Was ist eine Erklärung zur Anwendbarkeit bei der ISO 27001-Zertifizierung?
Eine Anwendbarkeitserklärung (Statement of Applicability), auch bekannt als SoA, ist ein Dokument, das die Sicherheitsrisiken einer Organisation bewertet und die spezifischen Kontrollen aufzeigt, die zur Minderung dieser Risiken eingerichtet wurden. Ein SoA wird in der Regel im Rahmen eines Compliance-Audits verlangt, z. B. nach ISO 27001 oder SOC 2.
Ein SoA ist in drei Abschnitte unterteilt:
1. Der erste Abschnitt listet alle Sicherheitsrisiken auf, die für die betreffende Organisation ermittelt wurden.
2. Der zweite Abschnitt beschreibt die spezifischen Kontrollen, die zur Abschwächung dieser Risiken eingeführt wurden.
3. Der dritte Abschnitt umreißt die geplanten künftigen Maßnahmen, die die Organisation ergreifen wird, um ihr Risikoprofil weiter zu verringern.
Der Inhalt einer Anwendbarkeitserklärung hängt von den spezifischen Compliance-Anforderungen ab, die eine Organisation zu erfüllen versucht. Alle Statements of Applicability sollten jedoch klar, prägnant und leicht verständlich sein.
Warum sind Anwendbarkeitserklärungen wichtig?
Organisationen verwenden Anwendbarkeitserklärungen, um ihr Engagement für die Sicherheit zu demonstrieren und um zu zeigen, dass sie Schritte unternommen haben, um ihre spezifischen Sicherheitsrisiken anzugehen. Eine Anwendbarkeitserklärung kann zum Beispiel von einem oder einer potenziellen Kund:in oder Geschäftspartner:in im Rahmen der Due Diligence angefordert werden. In jedem Fall ist ein SoA ein wichtiges Dokument, das dazu beitragen kann, Vertrauen in die Sicherheitslage eines Unternehmens zu schaffen.
Wie erstelle ich eine Anwendbarkeitserklärung?
Der Prozess zur Erstellung einer Anwendbarkeitserklärung hängt von den spezifischen Compliance-Anforderungen ab, die ihr zu erfüllen versucht. Es gibt jedoch einige allgemeine Best Practices, die ihr bei der Erstellung eines SoA befolgen solltet:
1. Achtet darauf, dass eure Anwendbarkeitserklärung klar, prägnant und leicht zu verstehen ist. Denkt daran, dass euer Publikum möglicherweise nicht mit Fachjargon oder branchenspezifischer Terminologie vertraut ist.
2. Verwendet eine einfache Sprache und vermeidet nach Möglichkeit Abkürzungen oder Akronyme.
3. Seid bei eurer Risikobewertung ehrlich und transparent und versucht nicht, die Bedeutung einer bestimmten Kontrollmaßnahme herunterzuspielen.
4. Gebt einen Kontaktnamen und eine E-Mail-Adresse an, damit die Leser:innen bei Bedarf weitere Informationen erhalten können.
5. Überprüft euer SoA regelmäßig und aktualisiert es immer dann, wenn sich eure Sicherheitslage ändert (z. B. nach der Implementierung neuer Kontrollen oder wenn ein Zwischenfall eintritt).
Schlussfolgerung
Unternehmen verwenden Anwendbarkeitserklärungen, um ihr Engagement für Sicherheit zu zeigen und die Schritte zu umreißen, die sie unternommen haben, um ihre spezifischen Sicherheitsrisiken zu bewältigen. Für die Erstellung einer gut ausgearbeiteten Anwendbarkeitserklärung müsst ihr euch im Vorfeld etwas Zeit nehmen, um die Risiken eures Unternehmens zu bewerten und zu bestimmen, welche Kontrollen geeignet sind, diese Risiken zu mindern.
