Einführung von Anhang-A-Kontrollen
Es gibt 114 Anhang-A-Kontrollen, unterteilt in 14 Kategorien. Wie Sie beim Aufbau Ihres ISMS auf die entsprechenden Anforderungen reagieren, hängt von den Besonderheiten Ihrer Organisation ab.
Eine nützliche Möglichkeit, Anhang A zu verstehen, besteht darin, ihn als einen Katalog von Sicherheitskontrollen zu betrachten. Auf der Grundlage Ihrer Risikobewertungen wählen Sie diejenigen aus, die für Ihr Unternehmen anwendbar sind, und berücksichtigen dabei Ihre spezifischen Risiken.
Hilfe gibt es mit ISMS.online
Die 114 Kontrollen in Anhang A mögen überwältigend klingen, aber es gibt Hilfe. Die ISMS.online-Plattform ist genauso aufgebaut wie der ISO 27001-Standard, sodass Sie leicht nachvollziehen und verstehen können, was Sie tun müssen. Darüber hinaus geben wir Ihnen eine Schritt-für-Schritt-Anleitung für die erste ISO 27001-Zertifizierung mit einer Erfolgsquote von 100 %.
Wir begleiten Sie bei jedem Schritt
Unser integriertes Tool begleitet Sie von der Einrichtung bis zur Zertifizierung mit einer Erfolgsquote von 100 %.
Live-Demo buchenAnhang A-Kontrollen
Anhang A.5 – Richtlinien zur Informationssicherheit
Anhang A.5.1 geht es um Managementanweisungen für Informationssicherheit. Ziel dieses Anhangs ist es, die Leitung und Unterstützung der Informationssicherheit entsprechend den Anforderungen der Organisation zu steuern.
Lesen Sie mehr über A.5Anhang A.6 – Organisation der Informationssicherheit
Anhang A.6.1 Es geht um die interne Organisation. Das Ziel in diesem Anhang A-Bereich besteht darin, einen Managementrahmen zu etablieren, um die Implementierung und den Betrieb der Informationssicherheit innerhalb der Organisation zu initiieren und zu steuern.
Anhang A.6.2 geht es um mobile Geräte und Telearbeit. Das Ziel in diesem Anhang A-Bereich besteht darin, einen Managementrahmen zu schaffen, um die Sicherheit der Telearbeit und der Nutzung mobiler Geräte zu gewährleisten.
Lesen Sie mehr über A.6Anhang A.7 – Personalsicherheit
Anhang A.7.1 geht es um vor der Anstellung. Das Ziel dieses Anhangs besteht darin, sicherzustellen, dass Mitarbeiter und Auftragnehmer ihre Verantwortlichkeiten verstehen und für die Rollen geeignet sind, für die sie in Betracht gezogen werden.
Anhang A.7.2 – Das Ziel dieses Anhangs besteht darin, sicherzustellen, dass Mitarbeiter und Auftragnehmer sich ihrer Verantwortung für die Informationssicherheit während der Beschäftigung bewusst sind und diese erfüllen.
Anhang A.7.3 geht es um Kündigung und Wechsel des Arbeitsverhältnisses. Das Ziel dieses Anhangs besteht darin, die Interessen der Organisation im Rahmen des Prozesses der Änderung und Beendigung des Arbeitsverhältnisses zu schützen.
Lesen Sie mehr über A.7Anhang A.8 – Vermögensverwaltung
Anhang A.8.1 Es geht um die Verantwortung für Vermögenswerte. Das Ziel im Anhang ist die Identität Informationsvermögen im Geltungsbereich des Managementsystems festlegen und entsprechende Schutzverantwortungen festlegen.
Anhang A.8.2 geht es um die Klassifizierung von Informationen. Das Ziel dieses Anhangs besteht darin, sicherzustellen, dass Informationen entsprechend ihrer Bedeutung für die Organisation (und interessierte Parteien wie Kunden) ein angemessenes Schutzniveau erhalten.
Anhang A.8.3 geht es um den Umgang mit Medien. Das Ziel dieses Anhangs besteht darin, die unbefugte Offenlegung, Änderung, Entfernung oder Zerstörung von auf Datenträgern gespeicherten Informationen zu verhindern.
Lesen Sie mehr über A.8Anhang A.9 – Zugangskontrolle
Anhang A.9.1 geht es um die geschäftlichen Anforderungen der Zugangskontrolle. Das Ziel dieses Anhangs besteht darin, den Zugang zu Informationen und Informationsverarbeitungseinrichtungen zu beschränken.
Anhang A.9.2 geht es um die Benutzerzugriffsverwaltung. Das Ziel dieser Anhang-A-Kontrolle besteht darin, sicherzustellen, dass Benutzer berechtigt sind, auf Systeme und Dienste zuzugreifen, und unbefugten Zugriff zu verhindern.
Anhang A.9.3 geht es um die Verantwortlichkeiten des Benutzers. Das Ziel dieser Anhang-A-Kontrolle besteht darin, Benutzer für den Schutz ihrer Authentifizierungsinformationen zur Rechenschaft zu ziehen.
Anhang A.9.4 geht es um die Kontrolle des System- und Anwendungszugriffs. Das Ziel dieses Anhangs besteht darin, unbefugten Zugriff auf Systeme und Anwendungen zu verhindern.
