Lexikon · ISMS & Frameworks
SoA (Anwendbarkeitserklärung)
Statement of Applicability
Die Anwendbarkeitserklärung (SoA) dokumentiert für jedes Annex-A-Control der ISO 27001, ob es anwendbar ist, wie es umgesetzt wird und warum nicht anwendbare Controls ausgeschlossen wurden.
Ausführliche Erklärung
Die SoA ist eines der zentralen Pflichtdokumente der ISO 27001. Sie verbindet die Risikobehandlung mit den konkreten Controls aus Annex A und macht für Auditoren nachvollziehbar, welche Maßnahmen gelten und welche begründet ausgeschlossen sind.
Für jedes der 93 Controls hält die SoA Anwendbarkeit, Umsetzungsstatus und eine Begründung fest. Ausschlüsse müssen sachlich begründet sein, etwa weil eine Organisation keine Softwareentwicklung betreibt.
Im Standard verankert
Verwandte Begriffe
Annex A
Annex A der ISO 27001:2022 ist der Katalog von 93 Sicherheitscontrols in vier Themengruppen (organisatorisch, personell, physisch, technologisch), aus denen sich Organisationen risikobasiert bedienen.
Control (Maßnahme)
Ein Control (deutsch: Maßnahme oder Kontrolle) ist eine konkrete Sicherheitsvorkehrung, die ein Risiko vermindert, etwa eine Zugriffsbeschränkung, Verschlüsselung oder ein Schulungsprozess.
ISO 27001
ISO/IEC 27001 ist der international führende Standard für Informationssicherheits-Managementsysteme (ISMS) und definiert die Anforderungen, nach denen sich Organisationen zertifizieren lassen können.
SoA (Anwendbarkeitserklärung) in der Praxis umsetzen
CompliantDesk bringt ISO 27001, NIS2, DSGVO und weitere Frameworks in einer Plattform zusammen, mit gemeinsamem Kern-Modell statt doppelter Dokumentation.