Ein Statement of Applicability (SoA), auch als "Anwendbarkeitserklärung" bekannt, fasst die Ziele und Maßnahmen Ihrer Organisation zusammen. So hilft es dabei, Ihre Sicherheitsrisiken für Ihre Zertifizierung nach ISO 27001 zu bewerten.
Ein SoA zeigt, wie die Organisation Informationssicherheitsstandards erfüllt und sicherstellt, dass Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen gewährleistet bleiben.
In diesem Beitrag
- Was ist die SOA (Statement of Applicability)?
- Welche Maßnahmen sollten Sie in Ihrem Unternehmen umsetzen?
- Was ist Eine Gap Analysis nach ISO 27001?
- Was ist eine Risikobewertung der Informationssicherheit?
- Warum ist die SoA für die ISO 27001-Zertifizierung wichtig?
- Welche Informationen enthält die SoA?
- Was sind die Vorteile einer SoA?
- Wie erstellen Sie eine SoA?
- So hilft Ihnen DataGuard beim Erstellen einer SoA
- Häufig gestellte Fragen
Das Wichtigste in Kürze
Kundenvertrauen, sichere Daten und ein guter Ruf - die Zertifizierung des Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 hilft Ihnen dabei, Ihre wichtigsten Assets zu sichern.
Auch wenn eine Zertifizierung nicht vorgeschrieben ist, trägt sie dazu bei das Vertrauen der Kunden in die Werte Ihrer Organisation zu stärken. Außerdem stärkt sie das rechtliche Umfeld Ihrer Organisation.
In mehreren Phasen des ISO 27001-Zertifizierungsprozesses ist eine Dokumentation erforderlich. Die SoA ist eines der wichtigsten Dokumente, die erstellt werden müssen. In diesem Artikel erhalten Sie detaillierte Informationen zur SoA. Zudem erfahren Sie, warum sie wichtig ist und wie sie erstellt wird.
Was ist die SoA (Statement of Applicability)?
Die SoA ist ein zentraler Bestandteil des Informationssicherheits-Managementsystems (ISMS) von Unternehmen. In der SoA werden die Maßnahmenziele (Control Objectives) und Maßnahmen (Controls), die von einer Organisation festgelegt wurden, aufgezeigt.
Werfen wir einen Blick darauf, was die SoA normalerweise beinhaltet:
- die notwendigen Maßnahmen (v.a. Maßnahmen aus Anhang A der ISO 27001),
- die Gründe für den Einschluss,
- die Gründe bei Ausschluss von Maßnahmen,
- den Status der Umsetzung.
Sie möchten ein ISMS nach ISO zertifizieren lassen? Dann gehört die SoA zu den ersten Dingen, die ein externer Prüfer während eines Audits sehen möchte.
Mithilfe der SoA kann ein Unternehmen bestimmen, welche ISO 27001-Anforderungen und -Richtlinien derzeit umgesetzt werden, und sie mit den Maßnahmen in Anhang A der ISO 27001 vergleichen.
Die SoA smüssen Sie während des gesamten Audit-Prozesses zur Hand haben: Der Auditor prüft einige der ISO 27001-Maßnahmen, um sicherzustellen, dass diese hinreichend belegen, dass Ihre Organisation seine Kontrollziele erreicht.
Die SoA steht außerdem direkt mit dem ISO-Zertifikat in Zusammenhang, denn auch die ausgenommenen Maßnahmen sind im Statement enthalten. So können Kunden überprüfen, in welchem Ausmaß Sie die Norm befolgen und welche Ausnahmen Sie getroffen haben.
Es müssen nicht unbedingt alle Maßnahmen umgesetzt werden, die in ISO 27001 Anhang A beschrieben sind. Aber Ihre Organisation muss begründen können, welche Kontrollmaßnahmen warum angewendet werden.
Inklusive SoA: ISO 27001 Dokumentation
Diese Checkliste gibt Ihnen einen Überblick über die notwendige Dokumentation im Rahmen einer Zertifizierung nach ISO 27001 und enthält hilfreiche Tipps zu ihrer Erstellung.
Jetzt kostenlos herunterladenWelche Maßnahmen sollten Sie in Ihrem Unternehmen umsetzen?
Sie müssen nicht alle Anforderungen der ISO 27001 Anhang A umsetzen. Welche für Sie wichtig sind, hängt von der Art Ihrer Organisation ab.
