The Statement of Applicability (SoA) is one of the most scrutinised documents in an ISO 27001 audit. It lists all 93 Annex A controls and documents for each one whether it is applied — and if so, why; if not, why not.
Clause 6.1.3 d) explicitly requires a statement that contains all necessary controls, with justification for their inclusion and a declaration of whether they are implemented. No other ISMS document receives as systematic a review from auditors.
What does it contain?
The CSV template covers all 93 controls from Annex A of ISO 27001:2022. Per row:
- Control ID and title — e.g. A.5.1, Information security policies
- Applicable (yes/no) — whether the control is relevant within the scope
- Justification — why the control is applied or excluded
- Implementation status — fully, partially, planned, excluded
- Reference to measure(s) — link to the risk treatment plan
- Reference to policy/document — where is the implementation described?
How to use it
Fill it in during risk treatment. The SoA is built alongside the risk treatment plan. For every risk you mitigate through controls, you identify the corresponding Annex A controls. You mark these as “applied” in the SoA and link them to the specific measures from the treatment plan.
Document exclusions carefully. Review the remaining controls and assess whether they are relevant within your scope. For each excluded control, formulate a justification that references the risk analysis or the nature of the organisation. Blanket exclusions of entire categories (e.g. “all physical controls”) are problematic in audits.
Reconcile regularly. When the scope, risk landscape, or implementation status of a measure changes, the SoA must be updated. In practice, it is reviewed for currency at least during every management review.
| Kontroll-ID | Kontrollname | Bereich | Anwendbar | Begründung | Umsetzungsstatus | Umsetzungsbeschreibung | Referenz |
|---|---|---|---|---|---|---|---|
| A.5.1 | Informationssicherheitsrichtlinien | Organisatorisch | Ja | Erforderlich gemäß ISO 27001 5.2 und regulatorische Erwartungen | Umgesetzt | Informationssicherheitsrichtlinie von CEO genehmigt und kommuniziert | POL-001 |
| A.5.2 | Informationssicherheitsrollen und -verantwortlichkeiten | Organisatorisch | Ja | Erforderlich zur Zuweisung von Verantwortlichkeiten | Umgesetzt | RACI-Matrix und Rollenbeschreibungen | RACI-Matrix |
| A.5.3 | Aufgabentrennung | Organisatorisch | Ja | Erforderlich zur Prävention von Betrug und Fehlern | Umgesetzt | Trennung in Finanzen und IT-Administration durchgesetzt | Zugriffskontroll-Richtlinie |
| A.5.4 | Verantwortlichkeiten der Geschäftsleitung | Organisatorisch | Ja | Erforderlich für Management-Commitment | Umgesetzt | In ISR dokumentiert und Management-Review-Protokollen | POL-001 |
| A.5.5 | Kontakt zu Behörden | Organisatorisch | Ja | Erforderlich für Regulator- und Strafverfolgungskontakt | Umgesetzt | Behörden-Kontaktliste gepflegt | Security-Operations-Richtlinie |
| A.5.6 | Kontakt zu Interessengruppen | Organisatorisch | Ja | Verbessert Bedrohungsbewusstsein | Umgesetzt | Mitgliedschaft in Allianz für Cybersicherheit + ISACA | SecOps-Register |
| A.5.7 | Threat Intelligence | Organisatorisch | Ja | Erforderlich zur Information der Risikobehandlung | Umgesetzt | Abonnement BSI CSW + CERT-EU-Feed | SecOps-Dashboard |
| A.5.8 | Informationssicherheit im Projektmanagement | Organisatorisch | Ja | Erforderlich für sichere Projekte | Umgesetzt | Security-Tollgate in Projektmethodik | POL-013 |
| A.5.9 | Inventar der Informationen und zugehöriger Werte | Organisatorisch | Ja | Erforderlich zum Schutz der Werte | Umgesetzt | Asset-Register gepflegt | Asset-Register |
