Das Statement of Applicability (SoA) ist ein zentrales Dokument im Rahmen des Informationssicherheitsmanagementsystems (ISMS) nach der ISO/IEC 27001-Norm. Es dient dazu, die Anwendbarkeit der Sicherheitsmaßnahmen, die im Anhang A der Norm beschrieben sind, für eine bestimmte Organisation zu definieren und zu dokumentieren.
Zweck des SoA:
- Individuelle Anpassung: Das SoA hilft Organisationen dabei, die allgemeinen Sicherheitsanforderungen der ISO 27001 auf ihre spezifischen Bedürfnisse und Gegebenheiten anzupassen. Es wird festgelegt, welche der 114 im Anhang A der Norm aufgeführten Kontrollen relevant sind und welche nicht.
- Risikobasierter Ansatz: Die Auswahl der Kontrollen basiert auf einer Risikobewertung. Organisationen müssen die Risiken identifizieren, die für ihre spezifische Umgebung relevant sind, und entsprechende Kontrollen implementieren, um diese Risiken zu behandeln.
- Dokumentation und Nachweis: Das SoA dient als Nachweis dafür, dass die Organisation die Anforderungen der ISO 27001 erfüllt. Es wird regelmäßig überprüft und aktualisiert, um sicherzustellen, dass es weiterhin relevant und wirksam ist.
Inhalt des SoA:
- Liste der relevanten Kontrollen: Eine Auflistung aller Kontrollen aus Anhang A der ISO 27001, die für die Organisation anwendbar sind.
- Begründung für die Auswahl: Eine Erklärung, warum bestimmte Kontrollen als relevant oder nicht relevant eingestuft wurden, basierend auf der Risikobewertung.
- Implementierungsstatus: Informationen darüber, ob die ausgewählten Kontrollen bereits implementiert sind, geplant sind oder nicht anwendbar sind.
Das SoA ist ein lebendes Dokument, das regelmäßig überprüft und aktualisiert werden sollte, um sicherzustellen, dass es weiterhin den aktuellen Risiken und Anforderungen der Organisation entspricht. Es ist ein wesentlicher Bestandteil des ISMS und spielt eine entscheidende Rolle bei der Zertifizierung und Aufrechterhaltung der ISO 27001-Konformität.