Was ist eine Anwendbarkeitserklärung?
Vereinfacht gesagt legt die SoA in ihrem Bestreben, wertvolle Informationsbestände zu schützen und die Informationsverarbeitungsanlagen zu verwalten, fest, welche ISO 27001-Kontrollen und -Richtlinien von der Organisation angewendet werden. Es vergleicht sich mit der Anhang-A-Kontrolle des ISO-Standards 27001 (beschrieben am Ende dieses ISO-Standarddokuments als Referenzkontrollziele und -kontrollen).
Die Aussage zur Anwendbarkeit findet sich in Abschnitt 6.1.3 der Hauptanforderungen für ISO 27001, der Teil des umfassenderen Abschnitts 6.1 ist und sich auf Maßnahmen zur Bewältigung von Risiken und Chancen konzentriert.
Das SoA ist daher ein integraler Bestandteil der obligatorischen ISO 27001-Dokumentation, die einem externen Prüfer vorgelegt werden muss, wenn das ISMS einer unabhängigen Prüfung unterzogen wird, z. B. durch eine UKAS-Prüfungszertifizierungsstelle.
Für wen gilt ISO 27001?
ISO 27001 gilt für Organisationen aller Art und Größe, einschließlich öffentlicher und privater Unternehmen, staatlicher Einrichtungen und gemeinnütziger Organisationen. Der gemeinsame Nenner, unabhängig von Größe, Art, Standort oder Branche, ist das Ziel der Organisation, Best Practices im Informationssicherheitsmanagement umzusetzen. Best Practice kann natürlich unterschiedlich interpretiert werden.
Bei der ISO-Norm geht es darum, ein System zum Management von Informationssicherheitsrisiken zu entwickeln. Abhängig von der Bereitschaft der Organisationsleitung zu Informationsrisiken und dem Umfang der Ressourcen, mit denen die Risiken bekämpft werden sollen, können die angewandten Kontrollen und Richtlinien von Organisation zu Organisation erheblich variieren, erfüllen aber dennoch die Kontrollziele von ISO 27001.
Klar ist jedoch, dass die Erlangung der ISO 27001-Zertifizierung durch ein unabhängiges Audit einer zugelassenen ISO-Zertifizierungsstelle bedeutet, dass die Organisation ein anerkanntes Maß an Kontrolle (Best Practice als Standard) für die Informationsbestände und Verarbeitungsanlagen erreicht hat.
Die ISO 27001-Zertifizierung gibt interessierten Parteien wie leistungsstarken Kunden und Interessenten ein höheres Maß an Vertrauen als selbst entwickelte Methoden oder alternative Standards, die nicht über die gleiche unabhängige Prüfung oder internationale Anerkennung verfügen.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Warum ist die SoA wichtig?
Zusammen mit dem Umfang des Informationssicherheitsmanagementsystems (4.3 von ISO 27001) bietet die SoA ein zusammenfassendes Fenster der von der Organisation verwendeten Kontrollen. Das SoA ist eine Grundvoraussetzung für die ISO-Zertifizierung des ISMS und gehört zusammen mit dem Umfang zu den ersten Dingen, auf die ein Prüfer bei seiner Prüfungsarbeit achten wird.
Diese Dokumentation muss während des Zertifizierungsaudits der Stufe 1 zur Überprüfung verfügbar sein, wird jedoch erst während des Audits der Stufe 2 genauer untersucht, wenn der Auditor einige der ISO 27001-Kontrollen testet und sicherstellt, dass sie nicht nur beschreiben, sondern auch angemessen demonstrieren die Kontrollziele werden erreicht.
Der Prüfer überprüft den Bestand an Informationsressourcen, berücksichtigt die Risiken, ihre Bewertung und Behandlung und sucht nach physischen Beweisen dafür, dass die Organisation die Kontrollen, die sie zur Bewältigung des Risikos behauptet, zufriedenstellend umgesetzt hat.