| A.5.10 | Akzeptable Nutzung von Informationen und zugehörigen Werten | Organisatorisch | Ja | Erforderlich für Nutzerverantwortlichkeit | Umgesetzt | AUP von allen Mitarbeitenden bestätigt | POL-004 |
| A.5.11 | Rückgabe von Werten | Organisatorisch | Ja | Erforderlich bei Beendigung | Umgesetzt | Teil der Leaver-Checkliste | HR-Security-Richtlinie |
| A.5.12 | Klassifizierung von Informationen | Organisatorisch | Ja | Erforderlich für angemessenen Schutz | Umgesetzt | 4-Stufen-Schema Öffentlich/Intern/Vertraulich/Streng vertraulich | POL-007 |
| A.5.13 | Kennzeichnung von Informationen | Organisatorisch | Ja | Erforderlich zur Operationalisierung der Klassifizierung | Umgesetzt | Dokumentvorlagen enthalten Klassifizierungslabel | POL-007 |
| A.5.14 | Informationstransfer | Organisatorisch | Ja | Erforderlich für sicheren Austausch | Umgesetzt | Informationstransfer-Richtlinie + sicheres Portal | POL-008 |
| A.5.15 | Zugriffskontrolle | Organisatorisch | Ja | Erforderlich zum Zugriffsschutz | Umgesetzt | Zugriffskontroll-Richtlinie + RBAC | POL-005 |
| A.5.16 | Identitätsmanagement | Organisatorisch | Ja | Erforderlich für eindeutige Identitäten | Umgesetzt | Zentraler IdP (Entra ID) | Zugriffskontroll-Richtlinie |
| A.5.17 | Authentifizierungsinformationen | Organisatorisch | Ja | Erforderlich zum Schutz von Zugangsdaten | Umgesetzt | MFA erzwungen + Passwortmanager | Zugriffskontroll-Richtlinie |
| A.5.18 | Zugriffsrechte | Organisatorisch | Ja | Erforderlich für Least Privilege | Umgesetzt | Quartalsweises Zugriffsreview | Zugriffskontroll-Richtlinie |
| A.5.19 | Informationssicherheit in Lieferantenbeziehungen | Organisatorisch | Ja | Drittparteienrisiko | Umgesetzt | Lieferanten-Sicherheitsrichtlinie + Screening | POL-010 |
| A.5.20 | Informationssicherheit in Lieferantenvereinbarungen | Organisatorisch | Ja | Vertragliche Anforderung | Umgesetzt | Sicherheitsklauseln in allen Lieferantenverträgen | POL-010 |
| A.5.21 | Informationssicherheit in der IKT-Lieferkette | Organisatorisch | Ja | Lieferketten-Risiko | Umgesetzt | SBOM-Anforderungen für kritische SW | POL-010 |
| A.5.22 | Überwachung und Änderungsmanagement von Lieferantenleistungen | Organisatorisch | Ja | Erforderlich für fortlaufende Sicherheit | Umgesetzt | Jährliches Lieferantenreview | POL-010 |
| A.5.23 | Informationssicherheit bei Nutzung von Cloud-Diensten | Organisatorisch | Ja | Cloud-Nutzung vorhanden | Umgesetzt | Cloud-Provider-Bewertungs-Checkliste | POL-010 |
| A.5.24 | Planung und Vorbereitung des Incident-Managements | Organisatorisch | Ja | Erforderlich für Incident-Bereitschaft | Umgesetzt | Incident Response Plan | PROC-001 |
| A.5.25 | Bewertung und Entscheidung bei Informationssicherheits-Events | Organisatorisch | Ja | Erforderlich zur Event-Triage | Umgesetzt | Triage-Prozess im IRP | PROC-001 |
| A.5.26 | Reaktion auf Informationssicherheitsvorfälle | Organisatorisch | Ja | Erforderlich zur Eindämmung | Umgesetzt | Runbooks für Top-10-Vorfallstypen | PROC-001 |
| A.5.27 | Lernen aus Informationssicherheitsvorfällen | Organisatorisch | Ja | Erforderlich zur Verbesserung | Umgesetzt | Post-Incident-Review-Vorlage | PROC-001 |
| A.5.28 | Sammlung von Beweisen | Organisatorisch | Ja | Erforderlich für Untersuchungen | Umgesetzt | Chain-of-Custody-Verfahren | PROC-001 |
| A.5.29 | Informationssicherheit bei Betriebsunterbrechung | Organisatorisch | Ja | BCM-Integration | Umgesetzt | BCP + Sicherheitsanforderungen bei Unterbrechung | POL-009 |
| A.5.30 | IKT-Bereitschaft für Geschäftskontinuität | Organisatorisch | Ja | BCM-Integration | Umgesetzt | DR-Plan + Tests | PROC-003 |
| A.5.31 | Rechtliche gesetzliche regulatorische und vertragliche Anforderungen | Organisatorisch | Ja | Compliance-Pflicht | Umgesetzt | Rechtsregister gepflegt | Rechtsregister |
| A.5.32 | Rechte an geistigem Eigentum | Organisatorisch | Ja | Erforderlich zum IP-Management | Umgesetzt | IPR-Richtlinie + Software-Asset-Kontrollen | POL-012 |
| A.5.33 | Schutz von Aufzeichnungen | Organisatorisch | Ja | Erforderlich für Integrität und Aufbewahrung | Umgesetzt | Aufbewahrungsplan | DSB-Verfahren |
| A.5.34 | Datenschutz und Schutz personenbezogener Daten | Organisatorisch | Ja | DSGVO-Pflicht | Umgesetzt | Datenschutzrichtlinie + DSB | POL-018 |
| A.5.35 | Unabhängige Überprüfung der Informationssicherheit | Organisatorisch | Ja | Gefordert durch ISO 27001 9.2 | Umgesetzt | Jährliches externes Audit | Auditplan |
| A.5.36 | Einhaltung von Richtlinien Regeln und Standards | Organisatorisch | Ja | Erforderlich für Assurance | Umgesetzt | Quartalsweiser Policy-Konformitätscheck | POL-003 |
| A.5.37 | Dokumentierte Betriebsverfahren | Organisatorisch | Ja | Erforderlich für Betrieb | Umgesetzt | Runbook-Bibliothek | IT-Betrieb-Richtlinie |
| A.6.1 | Screening | Personal | Ja | Vor Einstellung erforderlich | Umgesetzt | Hintergrundprüfung für sensible Rollen | POL-006 |
| A.6.2 | Einstellungsbedingungen | Personal | Ja | Erforderlich für Verantwortlichkeit | Umgesetzt | Sicherheitsklauseln im Arbeitsvertrag | POL-006 |
| A.6.3 | Awareness Schulung und Training | Personal | Ja | Erforderlich für Kompetenz | Umgesetzt | Jährliches Awareness-Training + Phishing | POL-006 |
| A.6.4 | Disziplinarverfahren | Personal | Ja | Erforderlich für Durchsetzung | Umgesetzt | HR-Disziplinarverfahren | POL-006 |
| A.6.5 | Verantwortlichkeiten nach Beendigung oder Wechsel | Personal | Ja | Erforderlich für Offboarding | Umgesetzt | Leaver-Checkliste | POL-006 |
| A.6.6 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen | Personal | Ja | Erforderlich zum Informationsschutz | Umgesetzt | NDAs beim Onboarding unterschrieben | POL-006 |
| A.6.7 | Telearbeit | Personal | Ja | Telearbeit existiert | Umgesetzt | Telearbeit-Richtlinie + verwaltete Endgeräte | POL-014 |
| A.6.8 | Meldung von Informationssicherheits-Events | Personal | Ja | Erforderlich für Erkennung | Umgesetzt | Meldekanal + Schulung | POL-004 |
| A.7.1 | Physische Sicherheitsperimeter | Physisch | Ja | Büros vor Ort existieren | Umgesetzt | Ausweis + überwachter Perimeter | POL-015 |
| A.7.2 | Physischer Zutritt | Physisch | Ja | Erforderlich | Umgesetzt | Ausweiszutritt + Besucherliste | POL-015 |
| A.7.3 | Sicherung von Büros Räumen und Einrichtungen | Physisch | Ja | Erforderlich | Umgesetzt | Abgeschlossene Räume für sensible Bereiche | POL-015 |
| A.7.4 | Überwachung der physischen Sicherheit | Physisch | Ja | Erforderlich | Umgesetzt | Videoüberwachung am Haupteingang | POL-015 |
| A.7.5 | Schutz gegen physische und umweltbedingte Bedrohungen | Physisch | Ja | Erforderlich | Umgesetzt | Brandschutz + Wassersensoren | POL-015 |
| A.7.6 | Arbeiten in Sicherheitsbereichen | Physisch | Ja | Erforderlich | Umgesetzt | Clean-Desk-Regel für Sicherheitsräume | POL-015 |
| A.7.7 | Aufgeräumter Arbeitsplatz und Bildschirmsperre | Physisch | Ja | Erforderlich | Umgesetzt | Clean-Desk-Richtlinie | POL-015 |
| A.7.8 | Platzierung und Schutz von Geräten | Physisch | Ja | Erforderlich | Umgesetzt | Serverraum-Zutrittskontrollen | POL-015 |
| A.7.9 | Sicherheit von Werten außerhalb des Standorts | Physisch | Ja | Laptops außerhalb genutzt | Umgesetzt | Geräteverschlüsselung + Tracking | POL-016 |
| A.7.10 | Speichermedien | Physisch | Ja | Wechselmedien werden genutzt | Umgesetzt | Nur verschlüsselte USB + Register | POL-016 |
| A.7.11 | Versorgungseinrichtungen | Physisch | Ja | Erforderlich | Umgesetzt | USV + Generator-Tests | POL-015 |
| A.7.12 | Verkabelungssicherheit | Physisch | Ja | Erforderlich | Umgesetzt | Kabelkanäle geschützt | POL-015 |
