Was ist die SoA (Statement of Applicability) nach ISO 27001?

Das Wichtigste in Kürze

Kundenvertrauen, sichere Daten und ein stabiler Ruf – die Zertifizierung Ihres Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 hilft, Ihre wichtigsten Assets nachhaltig zu schützen.

Auch wenn die Zertifizierung nicht gesetzlich vorgeschrieben ist, schafft sie Vertrauen bei Kunden, Partnern und Aufsichtsbehörden – und stärkt gleichzeitig Ihr rechtliches Fundament.

Ein zentrales Dokument in diesem Prozess ist die SoA (Statement of Applicability). Sie ist eines der wichtigsten Nachweise im Auditverfahren und zeigt, welche Sicherheitsmaßnahmen Ihre Organisation anwendet, ausschließt oder noch umsetzt.

Was ist die SoA?

Die SoA (Statement of Applicability) ist das Kernstück des ISO 27001-konformen ISMS.
Sie dokumentiert:

• welche Maßnahmenziele (Control Objectives) und Maßnahmen (Controls) aus Anhang A der ISO 27001 Ihre Organisation umsetzt,
• warum bestimmte Maßnahmen eingeschlossen oder ausgeschlossen werden,
• und wie weit deren Umsetzung fortgeschritten ist.

Die SoA wird von Auditoren bereits zu Beginn eines ISO 27001-Audits angefordert. Sie dient als Grundlage, um zu prüfen, ob Ihr ISMS die Anforderungen der Norm erfüllt und ob Ihre Organisation angemessen auf Risiken reagiert.

Müssen alle Maßnahmen aus Anhang A umgesetzt werden?

Nein.
Der Anhang A der ISO 27001 ist normativ, das heißt: Jede darin enthaltene Maßnahme muss bewertet, aber nicht zwingend umgesetzt werden.

Wichtig ist, dass Sie jeden Ausschluss begründet dokumentieren.
Die Begründung zeigt, dass die damit verbundenen Risiken bewusst akzeptiert wurden und die Informationssicherheit insgesamt nicht beeinträchtigt ist.

Gap-Analyse und Risikobewertung als Basis der SoA

Gap-Analyse (Compliance Assessment)

Eine Gap-Analyse vergleicht den aktuellen Sicherheitsstatus Ihres Unternehmens mit den Anforderungen der ISO 27001.
Sie deckt Schwachstellen auf und zeigt, welche Maßnahmen fehlen, um die Norm vollständig zu erfüllen.

Risikobewertung

Die Risikobewertung ermittelt Bedrohungen, Schwachstellen und potenzielle Auswirkungen auf Ihre Informationswerte.
Ziel ist es, Risiken nach den Prinzipien Vertraulichkeit, Integrität und Verfügbarkeit zu bewerten und geeignete Maßnahmen zu definieren.

Für die Umsetzung dienen:

• Anhang A der ISO 27001 – beschreibt die 93 Kontrollen (Maßnahmen),
• ISO 27002 – bietet Best Practices zur Umsetzung dieser Maßnahmen.

Warum ist die SoA so wichtig für die ISO 27001-Zertifizierung?

Die SoA ist Pflichtdokument für jedes ISO 27001-zertifizierte ISMS.
Sie wird im Audit als Erstes geprüft und zeigt:

• welche Sicherheitsmaßnahmen angewendet werden,
• welche ausgeschlossen sind (mit Begründung),
• und in welchem Umsetzungsstatus sie sich befinden.

Damit liefert die SoA Transparenz über Ihr gesamtes Sicherheitsniveau – sowohl für Auditoren als auch für Kunden und Geschäftspartner.
Eine gut gepflegte SoA stärkt das Vertrauen und ist ein zentraler Bestandteil der Zertifizierungsfähigkeit Ihres ISMS.

Was gehört in eine SoA?

Eine vollständige SoA umfasst:

1. Eine Liste aller Maßnahmen aus Anhang A
2. Den Status der jeweiligen Maßnahme (umgesetzt, in Planung, ausgeschlossen)
3. Eine Begründung für Einschluss oder Ausschluss
4. Optional: Referenzen zu Richtlinien, Nachweisen und Verantwortlichen

Fehlt diese Übersicht, kann ein Auditor den Nachweis der ISO 27001-Konformität nicht erbringen – und das Audit fällt negativ aus.

