Erklärung zur Anwendbarkeit (SoA)
Die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) identifiziert, welche Kontrollen des Anhangs A der ISO/IEC 27001:2022 für ISMS Copilot anwendbar sind, begründet den Einschluss oder Ausschluss jeder Kontrolle und beschreibt, wie die anwendbaren Kontrollen implementiert sind. Sie ist ein obligatorisches Ergebnis unseres Risikobehandlungsprozesses.
Dieses Dokument folgt ISO 27001:2022 Klausel 6.1.3 d). Jede Kontrolle ist als Ja (anwendbar und implementiert), Teilweise (anwendbar, Implementierung läuft) oder N/A (nicht anwendbar, Ausschluss begründet) gekennzeichnet.
Zusammenfassende Statistiken
Kategorie | Gesamtzahl Kontrollen | Anwendbar | Teilweise | N/A |
|---|---|---|---|---|
A.5 Organisatorisch | 37 | 35 | 2 | 0 |
A.6 Personal | 8 | 7 | 1 | 0 |
A.7 Physisch | 14 | 1 | 0 | 13 |
A.8 Technologisch | 34 | 28 | 5 | 1 |
Gesamt | 93 | 71 | 8 | 14 |
71 Kontrollen sind vollständig anwendbar und implementiert, 8 sind teilweise implementiert (in Arbeit) und 14 sind nicht anwendbar – primär physische Kontrollen, die ausgeschlossen wurden, da ISMS Copilot eine vollständig remote betriebene, Cloud-gehostete SaaS-Plattform ohne physisches Büro oder Rechenzentrum ist.
Organisatorische Kontrollen (A.5)
# | Kontrolle | Status | Zusammenfassung der Implementierung |
|---|---|---|---|
A.5.1 | Informationssicherheitsrichtlinien | Ja | Umfassendes Set an Richtlinien, das alle ISMS-Bereiche abdeckt |
A.5.2 | Rollen und Verantwortlichkeiten für Informationssicherheit | Ja | Definierte Rollen in allen Richtlinien mit klarer Rechenschaftspflicht |
A.5.3 | Aufgabentrennung | Teilweise | Begrenzt durch Teamgröße; kompensiert durch duale Zugriffsberechtigungsprüfungen und PR-Genehmigungsanforderungen |
A.5.4 | Verantwortlichkeiten des Managements | Ja | Der CEO ist ISMS-Eigentümer mit Gesamtverantwortung |
A.5.5 | Kontakt mit Behörden | Ja | Regulatorische Kontakte dokumentiert; CNIL-Meldeverfahren definiert |
A.5.6 | Kontakt mit speziellen Interessengruppen | Ja | Überwachung von Security-Communities und Anbieter-Empfehlungen |
A.5.7 | Bedrohungsanalyse (Threat Intelligence) | Ja | Aktives Threat Intelligence Programm mit wöchentlichen Überprüfungen |
A.5.8 | Informationssicherheit im Projektmanagement | Ja | Sicherheit wird bei jeder Feature-Entwicklung über den Change-Management-Prozess berücksichtigt |
A.5.9 | Inventar der Informationen und anderer zugehöriger Werte | Ja | Infrastruktur- und Dateninventare werden gepflegt |
A.5.10 | Zulässige Nutzung von Informationen und anderen zugehörigen Werten | Ja | Regeln zur zulässigen Nutzung für alle Informationswerte, Plattformen, Daten und KI-Tools |
A.5.11 | Rückgabe von Werten | Ja | Offboarding-Verfahren für den Widerruf von Zugriffsberechtigungen |
A.5.12 | Klassifizierung von Informationen | Ja | Vierstufiges Klassifizierungsschema (Öffentlich, Intern, Vertraulich, Streng vertraulich) |
A.5.13 | Kennzeichnung von Informationen | Ja | Klassifizierungskennzeichnungen auf allen Richtlinien- und GRC-Dokumenten |
A.5.14 | Informationsübertragung | Ja | TLS-Erzwingung auf allen Übertragungswegen; dokumentierte Übertragungsverfahren |
A.5.15 | Zugangssteuerung | Ja | Umfassende Zugriffskontrollrichtlinie mit RLS, JWT-Validierung und Route Guards |
A.5.16 | Identitätsmanagement | Ja | Supabase Auth für Nutzer; Plattform-Accounts für Administratoren |
A.5.17 | Authentifizierungsinformationen | Ja | MFA-Pflicht für Administratoren; Passwortstandards definiert |
