Knowledgebase
Helpdesk
Knowledgebase
Helpdesk
Erste Schritte + Grundlagen
Grundfunktionen
Assets + Organisation
Datenschutz
Informationssicherheit
Technische und Organisatorische Maßnahmen (TOM)
ModulüberblickTOM anlegen und Stammdaten pflegenTOM-Wirksamkeit prüfen und messenTOM-Verknüpfungen pflegen: Asset, Risiko, VVT, GeschäftsprozessTOM: Statement of Applicability (SoA)-Export und Anforderungs-MappingTOM per Massenaktion bearbeitenTOM-Modul konfigurieren
Personal + Schulung
FAQ + Troubleshooting
Changelog
Changelog
Changelog Juni 2026

TOM: Statement of Applicability (SoA)-Export und Anforderungs-Mapping

Technische und Organisatorische Maßnahmen (TOM)

Mit dem SoA-Export erzeugen Sie aus Ihren Maßnahmen und dem Anforderungs-Mapping die Erklärung zur Anwendbarkeit (SoA) in den Formaten CSV, Excel und PDF. Die SoA listet z.B. die Controls aus ISO 27001 Annex A auf, dokumentiert deren Anwendbarkeit und ordnet jeweils die umgesetzten technischen und organisatorischen Maßnahmen zu. Sie brauchen den Export vor allem Zertifizierungs-Audits und für die jährliche Aktualisierung im Rahmen der Managementbewertung.

In 5 Minuten erledigt

  • Festlegen nach welchem Standard das Mapping / die Erstellung des SoA erfolgen soll.
  • Anforderungs-Mapping pro TOM pflegen (Tab Anforderungs-Mapping).
  • Übersicht öffnen, Filter bei Bedarf auf den Umsetzungsstatus setzen.
  • Export klicken, SoA-Variante wählen: CSV, Excel oder PDF.
  • Im Modal Framework auswählen das gewünschte Framework setzen und bestätigen.
  • Datei prüfen: Sind alle Controls/Anforderungen aufgeführt? Existiert pro Control/Anforderung mindestens eine umgesetzte Maßnahme?

Wann brauchen Sie das?

  • Sie bereiten eine ISO 27001-Erst-Zertifizierung oder eine Überachung, Re-Zertifizierung vor.
  • Ein Wirtschaftsprüfer oder ein Kunden-Audit fragt das SoA an.
  • Sie machen die jährliche Aktualisierung des SoA als Teil der Managementbewertung oder zur Anpassung des Managementsystem Scope.

Voraussetzung: Anforderungs-Mapping

Damit ein SoA-Export brauchbar ist, müssen die TOM im Tab Anforderungs-Mapping mit den gewünschten Controls/Anforderungen (z.B. ISO 27001 Annex A, oder einem anderen aktivierten Framework wie BSI IT-Grundschutz oder BSIG) verknüpft sein.

Fehlt das Mapping, exportiert das System eine Maßnahmen-Liste ohne Control-Bezug. Für eine SoA brauchen Sie aber die Control-Zuordnung, also pflegen Sie das Mapping vor dem Export.

Anforderungs-Mapping pflegen

  1. Maßnahme öffnen, Tab Anforderungs-Mapping wählen.
  2. Framework auswählen (zum Beispiel "ISO 27001 Annex A 2022").
  3. Aus dem Control-Baum die zutreffenden Controls auswählen (Mehrfachauswahl).
  4. Bei mehreren Frameworks: Schritte für jedes Framework wiederholen (zum Beispiel zusätzlich BSI IT-Grundschutz).
  5. Speichern.

SoA exportieren

  1. Öffnen Sie in der Navigation Informationssicherheit > Technische und organisatorische Maßnahmen.
  2. Schränken Sie die Liste bei Bedarf über die Filter ein, zum Beispiel auf den Umsetzungsstatus Umgesetzt oder In Umsetzung.
  3. Klicken Sie in der Werkzeugleiste auf Export. Im Dropdown erscheinen die SoA-Varianten:
    • SoA-Export (CSV) - tabellarisch, gut zur Weiterverarbeitung.
    • SoA-Export (Excel) - mit Formatierung, geeignet für interne Reviews.
    • SoA-Export (PDF) - druckfertig, für die Übergabe an den Auditor.
  5. Nach der Format-Auswahl öffnet sich das Modal Framework auswählen. Wählen Sie als Radio-Option entweder Alle Frameworks oder ein einzelnes Framework, z.B. ISO 27001:2022 Annex A für ein Zertifizierungsaudit oder Überwachungsaudit. Bestätigen Sie; die Datei wird erzeugt und heruntergeladen.

  1. Prüfen Sie den Report:
    • Sind alle Annex-A-Controls aufgeführt?
    • Ist pro Control mindestens eine umgesetzte Maßnahme zugeordnet, oder ist die Nicht-Anwendbarkeit begründet?
    • Stimmen die Umsetzungsstatus mit dem realen Stand überein?

Tipp: Vor dem Audit-Export einen Trockenlauf machen: Export öffnen, Spalte "Anforderungs-Mapping" auf Lücken prüfen. Eine leere Maßnahme deutet auf die fehlende Verknüpfung zu einer Anforderung hin.

Vergleich der SoA-Formate

Format

Verwendung

Empfehlung

CSV

Weiterverarbeitung in Excel oder Tools

Stichproben, Auswertung

Excel

Interne Reviews mit Formatierung

Quartals-Stand für ISB-Team

PDF

Druckfertig, Auditor-Übergabe

Audit-Export

Risikobehandlungsplan und Management-Review

Neben dem SoA-Export bietet das Modul weitere Export-Formate:

  • Risikobehandlungsplan - listet die Maßnahmen pro Risiko (nach ISO 27001 6.1.3).
  • Management-Review-Report - Wirksamkeits-Stände, KPI-Auswertungen, offene Maßnahmen (nach 9.3).
  • Maßnahmenkatalog - vollständige TOM-Liste mit Stammdaten.

Alle Reports nutzen dieselbe Datenbasis - das Anforderungs-Mapping ist die Verbindung zu allen Audit-Sichten.

SoA-Pflichtinhalte nach ISO 27001

Der ISO-27001-Standard verlangt im SoA folgende Inhalte pro Control:

Pflichtinhalt

Quelle im MANAGER

Control-Bezug

Anforderungs-Mapping

Anwendbarkeit (anwendbar oder ausgeschlossen)

Filter und Begründung in der TOM

Begründung der Anwendbarkeit

Begründung für EINschlüsse und AUsschlüsse

Umsetzungs-Status

Stammdaten-Status

Controls ohne TOM-Zuordnung im Annex A dokumentieren Sie explizit als "nicht anwendbar" mit Begründung. ISO 27001 6.1.3 verlangt für jedes Annex-A-Control eine Entscheidung über die Anwendbarkeit, eine leere Stelle im SoA wäre also unvollständig.

Audit-Vorbereitung

  1. Übersicht öffnen, Filter auf Status "Umgesetzt" und Framework "ISO 27001 Annex A".
  2. Stichproben: 5-10 zufällige TOM öffnen, Anforderungs-Mapping prüfen.
  3. Lücken füllen: Maßnahmen ohne Mapping ergänzen oder die Control als "nicht anwendbar" deklarieren.
  4. SoA-PDF exportieren und prüfen.
  5. Risikobehandlungsplan zusätzlich exportieren und prüfen.
  6. Management-Review-Report für die jährliche Bewertung mit der Geschäftsführung.

Häufige Stolperfallen

  • Anforderungs-Mapping leer: Maßnahmen ohne zugeordnete Anforderung erscheinen im SoA nicht.
  • Filter zu eng gesetzt: Wer nur einen Teilbereich exportiert, erhält ein unvollständiges SoA. Prüfen Sie vor dem Export, dass der Filter den vollständigen Anforderungskatalog umfasst.

Die SoA erfüllt ISO 27001 6.1.3; das Anforderungs-Mapping ist dafür die Grundlage. Den Annex-A-Stand der aktuellen Norm (ISO 27001:2022) aktivieren Sie über die Frameworks in der Modulkonfiguration.

Häufig gestellte Fragen

Was tue ich mit Controls ohne TOM-Zuordnung?

Entweder: TOM ergänzen, die das Control/die Anforderung abdeckt. Oder: Control im Anforderungs-Mapping als "nicht anwendbar" deklarieren - mit Begründung im Annex-A-Kontext.

Wie binde ich ein zweites Framework ein (zum Beispiel BSI)?

Im Tab Anforderungs-Mapping einer TOM lassen sich mehrere Frameworks parallel pflegen. Das System exportiert pro Framework ein separates SoA - sofern aktiviert.

Welche Frameworks sind aktivierbar?

Mitgeliefert werden unter anderem ISO 27001:2022 Annex A, BSI IT-Grundschutz, DS-GVO Art. 32, DS-GVO + BDSG, das NIS-2-Umsetzungsgesetz und TISAX. Eigene Frameworks für branchenspezifische Anforderungen wie DORA, CRA, etc. legen Sie in der Modulkonfiguration über Neu an. Welche Frameworks im Export auswählbar sind, hängt davon ab, welche Sie aktiv geschaltet haben.

Wie oft sollte ich das SoA aktualisieren?

Mindestens jährlich im Rahmen der Managementbewertung und bei wesentlichen Änderungen (neue Risiken, neue Controls/Anforderungen, neue Frameworks).

Verwandte Artikel


Last updated: 06.06.26, 04:06

War dieser Artikel hilfreich?

Powered by Product Fruits
Impressum | Datenschutzerklärung