| A.7.13 | Gerätewartung | Physisch | Ja | Erforderlich | Umgesetzt | Wartungsplan | POL-019 |
| A.7.14 | Sichere Entsorgung oder Wiederverwendung | Physisch | Ja | Erforderlich | Umgesetzt | Zertifizierter Entsorgungspartner | POL-018 |
| A.8.1 | Endgeräte | Technologisch | Ja | Erforderlich | Umgesetzt | Verwaltete Endgeräte mit MDM | POL-016 |
| A.8.2 | Privilegierte Zugriffsrechte | Technologisch | Ja | Erforderlich | Umgesetzt | PAM-Lösung + MFA | POL-005 |
| A.8.3 | Zugriffsbeschränkung auf Informationen | Technologisch | Ja | Erforderlich | Umgesetzt | Anwendungsseitiges RBAC | POL-005 |
| A.8.4 | Zugriff auf Quellcode | Technologisch | Ja | Entwicklung im Haus | Umgesetzt | Git-Repo-Zugriffskontrolle | POL-021 |
| A.8.5 | Sichere Authentifizierung | Technologisch | Ja | Erforderlich | Umgesetzt | MFA + starke Authentifizierungsrichtlinie | POL-005 |
| A.8.6 | Kapazitätsmanagement | Technologisch | Ja | Erforderlich | Umgesetzt | Kapazitätsüberwachung | POL-019 |
| A.8.7 | Schutz vor Schadsoftware | Technologisch | Ja | Erforderlich | Umgesetzt | EDR auf allen Endgeräten + Servern | POL-016 |
| A.8.8 | Management technischer Schwachstellen | Technologisch | Ja | Erforderlich | Umgesetzt | Monatlicher Vuln-Scan + Patching | POL-019 |
| A.8.9 | Konfigurationsmanagement | Technologisch | Ja | Erforderlich | Umgesetzt | Gehärtete Baselines + Drift-Checks | POL-020 |
| A.8.10 | Löschung von Informationen | Technologisch | Ja | Erforderlich | Umgesetzt | Löschverfahren je Datentyp | POL-018 |
| A.8.11 | Maskierung von Daten | Technologisch | Ja | Erforderlich für Dev/Test | Umgesetzt | Maskierung in Non-Prod-Umgebungen | POL-018 |
| A.8.12 | Verhinderung von Datenabfluss | Technologisch | Ja | Erforderlich | Teilweise umgesetzt | E-Mail-DLP vorhanden Endpoint-DLP geplant | POL-018 |
| A.8.13 | Informations-Backup | Technologisch | Ja | Erforderlich | Umgesetzt | 3-2-1-Backup-Strategie | POL-019 |
| A.8.14 | Redundanz von Informationsverarbeitungseinrichtungen | Technologisch | Ja | Erforderlich | Umgesetzt | HA-Cluster für kritische Systeme | POL-019 |
| A.8.15 | Logging | Technologisch | Ja | Erforderlich | Umgesetzt | Zentrales Logging + SIEM | POL-019 |
| A.8.16 | Überwachungsaktivitäten | Technologisch | Ja | Erforderlich | Umgesetzt | 24/7-Monitoring durch SOC | POL-019 |
| A.8.17 | Zeitsynchronisation | Technologisch | Ja | Erforderlich für Forensik | Umgesetzt | NTP aus vertrauenswürdiger Quelle | POL-019 |
| A.8.18 | Nutzung privilegierter Dienstprogramme | Technologisch | Ja | Erforderlich | Umgesetzt | Auf Admins beschränkt und geloggt | POL-005 |
| A.8.19 | Installation von Software auf Produktionssystemen | Technologisch | Ja | Erforderlich | Umgesetzt | Whitelisting + Change-Kontrolle | POL-020 |
| A.8.20 | Netzwerksicherheit | Technologisch | Ja | Erforderlich | Umgesetzt | Segmentierung + Firewalls | POL-019 |
| A.8.21 | Sicherheit von Netzwerkdiensten | Technologisch | Ja | Erforderlich | Umgesetzt | Gehärtete Dienste + Monitoring | POL-019 |
| A.8.22 | Segregation von Netzwerken | Technologisch | Ja | Erforderlich | Umgesetzt | VLANs für Prod/Dev/Gast | POL-019 |
| A.8.23 | Web-Filterung | Technologisch | Ja | Erforderlich | Umgesetzt | Sicheres Web-Gateway | POL-019 |
| A.8.24 | Einsatz von Kryptographie | Technologisch | Ja | Erforderlich | Umgesetzt | Kryptographie-Richtlinie + Schlüsselregister | POL-017 |
| A.8.25 | Sicherer Entwicklungslebenszyklus | Technologisch | Ja | Eigenentwicklung | Umgesetzt | Sicherer SDLC mit Toren | POL-021 |
| A.8.26 | Sicherheitsanforderungen an Anwendungen | Technologisch | Ja | Erforderlich | Umgesetzt | Sicherheitsanforderungen in User Stories | POL-021 |
| A.8.27 | Sichere Systemarchitektur und Engineering-Prinzipien | Technologisch | Ja | Erforderlich | Umgesetzt | Referenzarchitektur | POL-021 |