A.5.18 | Zugriffsrechte | Ja | Vierteljährliche Überprüfung der Zugriffsrechte; Onboarding-/Offboarding-Verfahren |
A.5.19 | Informationssicherheit in Lieferantenbeziehungen | Ja | Lieferantenmanagement-Richtlinie für alle Cloud-Provider |
A.5.20 | Adressierung der Informationssicherheit in Lieferantenverträgen | Ja | DPAs und vertragliche Anforderungen mit allen Lieferanten |
A.5.21 | Management der Informationssicherheit in der IKT-Lieferkette | Ja | Management von Abhängigkeiten via Dependabot; Schwachstellenüberwachung |
A.5.22 | Überwachung, Überprüfung und Änderungsmanagement von Lieferantendiensten | Ja | Laufende Überwachung der Lieferanten und Leistungsverfolgung |
A.5.23 | Informationssicherheit bei der Nutzung von Cloud-Diensten | Ja | Cloud-native Architektur mit dokumentiertem Modell der geteilten Verantwortung |
A.5.24 | Planung und Vorbereitung des Informationssicherheits-Vorfallsmanagements | Ja | Incident Response Playbook mit definierten Verfahren pro Szenario |
A.5.25 | Bewertung von und Entscheidung über Informationssicherheitsereignisse | Ja | Klassifizierungssystem für den Schweregrad von Sicherheitsereignissen |
A.5.26 | Reaktion auf Informationssicherheitsvorfälle | Ja | Reaktions-Playbooks für jedes Vorfallsszenario |
A.5.27 | Lernen aus Informationssicherheitsvorfällen | Ja | Nachbesprechung von Vorfällen mit NC/OFI-Tracking und gewonnenen Erkenntnissen |
A.5.28 | Sammeln von Beweisen | Ja | Verfahren zur Protokollaufbewahrung und Beweissicherung |
A.5.29 | Informationssicherheit bei Unterbrechungen | Ja | Business-Continuity- und Disaster-Recovery-Plan mit definierten Wiederherstellungsverfahren |
A.5.30 | IKT-Bereitschaft für Business Continuity | Ja | Wiederherstellungsverfahren für jeden Dienst dokumentiert; Bootstrap-Runbook wird gepflegt |
A.5.31 | Rechtliche, statutarische, regulatorische und vertragliche Anforderungen | Ja | Rechtskataster wird geführt und regelmäßig überprüft |
A.5.32 | Rechte an geistigem Eigentum | Ja | IP-Richtlinien dokumentiert; keine urheberrechtlich geschützten Standardtexte in Trainingsdaten |
A.5.33 | Schutz von Aufzeichnungen | Ja | Aufbewahrungsfristen für alle Datenkategorien definiert |
A.5.34 | Datenschutz und Schutz von PII | Ja | Vollständige DSGVO-Compliance-Dokumentation (VVT, DSFA, TIA, Betroffenenrechte-Verfahren) |
A.5.35 | Unabhängige Prüfung der Informationssicherheit | Teilweise | Internes Auditprogramm etabliert; externes Audit zur Zertifizierung geplant |
A.5.36 | Einhaltung von Richtlinien, Regeln und Standards | Ja | Erzwungen durch PR-Reviews, automatisierte Tests und Auditprogramm |
A.5.37 | Dokumentierte Betriebsabläufe | Ja | Betriebliche Abläufe dokumentiert und versionskontrolliert |
Personelle Kontrollen (A.6)
# | Kontrolle | Status | Zusammenfassung der Implementierung |
|---|---|---|---|
A.6.1 | Überprüfung | Teilweise | Gründerteam; formaler Überprüfungsprozess für künftige Einstellungen dokumentiert |
A.6.2 | Beschäftigungsbedingungen | Ja | Sicherheitsverantwortlichkeiten vor Zugriffserteilung kommuniziert und bestätigt |
A.6.3 | Bewusstsein, Ausbildung und Schulung zur Informationssicherheit | Ja | Kompetenz- und Sensibilisierungsprogramm etabliert |
A.6.4 | Disziplinarverfahren | Ja | Gestuftes Disziplinarverfahren definiert |
A.6.5 | Verantwortlichkeiten nach Beendigung oder Änderung des Beschäftigungsverhältnisses | Ja | Offboarding-Verfahren mit Zeitplänen und fortlaufenden Verpflichtungen |
