Erklärung zur Anwendbarkeit (SoA): Der vollständige Leitfaden

Was ist eine Anwendbarkeitserklärung?

Vereinfacht gesagt legt die SoA in ihrem Bestreben, wertvolle Informationsbestände zu schützen und die Informationsverarbeitungsanlagen zu verwalten, fest, welche ISO 27001-Kontrollen und -Richtlinien von der Organisation angewendet werden. Es vergleicht sich mit der Anhang-A-Kontrolle des ISO-Standards 27001 (beschrieben am Ende dieses ISO-Standarddokuments als Referenzkontrollziele und -kontrollen).

Die Aussage zur Anwendbarkeit findet sich in Abschnitt 6.1.3 der Hauptanforderungen für ISO 27001, der Teil des umfassenderen Abschnitts 6.1 ist und sich auf Maßnahmen zur Bewältigung von Risiken und Chancen konzentriert.

Das SoA ist daher ein integraler Bestandteil der obligatorischen ISO 27001-Dokumentation, die einem externen Prüfer vorgelegt werden muss, wenn das ISMS einer unabhängigen Prüfung unterzogen wird, z. B. durch eine UKAS-Prüfungszertifizierungsstelle.

Für wen gilt ISO 27001?

ISO 27001 gilt für alle Arten und Größen von Organisationen, einschließlich öffentlicher und privater Unternehmen, Regierungsstellen und gemeinnütziger Organisationen. Unabhängig von Organisationsgröße, -typ, -region oder -sektor besteht der gemeinsame Nenner darin, dass die Organisation bestrebt ist, Best Practices in ihrem Ansatz für das Informationssicherheitsmanagement zu demonstrieren. Best Practice kann natürlich unterschiedlich interpretiert werden.

Bei der ISO-Norm geht es darum, ein System zum Management von Informationssicherheitsrisiken zu entwickeln. Abhängig von der Bereitschaft der Organisationsleitung zu Informationsrisiken und dem Umfang der Ressourcen, mit denen die Risiken bekämpft werden sollen, können die angewandten Kontrollen und Richtlinien von Organisation zu Organisation erheblich variieren, erfüllen aber dennoch die Kontrollziele von ISO 27001.

Klar ist jedoch, dass die Erlangung der ISO 27001-Zertifizierung durch ein unabhängiges Audit einer zugelassenen ISO-Zertifizierungsstelle bedeutet, dass die Organisation ein anerkanntes Maß an Kontrolle (Best Practice als Standard) für die Informationsbestände und Verarbeitungsanlagen erreicht hat.

Die ISO 27001-Zertifizierung gibt interessierten Parteien wie leistungsstarken Kunden und Interessenten ein höheres Maß an Vertrauen als selbst entwickelte Methoden oder alternative Standards, die nicht über die gleiche unabhängige Prüfung oder internationale Anerkennung verfügen.

Warum ist die SoA wichtig?

Zusammen mit dem Umfang des Informationssicherheitsmanagementsystems (4.3 von ISO 27001) bietet die SoA ein zusammenfassendes Fenster der von der Organisation verwendeten Kontrollen. Das SoA ist eine Grundvoraussetzung für die ISO-Zertifizierung des ISMS und gehört zusammen mit dem Umfang zu den ersten Dingen, auf die ein Prüfer bei seiner Prüfungsarbeit achten wird.

Diese Dokumentation muss während des Zertifizierungsaudits der Stufe 1 zur Überprüfung verfügbar sein, wird jedoch erst während des Audits der Stufe 2 genauer untersucht, wenn der Auditor einige der ISO 27001-Kontrollen testet und sicherstellt, dass sie nicht nur beschreiben, sondern auch angemessen demonstrieren die Kontrollziele werden erreicht.

Der Prüfer überprüft den Bestand an Informationsressourcen, berücksichtigt die Risiken, ihre Bewertung und Behandlung und sucht nach physischen Beweisen dafür, dass die Organisation die Kontrollen, die sie zur Bewältigung des Risikos behauptet, zufriedenstellend umgesetzt hat.