| A.8.28 | Sicheres Coding | Technologisch | Ja | Erforderlich | Umgesetzt | SAST + Peer-Review | POL-021 |
| A.8.29 | Sicherheitstests in Entwicklung und Abnahme | Technologisch | Ja | Erforderlich | Umgesetzt | DAST + Release-Gate | POL-021 |
| A.8.30 | Ausgelagerte Entwicklung | Technologisch | Nein | Keine ausgelagerte Entwicklung | N/A | Keine ausgelagerte Entwicklung durchgeführt | POL-021 |
| A.8.31 | Trennung von Entwicklungs- Test- und Produktionsumgebungen | Technologisch | Ja | Erforderlich | Umgesetzt | Getrennte Tenants und Daten | POL-021 |
| A.8.32 | Change Management | Technologisch | Ja | Erforderlich | Umgesetzt | CAB + Change-Register | POL-020 |
| A.8.33 | Testinformationen | Technologisch | Ja | Erforderlich | Umgesetzt | Maskierte Testdaten | POL-021 |
| A.8.34 | Schutz von Informationssystemen während Audit-Tests | Technologisch | Ja | Erforderlich | Umgesetzt | Schreibgeschützte Auditkonten | POL-021 |
| Control ID | Control Name | Theme | Applicable | Justification | Implementation Status | Implementation Description | Reference | |
|---|---|---|---|---|---|---|---|---|
| A.5.1 | Policies for information security | Organizational | Yes | Required by ISO 27001 5.2 and regulatory expectations | Implemented | Information Security Policy approved by CEO and communicated | POL-001 | |
| A.5.2 | Information security roles and responsibilities | Organizational | Yes | Required to assign accountability | Implemented | RACI matrix and role descriptions | RACI matrix | |
| A.5.3 | Segregation of duties | Organizational | Yes | Required to prevent fraud and error | Implemented | Separation enforced in finance and IT administration | Access Control Policy | |
| A.5.4 | Management responsibilities | Organizational | Yes | Required for management commitment | Implemented | Documented in ISP and management review minutes | POL-001 | |
| A.5.5 | Contact with authorities | Organizational | Yes | Required for regulator/LE contact | Implemented | Authority contact list maintained | Security Operations Policy | |
| A.5.6 | Contact with special interest groups | Organizational | Yes | Improves threat awareness | Implemented | Membership in Allianz für Cybersicherheit + ISACA | SecOps register | |
| A.5.7 | Threat intelligence | Organizational | Yes | Required to inform risk treatment | Implemented | Subscription to BSI CSW + CERT-EU feed | SecOps dashboard | |
| A.5.8 | Information security in project management | Organizational | Yes | Required for secure projects | Implemented | Security tollgate in project methodology | POL-013 | |
| A.5.9 | Inventory of information and other associated assets | Organizational | Yes | Required to protect assets | Implemented | Asset register maintained | Asset register | |
| A.5.10 | Acceptable use of information and other associated assets | Organizational | Yes | Required for user accountability | Implemented | Acceptable Use Policy acknowledged by all staff | POL-004 | |
| A.5.11 | Return of assets | Organizational | Yes | Required at termination | Implemented | Part of leaver checklist | HR Security Policy | |
| A.5.12 | Classification of information | Organizational | Yes | Required for proportional protection | Implemented | 4-level scheme: Public/Internal/Confidential/Strictly Confidential | POL-007 | |
| A.5.13 | Labelling of information | Organizational | Yes | Required to operationalise classification | Implemented | Document templates carry classification labels | POL-007 | |
| A.5.14 | Information transfer | Organizational | Yes | Required for secure sharing | Implemented | Information Transfer Policy + secure portal | POL-008 | |