A.6.6 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen | Ja | Vertraulichkeitsumfang und vertragliche Mechanismen definiert |
A.6.7 | Telearbeit (Remote Working) | Ja | Sicherheitsanforderungen für das vollständig remote arbeitende Team |
A.6.8 | Meldung von Informationssicherheitsereignissen | Ja | Meldekanäle definiert; öffentliche SECURITY.md für externe Melder vorhanden |
Physische Kontrollen (A.7)
# | Kontrolle | Status | Begründung |
|---|---|---|---|
A.7.1 | Physische Sicherheitsbereiche | N/A | Kein physisches Büro oder Rechenzentrum; gesamte Infrastruktur Cloud-gehostet |
A.7.2 | Physischer Zutritt | N/A | Keine physischen Geschäftsräume; physische Sicherheit wird vom Provider verwaltet |
A.7.3 | Sicherung von Büros, Räumen und Einrichtungen | N/A | Keine Büros; verwaltet durch Provider |
A.7.4 | Physische Sicherheitsüberwachung | N/A | Keine physischen Werte; verwaltet durch Provider |
A.7.5 | Schutz vor physischen und umweltbedingten Bedrohungen | N/A | Keine physische Infrastruktur; wird durch Provider-Rechenzentren abgedeckt |
A.7.6 | Arbeiten in Sicherheitsbereichen | N/A | Keine Sicherheitsbereiche |
A.7.7 | Sicherheit an Arbeitsplätzen und Bildschirmen (Clear desk/clear screen) | Ja | Clear-Screen-Prinzipien auf den Remote-Arbeitskontext angewendet |
A.7.8 | Platzierung und Schutz von Geräten | N/A | Keine firmeneigenen Geräte; BYOD außerhalb des Geltungsbereichs |
A.7.9 | Sicherheit von Werten außerhalb der Geschäftsräume | N/A | Keine firmeneigenen Werte werden außerhalb mitgeführt |
A.7.10 | Speichermedien | N/A | Keine firmeneigenen Speichermedien; alle Daten in Cloud-Diensten |
A.7.11 | Versorgungseinrichtungen | N/A | Keine Infrastruktur vor Ort |
A.7.12 | Verkabelungssicherheit | N/A | Keine Infrastruktur vor Ort |
A.7.13 | Instandhaltung von Geräten | N/A | Keine firmeneigenen Geräte |
A.7.14 | Sichere Entsorgung oder Wiederverwendung von Geräten | N/A | Keine firmeneigenen Geräte |
Technologische Kontrollen (A.8)
# | Kontrolle | Status | Zusammenfassung der Implementierung |
|---|---|---|---|
A.8.1 | Endgeräte von Benutzern | Teilweise | Antivirensoftware auf dem Gerät des CEO; Kontrollen auf Applikationsebene (MFA, JWT, RLS) kompensieren begrenzte Endgeräte-Durchsetzung bei Freelancern |
A.8.2 | Privilegierte Zugriffsrechte | Ja | Service-Role-Keys und Admin-Zugriff unter strenger Kontrolle |
A.8.3 | Informationszugriffsbeschränkung | Ja | Row-Level Security (RLS), JWT-Validierung, Route Guards |
A.8.4 | Zugriff auf Quellcode | Ja | GitHub-Repository-Zugriff kontrolliert; PR-Review für alle Änderungen erforderlich |
A.8.5 | Sichere Authentifizierung | Ja | MFA für Administratoren; JWT für Nutzer; OAuth-Optionen verfügbar |
A.8.6 | Kapazitätsmanagement | Ja | Token-Limits pro Tarif; Rate-Limiting; Nutzungsüberwachung |
A.8.7 | Schutz vor Malware | Teilweise | Dateiformat-Validierung für Uploads; kein ausführbarer Code wird verarbeitet |
A.8.8 | Management von technischen Schwachstellen | Ja | Schwachstellenmanagement-Programm mit Dependabot und definierten SLAs |
A.8.9 | Konfigurationsmanagement | Ja | Configuration as Code; versionskontrollierte Infrastrukturdefinitionen |
A.8.10 | Löschen von Informationen | Ja | Automatisiertes Löschen; durch Benutzer konfigurierbare Aufbewahrungsfristen |
A.8.11 | Datenmaskierung | Ja | Protokollierungsbeschränkungen und PII-Bereinigung im Error-Tracking |
A.8.12 | Prävention von Datenabfluss (Data Leakage Prevention) | Ja | SystemPromptGuard; Protokollierungsbeschränkungen; Content Security Policy |