Das SoA und der Geltungsbereich umfassen die Produkte und Dienstleistungen der Organisation, ihre Informationsressourcen, Verarbeitungsanlagen, verwendeten Systeme, beteiligten Personen und Geschäftsprozesse, unabhängig davon, ob es sich um ein virtuelles Ein-Personen-Unternehmen oder einen internationalen Betrieb mit mehreren Standorten und Tausenden von Mitarbeitern handelt.
Mächtige, gebildete Kunden mit erheblichem Informationsrisiko (z. B. aufgrund der DSGVO oder anderer kommerzieller Informationsressourcen) möchten möglicherweise den Umfang und die SoA sehen, bevor sie bei einem Lieferanten kaufen, um sicherzustellen, dass die ISO-Zertifizierung tatsächlich die mit ihnen verbundenen Geschäftsbereiche abdeckt Vermögenswerte.
Es nützt nichts, eine ISO-Zertifizierung mit Scope und SoA für eine britische Zentrale zu haben, wenn das eigentliche Informationsverarbeitungsrisiko in einem Offshore-Gebäude stattfindet, dessen Ressourcen außerhalb des Scopes liegen! Dies ist tatsächlich einer der Gründe, warum die Zertifizierungsstellen jetzt Geltungsbereiche für die gesamte Organisation fördern, was natürlich bedeuten kann, dass eine viel umfassendere und tiefere Erklärung der Anwendbarkeit erforderlich ist.
Zusammenfassend zeigt eine gut präsentierte und leicht verständliche SoA die Beziehung zwischen den anwendbaren und den implementierten Anhang-A-Kontrollen angesichts der Risiken und Informationsressourcen im Geltungsbereich. Dies gibt einem Prüfer oder einer anderen interessierten Partei großes Vertrauen darin, dass die Organisation das Informationssicherheitsmanagement ernst nimmt, insbesondere wenn dies alles in einem ganzheitlichen Informationssicherheitsmanagementsystem zusammengefasst ist.
Was ist Anhang A ISO 27001?
Anhang A von ISO 27001 ist ein Katalog der Informationssicherheitskontrollziele und -kontrollen, die bei der Implementierung von ISO 27001 berücksichtigt werden müssen. Bei dem für ISO verwendeten Fachbegriff geht es um die „Begründung“ der Kontrolle. Die SoA zeigt, ob die Anhang-A-Kontrolle:
- Jetzt als Steuerung anwendbar und implementiert
- Anwendbar, aber nicht als Kontrolle implementiert (z. B. könnte es Teil einer Verbesserung für die Zukunft sein und in 10.2 als Teil einer Verbesserung erfasst werden, oder die Führung ist bereit, das Risiko aufgrund ihrer anderen implementierten Kontrollprioritäten zu tolerieren)
- Nicht anwendbar (beachten Sie, dass der Prüfer versuchen wird, zu verstehen, warum das so ist, wenn etwas als nicht anwendbar erachtet wird. Darüber sollte auch eine dokumentierte Aufzeichnung in der SoA geführt werden.)
Die Kontrollen müssen im Laufe des dreijährigen ISO-Zertifizierungslebenszyklus überprüft und regelmäßig aktualisiert werden. Dies ist Teil der kontinuierlichen Verbesserungsphilosophie des Informationssicherheitsmanagements, die in den Standard eingebettet ist. Angesichts der zunehmenden Wachstumsgeschwindigkeit der Cyberkriminalität entwickelt sich auch die Cybersicherheit schnell, sodass alles, was unter einer jährlichen Überprüfung der Kontrollen liegt, möglicherweise die Bedrohungslage des Unternehmens erhöhen würde.
Wie viele Kontrollen gibt es in ISO:27001?
Die Kontrollen des Anhangs A der ISO 27001:2022 wurden neu strukturiert, konsolidiert und modernisiert. Die 93 Kontrollen (im Vergleich zu 114 im Jahr 2013) sind nun in vier Hauptkontrollgruppen unterteilt, anstatt in die 14 Domänen der vorherigen Version.