Das SoA und der Geltungsbereich umfassen die Produkte und Dienstleistungen der Organisation, ihre Informationsressourcen, Verarbeitungsanlagen, verwendeten Systeme, beteiligten Personen und Geschäftsprozesse, unabhängig davon, ob es sich um ein virtuelles Ein-Personen-Unternehmen oder einen internationalen Betrieb mit mehreren Standorten und Tausenden von Mitarbeitern handelt.

Mächtige, gebildete Kunden mit erheblichem Informationsrisiko (z. B. aufgrund der DSGVO oder anderer kommerzieller Informationsressourcen) möchten möglicherweise den Umfang und die SoA sehen, bevor sie bei einem Lieferanten kaufen, um sicherzustellen, dass die ISO-Zertifizierung tatsächlich die mit ihnen verbundenen Geschäftsbereiche abdeckt Vermögenswerte.

Es nützt nichts, eine ISO-Zertifizierung mit Scope und SoA für eine britische Zentrale zu haben, wenn das eigentliche Informationsverarbeitungsrisiko in einem Offshore-Gebäude stattfindet, dessen Ressourcen außerhalb des Scopes liegen! Dies ist tatsächlich einer der Gründe, warum die Zertifizierungsstellen jetzt Geltungsbereiche für die gesamte Organisation fördern, was natürlich bedeuten kann, dass eine viel umfassendere und tiefere Erklärung der Anwendbarkeit erforderlich ist.

Zusammenfassend zeigt eine gut präsentierte und leicht verständliche SoA die Beziehung zwischen den anwendbaren und den implementierten Anhang-A-Kontrollen angesichts der Risiken und Informationsressourcen im Geltungsbereich. Dies gibt einem Prüfer oder einer anderen interessierten Partei großes Vertrauen darin, dass die Organisation das Informationssicherheitsmanagement ernst nimmt, insbesondere wenn dies alles in einem ganzheitlichen Informationssicherheitsmanagementsystem zusammengefasst ist.

Was ist Anhang A ISO 27001?

Anhang A von ISO 27001 ist ein Katalog der Informationssicherheitskontrollziele und -kontrollen, die bei der Implementierung von ISO 27001 berücksichtigt werden müssen. Bei dem für ISO verwendeten Fachbegriff geht es um die „Begründung“ der Kontrolle. Die SoA zeigt, ob die Anhang-A-Kontrolle:

• Jetzt als Steuerung anwendbar und implementiert
• Anwendbar, aber nicht als Kontrolle implementiert (z. B. könnte es Teil einer Verbesserung für die Zukunft sein und in 10.2 als Teil einer Verbesserung erfasst werden, oder die Führung ist bereit, das Risiko aufgrund ihrer anderen implementierten Kontrollprioritäten zu tolerieren)
• Nicht anwendbar (beachten Sie, dass der Prüfer versuchen wird, zu verstehen, warum das so ist, wenn etwas als nicht anwendbar erachtet wird. Darüber sollte auch eine dokumentierte Aufzeichnung in der SoA geführt werden.)

Die Kontrollen müssen im Laufe des dreijährigen ISO-Zertifizierungslebenszyklus überprüft und regelmäßig aktualisiert werden. Dies ist Teil der im Standard verankerten Philosophie zur kontinuierlichen Verbesserung des Informationssicherheitsmanagements. Angesichts der zunehmenden Wachstumsgeschwindigkeit der Cyberkriminalität entwickelt sich auch die Cybersicherheit schnell, sodass alles, was unter einer jährlichen Überprüfung der Kontrollen liegt, möglicherweise die Bedrohungslage des Unternehmens erhöhen würde.

Welche Kontrollen sollte ich einbeziehen?

Die Anwendbarkeitserklärung ist die wichtigste Verbindung zwischen Ihrer Informationssicherheitsrisikobewertung und der Behandlungsarbeit und zeigt, „wo“ Sie sich für die Implementierung von Informationssicherheitskontrollen aus den 114 Kontrollzielen entschieden haben. (Eine gute SoA kann auch einen Drill-In durchführen, um zu zeigen, „wie“ sie implementiert wurden.)