Aber da der Anhang A der ISO 27001 „normativ“ ist, müssen Sie alle darin enthaltenden Anforderungen bearbeiten. Allerdings können Sie Anforderungen ausschließen, wenn diese nicht zu Ihrer Organisation passen oder außerhalb des Geltungsbereichs liegen.
Jeden Ausschluss einer Maßnahme müssen Sie jedoch begründen und die mit dem Ausschluss verbundenen Risiken (bewusst) akzeptieren. Zudem darf der Ausschluss, die Aufrechterhaltung der Informationssicherheit nicht beeinträchtigen.
Was ist eine Gap Analysis nach ISO 27001?
Eine Gap Analyse nach ISO 27001, die auch als Compliance Assessment oder Pre-Evaluation bezeichnet wird, ist eine Bewertung des aktuellen Sicherheitsstatus Ihres Unternehmens.
Im Zuge dieser Bewertung vergleichen Sie u. a. die aktuellen Informationssicherheitsmaßnahmen mit den Anforderungen der ISO 27001. Organisationen können diesen Bericht für die Zertifizierung nach ISO 27001 nutzen.
Im Gap-Analysis-Prozess analysieren Sie den aktuelle Status der Maßnahmen zur Einhaltung der Norm und den Umfang der ISMS-Parameter über alle Geschäftsprozesse hinweg. Ihre Organisation erhält die erforderlichen Informationen zu Anforderungen, um etwaige Lücken zu schließen.
Was ist eine Risikobewertung der Informationssicherheit?
Cyberkriminalität, nachlässige Mitarbeiter oder Fehler im System - jede Organisation hat mit den Bedrohungen für sensible Daten zu kämpfen.
Eine ISO 27001 Risikobewertung hilft Ihrer Organisation dabei, Schwachstellen zu identifizieren, die sensible Daten gefährden, und geeignete Maßnahmen zu ergreifen. Dabei werden potenzielle Bedrohungen ermittelt, das Risiko bewertet und Strategien zur Risikovermeidung entwickelt.
Neben der Risikobewertung unterstützt auch die Gap-Analyse dabei, Risiken zu erkennen und passende Maßnahmen festzulegen.
Für eine umfassende Umsetzung bietet Anhang A der ISO 27001 einen Leitfaden. Noch detailliertere Empfehlungen liefert die ISO 27002, die Best Practices zur Informationssicherheit enthält und die Umsetzung der Maßnahmen aus Anhang A unterstützt. In beiden ISO-Normen finden Sie Informationen, die für die Erstellung Ihrer SoA erforderlich sind. Sie brauchen also Exemplare beider Normen.
Warum ist die SoA für die ISO 27001-Zertifizierung wichtig?
Die SoA (Statement of Applicability) bietet zusammen mit dem Geltungsbereich des ISMS einen Überblick über die angewendeten Sicherheitsmaßnahmen und wird bei Audits als erstes geprüft. Für Ihre Zertifizierung nach ISO 27001 ist das zentral.
Unabhängig von der Größe Ihrer Organisation deckt die SoA alle relevanten Bereiche ab—von Informations-Assets und Systemen bis hin zu Prozessen und beteiligten Personen. Für Kunden, besonders bei sensiblen Daten (wie durch DSGVO geregelt), ist die SoA ein wichtiges Prüfdokument, um sicherzustellen, dass die Zertifizierung die notwendigen Informations-Assets abdeckt.
Eine gut strukturierte SoA zeigt klar, wie die Maßnahmen aus Anhang A umgesetzt wurden, und stärkt so das Vertrauen von Kunden und Auditoren in das Informationssicherheitsmanagement des Unternehmens.
Welche Informationen enthält die SoA?
Bevor wir uns mit der Erstellung einer SoA befassen, hier eine kurze Liste der Punkte, die Sie in eine SoA aufnehmen müssen:
- Eine Liste der Maßnahmen in Anhang A
- Informationen darüber, ob die jeweiligen Maßnahmen umgesetzt wurden oder nicht
- Argumentation für die Einbeziehung oder den Ausschluss der jeweiligen Maßnahmen
Die SoA bietet einen Überblick über das Informationssicherheits-Managementsystem eines Unternehmens. Das Fehlen einer klaren Übersicht über die Interkonnektivität des ISMS könnte zu Problemen führen.
Wenn ein Auditor das Gefühl hat, dass das ISMS nicht vertrauenswürdig ist, oder die Dokumentation mangelhaft oder nicht vorhanden ist, wird das ISO 27001-Audit wahrscheinlich nicht erfolgreich sein. Um dies zu vermeiden, sollten Sie Ihr Dokument sorgfältig prüfen und sicherstellen, dass alle diese wichtigen Punkte erfüllt sind.
