Glossary term
Statement of Applicability (SoA)
Also: SoA, Anwendbarkeitserklärung
Das Statement of Applicability ist ein Pflicht-Dokument im ISO-27001-ISMS, das pro Control aus Annex A dokumentiert, ob es anwendbar ist und mit welcher Begründung. Ein gutes SoA ist die zentrale Audit-Eintrittsstelle.
Das SoA listet alle 93 Controls aus ISO 27001:2022 Annex A auf und dokumentiert pro Control: anwendbar oder nicht, Implementierungsstatus, Verweis auf Policy oder Verfahrensanweisung, Begründung bei Nichtanwendbarkeit.
In der Praxis ist das SoA das Dokument, das Auditoren als erstes oeffnen. Generische Begründungen ('nicht anwendbar, da nicht relevant') werden routinemaessig hinterfragt; das SoA muss die organisations-spezifische Logik der Anwendbarkeit erkennen lassen.
Im DecisionOS-Workflow zur ISO 27001:2022 Re-Zertifizierung wird das SoA pro Control als Decision Memo mit Begründung geführt, damit Änderungen versioniert und zurückverfolgbar sind.
Related terms
Compliance mapping
The explicit link between a decision (vendor, architecture, control) and the specific regulatory art…
Decision memo
A short structured document that captures why a decision was made, the options considered, the crite…
Audit-ready decision
A decision whose record is structured, evidence-backed and stakeholder-signed to a level that a thir…
SASE
Gartner-Architekturkategorie, die Netzwerk- (SD-WAN) und Security-Funktionen (SWG, CASB, ZTNA, FWaaS…
SBOM
Maschinenlesbares Inventar aller Komponenten einer Software inkl. Versionen, Lizenzen und Abhängigke…
Schrems II
EuGH-Urteil vom 16. Juli 2020, das den EU-US Privacy Shield für ungueltig erklärte und Standardvertr…
SOC 2 Type 2
Prüfbericht eines US-Wirtschaftsprüfers nach AICPA-Standard SSAE 18, der die Wirksamkeit der Kontrol…
Sovereign Cloud
Cloud-Angebot, in dem nicht nur Daten, sondern auch Operations, Personal, Schlüssel und Jurisdiktion…