SoA-Vorlage: Anwendbarkeitserklärung mit allen 93 ISO-27001-Controls
Die Anwendbarkeitserklärung (Statement of Applicability, SoA) ist ein Pflichtdokument der ISO 27001. Diese kostenlose Vorlage enthält bereits alle 93 Annex-A-Controls der Fassung 2022, vorbereitet mit Spalten für Anwendbarkeit, Status und Begründung.
Worum geht es?
Die SoA dokumentiert für jedes Control aus Annex A, ob es anwendbar ist, wie es umgesetzt wird und warum nicht anwendbare Controls ausgeschlossen wurden. Sie verbindet die Risikobehandlung mit den konkreten Maßnahmen.
Diese Vorlage spart die mühsame Vorarbeit: Alle 93 Controls der ISO 27001:2022 sind bereits mit Nummer, Titel und Annex-A-Gruppe (A.5 bis A.8) eingetragen. Sie müssen nur noch Anwendbarkeit, Status, Umsetzung und Verantwortliche ergänzen.
Damit ist die Vorlage ideal für die Zertifizierungsvorbereitung und für interne Audits, da sie den Soll-Stand vollständig abbildet.
Was die Vorlage enthält
Control-ID & Titel
Alle 93 Annex-A-Controls der ISO 27001:2022, fertig eingetragen
Annex-A-Gruppe
Zuordnung zu A.5 (organisatorisch) bis A.8 (technologisch)
Anwendbar (Ja/Nein)
Ob das Control für Ihre Organisation gilt
Begründung bei Ausschluss
Sachliche Begründung für nicht anwendbare Controls
Umsetzungsstatus
Offen, teilweise, umgesetzt oder nicht anwendbar
Umsetzung / Referenz
Maßnahme oder Nachweis, der das Control belegt
Verantwortlich & Prüfung
Owner und Datum der letzten Überprüfung
Die Vorlage richtet sich an alle, die eine ISO-27001-Zertifizierung anstreben oder ihr ISMS dokumentieren. Sie bildet den vollständigen Control-Katalog ab und ist sofort einsatzbereit.
Häufige Fehler beim Ausfüllen
Ausschlüsse ohne Begründung
Nicht anwendbare Controls müssen sachlich begründet werden, sonst beanstandet der Auditor die SoA.
SoA ohne Bezug zur Risikoanalyse
Die Anwendbarkeit soll sich aus der Risikobehandlung ergeben, nicht willkürlich gesetzt sein.
Status nicht gepflegt
Eine SoA, deren Umsetzungsstatus nicht aktuell ist, verliert ihren Wert als Steuerungsinstrument.
Vorlage pflegen kostet Zeit. Es geht auch automatisch.
In CompliantDesk pflegen Sie die SoA nicht in Excel: Anwendbarkeit und Status jedes Controls sind mit Risiken, Nachweisen und Reviews verknüpft, der Audit-Ready-Stand wird automatisch berechnet und versioniert.
Häufig gestellte Fragen
Muss ich wirklich alle 93 Controls aufführen?
Ja. Die SoA muss alle Annex-A-Controls enthalten, mit Angabe, ob sie anwendbar sind. Auch Ausschlüsse gehören dokumentiert und begründet.
Darf ich Controls ausschließen?
Ja, sofern sie für Ihre Organisation nicht relevant sind, etwa sichere Entwicklung ohne eigene Softwareentwicklung. Der Ausschluss muss begründet werden.
Ist das die aktuelle Version?
Ja, die Vorlage basiert auf ISO/IEC 27001:2022 mit 93 Controls in vier Gruppen (A.5 bis A.8).
Compliance ohne Excel-Chaos
CompliantDesk führt VVT, Risiken, Richtlinien und Nachweise in einem System, mit gemeinsamem Kern-Modell für ISO 27001, NIS2 und DSGVO. Sehen Sie es in einer kurzen Demo.