ISO 27001 Statement of Applicability (SoA) / Erklärung zur Anwendbarkeit
Checkliste für ISO 27001 Statement of Applicability
Von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH
Die Erklärung zur Anwendbarkeit (Englisch: Statement of Applicability) ist ein Schlüsseldokument, welches im Rahmen des Aufbaus und der ständigen Weiterentwicklung Ihres Informationssicherheitsmanagementsystems (ISMS) erstellt und gepflegt wird. Nachdem ich mich in meinen letzten Blog-Beiträgen mit dem IT-Grundschutz beschäftigt habe (BSI IT-Grundschutz: In 4 Schritten zur Basis-Absicherung und BSI IT-Grundschutz: Kern- und Standard-Absicherung), kehren wir diesmal zurück in die Welt der ISO27001. Diese Norm enthält den Anhang A mit insgesamt 114 Sicherheitsanforderungen (Controls), welche allesamt zu bearbeiten sind. Die Dokumentation als Nachweis der Bearbeitung dieser Anforderungen wird „Statement of Applicability“ (SoA) genannt und ist ein zentraler Bestandteil Ihres ISMS, sowie eine der wichtigsten Voraussetzungen für eine erfolgreiche Zertifizierung nach ISO27001.
Statement of Applicability (SoA)
Der Anhang A der ISO27001 ist „normativ“. Das heißt, Sie müssen alle darin enthaltenden Anforderungen bearbeiten. Bearbeiten heißt aber nicht gleich umsetzen: Wenn Anforderungen nicht zu Ihrer Organisation passen oder Ihr Geltungsbereich bestimmte Aspekte nicht einschließt, dann müssen Sie diese auch nicht umzusetzen. Stattdessen begründen Sie in diesem Fall, warum eine Anforderung nicht bearbeitet wurde. Für Dritte muss an dieser Stelle transparent werden, wieso Controls aus dem Anhang A nicht angewendet werden. Hierbei ist eine nachvollziehbare Argumentation besonders wichtig. Wenn Sie zum Beispiel anfangs einen kleinen Geltungsbereich wählen, um Ihr ISMS erstmals zu initiieren, ist es gut möglich, dass einige Anforderungen für Sie nicht relevant sind. Bedenken Sie aber, dass sich mit einer wachsenden Organisation, oder einem größer gefassten Geltungsbereich, auch die Anforderungen an Ihr ISMS ändern werden und Sie dann Ihre SoA aktualisieren müssen. Die SoA ist ein Teil Ihres ISMS und, genau wie das ISMS an sich, unterliegt auch die SoA einem Lebenszyklus und muss somit fortlaufend verbessert werden.
Alle Anforderungen, die für Sie relevant sind, werden Sie umsetzen müssen. Das bedeutet Sie werden zu jeder, der für Sie relevanten Anforderungen, Maßnahmen planen und umsetzen, um diesen Anforderungen zu genügen und das Sicherheitsniveau Ihrer Organisation zu steigern. Für die SoA ist der Umsetzungsgrad dieser Maßnahmen nur bedingt relevant, gerade am Anfang können Sie auch geplante oder noch in der Umsetzung befindliche Maßnahmen in Ihre SoA eintragen.
Bearbeitung Statement of Applicability
Die schiere Menge der Anforderungen mag auf den ersten Blick überwältigend wirken und es ist tatsächlich eine Menge Arbeit. Aber lassen Sie sich nicht entmutigen, trotz des hohen Arbeitsaufwands ist die SoA meiner Meinung nach ein guter Einstieg, bei der Umsetzung Ihres ISMS. Einige Anforderungen werden Sie vielleicht sogar „nebenbei“ abhaken können, zum Beispiel die Herausgabe der IS-Leitlinie. Auch die Rollenverteilung ist eine Anforderung im Anhang A. Schauen Sie auch, ob es in Ihrer Organisation schon Material gibt, welches Sie für Ihr ISMS nutzen können. Vielleicht wurde schonmal eine Asset-Inventur gemacht, damit hätten Sie ein weiteres Control bearbeitet.