Während die Kontrollen in Anhang A eine nützliche Checkliste zur Prüfung darstellen, kann die bloße Implementierung aller 114 Kontrollen „von unten nach oben“ teuer sein und die grundlegenden Ziele der Norm verfehlen. Leider werden einige Informationssicherheitsberater und -anbieter, die „vollständige ISO 27001-Dokumentations-Toolkits“ anbieten, diesen Ansatz befürworten, aber es ist der falsche Weg, Informationssicherheitsmanagement durchzuführen.

Es gibt einen Grund, warum die Kernanforderungen der ISO 27001 von 4.1-10.2 vorhanden sind. Sie helfen dabei, die Organisation auf einen geschäfts- und strategieorientierten Ansatz zu bringen, bei dem man von oben nach unten schaut. Nach Berücksichtigung der Probleme, der interessierten Parteien, des Umfangs und der Informationsressourcen kann die Organisation die Risiken identifizieren, sie dann bewerten und Behandlungen für diese Risiken in Betracht ziehen.

Die Risiken rund um die wertvollen Informationen und die Verarbeitungsanlagen, Geräte, beteiligten Personen usw. sollten unter Berücksichtigung der Vertraulichkeit, Integrität und Verfügbarkeit (CIA) der Informationen bewertet werden.

Diese Aufschlüsselung des CIA ist auch ein wichtiger Aspekt für das Verständnis des Prüfers und zeigt, dass die Organisation das Risiko ganzheitlicher betrachtet hat. Entscheidend ist auch, dass die SoA mit diesem umfassenderen Ansatz entwickelt wurde und nicht nur ein Teil, z. B. nur das Risiko eines Informationsverlusts aufgrund einer Sicherheitsverletzung, berücksichtigt wurde.

Während die Organisation die Risiken ihrer Geschäftstätigkeit wie oben dargelegt berücksichtigt, ist es erwähnenswert, dass einer der Kontrollbereiche in Anhang A, der immer anwendbar ist, die „Identifizierung der anwendbaren Rechtsvorschriften und vertraglichen Anforderungen“ in A.18.1.1 ist . Dies bedeutet, dass Sie auch die Anforderungen relevanter Gesetze, Vorschriften und vertraglicher Anforderungen berücksichtigen. Dies gewinnt aufgrund der EU-DSGVO für diejenigen, die Informationen von EU-Bürgern verarbeiten, und zunehmend auch auf der ganzen Welt aufgrund anderer Datenschutzstandards wie POPI in Südafrika, LGPD in Brasilien und CCPA in Kalifornien immer mehr an Bedeutung.

Wenn man die Erwartungen an die Datenschutzbestimmungen versteht, bedeutet dies auch, dass viele der ISO 27001-Kontrollen erforderlich sind, unabhängig davon, ob Sie dies glauben oder nicht. Daher erwartet ein kluger Prüfer ein Verständnis der geltenden Gesetze, die sich auf Ihr Unternehmen auswirken, und wie diese auch Ihre Wahl der anwendbaren Kontrollen in der SoA-Begründung beeinflussen.

Einige Informationssicherheitsrisiken könnten natürlich vollständig beseitigt, auf eine andere Partei übertragen, behandelt oder toleriert werden. Alle diese Anhang-A-Kontrollen helfen Ihnen dann dabei, die Transfer-, Behandlungs- oder Tolerierungsphilosophie rund um die Risiken zu prüfen und gegebenenfalls umzusetzen. Das SoA zeigt dann, welche Sicherheitsmaßnahmen aus den Annex-A-Kontrollen Sie nutzen und wie Sie diese umgesetzt haben, also Ihre Richtlinien und Verfahren.

Die in der Norm ISO 27001 aufgeführten Kontrollziele und Kontrollen in Anhang A sind nicht verbindlich, müssen jedoch berücksichtigt werden, und die Begründung der Anwendbarkeit ist für eine unabhängige Zertifizierung durch eine ISO-Zertifizierungsstelle von wesentlicher Bedeutung.

