Was ist eine Erklärung zur Anwendbarkeit bei der ISO 27001-Zertifizierung?

27.01.2023

Eine Anwendbarkeitserklärung (Statement of Applicability), auch bekannt als SoA, ist ein Dokument, das die Sicherheitsrisiken einer Organisation bewertet und die spezifischen Kontrollen aufzeigt, die zur Minderung dieser Risiken eingerichtet wurden. Ein SoA wird in der Regel im Rahmen eines Compliance-Audits verlangt, z. B. nach ISO 27001 oder SOC 2.
Ein SoA ist in drei Abschnitte unterteilt:
 

1. Der erste Abschnitt listet alle Sicherheitsrisiken auf, die für die betreffende Organisation ermittelt wurden.
2. Der zweite Abschnitt beschreibt die spezifischen Kontrollen, die zur Abschwächung dieser Risiken eingeführt wurden.
3. Der dritte Abschnitt umreißt die geplanten künftigen Maßnahmen, die die Organisation ergreifen wird, um ihr Risikoprofil weiter zu verringern.

Der Inhalt einer Anwendbarkeitserklärung hängt von den spezifischen Compliance-Anforderungen ab, die eine Organisation zu erfüllen versucht. Alle Statements of Applicability sollten jedoch klar, prägnant und leicht verständlich sein.

Warum sind Anwendbarkeitserklärungen wichtig?

Organisationen verwenden Anwendbarkeitserklärungen, um ihr Engagement für die Sicherheit zu demonstrieren und um zu zeigen, dass sie Schritte unternommen haben, um ihre spezifischen Sicherheitsrisiken anzugehen. Eine Anwendbarkeitserklärung kann zum Beispiel von einem oder einer potenziellen Kund:in oder Geschäftspartner:in im Rahmen der Due Diligence angefordert werden. In jedem Fall ist ein SoA ein wichtiges Dokument, das dazu beitragen kann, Vertrauen in die Sicherheitslage eines Unternehmens zu schaffen.

Wie erstelle ich eine Anwendbarkeitserklärung?

Der Prozess zur Erstellung einer Anwendbarkeitserklärung hängt von den spezifischen Compliance-Anforderungen ab, die ihr zu erfüllen versucht. Es gibt jedoch einige allgemeine Best Practices, die ihr bei der Erstellung eines SoA befolgen solltet:
 

1. Achtet darauf, dass eure Anwendbarkeitserklärung klar, prägnant und leicht zu verstehen ist. Denkt daran, dass euer Publikum möglicherweise nicht mit Fachjargon oder branchenspezifischer Terminologie vertraut ist.
2. Verwendet eine einfache Sprache und vermeidet nach Möglichkeit Abkürzungen oder Akronyme.
3. Seid bei eurer Risikobewertung ehrlich und transparent und versucht nicht, die Bedeutung einer bestimmten Kontrollmaßnahme herunterzuspielen.
4. Gebt einen Kontaktnamen und eine E-Mail-Adresse an, damit die Leser:innen bei Bedarf weitere Informationen erhalten können.
5. Überprüft euer SoA regelmäßig und aktualisiert es immer dann, wenn sich eure Sicherheitslage ändert (z. B. nach der Implementierung neuer Kontrollen oder wenn ein Zwischenfall eintritt).

Schlussfolgerung

Unternehmen verwenden Anwendbarkeitserklärungen, um ihr Engagement für Sicherheit zu zeigen und die Schritte zu umreißen, die sie unternommen haben, um ihre spezifischen Sicherheitsrisiken zu bewältigen. Für die Erstellung einer gut ausgearbeiteten Anwendbarkeitserklärung müsst ihr euch im Vorfeld etwas Zeit nehmen, um die Risiken eures Unternehmens zu bewerten und zu bestimmen, welche Kontrollen geeignet sind, diese Risiken zu mindern.


Über den Autor

Weitere Artikel

Datenschutz und die Nutzung von US tools

Datenschutz und US Tools

Wenn in Deutschland, ja, der gesamten EU, von Datenschutz gesprochen wird, so ist dieses Thema stets mit den USA verbunden. Manchmal stehen die fragwürdigen Praxen der amerikanischen Geheimdienste im Vordergrund, manchmal wie Technologiefirmen wie Google, Amazon oder Microsoft nach Daten gieren. Letzteres zumindest schien durch das Safe Harbour Abkommen und später durch das Privacy Shield Abkommen auf akzeptable Maße eingeschränkt zu sein.

Mehr erfahren
Art. 15 DSGVOAuskunftsrecht der betroffenen Person

How to: Das Recht auf Auskunft nach DSGVO einhalten

Unternehmen, Behörden, Institutionen und Betroffene müssen wissen, dass innerhalb der DSGVO verschiedene Betroffenheitsrechte behandelt werden und diese seit dem 25. Mai 2018 Gültigkeit besitzen. Betrachtet man diese Betroffenheitsrechte, so wird behandelt, in welcher Form private Daten gespeichert und genutzt werden dürfen. Ein wichtiger Teil dieser Rechte wird im Artikel 15 DSGVO geregelt – dieser Artikel definiert das Auskunftsrecht aller betroffenen Personen in Bezug auf die vorhandenen personenbezogenen Daten. Für Unternehmen ergibt sich die Fragestellung, ob eine Auskunftspflicht besteht und wann eine betroffene Person das Recht erhält, eine Auskunft einzufordern. Gleichzeitig ist zu klären, wie eine Auskunftsanfrage zu stellen ist und welche Kosten entstehen können.

Mehr erfahren
Verschwiegenheitserklärung

Die Verschwiegenheitserklärung und DSGVO

Was ist eine Verschwiegenheitserklärung nach DSGVO und worauf muss ich hierbei achten? Mehr dazu im Artikel

Mehr erfahren

Lerne jetzt unverbindlich unser Team kennen!

Kontakt aufnehmen