| A.5.15 | Access control | Organizational | Yes | Required to protect access | Implemented | Access Control Policy + RBAC | POL-005 | |
| A.5.16 | Identity management | Organizational | Yes | Required for unique identities | Implemented | Central IdP (Entra ID) | Access Control Policy | |
| A.5.17 | Authentication information | Organizational | Yes | Required to protect credentials | Implemented | MFA enforced + password manager | Access Control Policy | |
| A.5.18 | Access rights | Organizational | Yes | Required for least privilege | Implemented | Quarterly access review | Access Control Policy | |
| A.5.19 | Information security in supplier relationships | Organizational | Yes | Third-party risk | Implemented | Supplier Security Policy + screening | POL-010 | |
| A.5.20 | Addressing information security within supplier agreements | Organizational | Yes | Contractual requirement | Implemented | Security clauses in all supplier contracts | POL-010 | |
| A.5.21 | Managing information security in the ICT supply chain | Organizational | Yes | Supply chain risk | Implemented | SBOM requirements for critical SW | POL-010 | |
| A.5.22 | Monitoring review and change management of supplier services | Organizational | Yes | Required for ongoing assurance | Implemented | Annual supplier review | POL-010 | |
| A.5.23 | Information security for use of cloud services | Organizational | Yes | Cloud usage present | Implemented | Cloud provider assessment checklist | POL-010 | |
| A.5.24 | Information security incident management planning and preparation | Organizational | Yes | Required for incident readiness | Implemented | Incident Response Plan | PROC-001 | |
| A.5.25 | Assessment and decision on information security events | Organizational | Yes | Required to triage events | Implemented | Triage process in IRP | PROC-001 | |
| A.5.26 | Response to information security incidents | Organizational | Yes | Required for containment | Implemented | Runbooks for top 10 incident types | PROC-001 | |
| A.5.27 | Learning from information security incidents | Organizational | Yes | Required for improvement | Implemented | Post-incident review template | PROC-001 | |
| A.5.28 | Collection of evidence | Organizational | Yes | Required for investigations | Implemented | Chain-of-custody procedure | PROC-001 | |
| A.5.29 | Information security during disruption | Organizational | Yes | BCM integration | Implemented | BCP + security requirements during disruption | POL-009 | |
| A.5.30 | ICT readiness for business continuity | Organizational | Yes | BCM integration | Implemented | DR Plan + tests | PROC-003 | |
| A.5.31 | Legal statutory regulatory and contractual requirements | Organizational | Yes | Compliance obligation | Implemented | Legal register maintained | Legal register | |
| A.5.32 | Intellectual property rights | Organizational | Yes | Required to manage IPR | Implemented | IPR Policy + software asset controls | POL-012 | |
| A.5.33 | Protection of records | Organizational | Yes | Required for integrity and retention | Implemented | Record retention schedule | DPO procedure | |
| A.5.34 | Privacy and protection of PII | Organizational | Yes | GDPR obligation | Implemented | Data Protection Policy + DPO | POL-018 | |
| A.5.35 | Independent review of information security | Organizational | Yes | Required by ISO 27001 9.2 | Implemented | Annual external audit | Audit plan | |
| A.5.36 | Compliance with policies rules and standards | Organizational | Yes | Required for assurance | Implemented | Quarterly policy conformance check | POL-003 | |
| A.5.37 | Documented operating procedures | Organizational | Yes | Required for operations | Implemented | Runbook library | IT Operations Policy | |
| A.6.1 | Screening | People | Yes | Required pre-employment | Implemented | Background check for sensitive roles | POL-006 | |