1. Organisatorische Kontrollen (37 Kontrollen)
Was es abdeckt:
Der Schwerpunkt dieser Kontrollen liegt auf Governance, Risikomanagement, Betriebssicherheit und Compliance.
Warum diese Kategorie zusammengeführt und aktualisiert wurde:
- Vereinfachtes Compliance- und Risikomanagement – Bisher waren Compliance-bezogene Kontrollen über mehrere Domänen verteilt (z. B. A.18 – Compliance und A.6 – Organisation der Informationssicherheit).
- Fokus auf moderne Sicherheits-Governance – Risikobewertung, Bedrohungsinformationen und Lieferantensicherheit werden jetzt in dieser Kategorie vereint, um sie an die sich entwickelnden Geschäftspraktiken anzupassen.
- Bessere Integration mit ISO 31000 (Risikomanagement) – Hilft Organisationen, ihre Methoden zur Risikobewertung und -behandlung an globale Standards anzupassen.
Wichtige Steuerelemente in dieser Kategorie:
- A.5.7 – Bedrohungsinformationen (Neu) – Hinzugefügt, um die Echtzeitüberwachung von Bedrohungen und den Informationsaustausch zu ermöglichen.
- A.5.21 – Management von Informationssicherheitsvorfällen (zusammengeführt) – Konsolidiert vorherige Anforderungen an die Reaktion auf Vorfälle und die Protokollierung.
- A.5.31 – Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen (zusammengeführt) – Kombiniert A.18.1.1 (Identifizierung der geltenden Gesetze und vertraglichen Anforderungen) und A.18.1.4 (Datenschutz und Schutz personenbezogener Daten) zu einem einzigen Compliance-Rahmen.
2. Personenkontrollen (8 Kontrollen)
Was es abdeckt:
Diese Kontrollen befassen sich mit Sicherheitsrisiken für Menschen und umfassen Sicherheitsbewusstsein, Schulung und Mitarbeiterverantwortung.
Warum diese Kategorie zusammengeführt und aktualisiert wurde:
- Der Mensch ist das schwächste Glied – Ein großer Prozentsatz der Sicherheitsverletzungen ist auf menschliches Versagen, Phishing oder Social Engineering zurückzuführen.
- Zuvor über mehrere Domänen verstreut – A.7 (Personalsicherheit) und A.12 (Betriebssicherheit) enthielten personenbezogene Kontrollen, was eine ganzheitliche Verwaltung des Sicherheitsbewusstseins und der Schulung erschwerte.
- Entspricht den Schulungstrends für Cybersicherheitsmitarbeiter – Sicherheitsbewusstseinsprogramme legen jetzt den Schwerpunkt auf kontinuierliches Lernen, simulierte Phishing-Angriffe und rollenbasierte Sicherheitsschulungen.
Wichtige Steuerelemente in dieser Kategorie:
- A.6.3 – Bewusstsein, Schulung und Training für Informationssicherheit (zusammengeführt) – Kombiniert A.7.2.2 (Bewusstsein, Schulung und Training für Informationssicherheit) mit Elementen von A.6.2 (Verantwortlichkeiten der internen Organisation) für einen stärkeren Fokus auf kontinuierliches Engagement der Mitarbeiter.
- A.6.1 – Screening (Aktualisiert) – Erweitert, um Hintergrundprüfungen von Auftragnehmern und Überlegungen zu Risiken Dritter einzubeziehen.
3. Physische Kontrollen (14 Kontrollen)
Was es abdeckt:
Dieser Abschnitt konzentriert sich auf physische Sicherheitsmaßnahmen zum Schutz von Einrichtungen, Geräten und Rechenzentren.
Warum diese Kategorie zusammengeführt und aktualisiert wurde:
- Konsolidierung redundanter physischer Sicherheitskontrollen – Die Version von 2013 enthielt separate Kontrollen für verschiedene Aspekte der Gebäudesicherheit, die jetzt in einer einzigen Kategorie zusammengefasst sind.
- Verstärkter Fokus auf Remote-Arbeit und mobile Sicherheit – Da hybride Arbeitsmodelle zur Norm werden, befassen sich Sicherheitskontrollen jetzt mit den Sicherheitsrisiken bei der Arbeit von zu Hause aus.
