Für die ISO 27001-Zertifizierung ist viel Dokumentation erforderlich. Eine Informationssicherheitspolitik, eine Risikoanalyse und ein Risikobehandlungsplan, ein formeller interner Auditprozess, Anhang A-Dokumente und die Anwendbarkeitserklärung sind nur einige Beispiele.

Aufgrund der umfangreichen Anforderungen kann das Erstellen all dieser Dokumente eine Herausforderung darstellen und zeitaufwendig sein. Der Zugang zu einer einfachen Erklärung dessen, was benötigt wird, zusammen mit echten Beispielen und Vorlagen kann den Prozess erheblich beschleunigen und Ihnen Sicherheit bei Ihrem Audit bieten.

Im Folgenden erhalten Sie klare Antworten darauf, was die ISO/IEC 27001-Anwendbarkeitserklärung ist, warum sie wichtig ist und wie man eine schreibt. Sie finden auch eine Vorlage für die ISO 27001-Anwendbarkeitserklärung und ein Beispiel für die ISO 27001-Anwendbarkeitserklärung, um den Prozess zu vereinfachen.

Was ist eine ISO 27001-Anwendbarkeitserklärung?

Eine Anwendbarkeitserklärung ist für die ISO 27001-Zertifizierung erforderlich. Es ist eine Erklärung, die erklärt, welche ISO 27001 Anhang A-Sicherheitskontrollen für das Informationssicherheitsmanagementsystem (ISMS) Ihrer Organisation zutreffen oder nicht zutreffen.

Gemäß Klausel 6.1.3 sollte eine Anwendbarkeitserklärung:

• Die Informationssicherheitskontrollen auflisten, die eine Organisation ausgewählt hat, um Risiken zu mindern.
• Erklären, warum diese Kontrollen für Ihr ISMS ausgewählt wurden.
• Angeben, ob die zutreffenden Kontrollen vollständig implementiert wurden.
• Erklären, warum Kontrollen ausgeschlossen wurden.

Eine häufige Frage: Angesichts des enthaltenen Informationsgehalts, ist eine Anwendbarkeitserklärung vertraulich? Ja. Diese Erklärungen sind als vertrauliche interne Dokumente konzipiert, die nur mit Ihrem Auditor geteilt werden sollten.

Warum die ISO 27001-Anwendbarkeitserklärung wichtig ist

Die Anwendbarkeitserklärung ist das grundlegende Dokument für ISO 27001. Es definiert, welche der vorgeschlagenen 114 Kontrollen aus Anhang A Sie implementieren und wie — und die Gründe, warum Sie bestimmte ISO 27001-Kontrollen nicht implementiert haben. Es erklärt auch, warum jede Kontrolle notwendig ist und ob sie vollständig implementiert wurde.

Selbst wenn man die Anforderungen an die ISO 27001-Zertifizierung außer Acht lässt, ist die Erklärung zur Anwendbarkeit ein unglaublich nützliches Dokument. Hier sind einige andere Gründe, warum Ihre Erklärung zur Anwendbarkeit so wichtig ist:

Es hilft, Ihre Datensicherheitsstrategie in die Praxis umzusetzen.

ISO 27001 verlangt, dass jedes ISMS die rechtlichen, regulatorischen und vertraglichen Verpflichtungen der Organisation in Bezug auf Informationssicherheit berücksichtigt und dokumentiert. Es erfordert auch eine detaillierte Beschreibung, wie Sie diese Anforderungen erfüllen.

Ihre Erklärung zur Anwendbarkeit hilft Ihnen, genau zu definieren, welche Kontrollen Sie einsetzen, um diese geschäftskritischen Verpflichtungen einzuhalten.

Es kann auch dazu beitragen, Ihre Bemühungen auf das Erreichen eines konformen ISMS zu konzentrieren, indem es als Bindeglied zwischen Ihrer Risikoanalyse und Ihrem Risikobehandlungsplan fungiert. Welche Bedrohungen hat Ihr Unternehmen (Risikoanalyse), wie planen Sie diese zu priorisieren und zu mindern (Risikobehandlungsplan) und wie sieht das in der Praxis aus (Erklärung zur Anwendbarkeit)?