| A.6.2 | Terms and conditions of employment | People | Yes | Required for accountability | Implemented | Security clauses in employment contract | POL-006 | |
| A.6.3 | Information security awareness education and training | People | Yes | Required for competence | Implemented | Annual awareness training + phishing | POL-006 | |
| A.6.4 | Disciplinary process | People | Yes | Required for enforcement | Implemented | HR disciplinary procedure | POL-006 | |
| A.6.5 | Responsibilities after termination or change of employment | People | Yes | Required for offboarding | Implemented | Leaver checklist | POL-006 | |
| A.6.6 | Confidentiality or non-disclosure agreements | People | Yes | Required to protect information | Implemented | NDAs signed at onboarding | POL-006 | |
| A.6.7 | Remote working | People | Yes | Remote working exists | Implemented | Remote Working Policy + managed endpoints | POL-014 | |
| A.6.8 | Information security event reporting | People | Yes | Required for detection | Implemented | Reporting channel + training | POL-004 | |
| A.7.1 | Physical security perimeters | Physical | Yes | On-premises offices exist | Implemented | Badge + monitored perimeter | POL-015 | |
| A.7.2 | Physical entry | Physical | Yes | Required | Implemented | Badge access + visitor log | POL-015 | |
| A.7.3 | Securing offices rooms and facilities | Physical | Yes | Required | Implemented | Locked rooms for sensitive areas | POL-015 | |
| A.7.4 | Physical security monitoring | Physical | Yes | Required | Implemented | CCTV at main entrances | POL-015 | |
| A.7.5 | Protecting against physical and environmental threats | Physical | Yes | Required | Implemented | Fire protection + water sensors | POL-015 | |
| A.7.6 | Working in secure areas | Physical | Yes | Required | Implemented | Clean desk rule for secure rooms | POL-015 | |
| A.7.7 | Clear desk and clear screen | Physical | Yes | Required | Implemented | Clean desk policy | POL-015 | |
| A.7.8 | Equipment siting and protection | Physical | Yes | Required | Implemented | Server room access controls | POL-015 | |
| A.7.9 | Security of assets off-premises | Physical | Yes | Laptops used off-site | Implemented | Device encryption + tracking | POL-016 | |
| A.7.10 | Storage media | Physical | Yes | Removable media used | Implemented | Encrypted USB only + register | POL-016 | |
| A.7.11 | Supporting utilities | Physical | Yes | Required | Implemented | UPS + generator tests | POL-015 | |
| A.7.12 | Cabling security | Physical | Yes | Required | Implemented | Cable ducts protected | POL-015 | |
| A.7.13 | Equipment maintenance | Physical | Yes | Required | Implemented | Maintenance schedule | POL-019 | |
| A.7.14 | Secure disposal or re-use of equipment | Physical | Yes | Required | Implemented | Certified disposal vendor | POL-018 | |
| A.8.1 | User endpoint devices | Technological | Yes | Required | Implemented | Managed endpoints with MDM | POL-016 | |
| A.8.2 | Privileged access rights | Technological | Yes | Required | Implemented | PAM solution + MFA | POL-005 | |
| A.8.3 | Information access restriction | Technological | Yes | Required | Implemented | Application-level RBAC | POL-005 | |
| A.8.4 | Access to source code | Technological | Yes | Development in-house | Implemented | Git repo access control | POL-021 | |
| A.8.5 | Secure authentication | Technological | Yes | Required | Implemented | MFA + strong auth policy | POL-005 | |
| A.8.6 | Capacity management | Technological | Yes | Required | Implemented | Capacity monitoring | POL-019 | |
| A.8.7 | Protection against malware | Technological | Yes | Required | Implemented | EDR on all endpoints + servers | POL-016 | |
| A.8.8 | Management of technical vulnerabilities | Technological | Yes | Required | Implemented | Monthly vuln scan + patching | POL-019 | |
| A.8.9 | Configuration management | Technological | Yes | Required | Implemented | Hardened baselines + drift checks | POL-020 | |
| A.8.10 | Information deletion | Technological | Yes | Required | Implemented | Deletion procedures per data type | POL-018 | |
| A.8.11 | Data masking | Technological | Yes | Required for dev/test | Implemented | Masking in non-prod environments | POL-018 | |
| A.8.12 | Data leakage prevention | Technological | Yes | Required | Partially implemented | Email DLP in place | endpoint DLP planned | |
| A.8.13 | Information backup | Technological | Yes | Required | Implemented | 3-2-1 backup strategy | POL-019 | |
| A.8.14 | Redundancy of information processing facilities | Technological | Yes | Required | Implemented | HA clusters for critical systems | POL-019 | |
| A.8.15 | Logging | Technological | Yes | Required | Implemented | Centralised logging + SIEM | POL-019 | |
| A.8.16 | Monitoring activities | Technological | Yes | Required | Implemented | 24/7 monitoring by SOC | POL-019 | |
| A.8.17 | Clock synchronisation | Technological | Yes | Required for forensics | Implemented | NTP from trusted source | POL-019 | |
| A.8.18 | Use of privileged utility programs | Technological | Yes | Required | Implemented | Restricted to admins + logged | POL-005 | |
| A.8.19 | Installation of software on operational systems | Technological | Yes | Required | Implemented | Whitelisting + change control | POL-020 | |
| A.8.20 | Networks security | Technological | Yes | Required | Implemented | Segmentation + firewalls | POL-019 | |
| A.8.21 | Security of network services | Technological | Yes | Required | Implemented | Hardened services + monitoring | POL-019 | |
| A.8.22 | Segregation of networks | Technological | Yes | Required | Implemented | VLANs for prod/dev/guest | POL-019 | |
| A.8.23 | Web filtering | Technological | Yes | Required | Implemented | Secure web gateway | POL-019 | |
| A.8.24 | Use of cryptography | Technological | Yes | Required | Implemented | Cryptography Policy + key register | POL-017 | |
| A.8.25 | Secure development life cycle | Technological | Yes | In-house development | Implemented | Secure SDLC with gates | POL-021 | |
| A.8.26 | Application security requirements | Technological | Yes | Required | Implemented | Security requirements in user stories | POL-021 | |
| A.8.27 | Secure system architecture and engineering principles | Technological | Yes | Required | Implemented | Reference architecture | POL-021 | |
| A.8.28 | Secure coding | Technological | Yes | Required | Implemented | SAST + peer review | POL-021 | |
| A.8.29 | Security testing in development and acceptance | Technological | Yes | Required | Implemented | DAST + release gate | POL-021 | |
| A.8.30 | Outsourced development | Technological | No | No outsourced development | N/A | No outsourced development performed | POL-021 | |
| A.8.31 | Separation of development test and production environments | Technological | Yes | Required | Implemented | Separate tenants and data | POL-021 | |
| A.8.32 | Change management | Technological | Yes | Required | Implemented | CAB + change register | POL-020 | |
| A.8.33 | Test information | Technological | Yes | Required | Implemented | Masked test data | POL-021 | |
| A.8.34 | Protection of information systems during audit testing | Technological | Yes | Required | Implemented | Read-only audit accounts | POL-021 |
Sources
- ISO/IEC 27001:2022, Clause 6.1.3 d) — requirement for the Statement of Applicability
- ISO/IEC 27001:2022, Annex A — the 93 controls
- ISO/IEC 27002:2022 — implementation guidance for individual controls