Erklärung zur Anwendbarkeit
Anhang A — Maßnahmen verstehen
Das wichtigste Dokument des ISMS
Die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) ist das Herzstück und Aushängeschild eines ISMS. Sie verbindet die Risikobehandlung mit den 93 Maßnahmen aus Anhang A. Jeder Auditor verlangt sie als Erstes.
Was steht drin?
Die SoA listet alle 93 Maßnahmen aus Anhang A und hält für jede fest:
- Anwendbar? – ja oder nein;
- Begründung für die Aufnahme (z. B. ein konkretes Risiko) oder den Ausschluss;
- Umsetzungsstatus – umgesetzt / teilweise / geplant;
- oft zusätzlich: Verweis auf die umsetzende Richtlinie/Maßnahme.
Beispielhafte Struktur
| Maßnahme | Anwendbar | Begründung | Status |
|---|---|---|---|
| 5.15 Zugangssteuerung | Ja | Risiko unbefugter Zugriff | umgesetzt |
| 8.24 Kryptographie | Ja | Schutz vertraulicher Daten | umgesetzt |
| 7.4 Physische Überwachung | Nein | kein eigenes Rechenzentrum (Cloud) | — |
| 8.4 Zugriff auf Quellcode | Nein | keine Eigenentwicklung | — |
Ausschlüsse müssen begründet sein
Maßnahmen dürfen ausgeschlossen werden – aber nie willkürlich. Jeder Ausschluss braucht eine nachvollziehbare Begründung, typischerweise „Risiko trifft uns nicht" oder „Tätigkeit existiert bei uns nicht". Ein Klassiker: Wer keine eigene Softwareentwicklung betreibt, schließt die Entwicklungs-Maßnahmen 8.25–8.34 aus. Wer alles in der Cloud betreibt, kann viele physische Maßnahmen reduzieren – aber Vorsicht, die Verantwortung wandert dann zum Cloud-Anbieter.
SoA vs. Risikobehandlungsplan
| SoA | Risikobehandlungsplan | |
|---|---|---|
| Frage | Welche Maßnahmen & warum? | Wer setzt sie bis wann um? |
| Charakter | Zustand / Übersicht | Projektplan |
Lebendes Dokument
Die SoA ist nicht in Stein gemeißelt. Ändern sich Risiken, Geschäft oder Technik, wird sie aktualisiert – sie ist gelenkte dokumentierte Information und wird von der Leitung genehmigt.
Wie viele der Anhang-A-Maßnahmen muss die SoA berücksichtigen?