Viele Maßnahmen werden zudem aus Ihrer Risikobetrachtung kommen. Auch hier wurde möglicherweise schon Vorarbeit geleistet, wenn Ihre IT-Abteilung beispielsweise schon Maßnahmen und Arbeitsanweisungen zu kryptographischen Verfahren oder Verschlüsselungen erstellt hat.
Weitere Hilfestellung gibt die ISO27002 „Leitfaden für Informationssicherheitsmaßnahmen“. Hier erhalten Sie Anleitungen und Vorschläge zur Umsetzung für jedes einzelne Control. Die Anschaffung dieser Norm sollten Sie dringend in Betrachtung ziehen, wenn Sie allein nicht weiterkommen. Bedenken Sie aber, dass Sie diesen Leitfaden auf Ihre Organisation und Ihr ISMS anpassen müssen.
Dokumentation der Statement of Applicability
Die SoA muss als Dokument vorliegen. Darin müssen sämtliche Anforderungen aufgelistet werden und zu jeder Anforderung entweder alle getroffenen Maßnahmen oder eine stichhaltige Begründung warum diese Anforderung als nicht relevant betrachtet wird. Es steht Ihnen zudem frei die SoA um Anforderungen und Maßnahmen zu ergänzen, sofern dies sich zum Beispiel aus Ihrer Risikobetrachtung ergibt.
Außerdem müssen Sie die Controls eigentlich für jedes Asset bearbeiten. Dies ist in der Praxis jedoch meist nicht notwendig. Hier können Sie mit Prozessen arbeiten, in denen mehrere Assets enthalten sind. Ebenso können Sie Assets gruppieren und die Anforderungen des Anhang A für jedes Gruppierungselement abarbeiten. In einem solchen Fall müssen Sie dann auf die weiterführende Dokumentation in Ihrer SoA verweisen.
Software erleichtert SoA
Eine Excelliste für die Anforderungen aus dem BSI IT-Grundschutz, eine Excelliste für die Anforderungen aus der ISO27001, eine Liste für die SoA – da kann man schonmal den Überblick verlieren. Deshalb ist es ratsam, das ISMS mit einer Software von beginn an digital aufzusetzen. So haben Sie alle Anforderungen an einem Ort und können auf einen Blick sehen, welche noch nicht erfüllt sind. Wenn Sie Maßnahmen ergreifen, können Sie diese in der Software mit allen passenden Anforderungen verknüpfen und sparen Zeit. Auch das Gruppieren von Assets ist in einer Software schnell und übersichtlich umgesetzt. Wir nutzen dazu intern unsere Software, das SAVISCON GRC-COCKPIT (siehe Screenshots). Durch den Tag „SoA“ ist es möglich alle verknüpften Maßnahmen zu filtern und per Knopfdruck einen Bericht zu erstellen.
Fazit
Dieser Blog-Beitrag soll Ihnen den Einstieg in die Umsetzung Ihres Statements of Applicability erleichtern. Wenn Sie Detailfragen haben, dann können Sie mich auch gerne persönlich kontaktieren: daniel.strassberger@saviscon.de. Wie bereits erwähnt: Die SoA ist ein guter Einstieg in die ISO27001, nachdem Sie ihr ISMS initiiert haben.
Ein Tipp zum Schluss: Falls Sie mal nicht weiterkommen und das Gefühl haben festzustecken, werfen Sie einen Blick in den Anhang A und suchen Sie sich eine Anforderung aus, die Sie noch nicht bearbeitet haben. Ein Fortschritt in der SoA ist ein guter Motivationsschub und die Erkenntnisse bei der Umsetzung eines neuen Controls hilft Ihnen vielleicht an anderer Stelle weiterzumachen.
Checkliste Statement of Applicability
Für meine Arbeit als Informationssicherheitsbeauftragter bei der SAVISCON GmbH habe ich mir eine Checkliste angelegt, um meinen Fortschritt beim Bearbeiten der SoA zu dokumentieren. Die Checkliste können Sie sich als Excel-Arbeitshilfe hier herunterladen:
Über den Autor
Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des ISMS der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit: