Vereinfache die ISO 27001- Umsetzung
Statement of Applicability (SoA) in der ISO 27001-Zertifizierung
'%3e%3cpath%20d='M26.6667%2020.022L30%2023.3553V26.6886H21.6667V36.6886L20%2038.3553L18.3333%2036.6886V26.6886H10V23.3553L13.3333%2020.022V8.35531H11.6667V5.02197H28.3333V8.35531H26.6667V20.022Z'%20fill='%230AA971'/%3e%3c/g%3e%3c/svg%3e)
Das wichtigste auf einen Blick
- Das Statement of Applicability (SoA) ist das Herzstück der ISO 27001:2022-Zertifizierung.
- Es zeigt, welche der 93 Sicherheitsmaßnahmen (Controls) umgesetzt wurden – und warum.
- Das SoA ist Pflichtdokument und Nachweis gegenüber Auditor:innen.
- Ein gut gepflegtes SoA erleichtert Audits und minimiert Risiken.
- Tools wie heyData automatisieren die Pflege und halten dein SoA immer aktuell.
Einleitung: Warum das SoA das Rückgrat deiner ISO 27001 ist
Bei der ISO 27001-Zertifizierung führt kein Weg am Statement of Applicability (SoA) vorbei. Dieses Dokument zeigt, welche Sicherheitsmaßnahmen du auswählst, um deine Informationswerte zu schützen.
Ein gutes SoA ist wie eine Landkarte für dein Informationssicherheits-Managementsystem (ISMS). Es zeigt Auditor:innen und internen Teams, welche Controls du anwendest, welche nicht – und warum. Ohne SoA keine Zertifizierung.
Inhaltsverzeichnis:
Was ist das Statement of Applicability (SoA)?
Das Statement of Applicability (SoA) nach ISO 27001:2022 dokumentiert alle relevanten Sicherheitsmaßnahmen (Annex A Controls) und deren Implementierungsstatus.
Es beantwortet drei zentrale Fragen:
- Welche Controls aus Annex A wurden ausgewählt?
- Wie ist der Umsetzungsstatus? (umgesetzt, geplant, ausgeschlossen)
- Warum wurden bestimmte Controls ausgeschlossen?
Offizielle Definition:
Laut ISO/IEC 27001:2022 ist das SoA ein Dokument, das „alle relevanten Sicherheitsmaßnahmen enthält, einschließlich ihres Implementierungsstatus und der Begründungen für ihre Auswahl oder Ausschlüsse“.
Warum das SoA so wichtig ist
Das SoA dient als Nachweis, Steuerungsinstrument und Kommunikationsbasis.
| Funktion | Bedeutung |
| Transparenz | Zeigt klar, welche Maßnahmen relevant sind |
| Nachweis für Audits | Grundlage jeder Audit-Prüfung |
| Risikomanagement | Verknüpft Risiken mit Maßnahmen |
| Verantwortlichkeiten | Ordnet Verantwortliche und Dokumente zu |
| Kontinuierliche Verbesserung | Basis für jährliche ISMS-Reviews |
Tipp: Auditor:innen beginnen ihr Review meist mit dem SoA. Wenn es sauber gepflegt ist, verkürzt das den Auditprozess deutlich.
Der Aufbau eines Statement of Applicability
Das SoA ist in der Regel tabellarisch aufgebaut. Typische Struktur:
| Control | Beschreibung | Implementiert | Begründung | Nachweise |
| A.5.1 | Information Security Policies | ja | Richtlinie erstellt und kommuniziert | Policy-Dokument |
| A.6.2 | Segregation of Duties | nein | Teilweise umgesetzt, noch in Rollendefinition | Berechtigungsmatrix |
| A.7.1 | Physical Security Perimeter | nein | Nicht relevant bei Remote-Work | - |
Vereinfache die ISO 27001- Umsetzung
So erstellst du ein Statement of Applicability Schritt für Schritt
1. Risikoanalyse durchführen
Bewerte Unternehmensrisiken: Welche Bedrohungen bestehen für Vertraulichkeit, Integrität und Verfügbarkeit?
2. Relevante Controls auswählen
Wähle alle Controls aus Annex A (ISO 27001:2022) aus, die deine Risiken adressieren.
3. Implementierungsstatus dokumentieren
Markiere für jedes Control, ob es umgesetzt, geplant oder ausgeschlossen ist.
4. Begründungen und Nachweise hinzufügen
Erkläre kurz, warum du etwas ausschließt oder noch planst. Verknüpfe Nachweise (z. B. Policies, Protokolle).
5. Regelmäßige Updates
Überprüfe dein SoA mindestens einmal jährlich oder nach relevanten Änderungen.
