Anwendbarkeitserklärung
Zusammen mit dem Anwendungsbereich, ist die sogenannte Anwendbarkeitserklärung (englisch: SoA – Statement of Applicability) der erste Anhaltspunkt für den Auditor, um sich ein Bild über den Umfang und die Gegebenheiten des ISMS und des Unternehmens zu machen.
Die Anwendbarkeitserklärung ist ein Dokument, welches alle 114 Controls aus dem Anhang A der ISO 27001 abbildet. Im Rahmen der Anwendbarkeitserklärung ist zu prüfen und zu dokumentieren, welche Controls angewendet werden und deren Auswahl zu begründen.
In Einzelfällen können Controls auch begründet abgewählt werden, wenn die Vorgaben für den Anwendungsbereich des ISMS nicht zutreffend sind. Beispielsweise können Organisationen das Control „A.14.2.7 Ausgegliederte Entwicklung“ abwählen, wenn diese keine Entwicklung von Software an Dritte vergeben. In der Praxis werden aber oft alle Controls angewendet und es ist nur vereinzelt sinnvoll bzw. möglich, Controls abzuwählen.