ISO 27001: Was ist ein Statement of Applicability (SoA)?

Viele Unternehmen, die mit Informationssicherheit gemäß ISO 27001 starten, sind unsicher, was genau ein Statement of Applicability (SoA) ist, welche Teile es betreffen darf und wie es im Audit aussieht. Wir erklären, warum dieses Dokument zentral für Ihr Informationssicherheits-Managementsystem (ISMS) ist und wie es richtig eingesetzt wird.

 

Die Erklärung der Nichtanwendbarkeit (SoA)

Das SoA ist ein zentrales Dokument in einem ISMS nach ISO 27001, das insbesondere für die Kontrollen aus Anhang A erforderlich ist. Wichtig zu wissen: Die Normabschnitte 4–10 müssen immer umgesetzt werden – sie können nicht als „nicht anwendbar“ erklärt werden.

Die Aufgabe der SoA ist nicht, Normabschnitte wegzulassen, sondern klar zu dokumentieren, welche spezifischen Kontrollen aus Anhang A für Ihr Unternehmen relevant sind und welche nicht.

 

So funktioniert die SoA in der Praxis

Für jede der 93 Kontrollen aus Anhang A muss die Organisation angeben:

  • Anwendbar oder nicht anwendbar
  • Begründung, warum eine Kontrolle nicht relevant ist
  • Status der Umsetzung, falls die Kontrolle angewendet wird

 

Warum die SoA so wichtig ist

  • Sie zeigt Auditoren und Management, dass Sie die Risiken systematisch analysiert haben.
  • Sie dokumentiert, warum bestimmte Kontrollen nicht umgesetzt werden – z. B., weil das Risiko nicht besteht oder die Maßnahme bereits auf andere Weise abgedeckt ist.
  • Sie dient als zentraler Nachweis für das Audit.

 

Kurz zusammengefasst

  • Normabschnitte 4–10 = immer verpflichtend bei der ISO 27001
  • Anhang A = SoA erforderlich, um Umsetzung oder Nichtanwendbarkeit jeder Kontrolle zu begründen
  • Ergebnis = klar dokumentiertes, auditfähiges Risikomanagement

 

Sichern Sie Ihr Unternehmen mit einem effektiven ISMS – wir begleiten Sie!

Wir helfen Unternehmen dabei, ein Informationssicherheitsmanagementsystem nach ISO/IEC 27001 effizient und normgerecht aufzubauen und zu betreiben. Mit unserer Expertise erstellen wir gemeinsam zentrale Dokumente wie das Statement of Applicability und gestalten Ihre Sicherheitsprozesse praxisnah und transparent.

Darüber hinaus übernehmen wir interne Audits, planen sie strategisch und begleiten Sie professionell bei Überwachungs- und Zertifizierungsaudits. So sind Sie optimal vorbereitet und können sich voll auf Ihr Kerngeschäft konzentrieren.

 

➡️ Jetzt kostenfreies Erstgespräch vereinbaren

✉ Kostenloses Erstgespräch

Wir beraten Sie gerne – vor Ort in Bayern oder bundesweit digital.

 

Wir sind Experten für Datenschutz und IT-Sicherheit – seit 2003

Unsere erfahrenen Spezialisten unterstützen Sie unter anderem bei:

– der Einführung und Beachtung von DSGVO, BDSG und TTDSG
– der Umsetzung von ISO 27001, TISAX, PCI-DSS oder NIS-2
– der Vorbereitung auf Audits und Zertifizierungen

 

tec4net GmbH – Datenschutz und IT-Sicherheit praktikabel umsetzen.

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com

 

Alle unsere NEWS -> http://news.tec4net.comhttps://x.com/tec4net