Praxisbeispiel: Atlassian
Das Atlassian Trust Center zeigt exemplarisch, wie Transparenz Vertrauen schafft. Atlassian veröffentlicht offen, welche ISO 27001-Maßnahmen umgesetzt sind – inklusive Dokumentation.
So kannst du dein eigenes SoA als internes Trust-Dokument nutzen, nicht nur für Auditor:innen, sondern auch für Partner und Kund:innen.
Häufige Fehler beim Statement of Applicability
| Fehler | Beschreibung | Lösung |
| Fehlende Begründungen | Controls ausgeschlossen ohne Erklärung | Immer begründen, auch bei „nicht relevant“ |
| Unklare Verantwortlichkeiten | Niemand ist zuständig | Rollen im ISMS festlegen |
| Veraltete Versionen | Änderungen nicht nachgetragen | Jährliches Review einplanen |
| Kopierte Vorlagen | Standard-Templates ohne Bezug | Jedes SoA ist individuell |
Tipp: Führe eine „SoA-Versionierung“ ein, ähnlich wie bei Software, um Änderungen nachvollziehbar zu machen.
Automatisierung & SoA-Umsetzung mit heyData
Bei heyData begleiten wir Unternehmen auf ihrem gesamten Weg zur ISO 27001-Zertifizierung – und das Statement of Applicability (SoA) spielt dabei eine zentrale Rolle. Wir bieten nicht nur ein Tool zur Dokumentation deines SoA, sondern unterstützen dich aktiv dabei, es richtig aufzubauen und kontinuierlich an dein wachsendes ISMS anzupassen.
Unser Ansatz sorgt dafür, dass dein SoA kein statisches Dokument bleibt, sondern ein dynamisches Abbild deiner Sicherheitsstrategie wird.
Mit heyData kannst du:
- Annex-A-Maßnahmen mit deiner Risikoanalyse und deinen Richtlinien verknüpfen.
- Dein SoA generieren, basierend auf deinem Asset- und Risikoregister - mit klarer Nachvollziehbarkeit und Belegen für jede Maßnahme.
- Den Umsetzungsfortschritt verfolgen und Verantwortlichkeiten transparent zuweisen.
- Audit-Bereitschaft sicherstellen, dank Versionierung und Änderungsverfolgung bei jeder SoA-Aktualisierung.
- Kontinuierliche Verbesserungen integrieren, indem Ergebnisse aus Audits und Management-Reviews direkt in dein SoA einfließen.
Kurz gesagt: heyData verwandelt das SoA von einer reinen Compliance-Anforderung in ein lebendiges Management-Werkzeug, das Governance, Risiko und Sicherheit in einem zentralen System vereint.
Fazit: Das SoA als Herzstück deiner ISO 27001
Das Statement of Applicability (SoA) ist kein Formular, das du „ausfüllst“, sondern das strategische Herzstück deines ISMS. Es verbindet Risiken, Maßnahmen und Verantwortlichkeiten.
Mit einem strukturierten, aktuellen und transparenten SoA legst du den Grundstein für eine erfolgreiche ISO 27001-Zertifizierung – und für das Vertrauen deiner Kund:innen.
FAQs zum Statement of Applicability (SoA)
Was ist das Statement of Applicability nach ISO 27001:2022?
Das SoA ist ein Pflichtdokument, das alle 93 Sicherheitsmaßnahmen (Annex A Controls) listet und beschreibt, ob sie umgesetzt, geplant oder ausgeschlossen sind.
Warum ist das SoA so wichtig?
Es ist der zentrale Nachweis für Auditor:innen, dass dein ISMS auf einer bewussten Risikoabwägung basiert.
Wie oft sollte das SoA aktualisiert werden?
Mindestens einmal jährlich oder nach wesentlichen Änderungen im Unternehmen.
Wer erstellt das SoA?
In der Regel das ISMS-Team oder die:der Datenschutz- oder Informationssicherheitsbeauftragte:r.
Wie kann ich das SoA automatisieren?
Mit Tools wie heyData kannst du dein SoA automatisch pflegen, versionieren und auditfertig exportieren.
Wichtiger Hinweis: Der Inhalt dieses Artikels dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Die hier bereitgestellten Informationen können eine individuelle Rechtsberatung durch (je nach Anwendungsfall) einen Datenschutzbeauftragten oder Rechtsanwalt nicht ersetzen. Wir übernehmen keine Gewähr für die Aktualität, Vollständigkeit und Richtigkeit der bereitgestellten Informationen. Jegliche Handlungen, die auf Grundlage der in diesem Artikel enthaltenen Informationen vorgenommen werden, erfolgen auf eigenes Risiko. Wir empfehlen, bei rechtlichen Fragen oder Problemen stets (je nach Anwendungsfall) einen Datenschutzbeauftragten oder Rechtsanwalt zu konsultieren.