung durchgeführt bzw. noch keine SoA erstellt haben oder lediglich Ihre Strategie und Ergebnisse verbessern möchten: Die folgenden sechs Schritte helfen Ihnen bei der erfolgreichen Erstellung einer SoA gemäß ISO 27001.

Schritt 1: Verstehen, welche Maßnahmen einbezogen werden müssen und wie sie integriert werden

Im Vorfeld müssen Sie sich zunächst darüber im Klaren sein, wie viele und welche der 114 Maßnahmen Sie in das Dokument aufnehmen möchten. Wie bereits erwähnt, enthält jeder Punkt weitere Informationen über die Maßnahmen und, wenn möglich, einen Verweis auf die relevanten Ressourcen zur Umsetzung.

Schritt 2: Identifizieren und Analysieren der Risiken

Gemeinsam mit Ihrem Team müssen Sie die versteckten Risiken identifizieren und analysieren, die möglicherweise die Vertraulichkeit, Integrität und Verfügbarkeit von Ressourcen innerhalb Ihres ISMS gefährden. Als Erstes sollten Sie alle potenziellen Risiken bestimmen. Danach alle Schwachstellen in Ihrem Asset und alle Bedrohungen, die diese Schwachstellen ausnutzen können.

Schritt 3: Auswählen von Maßnahmen zur Behandlung von Risiken

Nach der Identifizierung und Analyse von Risiken müssen Sie Maßnahmen ergreifen, um diese auf ein beherrschbares Maß zu minimieren. Risiken können gemäß ISO 27001 auf vier Arten eingedämmt werden: 

  • Beibehalten oder tolerieren
  • Vermeiden oder beenden
  • Teilen oder übertragen
  • Modifizieren oder behandeln

In dieser Phase haben Sie die Möglichkeit, Sicherheitsmaßnahmen zu implementieren, die die Auswirkungen oder die Wahrscheinlichkeit des betreffenden Risikos höchstwahrscheinlich verringern.

Schritt 4: Entwickeln eines Risikobehandlungsplans

Erstellen Sie als Teil eines ISO 27001-zertifizierten ISMS einen Risikobehandlungsplan (Risk Treatment Plan, kurz: RTP). Der RTP enthält eine Zusammenfassung aller ermittelten Risiken mit den für das jeweilige Risiko ausgewählten Lösungen, dem Eigentümer jedes Risikos und dem voraussichtlichen Datum der Implementierung des RTP.

Schritt 5: Erstellen einer Liste mit den empfohlenen Maßnahmen

Jede in Anhang A vorgeschlagene Maßnahme muss in Ihrer SoA aufgeführt sein. Außerdem müssen Sie angeben, ob die jeweiligen Maßnahmen umgesetzt wurden oder nicht. Für jede Maßnahme in Anhang A müssen Gründe für deren Einbeziehung bzw. Ausschluss angegeben werden.

Schritt 6: Pflegen Ihrer SoA

Die Reaktion und Anpassungsfähigkeit Ihres Unternehmens auf Sicherheitsherausforderungen sowie die ISO-Richtlinien für die SoA sollten Sie bei der Erstellung Ihres Dokuments berücksichtigt werden. Die International Organization for Standardization (ISO) aktualisiert kontinuierlich ihre Standards, um mit den rasanten technologischen Entwicklungen und der Anpassung der Unternehmen an diese Entwicklungen Schritt zu halten. Doch es geht nicht nur um die Anpassung des Standards. Auch wenn sich Ihr Unternehmen oder der Geltungsbereich verändert, ändern sich auch die Anforderungen an das ISMS.

Dementsprechend müssen Sie Ihre SoA, als Teil Ihres ISMS, regelmäßig aktualisieren, um der fortlaufenden Weiterentwicklung der Maßnahmen Rechnung zu tragen. Nur so können Sie die Anforderungen Ihres ISMS und die ISO-Vorgaben erfüllen.

 

Wie kann DataGuard Ihnen dabei helfen, beim Erstellen einer SoA Zeit zu sparen?

Mit einer ordnungsgemäß gepflegten SoA können Sie dafür sorgen, dass das ISMS Ihres Unternehmens jetzt und in Zukunft reibungslos und fehlerfrei gemanagt wird. Die Erstellung einer SoA umfasst die Durchführung einer Risikobewertung und einer Gap Analysis, um die erforderlichen Maßnahmen und deren Umsetzung zu verstehen. 

Das Erstellen einer SoA ist vor allem dann schwierig, wenn es für Sie das erste Mal ist. Wir unterstützen Sie gerne und helfen Ihnen dabei, Wissenslücken zu schließen. Die Experten von DataGuard unterstützen Sie bei jedem Schritt zur Erstellung Ihrer SoA – für eine erfolgreiche ISO 27001-Zertifizierung. Legen Sie jetzt los und vereinbaren Sie einen Termin.

 
Checkliste: ISO 27001 Dokumentation Checkliste: ISO 27001 Dokumentation

Inklusive SoA: ISO 27001 Dokumentation

Diese Checkliste gibt Ihnen einen Überblick über die notwendige Dokumentation im Rahmen einer Zertifizierung nach ISO 27001 und enthält hilfreiche Tipps zu ihrer Erstellung.

Jetzt kostenlos herunterladen

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren