Beschreibung¶
Die Anwendbarkeitserklärung ist ein Teil der ISMS Dokumentation und listet alle 114 (ISO 27001:2013) bzw. 93 (ISO 27001:2022) Controls (Maßnahmen aus dem Anhang A der ISO 27001) auf. Im Rahmen der Anwendbarkeitserklärung ist zu prüfen und zu dokumentieren, welche Controls angewendet werden und die Auswahl zu begründen. Alternativ können Controls auch begründet abgewählt werden, wenn die Vorgaben auf den Geltungsbereich des ISMS nicht anwendbar sind. In der Praxis werden meist alle Controls angewendet und es ist nur vereinzelt sinnvoll bzw. möglich Controls abzuwählen.
Gut zu wissen: Die Anwendbarkeitserklärung dient dem Auditor zum Verstehen des Umfangs des ISMS. Die Erklärung wird meist gemeinsam mit einem Organigramm der Organisation und der Definition des Geltungsbereich des ISMS im Rahmen der Dokumentenprüfung vom Auditor gesichtet und zur Planung des Vor-Ort-Audits genutzt.
Die Anwendbarkeitserklärung ist im Modul 05 - Compliance zu finden.
Vorgehen¶
| Aktivität | Beschreibung | Anmerkung | |
|---|---|---|---|
| 1 | Die Anwendbarkeitserklärung wird dynamisch aus den Informationen des Self-Assessments (Modul Compliance) erzeugt. | Die entscheidenden Informationen, welche für eine Anwendbarkeitserklärung für jedes Control benötigt werden, sind: - der Auswahlgrund / Abwahlgrund - der Reifegrad Sinnvoll ist es ebenfalls Dokumente oder sonstige Nachweise direkt in der Anwendbarkeitserklärung zu hinterlegen. | |
| 2 | Bestimmung des Auswahlgrunds | Für den Großteil der Controls ist bereits "Übernommene Best Practices" als Auswahlgrund vorausgewählt und kann übernommen werden. Alternativ können andere Auswahlgründe angegeben werden. | Mögliche Auswahlgründe für die Controls (Maßnahmen) des Anhang A - Übernommene Best Practices / Geschäftliche Anforderungen - Gesetzliche Anforderungen - Vertragliche Verpflichtungen - Ergebnisse der Risikoanalyse |
| 3 | Ggf. Abwahl einzelner Controls | Wird ein Control abgewählt, dann muss dies triftig begründet werden. Ein akzeptabler Abwahlgrund ist, dass ein Control nicht anwendbar ist, weil die Tätigkeit im Unternehmen nicht durchgeführt wird. | Beispielsweise können Organisationen bestimmte Controls aus dem Kapitel 14.2 abwählen, wenn diese keine eigene Entwicklung von Software vornehmen. Die Abwahl von Controls sollte jedoch mit Bedacht vorgenommen werden, sprechen Sie sich im Zweifel diesbezüglich auch mit Ihrem Zertifizierungsauditor ab. |
| 4 | Bestimmung des Reifegrads | Die ISO/IEC 27001 fordert, dass in der Anwendbarkeitserklärung der Umsetzungsgrad aller anwendbaren Controls angegeben wird. Dies geschieht über die Bewertung des Reifegrads im Rahmen des Self-Assessment zum Anhang A (siehe HowTo: Self-Assessment im Compliance Modul). | Details und Hilfe zur Bestimmung des Reifegrads sind im "HowTo: Self-Assessment im Compliance Modul" sowie in der "Hilfe: Reifegrad" zu finden. |
| 5 | Export der Anwendbarkeitserklärung | Da die dynamische Version ständigem Wandel unterliegt, zum Beispiel durch eine Neubewertung von Controls und sich diese Änderungen nicht in der Änderungshistorie wiederfinden, sollte zum gegebenen Zeitpunkt ein Export der dynamischen Anwendbarkeitserklärung z.B. als PDF Datei erfolgen. | Da die PDF Datei beim Export eine sehr breite Tabelle enthält, kann es zu Problemen mit der Formatierung kommen. Um dies zu verhindern gibt es zwei Alternativen: 1. Die PDF Formatvorlage kann angepasst werden, sodass die exportierte Seite DIN A3 im Querformat entspricht. Eine Anleitung wie das funktioniert findet sich im HowTo: PDF Export anpassen (z.B. Klassifizierung im Footer), der einzustellende Parameter lautet: @page { /*A3-sized pages in landscape orientation are 297 mm wide by 210 mm long*/ size: 420mm 297mm; } 2. Der Export findet als Word-Dokument statt. Im Word Dokument wird die Formatierung der Tabelle angepasst, bevor das Dokument dann als PDF-Datei gespeichert wird. Es empfiehlt sich die beiden Hinweise in der dynamischen Anwendbarkeitsklärung zur Versionierung und zum Export vor dem Export bzw. im Rahmen der Bearbeitung in Word zu löschen, sodass diese in der PDF Datei nicht mehr auftauchen. |
| 6 | Ablage der Anwendbarkeitserklärung | Auf der Seite "Anwendbarkeitserklärung" sollte die aktuelle statische PDF-Version abgelegt werden. | Diese statische Version der Anwendbarkeitserklärung ist Grundlage für das Zertifizierungsaudit und wird für gewöhnlich auch auf dem Zertifikat referenziert. |
Linksammlung¶
| Bezeichnung | Beschreibung | Pfad/Link | Anmerkung |
|---|---|---|---|
| Anwendbarkeitserklärung (dynamisch) | Hier findet sich der aktuelle Stand der Anwendbarkeitserklärung, der z.B. bei einer Neubewertung von Controls automatisch angepasst wird. | Link | |
| Anwendbarkeitserklärung | Hier werden exportierte, statische Anwendbarkeitserklärungen versioniert abgelegt. | Link | |
| HowTo: Self-Assessment im Compliance Modul | In diesem HowTo wird beschrieben, wie ein Self-Assessment im Compliance Modul durchgeführt wird. In diesem Zuge werden u.a. auch die Controls im Hinblick auf Ihren Reifegrad bewertet udn Nachweise gepflegt. | Link | |
| Hilfe: Reifegrad | Hier findet sich eine Hilfe zur Einstufung der Reifegrade. Der Reifegrad beschreibt die Umsetzungsreife der einzelnen Controls der Norm. | Link | |
| Modul Compliance | Im Modul Compliance findet sich alles rund um die ISO/IEC 27001. | Link |
Wo finde ich was?
Seiteninhalt
Änderungshistorie¶
| Datum | Autor | Änderung |
|---|---|---|
| 2026-02-15 | Visitrans | Execute SPEC-02: YAML frontmatter for 646 files, link conversion, validation |
| 2026-02-15 | Visitrans | Fix table conversion: colspan expansion, header promotion, line breaks |
| 2026-02-14 | Visitrans | Execute SPEC-01: Bulk-Export 646 Confluence pages to Obsidian vault |