- Sicherheitsaspekte zu IoT und Smart Buildings – Physische Sicherheitskontrollen werden aktualisiert, um IoT-Sicherheitsrisiken und KI-gestützte Überwachung einzubeziehen.
Wichtige Steuerelemente in dieser Kategorie:
- A.7.4 – Physische Sicherheitsüberwachung (Neu) – Befasst sich mit Sicherheitskameras, intelligenten Schlössern und Einbruchserkennung in Echtzeit.
- A.7.5 – Arbeiten in sicheren Bereichen (Aktualisiert) – Enthält jetzt Anforderungen für sicheres Arbeiten aus der Ferne, um die Risiken durch hybride und Remote-Arbeitskräfte zu mindern.
4. Technologische Kontrollen (34 Kontrollen)
Was es abdeckt:
Diese Gruppe konzentriert sich auf die Sicherheit der IT-Infrastruktur, Cloud-Sicherheit, Zugriffskontrolle und Kryptografie.
Warum diese Kategorie zusammengeführt und aktualisiert wurde:
- Die Cyber-Bedrohungslandschaft hat sich weiterentwickelt – Die Version von 2013 ging nicht vollständig auf moderne Cyber-Bedrohungen ein, darunter Ransomware, Cloud-basierte Angriffe und KI-gesteuertes Hacking.
- Anstieg der Risiken im Bereich Cloud Computing und SaaS – Die neue Cloud-Sicherheitskontrolle (A.5.23 – Informationssicherheit für Cloud-Dienste) befasst sich mit Multi-Cloud-Umgebungen und Modellen gemeinsamer Verantwortung.
- Einhaltung von Datenschutz und Privatsphäre – Neue Kontrollen wie A.8.11 (Datenmaskierung) und A.8.12 (Verhinderung von Datenlecks) entsprechen der DSGVO, ISO 27701 und globalen Datenschutzbestimmungen.
Wichtige Steuerelemente in dieser Kategorie:
- A.8.11 – Datenmaskierung (Neu) – Schützt PII und sensible Daten durch Tokenisierungs- und Anonymisierungstechniken.
- A.8.12 – Verhinderung von Datenlecks (Neu) – Implementiert DLP-Richtlinien, um nicht autorisierte Datenübertragungen zu verhindern.
- A.8.9 – Konfigurationsmanagement (Neu) – Behebt Fehlkonfigurationen in Cloud- und SaaS-Anwendungen, eine Hauptursache für Datenpannen.
- A.8.23 – Webfilterung (Neu) – Schützt Benutzer vor bösartigen Websites, Phishing-Versuchen und mit Malware infizierten Downloads.
- A.8.28 – Sichere Codierung (Aktualisiert) – Stärkt sichere Praktiken für den Softwareentwicklungslebenszyklus (SDLC), um Softwareschwachstellen zu reduzieren.
Zusammenfassung der Änderungen gegenüber ISO 27001:2013
| ISO 27001:2013 (114 Kontrollen) | ISO 27001:2022 (93 Kontrollen) | Änderungsgrund |
|---|---|---|
| 14 Kontrolldomänen | 4 Hauptkontrollgruppen | Vereinfacht die Verwaltung und passt sich modernen Cybersicherheitsrahmen an |
| Redundante Compliance-Kontrollen | Vereinheitlicht in A.5.31 | Vereint gesetzliche, regulatorische und vertragliche Anforderungen |
| Separate HR-, Awareness- und Incident-Kontrollen | Konsolidiert unter People Controls | Stärkerer Fokus auf Sicherheitskultur und Mitarbeiterbewusstsein |
| Fehlende moderne Cybersicherheitsbedrohungen | Bedrohungsinformationen, Cloud-Sicherheit und DLP hinzugefügt | Befasst sich mit Ransomware, Cloud-Risiken und modernen Angriffsvektoren |
ISO 27001:2022 Kontrollattribute und NIST CSF-Ausrichtung
ISO 27001:2022 eingeführt Steuerungsattribute um die Klassifizierung zu verbessern und die Abstimmung mit Cybersicherheitsrahmen wie NIST-CSF. Diese Attribute helfen Unternehmen dabei, ihre Kontrollen auf breitere Sicherheitsdomänen abzubilden, wodurch die Implementierung einer Framework-übergreifenden Compliance einfacher wird.
Kontrollattribute in ISO 27001:2022
| Attribut | Beschreibung | NIST CSF-Mapping |
|---|---|---|
| Steuerungstyp | Definiert, ob das Steuerelement präventiv, aufdeckend oder korrigierend | Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen |
| Eigenschaften der Informationssicherheit | Gibt an, welche CIA-Triadenprinzip (Vertraulichkeit, Integrität, Verfügbarkeit) schützt die Kontrolle | Schützen, Erkennen, Wiederherstellen |
| Cybersicherheitskonzepte | Ordnet die Kontrolle Cybersicherheitskonzepten zu, wie Governance, Identitätsmanagement, Bedrohungserkennung, Datensicherheit, Resilienz | Alle NIST CSF-Funktionen |
| Operative Fähigkeiten | Definiert den unterstützten Sicherheitsbereich, wie beispielsweise Überwachung, Protokollierung, Vorfallreaktion, Zugriffskontrolle | Schützen, Erkennen, Reagieren |
| Sicherheitsdomänen | Links zu umfassenderen Sicherheitsbereichen wie Netzwerksicherheit, Datenschutz, Risikomanagement, Cloud-Sicherheit | Identifizieren, Schützen, Erkennen |
ISO 27001:2022 Kontrollzuordnung zu NIST CSF
| ISO 27001:2022 Kontrolle | Steuerungstyp | CIA-Eigentum | Cybersicherheitskonzept | Betriebsfähigkeit | Sicherheitsdomäne | NIST CSF-Funktion |
|---|---|---|---|---|---|---|
| A.5.7 – Bedrohungsintelligenz | Präventiv | Vertraulichkeit, Integrität | Bedrohungsüberwachung und -erkennung | Protokollierung, Analyse | Risikomanagement | Identifizieren, Erkennen |
| A.8.11 – Datenmaskierung | Präventiv | Vertraulichkeit | Datenschutz | Datensicherheit | Datenmanagement | Schützen |
| A.8.12 – Verhinderung von Datenlecks | Präventiv, Detektiv | Vertraulichkeit | Endpunktsicherheit, Netzwerksicherheit | Überwachung, Prävention | Cloud- und Endpunktsicherheit | Schützen, Erkennen |
| A.8.9 – Konfigurationsmanagement | Präventiv | Integrität, Verfügbarkeit | Sicherheitshärtung | Systemwartung | Netzwerksicherheit | Schützen |
Vorteile der Verwendung von Steuerelementattributen
- Verbesserte Governance und Compliance – Erleichtert die Begründung von Kontrollen bei Audits für ISO 27001, NIST und SOC 2.
- Verbesserte Framework-übergreifende Ausrichtung – Hilft bei der Zuordnung von Kontrollen über NIST CSF, CIS 18 und ISO 27701.
- Stärkerer risikobasierter Ansatz – Organisationen können Kontrollen basierend auf Risikofaktoren und Sicherheitszielen priorisieren.
- Sicherheit in der Cloud und bei Remote-Arbeit – Kontrollattribute heben neue Risiken im Cloud Computing, bei hybriden Belegschaften und bei der Lieferkettensicherheit hervor.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Welche Kontrollen sollte ich einbeziehen?
Die Erklärung zur Anwendbarkeit ist das wichtigste Bindeglied zwischen Ihrer Risikobewertung und Behandlungsarbeit zur Informationssicherheit und zeigt, „wo“ Sie sich entschieden haben, aus den 93 Kontrollzielen Informationssicherheitskontrollen zu implementieren (eine gute SoA kann auch detailliert zeigen, „wie“ diese implementiert wurden).
Während die Kontrollen in Anhang A eine nützliche Checkliste zur Prüfung darstellen, kann die bloße Implementierung aller 93 Kontrollen „von unten nach oben“ teuer sein und die grundlegenden Ziele der Norm verfehlen. Leider werden einige Informationssicherheitsberater und -anbieter, die „vollständige ISO 27001-Dokumentations-Toolkits“ anbieten, diesen Ansatz befürworten, aber es ist der falsche Weg, Informationssicherheitsmanagement durchzuführen.
Es gibt einen Grund, warum die Kernanforderungen der ISO 27001 von 4.1-10.2 vorhanden sind. Sie helfen dabei, die Organisation auf einen geschäfts- und strategieorientierten Ansatz zu bringen, bei dem man von oben nach unten schaut. Nach Berücksichtigung der Probleme, der interessierten Parteien, des Umfangs und der Informationsressourcen kann die Organisation die Risiken identifizieren, sie dann bewerten und Behandlungen für diese Risiken in Betracht ziehen.
Die Risiken rund um die wertvollen Informationen und die Verarbeitungsanlagen, Geräte, beteiligten Personen usw. sollten unter Berücksichtigung der Vertraulichkeit, Integrität und Verfügbarkeit (CIA) der Informationen bewertet werden.
Diese Aufschlüsselung des CIA ist auch ein wichtiger Aspekt für das Verständnis des Prüfers und zeigt, dass die Organisation das Risiko ganzheitlicher betrachtet hat. Entscheidend ist auch, dass die SoA mit diesem umfassenderen Ansatz entwickelt wurde und nicht nur ein Teil, z. B. nur das Risiko eines Informationsverlusts aufgrund einer Sicherheitsverletzung, berücksichtigt wurde.
Während die Organisation die oben beschriebenen Risiken ihrer Geschäftstätigkeit berücksichtigt, ist zu beachten, dass einer der stets geltenden Kontrollbereiche in Anhang A „Kontrolle: A.5.31 – Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen“ ist. Dies bedeutet, dass Sie auch die Anforderungen relevanter Gesetze, Vorschriften und vertraglicher Anforderungen berücksichtigen. Dies gewinnt durch die EU-DSGVO für alle, die Informationen von EU-Bürgern verarbeiten, und zunehmend auch weltweit durch andere Datenschutzstandards wie POPI in Südafrika, LGPD in Brasilien und CCPA in Kalifornien an Bedeutung.
Wenn man die Erwartungen an die Datenschutzbestimmungen versteht, bedeutet dies auch, dass viele der ISO 27001-Kontrollen erforderlich sind, unabhängig davon, ob Sie dies glauben oder nicht. Daher erwartet ein kluger Prüfer ein Verständnis der geltenden Gesetze, die sich auf Ihr Unternehmen auswirken, und wie diese auch Ihre Wahl der anwendbaren Kontrollen in der SoA-Begründung beeinflussen.
Einige Informationssicherheitsrisiken könnten natürlich vollständig beseitigt, auf eine andere Partei übertragen, behandelt oder toleriert werden. Alle diese Anhang-A-Kontrollen helfen Ihnen dann dabei, die Transfer-, Behandlungs- oder Tolerierungsphilosophie rund um die Risiken zu prüfen und gegebenenfalls umzusetzen. Das SoA zeigt dann, welche Sicherheitsmaßnahmen aus den Annex-A-Kontrollen Sie nutzen und wie Sie diese umgesetzt haben, also Ihre Richtlinien und Verfahren.
Die in der Norm ISO 27001 aufgeführten Kontrollziele und Kontrollen in Anhang A sind nicht verbindlich, müssen jedoch berücksichtigt werden, und die Begründung der Anwendbarkeit ist für eine unabhängige Zertifizierung durch eine ISO-Zertifizierungsstelle von wesentlicher Bedeutung.
ISO 27002 und die Erklärung zur Anwendbarkeit
Unabhängig davon, ob eine unabhängige Zertifizierung ein Ziel ist oder vielleicht einfach nur die Einhaltung von Vorschriften in Verbindung mit den ergänzenden ISO 27002-Leitlinien, sind die Annex-A-Kontrollen eine positive Grundlage, auf der jede Organisation aufbauen kann, die ihre Informationssicherheit verbessern und ihre Geschäfte sicherer abwickeln möchte.
ISO 27002, die ergänzende Norm zu ISO 27001, stellt einen Praxiskodex und einen nützlichen Überblick für Informationssicherheitskontrollen bereit und bietet somit einen sehr guten Katalog von Kontrollzielen und Kontrollen für den Umgang mit Risiken sowie Anleitungen zu deren Umsetzung.
Welche Sicherheitsmaßnahmen (Anhang A-Kontrollen) Sie zur Bewältigung dieser Risiken einsetzen, hängt tatsächlich von Ihrer Organisation, ihrer Risikobereitschaft und dem Umfang sowie der geltenden Gesetzgebung ab. Aber was auch immer es ist, es muss in der Anwendbarkeitserklärung dargestellt werden, wenn Sie eine ISO 27001-Zertifizierung erreichen möchten!
Welche Informationen müssen in der SoA enthalten sein?
Fassen wir also zusammen, welche Informationen mindestens für die SoA enthalten sein müssen.
- Eine Liste der 93 Kontrollen des Anhangs A
- Ob die Kontrolle implementiert ist oder nicht
- Begründung für die Aufnahme oder den Ausschluss
- Eine kurze Beschreibung, wie jede anwendbare Kontrolle implementiert wird, unter Bezugnahme auf die Richtlinie und Kontrolle, die sie im richtigen Detail beschreibt
Wie oben erwähnt ist die SoA ein Fenster zum ISMS der Organisation. Wenn Sie nicht zeigen können, wie sich dieses Fenster in die Tiefe und Verbundenheit des Informationssicherheitsmanagementsystems öffnet, kann das zu Problemen führen. Stellen Sie sich die Situation vor, in der der Prüfer auftaucht und die Tabelle mit den 93 Kontrollen im Vergleich zu den tatsächlich vorhandenen Managementkontrollen längst veraltet ist.
Einer der häufigsten Gründe für das Scheitern eines ISO 27001-Audits ist, dass der Prüfer kein Vertrauen in die Verwaltung des ISMS aufbauen kann und die Dokumentation schlecht verwaltet wird oder fehlt. Das Vorhandensein eines eigenständigen SoA-„Dokuments“ anstelle einer integrierten und automatisierten Dokumentation eines SoA erhöht dieses Risiko.
Wie erstellt man die Anwendbarkeitserklärung?
Solange die SoA über die richtigen Informationen verfügt, korrekt und auf dem neuesten Stand ist, können Sie die SoA aus Papier, Tabellenkalkulationen, Dokumenten oder professionellen Systemen erstellen, die sie im Rahmen ihrer umfassenderen GRC-Fähigkeit (Governance, Regulation & Compliance) automatisieren .
In einer idealen Welt wird sich Ihr SoA kaum ändern (nicht zuletzt, weil Zertifizierungsstellen möglicherweise Gebühren für Versionsänderungen des SoA erheben). Was sich jedoch unter der SoA befindet, also das schlagende Herz des ISMS selbst, sollte dynamisch sein und eine lebendige, atmende Darstellung Ihrer sich entwickelnden Informationssicherheitslandschaft sein.
Die SoA muss überprüft werden, wenn Ihre Richtlinien und Kontrollen überprüft werden (mindestens einmal jährlich), sodass es angesichts der 114 zu berücksichtigenden Kontrollen dennoch von Vorteil ist, ein effizienter Prozess zu sein.
Das Erstellen einer Tabelle mit den Steuerelementen als Checkliste ist ein Kinderspiel und geht ziemlich schnell. Allerdings ist es nicht ganz so einfach, dies mit der Gewissheit zu tun, dass alle früheren Planungs- und Implementierungsarbeiten zur Informationssicherheit rund um die Vermögenswerte, Risiken und Kontrollen in der richtigen Reihenfolge durchgeführt und in der zusammenfassenden SoA ausgedrückt wurden. Ein Prüfer möchte sehen, was sich unter der einfachen oberen Zeile von 114 Zeilen in einer Tabelle befindet.
Früher bedeutete die Präsentation des SoA als ausführliches 200-seitiges Dokument wirklich viel Arbeit, insbesondere um es im Zuge der Weiterentwicklung der Richtlinien und Kontrollen auf dem neuesten Stand zu halten. Es gibt jetzt viel bessere und einfachere Möglichkeiten, das SoA zu automatisieren und die harte Arbeit zu nutzen, die bereits in anderen Teilen des ISMS geleistet wurde.
So sparen Sie Zeit beim Verfassen Ihrer Anwendbarkeitserklärung
Aufgrund der darin enthaltenen Informationen dauert es in der Regel lange, bis eine Organisation eine SoA erstellt. Wenn wir über die Schritte nachdenken, die zu seiner Entstehung erforderlich sind, und über die dafür erforderliche Arbeit, ist es kein Wunder:
- Berücksichtigen Sie die Themen, interessierten Parteien und den Umfang des ISMS
- Identifizieren Sie die gefährdeten Informationsressourcen sowie Verarbeitungsanlagen und Geräte
- Bewerten und bewerten Sie die mit der Sicherheit der Informationen verbundenen Risiken anhand der Kriterien Vertraulichkeit, Integrität und Verfügbarkeit
- Bewerten Sie diese Risiken und entscheiden Sie dann, welche der 114 Kontrollen in Anhang A erforderlich sind
- Verstehen und bewerten Sie die geltende Gesetzgebung (und alle wichtigen Vertragsverpflichtungen mächtiger Kunden), um andere Kontrollbereiche hervorzuheben
- Entscheiden Sie, wie die Kontrolle in Bezug auf Richtlinien, Verfahren, Personen, Technologie usw. umgesetzt werden soll
- Erstellen Sie dann das SoA-Dokument selbst, wobei die Begründungen zur Anwendbarkeit klar sind
- Idealerweise eine Verknüpfung mit den Kontrolldetails, den Risiken und den Vermögenswerten, um zu zeigen, dass das ISMS funktioniert
- Und verwalten Sie es kontinuierlich. Das SoA ist ein kleiner, aber sehr wichtiger Teil eines sehr umfassenden ISMS. Wenn es gut gemacht wird, ist die Organisation auf Erfolg bei der Prüfung vorbereitet und stärkt das Vertrauen kluger Kunden und anderer Stakeholder. Wenn es schlecht gemacht wird, wird es mit ziemlicher Sicherheit die Zeit bis zur Zertifizierung stören und verzögern und kann zum Verlust von Geschäften oder zukünftigen Chancen führen, weil es nicht gelingt, die Zertifizierung zu erreichen oder aufrechtzuerhalten.
Beschleunigen Sie den SoA-Prozess mit ISMS.online
ISMS.online ist ein umfassendes Informationssicherheitsmanagementsystem, das unter anderem die Verwaltung und Verwaltung Ihrer Informationsbestände, Risiken, Richtlinien und Kontrollen an einem Ort erleichtert.
Dies bedeutet auch, dass die Erstellung des SoA automatisiert und einfach und effizient dargestellt werden kann. Neben anderen Vorteilen wie dem geringeren Zeitaufwand für den ISO 27001-Erfolg beschleunigt es auch den Weg zur ISO-Zertifizierung.
Konzentrieren Sie Ihre Energie darauf, Ihr Unternehmen so zu führen, wie Sie es möchten, und verbringen Sie Zeit mit dem, was Sie für den Erfolg erreichen müssen, ohne sich Gedanken darüber machen zu müssen, wie Sie es erreichen. ISMS.online macht es ganz einfach, Ihre Arbeit zu erledigen, einschließlich der SoA, und das zu einem Bruchteil der Kosten und des Zeitaufwands im Vergleich zu Alternativen.