ISO 27002 und die Erklärung zur Anwendbarkeit

Unabhängig davon, ob eine unabhängige Zertifizierung ein Ziel ist oder vielleicht einfach nur die Einhaltung von Vorschriften in Verbindung mit den ergänzenden ISO 27002-Leitlinien, sind die Annex-A-Kontrollen eine positive Grundlage, auf der jede Organisation aufbauen kann, die ihre Informationssicherheit verbessern und ihre Geschäfte sicherer abwickeln möchte.

ISO 27002, die ergänzende Norm zu ISO 27001, stellt einen Praxiskodex und einen nützlichen Überblick für Informationssicherheitskontrollen bereit und bietet somit einen sehr guten Katalog von Kontrollzielen und Kontrollen für den Umgang mit Risiken sowie Anleitungen zu deren Umsetzung.

Welche Sicherheitsmaßnahmen (Anhang A-Kontrollen) Sie zur Bewältigung dieser Risiken einsetzen, hängt tatsächlich von Ihrer Organisation, ihrer Risikobereitschaft und dem Umfang sowie der geltenden Gesetzgebung ab. Aber was auch immer es ist, es muss in der Anwendbarkeitserklärung dargestellt werden, wenn Sie eine ISO 27001-Zertifizierung erreichen möchten!

Welche Informationen müssen in der SoA enthalten sein?

Fassen wir also zusammen, welche Informationen mindestens für die SoA enthalten sein müssen.

• Eine Liste der 114 Anhang-A-Kontrollen
• Ob die Kontrolle implementiert ist oder nicht
• Begründung für die Aufnahme oder den Ausschluss
• Eine kurze Beschreibung, wie jede anwendbare Kontrolle implementiert wird, unter Bezugnahme auf die Richtlinie und Kontrolle, die sie im richtigen Detail beschreibt

Wie oben erwähnt ist die SoA ein Fenster zum ISMS der Organisation. Wenn Sie nicht zeigen können, wie sich dieses Fenster in die Tiefe und Verbundenheit des Informationssicherheitsmanagementsystems öffnet, kann das zu Problemen führen. Stellen Sie sich die Situation vor, in der der Prüfer auftaucht und die Tabelle mit den 114 Kontrollen im Vergleich zu den tatsächlich vorhandenen Managementkontrollen längst veraltet ist.

Einer der häufigsten Gründe für das Scheitern eines ISO 27001-Audits ist, dass der Prüfer kein Vertrauen in die Verwaltung des ISMS aufbauen kann und die Dokumentation schlecht verwaltet wird oder fehlt. Das Vorhandensein eines eigenständigen SoA-„Dokuments“ anstelle einer integrierten und automatisierten Dokumentation eines SoA erhöht dieses Risiko.

Wie erstellt man die Anwendbarkeitserklärung?

Solange die SoA über die richtigen Informationen verfügt, korrekt und auf dem neuesten Stand ist, können Sie die SoA aus Papier, Tabellenkalkulationen, Dokumenten oder professionellen Systemen erstellen, die sie im Rahmen ihrer umfassenderen GRC-Fähigkeit (Governance, Regulation & Compliance) automatisieren .

In einer idealen Welt wird sich Ihr SoA kaum ändern (nicht zuletzt, weil Zertifizierungsstellen möglicherweise Gebühren für Versionsänderungen des SoA erheben). Was sich jedoch unter der SoA befindet, also das schlagende Herz des ISMS selbst, sollte dynamisch sein und eine lebendige, atmende Darstellung Ihrer sich entwickelnden Informationssicherheitslandschaft sein.

Die SoA muss überprüft werden, wenn Ihre Richtlinien und Kontrollen überprüft werden (mindestens einmal jährlich), sodass es angesichts der 114 zu berücksichtigenden Kontrollen dennoch von Vorteil ist, ein effizienter Prozess zu sein.

