ISO 27001 SoA – was ist das?
ISO 27001 SoA - was ist das?
Das SoA (Statement of Applicability, auf Deutsch "Anwendbarkeitserklärung") ist ein Dokument, das jedes Unternehmen erstellen muss, das eine ISO 27001-Zertifizierung anstrebt. Doch es ist nicht nur eine Formalität – es bietet echten Mehrwert, sowohl intern als auch extern.
Was ist das Statement of Applicability?
Das SoA ist ein zentrales Element der ISO 27001. Es listet auf, welche Sicherheitsmaßnahmen (Controls) ein Unternehmen aus dem Anhang A der Norm auswählt, umsetzt und wie der Umsetzungsstatus dieser Maßnahmen ist. Es ist ein Pflichtdokument, ohne das keine Zertifizierung möglich ist.
Warum ist das SoA sinnvoll?
1. Transparenz über Sicherheitsmaßnahmen
Das SoA zeigt auf, welche Maßnahmen ein Unternehmen implementiert hat, um die Anforderungen der ISO 27001 zu erfüllen. Es gibt nicht nur an, welche Maßnahmen umgesetzt werden, sondern erklärt auch, warum diese ausgewählt wurden oder warum bestimmte Maßnahmen nicht relevant sind.
2. Status der Umsetzung
Ein weiterer Vorteil: Das SoA dokumentiert, in welchem Umsetzungsstatus sich die Maßnahmen befinden. Sind sie vollständig implementiert, oder wird noch daran gearbeitet? Oder werden sie bereits nach der initialen Umsetzung verbessert? Das schafft Klarheit über den aktuellen Stand der Informationssicherheit.
3. Vergleichbarkeit
Das Statement of Applicability ist normiert. Die ISO 27001 schreibt vor, welche Informationen darin in jedem Fall enthalten sein müssen. So ist Vergleichbarkeit garantiert!
Das SoA: ein öffentliches Dokument
Das Statement of Applicability ist nicht nur ein internes Arbeitsmittel. Es kann auch für externe Stakeholder – etwa potenzielle Kunden oder Lieferanten – eine wichtige Informationsquelle sein:
- Erster Einblick in die CyberSecurity-Strategie: Unternehmen können das SoA nutzen, um sich über einen potenziellen Lieferanten mit ISO 27001-Zertifizierung zu informieren.
- Transparenz und Vertrauen: Auf einen Blick wird ersichtlich, welche Sicherheitsmaßnahmen ein Lieferant umsetzt und welche (noch) nicht. Das schafft Vertrauen und erleichtert die Entscheidung für eine Zusammenarbeit.
BEISPIEL: Sie suchen ein Rechenzentrum, um eine Serverfarm nicht mehr selbst im Keller betreiben zu müssen. Sie haben mehrere Kandidaten. Alle sind ISO 27001-zertifiziert (darauf achten Sie natürlich). Aber welches RZ ist jetzt für Sie das beste? Das Statement of Applicability ist öffentlich. Sie können es von jedem RZ anfordern und auf der Basis vergleichen. Das schafft Einblick!
Nutzen Sie ein Beispiel-SoA als Vorlage
Sie möchten wissen, wie ein Statement of Applicability aussieht? In unserem Dokumentensatz ist selbstverständlich eines enthalten, das Sie sich herunterladen und für Ihre Zertifizierung verwenden können!
Unser Tipp
Nutzen Sie den Mechanismus des standardisierten Statement of Applicability, um eine Vergleichbarkeit zwischen verschiedenen ISO 27001-zertifizierten Unternehmen herzustellen. Das Dokument erlaubt Ihnen, "einen Blick hinter die Kulissen" zu werfen.
Interesse geweckt?
Möchten Sie mehr zum Thema Statement of Applicability wissen? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!