Dejan Kosutic Die Bedeutung der Anwendbarkeitserklärung in ISO 27001 (manchmal auch als SoA bezeichnet) wird normalerweise unterschätzt. Wie das Qualitätshandbuch in ISO 9001 ist es das zentrale Dokument, das definiert, wie Sie einen Großteil Ihrer Informationssicherheit implementieren.
Eigentlich ist die Erklärung zur Anwendbarkeit die wichtigste Verknüpfung zwischen der Risikoeinschätzung und -behandlung und Ihrer Informationssicherheit. Sie soll festlegen, welche der vorgeschlagenen 133 Maßnahmen (Sicherheitsmaßnahmen) aus Anhang A der ISO 27001 von Ihnen angewendet werden sowie die Art und Weise, wie Sie die ausgewählten Maßnahmen umsetzen werden.
Warum ist sie erforderlich
Warum ist nun ein solches Dokument notwendig, wenn Sie bereits den Bericht zur Risikoeinschätzung (der auch obligatorisch ist) erstellt haben, in dem die notwendigen Maßnahmen ebenfalls festgelegt werden? Dies sind die Gründe:
- Erstens erkennen Sie während der Risikobehandlung die notwendigen Maßnahmen, weil sie Risiken erkannt haben, die eingedämmt werden müssen. In der SoA benennen Sie außerdem die Maßnahmen, die aus anderen Gründen erforderlich sind – d. h. aus gesetzlichen Gründen, aufgrund vertraglicher Anforderungen, wegen anderer Prozesse usw.
- Zweitens könnte der Bericht zur Risikoeinschätzung recht lang werden. Einige Unternehmen könnten ein paar Tausend Risiken erkennen (manchmal sogar mehr), so dass ein solches Dokument für den alltäglichen betrieblichen Einsatz nicht wirklich nützlich ist. Andererseits ist die Erklärung zur Anwendbarkeit eher kurz – sie hat 133 Zeilen (jede Zeile steht für eine Maßnahme). Damit ist es möglich, sie dem Management vorzulegen und dieses Dokument aktuell zu halten.
- Drittens (und am wichtigsten): Die SoA muss dokumentieren, ob jede anzuwendende Maßnahme bereits umgesetzt wurde oder nicht. Gute Praxis (und die meisten Prüfer werden genau danach suchen) bedeutet auch, die Art der Umsetzung jeder anzuwendenden Maßnahme zu beschreiben – z. B. entweder durch Verweis auf ein Dokument (Richtlinie/ Verfahren/ Arbeitsanweisungen usw.) oder durch eine Kurzbeschreibung des verwendeten Verfahrens oder Geräts.
Wenn Sie sich heute um eine Zertifizierung nach ISO 27001 bemühen, wird der Prüfer Ihre Erklärung zur Anwendbarkeit verwenden und in Ihrem gesamten Unternehmen prüfen, ob Sie Ihre Maßnahmen in der Art umgesetzt haben, wie sie in Ihrer SoA beschrieben wurden. Sie ist das zentrale Dokument für deren Audit vor Ort.
Eine sehr kleine Anzahl von Unternehmen erkennt, dass man mit der Erstellung einer guten Erklärung zur Anwendbarkeit die Anzahl der anderen Dokumente verringern könnte. Wenn Sie zum Beispiel eine bestimmte Maßnahme dokumentieren möchten, aber die Beschreibung des zugehörigen Verfahrens eher kurz wäre, so können Sie diese in der SoA festhalten. Somit würden Sie es vermeiden, ein weiteres Dokument zu verfassen.
Warum ist sie nützlich
Nach meiner Erfahrung verbringen die meisten Unternehmen, die das Informationssicherheits-Managementsystem nach ISO 27001 umsetzen, viel mehr Zeit als erwartet mit der Erstellung dieses Dokuments. Der Grund dafür ist, dass sie darüber nachdenken müssen, wie sie ihre Maßnahmen umsetzen: Werden sie neue Geräte kaufen? Oder das Verfahren ändern? Oder einen neuen Mitarbeiter einstellen? Dies sind recht wichtige (und manchmal auch teure) Entscheidungen. Daher überrascht es nicht, dass für die erfolgreiche Durchführung ziemlich viel Zeit erforderlich ist. Das Gute an der SoA ist, dass Unternehmen zu einer systematischen Durchführung dieser Aufgabe gezwungen werden.
Aus diesem Grund sollten Sie dieses Dokument nicht als eines dieser „überflüssigen Dokumente“ ansehen, die im wirklichen Leben keinen Nutzen haben. Sehen Sie es als das wichtigste Dokument, in dem Sie festlegen, was Sie mit Ihrer Informationssicherheit erreichen wollen. Wenn sie richtig verfasst wird, ist die SoA ein perfekter Überblick, was, warum und wie etwas im Bereich Informationssicherheit getan werden muss.
Klicken Sie hier, um eine Vorlage für die Erklärung zur Anwendbarkeit zu sehen.