Die 4 wichtigsten Vorteile der SoA

1. Klare Übersicht

Sie zeigt auf einen Blick, welche Sicherheitsmaßnahmen existieren, wie sie umgesetzt werden und wo Lücken bestehen.

2. Begründete Ausschlüsse

Sie dokumentiert, welche Kontrollen ausgeschlossen wurden – inklusive Begründung und Risikobewertung.

3. Audit-Grundlage

Auditoren verwenden die SoA als Ausgangspunkt, um die Wirksamkeit Ihres ISMS zu beurteilen.

4. Regulatorischer Nachweis

Bei Datenschutzvorfällen kann die SoA als Nachweis dienen, dass Ihre Maßnahmen auf einer ISO 27001-konformen Risikobewertung basieren.

Wie erstellen Sie eine SoA? – In 6 Schritten

1. Auswahl der relevanten Maßnahmen

Ermitteln Sie, welche Kontrollen aus Anhang A für Ihr Unternehmen relevant sind.
Notieren Sie Referenzen zu Richtlinien, Verfahren und Dokumenten, die die Umsetzung belegen.

2. Risikoanalyse

Identifizieren und bewerten Sie Risiken, die Vertraulichkeit, Integrität oder Verfügbarkeit gefährden.
Ziehen Sie Schwachstellen, Bedrohungen und potenzielle Auswirkungen in Betracht.

3. Umsetzung von Maßnahmen

Minimieren Sie Risiken durch geeignete Maßnahmen. ISO 27001 unterscheidet vier Strategien:

• Risiko beibehalten,
• vermeiden,
• übertragen (z. B. Versicherung),
• oder behandeln (durch Sicherheitskontrollen).

4. Entwicklung des Risikobehandlungsplans (RTP)

Erstellen Sie einen Risk Treatment Plan, der Risiken, geplante Maßnahmen, Verantwortliche und Umsetzungsfristen dokumentiert.

5. Erstellung der SoA

Listen Sie alle Maßnahmen auf, geben Sie Umsetzungsstatus und Begründungen an.
Diese Übersicht bildet den Kern Ihrer Dokumentation.

6. Pflege und Aktualisierung

Die SoA ist ein lebendes Dokument.
Aktualisieren Sie sie regelmäßig – insbesondere nach:

• Änderungen im ISMS oder Geltungsbereich,
• neuen gesetzlichen Vorgaben,
• oder sicherheitsrelevanten Vorfällen.

Ein digitales ISMS-Tool unterstützt Sie dabei, Anpassungen zentral und revisionssicher zu verwalten.

Fazit

Die Statement of Applicability (SoA) ist weit mehr als ein Audit-Dokument – sie ist das Herzstück Ihres Informationssicherheitsmanagements.
Sie zeigt, wie Ihr Unternehmen Informationssicherheitsrisiken steuert, dokumentiert getroffene Entscheidungen und stärkt das Vertrauen von Auditoren, Kunden und Partnern.

Mit einem modernen, digitalen ISMS erstellen und pflegen Sie Ihre SoA effizient, transparent und revisionssicher – die ideale Basis für eine erfolgreiche ISO 27001-Zertifizierung.

Häufig gestellte Fragen (FAQ)

Was ist die SoA und warum ist sie wichtig?
Die SoA dokumentiert alle Sicherheitsmaßnahmen Ihres Unternehmens, deren Umsetzungsstatus und Begründung. Sie ist Pflicht für die ISO 27001-Zertifizierung und Nachweis Ihrer Risikosteuerung.

Welche Informationen sollte eine SoA enthalten?
Eine SoA listet alle relevanten Controls auf, beschreibt deren Implementierungsstatus und die Begründung für deren Auswahl oder Ausschluss – inklusive Zuordnung zu Risiken und rechtlichen Anforderungen.

Wie wird die SoA im Audit verwendet?
Auditoren nutzen die SoA als Leitfaden, um zu prüfen, ob Sicherheitsmaßnahmen korrekt umgesetzt und wirksam sind.

Wie oft sollte die SoA aktualisiert werden?
Mindestens einmal jährlich oder bei wesentlichen Änderungen in Prozessen, IT-Systemen oder gesetzlichen Rahmenbedingungen.