---
name: "ISO 27001 Vorlage für die Erklärung zur Anwendbarkeit (SoA)"
version: "1.0"
updated: "2026-07-13"
source: "https://www.orbiqhq.com/templates/iso-27001-statement-of-applicability-template"
license: "Kostenlose Nutzung; Namensnennung willkommen"
standard: "ISO/IEC 27001:2022 (einschließlich Amd 1:2024), Abschnitt 6.1.3(d), Anhang A"
legal_basis:
  - "https://www.iso.org/standard/27001"
  - "https://eur-lex.europa.eu/eli/dir/2022/2555/oj"
---

# ISO 27001 Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) — Vorlage

Eine einsatzbereite Erklärung zur Anwendbarkeit für ISO/IEC 27001:2022 mit allen
93 Kontrollen aus Anhang A, vorbefüllt (Organisatorisch 37, Personenbezogen 8,
Physisch 14, Technologisch 34). Ein KI-Agent oder ein menschlicher Umsetzer kann
allein anhand dieser Datei eine vollständige, auditfähige SoA erstellen:
(1) ausgehend von Risikobewertung und Risikobehandlungsplan arbeiten, (2) jede
Kontrolle als anwendbar oder ausgeschlossen kennzeichnen, (3) beide Entscheidungen
begründen, (4) Umsetzungsstatus und Nachweise erfassen, (5) das Dokument unter
Versionskontrolle führen und in jedem ISMS-Zyklus überprüfen.

Diese Datei führt ausschließlich die Kennungen und Titel der Kontrollen aus
Anhang A auf. Der Kontrolltext und die Umsetzungsleitlinien stehen in
ISO/IEC 27001:2022 und ISO/IEC 27002:2022, die über die ISO oder ein nationales
Normungsinstitut (in Deutschland: DIN) bezogen werden müssen — sie werden hier
nicht wiedergegeben.

---

## 1. Was Abschnitt 6.1.3(d) verlangt

Die SoA muss mindestens enthalten:

1. Die **notwendigen Kontrollen**, die im Rahmen der Risikobehandlung bestimmt
   wurden (Anhang A zuzüglich etwaiger weiterer Kontrollsätze);
2. Die **Begründung für die Einbeziehung** jeder notwendigen Kontrolle;
3. Ob jede notwendige Kontrolle **umgesetzt ist oder nicht**;
4. Die **Begründung für den Ausschluss** jeder Kontrolle aus Anhang A.

Regeln zur Vollständigkeit für einen Agenten, der dieses Verzeichnis befüllt:

- `applicable` — Enum: `yes` | `no`. Jede der 93 Zeilen muss einen Wert tragen; leere Felder = unvollständige SoA.
- `justification_inclusion` — erforderlich bei `applicable: yes`. Benennen Sie das Risiko bzw. die rechtliche, vertragliche oder geschäftliche Anforderung, die die Kontrolle behandelt.
- `justification_exclusion` — erforderlich bei `applicable: no`. Muss inhaltlich tragen („keine physischen Büros“ trägt; „zu kostspielig“ nicht).
- `status` — Enum: `implemented` | `partially-implemented` | `planned` | `not-implemented`. Erforderlich bei `applicable: yes`.
- `evidence` — Verweis auf die Richtlinie, das Verfahren, das System oder die Aufzeichnung, die die Kontrolle belegt.
- Gegenprüfung: Keine Zeile darf `applicable: no` mit einem Wert in `status` kombinieren.

## 2. Dokumentenlenkung

| Feld | Wert |
|---|---|
| Organisation | _____ |
| Referenz des ISMS-Geltungsbereichs | _____ |
| SoA-Version | _____ |
| Genehmigt von | _____ |
| Genehmigungsdatum | YYYY-MM-DD |
| Nächste Überprüfung fällig | YYYY-MM-DD |
| Referenz der Risikobewertung | _____ |
| Referenz des Risikobehandlungsplans | _____ |

## 3. Verzeichnis der Erklärung zur Anwendbarkeit

Spalten: `applicable` (yes/no) · `justification` (Einbeziehung oder Ausschluss, gemäß den obigen Regeln) · `status` (Enum siehe oben; nur bei Anwendbarkeit) · `evidence`.

| Kontroll-ID | Name der Kontrolle | Thema | Neu in 2022 | Anwendbar | Begründung | Status | Nachweis |
|---|---|---|---|---|---|---|---|
| A.5.1 | Informationssicherheitsrichtlinien | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.2 | Informationssicherheitsrollen und -verantwortlichkeiten | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.3 | Aufgabentrennung | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.4 | Verantwortlichkeiten der Leitung | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.5 | Kontakt mit Behörden | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.6 | Kontakt mit speziellen Interessengruppen | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.7 | Bedrohungsintelligenz | Organisatorisch | yes | _____ | _____ | _____ | _____ |
| A.5.8 | Informationssicherheit im Projektmanagement | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.9 | Inventar der Informationen und anderer zugehöriger Werte | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.10 | Zulässiger Gebrauch von Informationen und anderen zugehörigen Werten | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.11 | Rückgabe von Werten | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.12 | Klassifizierung von Informationen | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.13 | Kennzeichnung von Informationen | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.14 | Informationsübertragung | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.15 | Zugangssteuerung | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.16 | Identitätsmanagement | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.17 | Authentisierungsinformation | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.18 | Zugangsrechte | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.19 | Informationssicherheit in Lieferantenbeziehungen | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.20 | Behandlung von Informationssicherheit in Lieferantenvereinbarungen | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.21 | Umgang mit Informationssicherheit in der IKT-Lieferkette | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.22 | Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.23 | Informationssicherheit bei der Nutzung von Cloud-Diensten | Organisatorisch | yes | _____ | _____ | _____ | _____ |
| A.5.24 | Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.25 | Beurteilung und Entscheidung über Informationssicherheitsereignisse | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.26 | Reaktion auf Informationssicherheitsvorfälle | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.27 | Erkenntnisse aus Informationssicherheitsvorfällen | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.28 | Sammeln von Beweismaterial | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.29 | Informationssicherheit während einer Störung | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.30 | IKT-Bereitschaft für Business Continuity | Organisatorisch | yes | _____ | _____ | _____ | _____ |
| A.5.31 | Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.32 | Geistige Eigentumsrechte | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.33 | Schutz von Aufzeichnungen | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.34 | Privatsphäre und Schutz von personenbezogenen Daten (PII) | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.35 | Unabhängige Überprüfung der Informationssicherheit | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.36 | Einhaltung von Richtlinien, Regeln und Normen für Informationssicherheit | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.5.37 | Dokumentierte Betriebsabläufe | Organisatorisch | no | _____ | _____ | _____ | _____ |
| A.6.1 | Sicherheitsüberprüfung | Personenbezogen | no | _____ | _____ | _____ | _____ |
| A.6.2 | Beschäftigungs- und Vertragsbedingungen | Personenbezogen | no | _____ | _____ | _____ | _____ |
| A.6.3 | Informationssicherheitsbewusstsein, -ausbildung und -schulung | Personenbezogen | no | _____ | _____ | _____ | _____ |
| A.6.4 | Maßregelungsprozess | Personenbezogen | no | _____ | _____ | _____ | _____ |
| A.6.5 | Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung | Personenbezogen | no | _____ | _____ | _____ | _____ |
| A.6.6 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen | Personenbezogen | no | _____ | _____ | _____ | _____ |
| A.6.7 | Remote-Arbeit | Personenbezogen | no | _____ | _____ | _____ | _____ |
| A.6.8 | Meldung von Informationssicherheitsereignissen | Personenbezogen | no | _____ | _____ | _____ | _____ |
| A.7.1 | Physische Sicherheitsperimeter | Physisch | no | _____ | _____ | _____ | _____ |
| A.7.2 | Physischer Zutritt | Physisch | no | _____ | _____ | _____ | _____ |
| A.7.3 | Sichern von Büros, Räumen und Einrichtungen | Physisch | no | _____ | _____ | _____ | _____ |
| A.7.4 | Physische Sicherheitsüberwachung | Physisch | yes | _____ | _____ | _____ | _____ |
| A.7.5 | Schutz vor physischen und umweltbedingten Bedrohungen | Physisch | no | _____ | _____ | _____ | _____ |
| A.7.6 | Arbeiten in Sicherheitsbereichen | Physisch | no | _____ | _____ | _____ | _____ |
| A.7.7 | Aufgeräumte Arbeitsumgebung und Bildschirmsperren | Physisch | no | _____ | _____ | _____ | _____ |
| A.7.8 | Platzierung und Schutz von Geräten und Betriebsmitteln | Physisch | no | _____ | _____ | _____ | _____ |
| A.7.9 | Sicherheit von Werten außerhalb der Räumlichkeiten | Physisch | no | _____ | _____ | _____ | _____ |
| A.7.10 | Speichermedien | Physisch | no | _____ | _____ | _____ | _____ |
| A.7.11 | Versorgungseinrichtungen | Physisch | no | _____ | _____ | _____ | _____ |
| A.7.12 | Sicherheit der Verkabelung | Physisch | no | _____ | _____ | _____ | _____ |
| A.7.13 | Instandhaltung von Geräten und Betriebsmitteln | Physisch | no | _____ | _____ | _____ | _____ |
| A.7.14 | Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln | Physisch | no | _____ | _____ | _____ | _____ |
| A.8.1 | Endpunktgeräte von Benutzern | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.2 | Privilegierte Zugangsrechte | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.3 | Informationszugangsbeschränkung | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.4 | Zugang zum Quellcode | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.5 | Sichere Authentisierung | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.6 | Kapazitätssteuerung | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.7 | Schutz gegen Schadsoftware | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.8 | Handhabung von technischen Schwachstellen | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.9 | Konfigurationsmanagement | Technologisch | yes | _____ | _____ | _____ | _____ |
| A.8.10 | Löschung von Informationen | Technologisch | yes | _____ | _____ | _____ | _____ |
| A.8.11 | Datenmaskierung | Technologisch | yes | _____ | _____ | _____ | _____ |
| A.8.12 | Verhinderung von Datenlecks | Technologisch | yes | _____ | _____ | _____ | _____ |
| A.8.13 | Sicherung von Informationen | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.14 | Redundanz von informationsverarbeitenden Einrichtungen | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.15 | Protokollierung | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.16 | Überwachungstätigkeiten | Technologisch | yes | _____ | _____ | _____ | _____ |
| A.8.17 | Uhrensynchronisation | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.18 | Gebrauch von Hilfsprogrammen mit privilegierten Rechten | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.19 | Installation von Software auf Systemen im Betrieb | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.20 | Netzwerksicherheit | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.21 | Sicherheit von Netzwerkdiensten | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.22 | Trennung von Netzwerken | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.23 | Webfilterung | Technologisch | yes | _____ | _____ | _____ | _____ |
| A.8.24 | Gebrauch von Kryptografie | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.25 | Sicherer Entwicklungslebenszyklus | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.26 | Anforderungen an die Anwendungssicherheit | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.27 | Sichere Systemarchitektur und Prinzipien für die Systemtechnik | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.28 | Sicheres Codieren | Technologisch | yes | _____ | _____ | _____ | _____ |
| A.8.29 | Sicherheitsprüfung in Entwicklung und Abnahme | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.30 | Ausgegliederte Entwicklung | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.31 | Trennung von Entwicklungs-, Test- und Produktivumgebungen | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.32 | Änderungssteuerung | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.33 | Testinformationen | Technologisch | no | _____ | _____ | _____ | _____ |
| A.8.34 | Schutz von Informationssystemen während Auditprüfungen | Technologisch | no | _____ | _____ | _____ | _____ |