Das Erstellen einer Tabelle mit den Steuerelementen als Checkliste ist ein Kinderspiel und geht ziemlich schnell. Allerdings ist es nicht ganz so einfach, dies mit der Gewissheit zu tun, dass alle früheren Planungs- und Implementierungsarbeiten zur Informationssicherheit rund um die Vermögenswerte, Risiken und Kontrollen in der richtigen Reihenfolge durchgeführt und in der zusammenfassenden SoA ausgedrückt wurden. Ein Prüfer möchte sehen, was sich unter der einfachen oberen Zeile von 114 Zeilen in einer Tabelle befindet.

Früher bedeutete die Präsentation des SoA als ausführliches 200-seitiges Dokument wirklich viel Arbeit, insbesondere um es im Zuge der Weiterentwicklung der Richtlinien und Kontrollen auf dem neuesten Stand zu halten. Es gibt jetzt viel bessere und einfachere Möglichkeiten, das SoA zu automatisieren und die harte Arbeit zu nutzen, die bereits in anderen Teilen des ISMS geleistet wurde.

So sparen Sie Zeit beim Verfassen Ihrer Anwendbarkeitserklärung

Aufgrund der darin enthaltenen Informationen dauert es in der Regel lange, bis eine Organisation eine SoA erstellt. Wenn wir über die Schritte nachdenken, die zu seiner Entstehung erforderlich sind, und über die dafür erforderliche Arbeit, ist es kein Wunder:

• Berücksichtigen Sie die Themen, interessierten Parteien und den Umfang des ISMS
• Identifizieren Sie die gefährdeten Informationsressourcen sowie Verarbeitungsanlagen und Geräte
• Bewerten und bewerten Sie die mit der Sicherheit der Informationen verbundenen Risiken anhand der Kriterien Vertraulichkeit, Integrität und Verfügbarkeit
• Bewerten Sie diese Risiken und entscheiden Sie dann, welche der 114 Kontrollen in Anhang A erforderlich sind
• Verstehen und bewerten Sie die geltende Gesetzgebung (und alle wichtigen Vertragsverpflichtungen mächtiger Kunden), um andere Kontrollbereiche hervorzuheben
• Entscheiden Sie, wie die Kontrolle in Bezug auf Richtlinien, Verfahren, Personen, Technologie usw. umgesetzt werden soll
• Erstellen Sie dann das SoA-Dokument selbst, wobei die Begründungen zur Anwendbarkeit klar sind
• Idealerweise eine Verknüpfung mit den Kontrolldetails, den Risiken und den Vermögenswerten, um zu zeigen, dass das ISMS funktioniert
• Und verwalten Sie es kontinuierlich.

  Das SoA ist ein kleiner, aber sehr wichtiger Teil eines sehr umfassenden ISMS. Wenn es richtig gemacht wird, ist die Organisation auf Erfolg bei Prüfungen vorbereitet und stärkt das Vertrauen kluger Kunden und anderer Stakeholder. Wenn es schlecht gemacht wird, wird es mit ziemlicher Sicherheit die Zeit bis zur Zertifizierung stören und verzögern und kann zum Verlust von Geschäften oder zukünftigen Chancen führen, weil es nicht gelingt, die Zertifizierung zu erreichen oder aufrechtzuerhalten.

Beschleunigen Sie den SoA-Prozess mit ISMS.online

ISMS.online ist ein umfassendes Informationssicherheitsmanagementsystem, das unter anderem die Verwaltung und Verwaltung Ihrer Informationsbestände, Risiken, Richtlinien und Kontrollen an einem Ort erleichtert.

Dies bedeutet auch, dass die Erstellung des SoA automatisiert und einfach und effizient dargestellt werden kann. Neben anderen Vorteilen wie dem geringeren Zeitaufwand für den ISO 27001-Erfolg beschleunigt es auch den Weg zur ISO-Zertifizierung.

Konzentrieren Sie Ihre Energie darauf, Ihr Unternehmen so zu führen, wie Sie es möchten, und verbringen Sie Zeit mit dem, was Sie für den Erfolg erreichen müssen, ohne sich Gedanken darüber machen zu müssen, wie Sie es erreichen. ISMS.online macht es ganz einfach, Ihre Arbeit zu erledigen, einschließlich der SoA, und das zu einem Bruchteil der Kosten und des Zeitaufwands im Vergleich zu Alternativen.