A.8.13 | Informations-Backup | Ja | Point-in-Time Recovery (PITR) für die Produktionsdatenbank; tägliche Backups |
A.8.14 | Redundanz von Informationsverarbeitungseinrichtungen | Teilweise | Multi-Provider KI-Failover; verwaltete Datenbankredundanz; bekannte Single-Points dokumentiert |
A.8.15 | Protokollierung | Ja | Strukturierte Protokollierung aus mehreren Quellen |
A.8.16 | Überwachungsaktivitäten | Ja | BetterStack Uptime, Sentry Fehler, PostHog Analytics, Sicherheitswarnungen |
A.8.17 | Uhrzeitsynchronisation | Ja | Plattform-gesteuertes NTP auf allen Cloud-Diensten |
A.8.18 | Verwendung von privilegierten Hilfsprogrammen | N/A | Kein traditioneller Serverzugriff; Deno-Laufzeitberechtigungen eingeschränkt |
A.8.19 | Installation von Software auf operativen Systemen | Ja | Gesteuert über CI/CD-Pipelines und Container-basierte Builds |
A.8.20 | Netzwerksicherheit | Ja | Alle Kommunikationspfade mit TLS gesichert |
A.8.21 | Sicherheit von Netzdiensten | Ja | TLS 1.2+ auf allen Diensten; Provider-verwaltete Netzwerksicherheit |
A.8.22 | Trennung von Netzwerken | Ja | Logische Trennung durch separate Provider und Umgebungen |
A.8.23 | Web-Filterung | Teilweise | Content Security Policy beschränkt Frontend-Verbindungen; Laufzeitberechtigungen beschränken Backend |
A.8.24 | Verwendung von Kryptographie | Ja | TLS 1.2+ auf allen Wegen erzwungen; Verschlüsselung im Ruhezustand via Supabase |
A.8.25 | Sicherer Entwicklungslebenszyklus | Ja | Sicherheit in jeder SDLC-Phase eingebettet; TDD vorgeschrieben |
A.8.26 | Anforderungen an die Anwendungssicherheit | Ja | Analyse der Sicherheitsanforderungen vor der Codierung; Prüfung sensibler Änderungen |
A.8.27 | Sichere Systemarchitektur und Engineering-Prinzipien | Ja | Architekturprinzipien dokumentiert; Threat Modeling für neue Features |
A.8.28 | Sichere Codierung | Ja | Codierungsstandards, verbotene Muster, KI-gestützte Codierungskontrollen |
A.8.29 | Sicherheitstests in Entwicklung und Abnahme | Ja | TDD, automatisierte Testsuite (Unit/Security/UI), CI-Gates |
A.8.30 | Ausgelagerte Entwicklung | Teilweise | KI-gestützte Entwicklung unterliegt spezifischen Richtlinien; keine externen menschlichen Entwickler |
A.8.31 | Trennung von Entwicklungs-, Test- und Produktionsumgebungen | Ja | Separate Datenbankprojekte, Anwendungsinstanzen und Deployment-Ziele pro Umgebung |
A.8.32 | Änderungsmanagement | Ja | Vollständiger Change-Management-Prozess mit automatisierter CI/CD-Durchsetzung |
A.8.33 | Testinformationen | Ja | Produktionsdaten werden niemals in die Entwicklung kopiert; nur synthetische Testdaten |
A.8.34 | Schutz von Informationssystemen während Audit-Prüfungen | Ja | Audit-Tests in separaten Umgebungen; schreibgeschützter Audit-Zugriff |
ISMS Copilot adressiert 79 von 93 Kontrollen des Anhangs A (vollständig oder teilweise), wobei 14 Kontrollen begründet als nicht anwendbar auf unser Cloud-gehostetes, Remote-first-Betriebsmodell ausgeschlossen wurden. Physische Kontrollen (A.7) werden primär von unseren Cloud-Infrastruktur-Providern (Supabase, Fly.io, Vercel) im Rahmen ihrer eigenen SOC 2- und ISO 27001-Zertifizierungen abgedeckt.
Überprüfung
Diese Erklärung zur Anwendbarkeit wird jährlich überprüft, sowie bei Änderungen des ISMS-Geltungsbereichs, wenn Risikobehandlungsentscheidungen das Set der erforderlichen Kontrollen ändern, nach signifikanten Sicherheitsvorfällen und als Teil der jährlichen Managementbewertung.