ISO 27001 Anhang A-Kontrollen erklärt
Einführung
Anhang A ist eine Referenzliste von 93 Sicherheitskontrollen, die Organisationen bei der Risikobehandlung unterstützen. In der Version 2022 wurden die Kontrollen in vier Kategorien neu organisiert.
Organisatorische Kontrollen (A.5) — 37 Kontrollen
Die größte Kategorie umfasst Richtlinien, Rollen, Verantwortlichkeiten, Asset-Management, Zugriffskontrolle, Lieferantenmanagement und Informationsklassifizierung.
Neue Kontrollen in 2022: Threat Intelligence (A.5.7), Informationssicherheit für Cloud-Dienste (A.5.23) und ICT-Bereitschaft für Business Continuity (A.5.30).
Diese Kontrollen bilden das Fundament Ihres Managementsystems.
Personenkontrollen (A.6) — 8 Kontrollen
Fokussiert auf Mitarbeitersicherheit: Screening, Arbeitsverträge, Sensibilisierung und Schulung, Disziplinarverfahren und Verantwortlichkeiten nach Beendigung.
Diese Kontrollen erfordern enge Zusammenarbeit mit der HR-Abteilung.
Physische Kontrollen (A.7) — 14 Kontrollen
Umfasst physische Sicherheitsperimeter, Zugangskontrollen, Bürosicherheit, Überwachung und Schutz von Geräten. Besonders relevant für Organisationen mit eigenen Rechenzentren oder Büros mit sensiblen Bereichen.
Technologische Kontrollen (A.8) — 34 Kontrollen
Die technischste Kategorie umfasst Endgerätesicherheit, privilegiertes Zugriffsmanagement, Netzwerksegmentierung, Kryptographie, sichere Entwicklung und Schwachstellenmanagement.
Neue Kontrollen: Web-Filterung (A.8.23), sichere Codierung (A.8.28), Data-Masking (A.8.11) und Data-Leakage-Prevention (A.8.12).
Diese Kontrollen erfordern enge Zusammenarbeit mit den IT- und Entwicklungsteams.
Erstellen Ihrer Erklärung zur Anwendbarkeit
Die Erklärung zur Anwendbarkeit (SoA) ist ein Pflichtdokument, das jede Kontrolle auflistet, ob sie anwendbar ist, die Begründung und den Implementierungsstatus.
Die SoA ist eines der wichtigsten Dokumente bei Ihrem Zertifizierungsaudit. Halten Sie sie aktuell und stellen Sie sicher, dass Begründungen für ausgeschlossene Kontrollen fundiert sind.
Wichtige Erkenntnisse
Die 93 Kontrollen des Anhang A sind ein Werkzeugkasten, kein Pflichtenheft. Wenden Sie sie basierend auf Ihrer Risikobewertung an. Konzentrieren Sie sich auf die Kontrollen, die die größten Risiken in Ihrem spezifischen Kontext adressieren.
Bereit, Ihre ISO 27001-Kosten zu schätzen?
Nutzen Sie unseren kostenlosen Rechner für eine maßgeschneiderte Kosten-, Aufwands- und Zeitplanschätzung basierend auf Ihrem Unternehmensprofil.