Erstellen Sie eine belastbare ISO-27001-Anwendbarkeitserklärung
Das Dokument, das Prüfer zuerst öffnen, ist jenes, das aus dem Takt gerät
Die Anwendbarkeitserklärung ist das Dokument, das ein ISO-27001-Prüfer zuerst öffnet. Sie muss festhalten, welche Anhang-A-Massnahmen gelten, welche nicht und warum — und sie muss dem entsprechen, was Ihre Organisation heute tatsächlich tut, nicht dem, was sie zum Zeitpunkt der letzten Zertifizierung getan hat.
Die meisten Teams pflegen sie in einer Tabelle, die sofort aus dem Takt gerät, sobald sich Massnahmen, Geltungsbereich oder Standards ändern. Konformitätsprozentsätze werden von Hand zusammengezählt, und Anwendbarkeitsentscheidungen verlieren ihre Begründung.
So wird ausgerechnet das Dokument, das die bewusste Massnahmenauswahl belegen soll, zu jenem, das Sie in der Woche vor dem Audit hektisch rekonstruieren müssen.
Was Sie mit der Anwendbarkeitserklärung tun können
- Arbeiten Sie aus einer dedizierten SoA-Ansicht heraus, die auf ISO 27001 abgebildet ist — keine generische Kontrollliste.
- Kennzeichnen Sie jede Massnahme als anwendbar oder nicht anwendbar je Organisation und je Kategorie.
- Werten Sie Anwendbarkeitsbedingungen aus — über integrierte und externe Standards hinweg, an einem Ort.
- Sehen Sie Summen anwendbarer Massnahmen je Kategorie sowie für Sie berechnete Konformitätsprozentsätze.
- Berichten Sie gegen das ISO-27001-SoA-Massnahmenset, einschliesslich des Sets 2013, ohne manuelles Mapping.
Was es Ihrem Programm liefert
- Gehen Sie mit fertiger SoA ins Audit — Anwendbarkeit und Konformität werden laufend nachgehalten, nicht in der Woche davor neu aufgebaut.
- Verteidigen Sie jede Anwendbarkeitsentscheidung — der je Massnahme und Kategorie festgehaltene Status gibt der Frage «Warum ist das ausgeschlossen?» eine sofortige Antwort.
- Schluss mit dem Auszählen der Konformität von Hand — Prozentsätze je Kategorie werden für Sie berechnet und ein wiederkehrender Tabellenfehler entfällt.
- Führen Sie eine SoA über mehrere Standards hinweg, sodass interne und externe Frameworks an dasselbe Massnahmeninventar gebunden bleiben.
Für Compliance entwickelt
Diese Zuordnungen zeigen, wie die Funktion Ihre Pflichten unterstützt — sie garantieren oder begründen keine Compliance.
| Was DPMS tut | Bezug zu | Wie |
|---|---|---|
| Bestimmt anwendbare vs. nicht anwendbare Massnahmen | ISO 27001 (Anwendbarkeitserklärung) | Anwendbarkeitsstatus je Massnahme und je Kategorie in einer dedizierten SoA-Ansicht |
| Unterstützt das ISO-27001-SoA-Massnahmenset | ISO 27001 Anhang A | Integrierte Zuordnung zum Massnahmenset, einschliesslich des SoA-Sets 2013 |
| Wertet die Anwendbarkeit über Standards hinweg aus | ISO 27001 | Bedingungen werden sowohl für lokale als auch für externe Standards bewertet |
| Berichtet die Konformität je Kategorie | ISO 27001 | Automatische Berechnung von Summen anwendbarer Massnahmen und Konformitätsprozentsätzen |
Warum Priverion
Anders als generische GRC-Tools, welche die SoA als eigenständiges Register führen, behandelt Priverion sie als erstklassige, an ISO 27001 gebundene Ansicht — Anwendbarkeit und Konformitätsprozentsätze werden je Kategorie aus Ihren aktuellen Massnahmendaten berechnet, nicht von Hand erfasst.
Weil die SoA in einer einheitlichen Plattform für Datenschutz und Informationssicherheit liegt, fliessen die von Ihnen bewerteten Massnahmen in dasselbe Inventar ein, das Ihre Risiko- und Compliance-Arbeit bereits nutzt. Das Dokument, das eine prüfende Stelle einsieht, spiegelt den heutigen Zustand Ihrer Massnahmen wider — ohne erneutes Erfassen.
Fragen, die CISOs vor einer Demo stellen
Erstellt diese Funktion gezielt eine ISO-27001-Anwendbarkeitserklärung?
Kann ich Massnahmen als nicht anwendbar kennzeichnen und diese Entscheidung dokumentiert behalten?
Werden Konformitätsprozentsätze automatisch berechnet?
Funktioniert es auch mit Standards über das integrierte ISO-27001-Set hinaus?
Verwandte Funktionen entdecken
Bereit für eine auditfertige SoA?