## 4. Auslöser für eine Überprüfung

Aktualisieren Sie diese SoA, sobald einer der folgenden Fälle eintritt, sowie
mindestens einmal je ISMS-Zyklus (Managementbewertung, vor Überwachungs- und
Rezertifizierungsaudits):

- Die Risikobewertung oder der Risikobehandlungsplan ändert sich wesentlich.
- Eine Kontrolle wird ergänzt, außer Kraft gesetzt oder erheblich geändert.
- Der Kontext der Organisation ändert sich (Abschnitt 4.1 — seit Amd 1:2024
  umfasst dies ausdrücklich die Feststellung, ob der Klimawandel ein relevantes
  Thema ist).
- Die Anforderungen interessierter Parteien ändern sich (Abschnitt 4.2).
- Die Norm selbst ändert sich (der Übergang von 2013 auf 2022 endete am
  31. Oktober 2025; alle gültigen Zertifikate beziehen sich nun auf
  ISO/IEC 27001:2022).

## 5. Regulatorische Wiederverwendung in der EU

Für EU-Einrichtungen im Anwendungsbereich von NIS2 (Richtlinie (EU) 2022/2555)
lassen sich der Satz anwendbarer Kontrollen und dessen Nachweise auf die
Risikomanagementmaßnahmen nach Artikel 21(2) abbilden — siehe das Mapping-Blatt in
der XLSX-Variante sowie
https://www.orbiqhq.com/eu-regulations/nis2-directive für die Tabelle
Artikel 21(2) → Anhang A. Eine Ausrichtung an ISO 27001 unterstützt den Nachweis
der NIS2-Konformität, erbringt ihn aber nicht für sich allein: NIS2 stellt unter
den nationalen Umsetzungsgesetzen eigene Erwartungen an Governance, Meldewesen und
Durchsetzung.
