Was ist ein SoA?

SoA (Statement of Applicability) ist ein Schlüsseldokument bei der Zertifizierung eines Managementsystems nach ISO 27001, der internationalen Norm für Informationssicherheitsmanagement. Diese Erklärung ist Teil des Prozesses der Implementierung und Zertifizierung eines Informationssicherheitsmanagementsystems.

Das SoA wird verwendet, um festzulegen, welche Anforderungen der ISO 27001 in Ihrer Organisation angewendet werden und welche nicht. Es ist die Art und Weise, in der eine Organisation auswählt und begründet, welche Sicherheitsmaßnahmen für ihren speziellen Kontext relevant und wichtig sind. Ein SoA hilft einer Organisation also, ISO 27001 auf ihre Bedürfnisse und ihr Umfeld zuzuschneiden.

Ein SoA enthält typischerweise die folgenden Informationen:

1. Eine Checkliste: Das SoA listet alle Kontrollen auf, die in ISO 27001 festgelegt sind. Die Kontrollen sind entsprechend der Norm nummeriert.
2. Kontrollbeschreibung: Jede Kontrolle wird beschrieben, einschließlich der Maßnahmen, die die Organisation zur Erfüllung der Kontrolle ergreift.
3. Begründung der Anwendbarkeit: Für jede Kontrolle wird der Grund angegeben, warum die Kontrolle für die Organisation relevant ist. Dazu gehört auch die Identifizierung der Risiken, die für die spezifische Kontrolle relevant sind.
4. Anwendbarkeitsstatus: Das SoA hält den Status jeder Kontrolle fest - ob die Kontrolle anwendbar ist, nicht anwendbar oder eine Ausnahme erfordert.
5. Dokumentenverweise: Das SoA kann auf Dokumente verweisen, die Einzelheiten zur Durchführung und Einhaltung von Kontrollen enthalten.

Das SoA ist ein wichtiges Element im ISO 27001-Zertifizierungsprozess, da es der Organisation und der Zertifizierungsstelle ermöglicht, eindeutig zu bestimmen, welche Kontrollen relevant sind und wie sie umgesetzt werden. Dies erleichtert die Bewertung und Überprüfung der Konformität mit ISO 27001. Das SoA sollte regelmäßig aktualisiert werden, um Änderungen in der Organisation und ihrem Umfeld zu berücksichtigen.

Empfohlene Schulungen: