Das Statement of Applicability ist ein Pflicht-Dokument im ISO-27001-ISMS, das pro Control aus Annex A dokumentiert, ob es anwendbar ist und mit welcher Begruendung. Ein gutes SoA ist die zentrale Audit-Eintrittsstelle.

Das SoA listet alle 93 Controls aus ISO 27001:2022 Annex A auf und dokumentiert pro Control: anwendbar oder nicht, Implementierungsstatus, Verweis auf Policy oder Verfahrensanweisung, Begruendung bei Nichtanwendbarkeit.

In der Praxis ist das SoA das Dokument, das Auditoren als erstes oeffnen. Generische Begruendungen ('nicht anwendbar, da nicht relevant') werden routinemaessig hinterfragt; das SoA muss die organisations-spezifische Logik der Anwendbarkeit erkennen lassen.

Im DecisionOS-Workflow zur ISO 27001:2022 Re-Zertifizierung wird das SoA pro Control als Decision Memo mit Begruendung gefuehrt, damit Aenderungen versioniert und zurueckverfolgbar sind.

Statement of Applicability (SoA)

Related terms