12 KiB
12 KiB
Statement of Applicability (SoA) -- ISO/IEC 27001:2022 Annex A
Dokumenttyp: Pflichtdokument (ISO 27001 6.1.3 d) Stand: 2026-06-03 (Entwurf)
Dieses SoA listet alle 93 Annex-A-Controls (2022) mit Anwendbarkeit, Begründung, Umsetzungsstatus und Verweis auf das umsetzende Dokument. Status: Umgesetzt / Teilweise / Geplant / N/A. Offene/teilweise Punkte sind im Massnahmenregister geführt.
Legende Anwendbarkeit: Ja = anwendbar; N/A = nicht anwendbar (mit Begründung). Cloud-Betrieb bei Infomaniak (CH): bestimmte physische Controls liegen beim Provider (Anwendbar, "geerbt").
A.5 Organisatorische Controls
| Control | Titel | Anwend. | Status | Referenz / Begründung |
|---|---|---|---|---|
| A.5.1 | Informationssicherheits-Politiken | Ja | Umgesetzt | informationssicherheitspolitik.md |
| A.5.2 | Rollen & Verantwortlichkeiten | Ja | Umgesetzt | rollen-verantwortlichkeiten.md |
| A.5.3 | Aufgabentrennung | Ja | Teilweise | Klein-Team; kompensierend Vier-Augen-Prinzip, externes Audit |
| A.5.4 | Verantwortung der Leitung | Ja | Umgesetzt | 00_IMS-Handbuch.md, Management-Review |
| A.5.5 | Kontakt zu Behörden | Ja | Geplant | Meldewege (EDOEB/FINMA) in Incident Response festhalten |
| A.5.6 | Kontakt zu Interessengruppen | Ja | Teilweise | Security-Quellen/CERT-Feeds; formalisieren |
| A.5.7 | Threat Intelligence | Ja | Teilweise | Schwachstellenmanagement |
| A.5.8 | IS im Projektmanagement | Ja | Umgesetzt | SDLC, Tech-Workshop |
| A.5.9 | Inventar der Werte (Assets) | Ja | Teilweise | Drittanbieter-Inventar; Asset-Inventar ergänzen |
| A.5.10 | Zulässige Nutzung von Werten | Ja | Geplant | Acceptable-Use in IS-Politik konkretisieren |
| A.5.11 | Rückgabe von Werten | Ja | Geplant | Offboarding-Checkliste (Mitarbeitersicherheit) |
| A.5.12 | Klassifizierung von Information | Ja | Teilweise | Klassifizierungsschema (Header classification); ausweiten |
| A.5.13 | Kennzeichnung von Information | Ja | Teilweise | Header-Klassifizierung; Daten-Labeling ergänzen |
| A.5.14 | Informationsübertragung | Ja | Umgesetzt | Verschlüsselung, TLS, Neutralisierung |
| A.5.15 | Zugangssteuerung | Ja | Umgesetzt | Zugriffsmanagement, RBAC |
| A.5.16 | Identitätsmanagement | Ja | Umgesetzt | Zugriffsmanagement |
| A.5.17 | Authentisierungsinformation | Ja | Umgesetzt | Zugriffsmanagement — MFA Admin/Server (R-03, Juni 2026) |
| A.5.18 | Zugangsrechte | Ja | Umgesetzt | Zugriffsmanagement |
| A.5.19 | IS in Lieferantenbeziehungen | Ja | Umgesetzt | Subunternehmer |
| A.5.20 | IS in Lieferantenvereinbarungen | Ja | Teilweise | AVVs vervollständigen (OpenAI Zero-Retention) |
| A.5.21 | IS in der IKT-Lieferkette | Ja | Teilweise | Drittanbieter-Inventar |
| A.5.22 | Überwachung der Lieferantenleistung | Ja | Geplant | Review-Turnus Lieferanten festlegen |
| A.5.23 | IS bei Nutzung von Cloud-Diensten | Ja | Umgesetzt | Infomaniak (CH); Netzwerk/Infra |
| A.5.24 | Incident-Management Planung | Ja | Umgesetzt | Incident Response |
| A.5.25 | Bewertung von IS-Ereignissen | Ja | Umgesetzt | Incident Response |
| A.5.26 | Reaktion auf IS-Vorfälle | Ja | Umgesetzt | Incident Response |
| A.5.27 | Lernen aus Vorfällen | Ja | Teilweise | Post-Incident-Review -> KVP |
| A.5.28 | Sammlung von Beweismitteln | Ja | Teilweise | Logs/Forensik in Logging |
| A.5.29 | IS während Störung | Ja | Umgesetzt | BCM/DR |
| A.5.30 | IKT-Bereitschaft für BC | Ja | Umgesetzt | BCM-Runbook |
| A.5.31 | Gesetzliche & vertragliche Anforderungen | Ja | Umgesetzt | Recht/BestPractice, AGB |
| A.5.32 | Geistiges Eigentum | Ja | Teilweise | Lizenz-/OSS-Compliance dokumentieren |
| A.5.33 | Schutz von Aufzeichnungen | Ja | Umgesetzt | Datenaufbewahrung |
| A.5.34 | Datenschutz & PII-Schutz | Ja | Umgesetzt | security-overview.md, DSGVO-Funktionen |
| A.5.35 | Unabhängige IS-Prüfung | Ja | Geplant | Externes internes Audit |
| A.5.36 | Konformität mit Politiken | Ja | Teilweise | Audit + Konformitätskontrolle |
| A.5.37 | Dokumentierte Betriebsabläufe | Ja | Umgesetzt | Runbooks in 05_betrieb/ |
A.6 Personenbezogene Controls
| Control | Titel | Anwend. | Status | Referenz / Begründung |
|---|---|---|---|---|
| A.6.1 | Sicherheitsüberprüfung (Screening) | Ja | Teilweise | Mitarbeitersicherheit; Hintergrundprüfung klären |
| A.6.2 | Arbeitsvertragsbedingungen | Ja | Teilweise | IS-Klauseln in Verträgen ergänzen |
| A.6.3 | Awareness, Schulung & Ausbildung | Ja | Geplant | Kompetenz/Schulung |
| A.6.4 | Disziplinarverfahren | Ja | Geplant | Verfahren in HR-Doku festhalten |
| A.6.5 | Verantwortung nach Beendigung | Ja | Teilweise | Offboarding; NDA-Fortgeltung |
| A.6.6 | Vertraulichkeits-/NDA-Vereinbarungen | Ja | Teilweise | NDA-Vorlage sicherstellen |
| A.6.7 | Remote-Arbeit | Ja | Umgesetzt | Zugriffsmanagement, VPN/Geräte |
| A.6.8 | Meldung von IS-Ereignissen | Ja | Umgesetzt | Incident Response |
A.7 Physische Controls
Eigene Büro-Infrastruktur minimal (Remote-Team); Rechenzentrums-Controls liegen beim Cloud-Provider Infomaniak (CH) und werden über dessen Zertifizierungen (ISO 27001) geerbt.
| Control | Titel | Anwend. | Status | Referenz / Begründung |
|---|---|---|---|---|
| A.7.1 | Physische Sicherheitsperimeter | Ja (geerbt) | Umgesetzt | Infomaniak RZ-Zertifizierung |
| A.7.2 | Physischer Zutritt | Ja (geerbt) | Umgesetzt | Infomaniak |
| A.7.3 | Sicherung von Büros/Räumen | Ja | Teilweise | Home-/Büro-Grundschutz |
| A.7.4 | Physische Überwachung | Ja (geerbt) | Umgesetzt | Infomaniak |
| A.7.5 | Schutz vor physischen/umweltbed. Bedrohungen | Ja (geerbt) | Umgesetzt | Infomaniak |
| A.7.6 | Arbeiten in Sicherheitsbereichen | N/A | N/A | Keine eigenen Sicherheitsbereiche |
| A.7.7 | Clear Desk / Clear Screen | Ja | Geplant | Regel in IS-Politik aufnehmen |
| A.7.8 | Platzierung & Schutz von Geräten | Ja | Teilweise | Endgeräte-Richtlinie |
| A.7.9 | Schutz von Werten ausserhalb | Ja | Teilweise | Geräteverschlüsselung |
| A.7.10 | Speichermedien | Ja | Teilweise | Verschlüsselung, sichere Löschung |
| A.7.11 | Versorgungseinrichtungen | Ja (geerbt) | Umgesetzt | Infomaniak |
| A.7.12 | Verkabelungssicherheit | Ja (geerbt) | Umgesetzt | Infomaniak |
| A.7.13 | Instandhaltung von Geräten | Ja | Teilweise | Patch/Wartung Endgeräte |
| A.7.14 | Sichere Entsorgung/Wiederverwendung | Ja | Geplant | Lösch-/Entsorgungsregel |
A.8 Technologische Controls
| Control | Titel | Anwend. | Status | Referenz / Begründung |
|---|---|---|---|---|
| A.8.1 | Endgeräte der Nutzer | Ja | Teilweise | Endgeräte-Richtlinie, Verschlüsselung |
| A.8.2 | Privilegierte Zugangsrechte | Ja | Umgesetzt | Zugriffsmanagement |
| A.8.3 | Informationszugriffsbeschränkung | Ja | Umgesetzt | RBAC, Mandantentrennung |
| A.8.4 | Zugriff auf Quellcode | Ja | Umgesetzt | Forgejo-RBAC |
| A.8.5 | Sichere Authentisierung | Ja | Umgesetzt | Zugriffsmanagement — MFA Admin/Server (R-03, Juni 2026) |
| A.8.6 | Kapazitätsmanagement | Ja | Umgesetzt | Kapazitätsmanagement |
| A.8.7 | Schutz vor Schadsoftware | Ja | Teilweise | Endpoint-Schutz, Dependency-Scans |
| A.8.8 | Management techn. Schwachstellen | Ja | Umgesetzt | Schwachstellen, Patch |
| A.8.9 | Konfigurationsmanagement | Ja | Teilweise | .env-Trennung; IaC/Konformität ausbauen |
| A.8.10 | Löschung von Information | Ja | Umgesetzt | Datenaufbewahrung, DSGVO-Löschung |
| A.8.11 | Datenmaskierung | Ja | Umgesetzt | Neutralisierung |
| A.8.12 | Verhinderung von Datenabfluss | Ja | Teilweise | Neutralisierung, Read-only DB-Zugriff KI |
| A.8.13 | Sicherung (Backup) | Ja | Teilweise | Backup; Restore-Test offen (R-04) |
| A.8.14 | Redundanz von Verarbeitungseinrichtungen | Ja | Teilweise | Provider-Redundanz; dokumentieren |
| A.8.15 | Protokollierung (Logging) | Ja | Umgesetzt | Logging & Monitoring |
| A.8.16 | Überwachung von Aktivitäten | Ja | Teilweise | Monitoring ausbauen |
| A.8.17 | Uhrzeitsynchronisation | Ja | Umgesetzt | NTP (Infra) |
| A.8.18 | Nutzung privilegierter Hilfsprogramme | Ja | Teilweise | Einschränkung/Protokollierung |
| A.8.19 | Software-Installation auf Betriebssystemen | Ja | Teilweise | Deployment über CI/CD |
| A.8.20 | Netzwerksicherheit | Ja | Umgesetzt | Netzwerk/Infra |
| A.8.21 | Sicherheit von Netzwerkdiensten | Ja | Umgesetzt | TLS, Reverse Proxy |
| A.8.22 | Trennung von Netzwerken | Ja | Teilweise | Umgebungstrennung prod/int |
| A.8.23 | Web-Filterung | Ja | Teilweise | CORS, Egress-Kontrolle |
| A.8.24 | Nutzung von Kryptographie | Ja | Umgesetzt | Verschlüsselung & Schlüsselmgmt |
| A.8.25 | Sicherer Entwicklungslebenszyklus | Ja | Umgesetzt | SDLC |
| A.8.26 | Anforderungen an Anwendungssicherheit | Ja | Umgesetzt | SDLC |
| A.8.27 | Sichere Systemarchitektur & Engineering | Ja | Teilweise | Architektur-Prinzipien dokumentieren |
| A.8.28 | Sicheres Codieren | Ja | Umgesetzt | Coding-Conventions, Review |
| A.8.29 | Sicherheitstests in Entw./Abnahme | Ja | Teilweise | Testing-Strategie, Staging-Verifikation |
| A.8.30 | Ausgelagerte Entwicklung | N/A | N/A | Keine ausgelagerte Entwicklung |
| A.8.31 | Trennung Entw./Test/Produktion | Ja | Umgesetzt | env-prod/env-int, Staging |
| A.8.32 | Change Management | Ja | Umgesetzt | Change Management |
| A.8.33 | Testinformation | Ja | Geplant | Umgang mit Produktivdaten in Test klären |
| A.8.34 | Schutz von Systemen bei Audit-Tests | Ja | Teilweise | Auditzugriffe kontrolliert |
Pflege
Bei jeder wesentlichen Änderung von Controls/Risiken aktualisieren. Das SoA wird im Management-Review bestätigt. Teilweise/Geplant-Einträge spiegeln sich im Massnahmenregister.