Statement of Applicability: Unterschied zwischen den Versionen
Zeile 16: | Zeile 16: | ||
== Inhalte == | == Inhalte == | ||
{| | |||
| Erforderliche Maßnahmen || Liste der 114 Maßnahmen aus Anhang A | |||
|- | |||
| Risiken || die mit den Maßnahmen behandelt werden sollen | |||
|- | |||
| Status der Umsetzung || Informationen darüber, ob die jeweiligen Maßnahmen umgesetzt wurden oder nicht | |||
|- | |||
| Begründung für Ausschlüsse || Argumentation für die Einbeziehung oder den Ausschluss der jeweiligen Maßnahmen | |||
|- | |||
| Risikobehandlungsplan || Übernahme der Verantwortung für die Risikobehandlung durch den Risikoeigner | |||
|} | |||
Eine kurze Erläuterung der Schritte, die zur Umsetzung der anwendbaren Maßnahmen durchgeführt werden | |||
* mit Verweis auf die Richtlinien und Maßnahmen, die den erforderlichen Kontext liefern | |||
<noinclude> | <noinclude> |
Version vom 12. April 2024, 13:07 Uhr
Statement of Applicability (SoA) - Erklärung der Andwendbarkeit
Beschreibung
- Statement of Applicability (SoA)
Dokument, das die Sicherheitsrisiken einer Organisation bewertet und die spezifischen Kontrollen aufzeigt, die zur Minderung dieser Risiken eingerichtet wurden
- Anwendbarkeitserklärung
- Zentraler Bestandteil eines Informationssicherheits-Managementsystems (ISMS)
- Control Objectives und Controls
- In der SoA werden die Maßnahmenziele (Control Objectives) und Maßnahmen (Controls), die von einer Organisation festgelegt wurden, aufgezeigt.
Die SoA bietet einen Überblick über das Informationssicherheits-Managementsystem eines Unternehmens
- Das Fehlen einer klaren Übersicht über die Interkonnektivität des ISMS könnte zu Problemen führen
- Wenn ein Auditor das Gefühl hat, dass das ISMS nicht vertrauenswürdig ist, oder die Dokumentation mangelhaft oder nicht vorhanden ist, wird das ISO 27001-Audit wahrscheinlich nicht erfolgreich sein
- Um dies zu vermeiden, sollten Sie Ihr Dokument sorgfältig prüfen und sicherstellen, dass alle diese wichtigen Punkte erfüllt sind
Inhalte
Erforderliche Maßnahmen | Liste der 114 Maßnahmen aus Anhang A |
Risiken | die mit den Maßnahmen behandelt werden sollen |
Status der Umsetzung | Informationen darüber, ob die jeweiligen Maßnahmen umgesetzt wurden oder nicht |
Begründung für Ausschlüsse | Argumentation für die Einbeziehung oder den Ausschluss der jeweiligen Maßnahmen |
Risikobehandlungsplan | Übernahme der Verantwortung für die Risikobehandlung durch den Risikoeigner |
Eine kurze Erläuterung der Schritte, die zur Umsetzung der anwendbaren Maßnahmen durchgeführt werden
- mit Verweis auf die Richtlinien und Maßnahmen, die den erforderlichen Kontext liefern