SoA - Statement of Applicability
Erklärung zur Anwendbarkeit der Maßnahmen aus ISO 27001 Anhang A
Was bedeutet SoA?
Das Statement of Applicability ist das Dokument, in dem eine Organisation für jeden Kontrollpunkt aus ISO/IEC 27001 Anhang A begründet, ob er angewendet wird oder nicht.
Das Statement of Applicability (SoA), auf Deutsch Erklärung zur Anwendbarkeit, ist neben dem Risikoregister das zweite zwingend vorgeschriebene Dokument eines ISO/IEC-27001-ISMS. ISO/IEC 27001:2022 Kap. 6.1.3 d) verlangt, dass eine Organisation für jeden der 93 Referenz-Controls aus Anhang A festhält: ob er als anwendbar eingestuft wird, eine Begründung für Einschluss oder Ausschluss, und - bei anwendbaren Controls - den aktuellen Umsetzungsstatus. Auditoren arbeiten das SoA bei Zertifizierungsaudits typischerweise Zeile für Zeile durch - es ist faktisch das Inhaltsverzeichnis des gesamten Prüfprozesses.
Aufbau: 93 Controls in vier Themen
Anhang A der ISO/IEC 27001:2022 gliedert sich in vier Themen: A.5 Organisatorische Maßnahmen (37 Controls), A.6 Personelle Maßnahmen (8 Controls), A.7 Physische Maßnahmen (14 Controls) und A.8 Technologische Maßnahmen (34 Controls). Für jeden einzelnen Control verlangt das SoA vier Angaben: Anwendbarkeit (ja/nein), Begründung, Verweis auf die umsetzende Richtlinie oder Maßnahme, und - falls anwendbar - den Umsetzungsstatus (umgesetzt, teilweise, geplant, nicht umgesetzt).
Warum Ausschlüsse begründet werden müssen
Ein Control darf im SoA nur dann als nicht anwendbar markiert werden, wenn dafür eine nachvollziehbare Begründung existiert - typischerweise, weil kein zugehöriges Risiko im Risikoregister vorliegt oder die betroffene Tätigkeit nicht stattfindet. Typische, in der Praxis anerkannte Ausschlüsse im Mittelstand sind etwa A.8.30 (ausgelagerte Entwicklung) bei rein intern entwickelter Software oder Teile von A.7 (physische Maßnahmen) bei vollständig Cloud-basierten Organisationen ohne eigene Serverräume. Ein unbegründeter Ausschluss ist im Audit ein klassischer Findungspunkt.
SoA im Zertifizierungsaudit
Auditoren nutzen das SoA als Leitfaden durch die gesamte Prüfung: Jeder als „anwendbar" markierte Control wird auf tatsächliche Umsetzung geprüft, jeder Ausschluss auf Plausibilität. Das SoA muss deshalb konsistent mit Risikoregister, Richtlinien und Nachweisdokumenten gepflegt werden und bei jeder relevanten Änderung (neues Risiko, neuer Dienstleister, neue Technologie) aktualisiert werden - nicht nur einmalig zur Zertifizierung.
Auch bekannt als
Statement of Applicability · Anwendbarkeitserklärung · Erklärung zur Anwendbarkeit
Teil des Themenbereichs: Compliance & Regulierung
Verwandte Begriffe
Quellen
Zuletzt aktualisiert: 2026-07-02