Es leitet Ihre internen und Zertifizierungsaudits.

Während Ihres ISO 27001-Zertifizierungsaudits dient die Erklärung zur Anwendbarkeit als zentrales Dokument, damit Ihr Auditor überprüfen kann, ob Ihre Kontrollen tatsächlich so funktionieren, wie Sie es sagen. Es wird auch ein Schwerpunkt für Ihre periodischen internen Sicherheitsaudits sein und Ihnen helfen, Ihre Anforderungen zu erfüllen, Ihr ISMS kontinuierlich zu überprüfen und zu verbessern.

Indem Sie jede implementierte Kontrolle auflisten, erhalten Sie eine Momentaufnahme, wie effektiv Sie das Risiko managen und ob es möglicherweise einen besseren Ansatz gibt. Und da Sie dieses Dokument mindestens jährlich überprüfen müssen, hilft es Ihnen, sich über etwaige Änderungen in der Bedrohungslandschaft bewusst zu bleiben, die eine Änderung Ihrer Strategie signalisieren könnten. Vielleicht hat ein zuvor akzeptiertes Risiko an Wahrscheinlichkeit zugenommen und Sie entscheiden sich, eine neue Kontrolle zu implementieren.

Beachten Sie, dass die Versionsnummer und das Datum auf dem SOA-Dokument mit dem auf Ihrem ISO 27001-Zertifikat angegebenen übereinstimmen müssen, damit ein Kunde bei Nachfrage weiß, dass er die richtige Referenz sieht.

Es bietet ein Arbeitsdokument zur Überwachung und Verbesserung Ihres ISMS.

Während die Erklärung zur Anwendbarkeit ein wichtiges Werkzeug für Ihr Zertifizierungsaudit ist, dient es nicht nur dem Nutzen Ihres Auditors. Sein zentraler Wert liegt darin, ein Werkzeug für Ihre Organisation zu sein, um Ihr ISMS zu überwachen und zu verbessern.

Betrachten Sie es als eine Momentaufnahme, wie Ihre Organisation Informationssicherheit praktiziert – eine Arbeitsliste aller Kontrollen, warum sie benötigt werden, und eine Beschreibung, wie sie tatsächlich funktioniert. Es kann Ihnen und anderen in Ihrer Organisation (wie Vorstandsmitgliedern und Investoren) helfen zu verstehen, wie und warum Sie bestimmte Informationssicherheitsrisiken managen und andere akzeptieren.

Wie man eine ISO 27001 Erklärung zur Anwendbarkeit schreibt

Nun ist es an der Zeit, den Stift aufs Papier (oder die Finger auf die Tastatur) zu setzen und Ihr Dokument zur Erklärung zur Anwendbarkeit zu erstellen. Wir haben den Prozess in sechs Schritte unterteilt, um Sie dabei zu unterstützen.

1. Risiken für Ihr ISMS identifizieren und analysieren.

Führen Sie eine ISO 27001-Risikoanalyse durch, indem Sie alle Ihre Informationswerte auflisten und Daten- und Cybersicherheitsbedrohungen für jeden einzelnen identifizieren.

Mit Ihrem Risikoanalysebericht in der Hand können Sie dann Risiken nach Wahrscheinlichkeit und Auswirkung einstufen und priorisieren, einen Risikoverantwortlichen bestimmen und einen Plan zur Behebung von Schwachstellen erstellen. Eine ISO 27001-Risikoanalysetemplate finden Sie hier.

2. Definieren Sie Ihren Risikobehandlungsplan.

Jetzt, da Sie eine Liste der identifizierten Risiken haben, müssen Sie entscheiden, welche Sicherheitsmaßnahmen Sie für jedes dieser Risiken ergreifen wollen. Ein Risikobehandlungsplan ist ein Dokument, das jedes Risiko zusammenfasst, jedem Risiko einen Eigentümer zuweist, darlegt, wie Sie jedes Risiko mindern oder akzeptieren wollen, und den erwarteten Zeitplan für die Behebung von Nichtkonformitäten enthält.

Der ISO 27001-Standard definiert vier Risikobehandlungsoptionen: 

• Behandeln Sie das Risiko mit Sicherheitskontrollen, die die Wahrscheinlichkeit seines Auftretens verringern 
• Vermeiden Sie das Risiko, indem Sie die Umstände verhindern, unter denen es auftreten könnte 
• Übertragen Sie das Risiko an Dritte (d. h. outsourcen Sie Sicherheitsmaßnahmen an ein anderes Unternehmen, schließen Sie eine Versicherung ab usw.) 
• Akzeptieren Sie das Risiko, wenn die Kosten für seine Beseitigung höher sind als der potenzielle Schaden 

3. Wählen Sie die Sicherheitskontrollen, die Sie zur Risikominderung einsetzen werden

Sobald Sie die Risiken identifiziert haben, die Sie angehen wollen, können Sie die notwendigen Kontrollen auswählen, um deren Wahrscheinlichkeit oder Auswirkungen zu verringern. Verwenden Sie Anhang A und ISO 27002 als Leitfaden, um empfohlene Kontrollen zu überprüfen und die für Ihre Organisation am besten geeigneten auszuwählen. 

Ein Beispiel für ein Sicherheitsrisiko ist die Verwendung schwacher oder gemeinsam genutzter Passwörter durch Mitarbeiter. Eine mögliche Kontrolle wäre die Einführung einer starken Kennwortrichtlinie oder die Implementierung eines Tools wie 1Password für das gesamte Unternehmen. 

4. Erstellen Sie eine Liste der Kontrollen, die Sie nicht verwenden werden, und begründen Sie warum 

Manchmal ist es sinnvoller für Ihr Unternehmen, ein Risiko zu akzeptieren, als es zu behandeln. Beispielsweise würden Sie nicht 10.000 € ausgeben wollen, um ein Risiko von 1.000 € zu vermeiden. 

Oder vielleicht sind die Wahrscheinlichkeit und/oder die Auswirkungen der Bedrohung so unbedeutend, dass das Risiko bereits auf einem akzeptablen Niveau liegt. Ein in Cleveland ansässiges Unternehmen benötigt wahrscheinlich keinen teuren Erdbebenschutz wie seismische Server-Racks. 

Dokumentieren Sie Ihre Entscheidung, bestimmte Risiken nicht zu behandeln, in Ihrem ISO 27001-Risikobehandlungsplan. Sie benötigen diese Liste, wenn Sie Ihre Erklärung zur Anwendbarkeit erstellen, und Ihr Prüfer wird sehen wollen, dass Sie sich der Risiken zumindest bewusst sind und eine fundierte Entscheidung getroffen haben, diese zu akzeptieren.  

5. Vervollständigen Sie Ihre Erklärung zur Anwendbarkeit

Listen Sie die von Anhang A empfohlenen Kontrollen auf, zusammen mit einer Erklärung, ob Sie jede einzelne angewendet haben und die Gründe für Ihre Entscheidung. Sie werden auch auflisten, ob die Kontrolle eine gesetzliche, vertragliche, geschäftliche oder Compliance-Anforderung erfüllt, zusammen mit dem Datum, an dem sie implementiert wurde. 

Da die Erklärung zur Anwendbarkeit jede Kontrolle aus Anhang A und die entsprechenden Details auflistet, wird sie meist als Tabellenkalkulation organisiert. Es reicht jedoch jedes Dokument aus, das in Abschnitte unterteilt werden kann. 

6. Halten Sie Ihre Erklärung zur Anwendbarkeit auf dem neuesten Stand

Ihre Erklärung zur Anwendbarkeit ist ein lebendes Dokument. Da die kontinuierliche Verbesserung ein wesentlicher Aspekt der ISO 27001-Standards ist, müssen Sie Ihre Sicherheitskontrollen im Laufe der Zeit ständig evaluieren, ergänzen und anpassen. 

Ihre SoA sollte regelmäßig aktualisiert werden, um die von Ihnen verwendeten Kontrollen und deren Änderungen zur Stärkung Ihres ISMS widerzuspiegeln.

Laden Sie die ISO 27001 Erklärung zur Anwendbarkeit Vorlage herunter

Verwenden Sie unsere ISO 27001 Erklärung zur Anwendbarkeit Vorlage, um den Prozess der Erstellung Ihrer eigenen SoA zu vereinfachen.

ISO 27001 Erklärung zur Anwendbarkeit FAQs

Was ist eine ISO 27001 Erklärung zur Anwendbarkeit?

Eine ISO 27001 Erklärung zur Anwendbarkeit erklärt, welche Sicherheitskontrollen von Anhang A für das ISMS (Information Security Management System) Ihrer Organisation zutreffen oder nicht zutreffen. Wenn eine Kontrolle nicht zutrifft, ist eine Erklärung notwendig.

Ist eine Erklärung zur Anwendbarkeit eine ISO 27001 Anforderung?

Ja, eine Erklärung zur Anwendbarkeit ist für die ISO 27001 Zertifizierung erforderlich.

Wie schreibt man eine ISO 27001 Erklärung zur Anwendbarkeit?

Da sie eine Liste der Anhang A Kontrollen und deren Implementierung in Ihrer Organisation enthalten, sind die meisten Erklärungen zur Anwendbarkeit als Tabelle formatiert. Listen Sie jede Kontrolle von Anhang A auf, geben Sie an, ob sie angewendet wurde und eine Begründung, benennen Sie einen Verantwortlichen und fügen Sie das Datum der Implementierung und der letzten Bewertung hinzu.

Erklärungen zur Anwendbarkeit sind lebende Dokumente, die sich ändern, wenn Sie Ihr ISMS kontinuierlich verbessern. Daher werden Sie wahrscheinlich auch eine Art Versionverlauf einfügen wollen.

Was ist ein SoA-Dokument?

SoA ist die Abkürzung für Erklärung zur Anwendbarkeit. Es ist dasselbe Dokument.

Wo finde ich eine Vorlage für eine ISO 27001 Erklärung zur Anwendbarkeit zum Download?

Eine kostenlose Vorlage für eine ISO 27001 Erklärung zur Anwendbarkeit im Excel-Format finden Sie hier.

Was ist eine Begründung zur Anwendbarkeit einer ISO 27001 Erklärung?

Wenn Sie sich entscheiden, eine Kontrolle aus Anhang A nicht zu implementieren, müssen Sie die Gründe darlegen (oder begründen), warum diese nicht auf Ihr ISMS zutrifft.

Was ist ISO 27001:2022?

ISO 27001:2022 ist die neueste Ausgabe des ISO-Standards, veröffentlicht im Oktober 2022. Insgesamt umfassen die Aktualisierungen in den ISMS-Klauseln 4-10 geringfügige Wort- und Strukturänderungen zur Klarstellung der Kontrollziele und beeinträchtigen nicht die Anforderung zur Erklärung der Anwendbarkeit.

ISO 27001 Zertifizierung mit Secureframe vereinfachen

Herzlichen Glückwunsch! Sie haben Ihre ISO 27001 Erklärung zur Anwendbarkeit abgeschlossen. Während Sie sich auf Ihr Zertifizierungsaudit vorbereiten, werden Sie wahrscheinlich hunderte andere Dokumente sammeln, organisieren und mit den richtigen Kontrollen auf dem neuesten Stand halten müssen.

Die Compliance-Automatisierungsplattform von Secureframe kann den gesamten Prozess der Vorbereitung und Aufrechterhaltung Ihrer ISO 27001 Zertifizierung vereinfachen und straffen. Wir helfen Ihnen, ein konformes ISMS aufzubauen, überwachen Ihren Tech-Stack auf Schwachstellen und unterstützen Sie beim Risikomanagement. Außerdem helfen wir Ihnen, Ihre ISO 27001 Kontrollen zuzuordnen, um die Einhaltung anderer Rahmenwerke wie SOC 2, PCI DSS, NIST, GDPR und mehr nachzuweisen. Vereinbaren Sie noch heute eine Demo, um mehr zu erfahren.