Was sind die 4 Vorteile einer SoA?
Zum einen ist die SoA eines der wichtigsten Dokumente, die für die ISO 27001-Zertifizierung erforderlich sind. Zum anderen liefert sie detaillierte Einblicke in die Prozesse und Verfahren eines Unternehmens. Werfen wir einen Blick auf die Vorteile der SoA::
1. Überblick
Die SoA verschafft Ihnen einen klaren Überblick über die Informationssicherheitsmaßnahmen und hilft, diese gezielt zu identifizieren, zu organisieren und zu dokumentieren.
2. Ausschluss von Maßnahmen
Sie enthält Argumente für die Einbeziehung oder den Ausschluss von Maßnahmen, die nicht in die Risikobewertung einfließen.
3. Audit-Relevanz
Für Auditoren ist die SoA oft der erste Anlaufpunkt. Sie überprüft, ob die dokumentierten Maßnahmen korrekt angewendet wurden, was die Grundlage für ein erfolgreiches Audit bildet.
4. Regulatorischer Nachweis
Im Fall einer Datenschutzverletzung kann die SoA belegen, dass die Abwehrmaßnahmen auf einer ISO 27001-konformen Risikobewertung basieren und damit den regulatorischen Anforderungen entsprechen.
Nun, da Sie die Bedeutung einer SoA kennen und wissen, welche Vorteile sie Ihrem Unternehmen bietet, sehen wir uns an, wie eine SoA erstellt wird.
Sichern Sie Ihren Erfolg.
Abonnieren Sie praxisnahe Experten-Tipps!
Schließen Sie sich 3.000+ Führungskräften an, die mit unserem monatlichen Newsletter zu dem Thema Informationssicherheit auf dem Laufenden bleiben.
Wie erstellen Sie eine SoA?
Die folgenden sechs Schritte helfen Ihnen bei der erfolgreichen Erstellung einer SoA gemäß ISO 27001.
1. Auswahl der Maßnahmen
Sie müssen sich zunächst darüber im Klaren sein, wie viele und welche der Maßnahmen Sie in das Dokument aufnehmen möchten. Wie bereits erwähnt, enthält jeder Punkt weitere Informationen über die Maßnahmen und, wenn möglich, einen Verweis auf die relevanten Ressourcen zur Umsetzung.
2. Identifizieren und Analysieren der Risiken
Jede Organisation hat Ihre eigenen Risiken. Gemeinsam mit Ihrem Team müssen Sie die Risiken identifizieren und analysieren. Sie können die Vertraulichkeit, Integrität und Verfügbarkeit von Ressourcen innerhalb Ihres ISMS gefährden. Als Erstes sollten Sie alle potenziellen Risiken bestimmen. Danach alle Schwachstellen in Ihrem Asset und alle Bedrohungen, die diese Schwachstellen ausnutzen können.
3. Umsetzen von Maßnahmen
Nach der Identifizierung und Analyse von Risiken müssen Sie Maßnahmen ergreifen. So minimieren Sie die Risiken auf ein beherrschbares Maß. Risiken können gemäß ISO 27001 auf vier Arten eingedämmt werden:
- Beibehalten oder tolerieren
- Vermeiden oder beenden
- Teilen oder übertragen
- Modifizieren oder behandeln
In dieser Phase haben Sie die Möglichkeit, Sicherheitsmaßnahmen zu implementieren, die die Auswirkungen oder die Wahrscheinlichkeit des betreffenden Risikos höchstwahrscheinlich verringern.
4. Entwickeln eines Risikobehandlungsplans
Erstellen Sie als Teil eines ISO 27001-zertifizierten ISMS einen Risikobehandlungsplan (Risk Treatment Plan, kurz: RTP). Der RTP enthält eine Zusammenfassung aller ermittelten Risiken mit den für das jeweilige Risiko ausgewählten Lösungen, dem Eigentümer jedes Risikos und dem voraussichtlichen Datum der Implementierung des RTP.
5. Erstellen einer Liste mit den empfohlenen Maßnahmen
Jede in Anhang A vorgeschlagene Maßnahme muss in Ihrer SoA aufgeführt sein. Außerdem müssen Sie angeben, ob die jeweiligen Maßnahmen umgesetzt wurden oder nicht. Für jede Maßnahme in Anhang A müssen Gründe für deren Einbeziehung bzw. Ausschluss angegeben werden.
6. Pflegen Ihrer SoA
Die Reaktion und Anpassungsfähigkeit Ihres Unternehmens auf Sicherheitsherausforderungen sowie die ISO-Richtlinien für die SoA sollten Sie bei der Erstellung Ihres Dokuments berücksichtigt werden. Die International Organization for Standardization (ISO) aktualisiert kontinuierlich ihre Standards, um mit den rasanten technologischen Entwicklungen und der Anpassung der Unternehmen an diese Entwicklungen Schritt zu halten. Doch es geht nicht nur um die Anpassung des Standards. Auch wenn sich Ihr Unternehmen oder der Geltungsbereich verändert, ändern sich auch die Anforderungen an das ISMS.
Dementsprechend müssen Sie Ihre SoA, als Teil Ihres ISMS, regelmäßig aktualisieren, um der fortlaufenden Weiterentwicklung der Maßnahmen Rechnung zu tragen. Nur so können Sie die Anforderungen Ihres ISMS und die ISO-Vorgaben erfüllen.
Wie kann DataGuard Ihnen dabei helfen, beim Erstellen einer SoA Zeit zu sparen?
Mit einer ordnungsgemäß gepflegten SoA können Sie dafür sorgen, dass das ISMS Ihres Unternehmens jetzt und in Zukunft reibungslos und fehlerfrei gemanagt wird. Die Erstellung einer SoA umfasst die Durchführung einer Risikobewertung und einer Gap Analysis, um die erforderlichen Maßnahmen und deren Umsetzung zu verstehen.
Das Erstellen einer SoA kann besonders herausfordernd sein, insbesondere wenn Sie zum ersten Mal damit konfrontiert sind. Wir stehen Ihnen gerne zur Seite und unterstützen Sie dabei, eventuelle Wissenslücken zu schließen.
Unsere Experten begleiten Sie durch jeden Schritt bei der Erstellung Ihrer SoA, um eine erfolgreiche ISO 27001-Zertifizierung zu gewährleisten. Beginnen Sie jetzt und vereinbaren Sie einen Termin mit uns.
Häufig gestellte Fragen
Was ist eine SoA und warum ist sie wichtig?
Die SoA listet alle relevanten Sicherheitsmaßnahmen auf, die ein Unternehmen implementiert hat oder bewusst ausgeschlossen hat. Die SoA bietet nicht nur einen Überblick über die getroffenen Maßnahmen, sondern dient auch als Nachweis dafür, dass das Unternehmen die Risiken umfassend bewertet und entsprechende Vorkehrungen getroffen hat. Sie ist entscheidend für den Zertifizierungsprozess und wird von Auditoren genau geprüft.
Welche Informationen sollte eine SoA enthalten?
Eine SoA sollte eine klare Beschreibung aller angewendeten Sicherheitsmaßnahmen (ISO 27001 Controls) enthalten, inklusive der Gründe für deren Implementierung oder Nicht-Implementierung. Sie sollte auch die jeweiligen Risiken, die durch diese Maßnahmen adressiert werden, sowie die relevanten gesetzlichen, regulatorischen und vertraglichen Anforderungen dokumentieren. Darüber hinaus sollte die SoA eine klare Zuordnung zwischen den identifizierten Risiken und den getroffenen Maßnahmen herstellen.
Wie wird die SoA im Rahmen eines Audits verwendet?
Bei einem ISO 27001-Audit ist die SoA eines der ersten Dokumente, das ein Auditor überprüft. Sie dient als Leitfaden, um zu beurteilen, ob die dokumentierten Sicherheitsmaßnahmen tatsächlich umgesetzt wurden und ob sie effektiv die identifizierten Risiken abdecken. Die SoA erleichtert den Auditoren, die Übereinstimmung zwischen den Unternehmenspraktiken und den ISO 27001-Anforderungen zu bewerten.
Wie oft sollte die SoA aktualisiert werden?
Die SoA sollte regelmäßig überprüft und aktualisiert werden, insbesondere nach wesentlichen Änderungen in den Geschäftsprozessen, der IT-Infrastruktur oder nach der Einführung neuer gesetzlicher Anforderungen. Eine kontinuierliche Aktualisierung stellt sicher, dass die SoA immer den aktuellen Stand der Sicherheitsmaßnahmen widerspiegelt und den ISO 27001-Anforderungen entspricht.