Lesen Sie mehr über A.9Anhang A.10 – Kryptographie
Anhang A.10.1 geht es um kryptografische Kontrollen. Das Ziel dieses Anhangs besteht darin, den ordnungsgemäßen und wirksamen Einsatz der Kryptographie zum Schutz der Vertraulichkeit, Authentizität und/oder Integrität von Informationen sicherzustellen.
Lesen Sie mehr über A.10Anhang A.11 – Physische und Umweltsicherheit
Anhang A.11.1 geht es um die Gewährleistung sicherer physischer und ökologischer Bereiche. Das Ziel dieses Anhangs besteht darin, unbefugten physischen Zugriff sowie Schäden und Eingriffe in die Informationen und Informationsverarbeitungseinrichtungen der Organisation zu verhindern.
Anhang A.11.2 geht es um Ausrüstung. Das Ziel dieser Anhangkontrolle besteht darin, Verlust, Beschädigung und Diebstahl oder Gefährdung von Vermögenswerten sowie Unterbrechungen des Betriebs der Organisation zu verhindern.
Lesen Sie mehr über A.11Anhang A.12 – Betriebssicherheit
Anhang A.12.1 geht es um betriebliche Abläufe und Verantwortlichkeiten. Das Ziel dieses Anhang-A-Bereichs besteht darin, den korrekten und sicheren Betrieb von Informationsverarbeitungsanlagen sicherzustellen.
Anhang A.12.2 geht es um den Schutz vor Schadsoftware. Ziel ist es, sicherzustellen, dass Informationen und Informationsverarbeitungsanlagen vor Schadsoftware geschützt sind.
Anhang A.12.3 geht es um Backup. Ziel ist hier der Schutz vor Datenverlust.
Anhang A.12.4 geht es um Protokollierung und Überwachung. Das Ziel in diesem Anhang A-Bereich ist die Aufzeichnung von Ereignissen und die Generierung von Beweisen.
Anhang A.12.5 geht es um die Steuerung betrieblicher Software. Das Ziel in diesem Anhang A-Bereich besteht darin, die Integrität der Betriebssysteme sicherzustellen.
Anhang A.12.6 geht es um technisches Schwachstellenmanagement. Das Ziel dieser Anhang-A-Kontrolle besteht darin, die Ausnutzung technischer Schwachstellen zu verhindern.
Anhang A.12.7 geht es um Informationssysteme und Prüfungsüberlegungen. Das Ziel in diesem Anhang A-Bereich besteht darin, die Auswirkungen von Auditaktivitäten auf betriebliche Systeme zu minimieren.
Lesen Sie mehr über A.12Anhang A.13 – Kommunikationssicherheit
Anhang A.13.1 geht es um Netzwerksicherheitsmanagement. Das Ziel dieses Anhangs besteht darin, den Schutz von Informationen in Netzwerken und den unterstützenden Informationsverarbeitungseinrichtungen sicherzustellen.
Anhang A.13.2 geht es um die Informationsvermittlung. Das Ziel dieses Anhangs besteht darin, die Sicherheit der innerhalb der Organisation und mit externen Stellen, z. B. einem Kunden, Lieferanten oder einer anderen interessierten Partei, übertragenen Informationen aufrechtzuerhalten.
Lesen Sie mehr über A.13Anhang A.14 – Systemanschaffung, -entwicklung und -wartung
Anhang A.14.1 geht es um Sicherheitsanforderungen an Informationssysteme. Das Ziel in diesem Anhangbereich besteht darin, sicherzustellen, dass Informationssicherheit über den gesamten Lebenszyklus hinweg ein integraler Bestandteil von Informationssystemen ist. Dazu gehören auch Anforderungen an Informationssysteme, die Dienste über öffentliche Netze bereitstellen.
Lesen Sie mehr über A.14Anhang A.15 – Lieferantenbeziehungen
Anhang A.15.1 geht es um Informationssicherheit in Lieferantenbeziehungen. Das Ziel hierbei ist der Schutz der wertvollen Vermögenswerte der Organisation, die für Lieferanten zugänglich oder von diesen betroffen sind.
Anhang A.15.2 geht es um das Management der Lieferantenserviceentwicklung. Das Ziel dieser Anhang-A-Kontrolle besteht darin, sicherzustellen, dass ein vereinbartes Maß an Informationssicherheit und Servicebereitstellung im Einklang mit den Lieferantenvereinbarungen aufrechterhalten wird.
Lesen Sie mehr über A.15Anhang A.16 – Management von Informationssicherheitsvorfällen
Anhang A.16.1 geht es um das Management von Vorfällen, Ereignissen und Schwachstellen im Bereich der Informationssicherheit. Das Ziel in diesem Anhangbereich besteht darin, einen konsistenten und wirksamen Ansatz für den Lebenszyklus von Vorfällen, Ereignissen und Schwachstellen sicherzustellen.
Lesen Sie mehr über A.16Anhang A.17 – Informationssicherheitsaspekte des Business Continuity Managements
Anhang A.17.1 geht es um die Kontinuität der Informationssicherheit. Das Ziel dieser Anhang-A-Kontrolle besteht darin, dass die Informationssicherheitskontinuität in die Geschäftskontinuitätsmanagementsysteme der Organisation eingebettet werden soll.
Anhang A.17.2 geht es um Entlassungen. Das Ziel dieser Anhang-A-Kontrolle besteht darin, die Verfügbarkeit von Informationsverarbeitungseinrichtungen sicherzustellen.
Lesen Sie mehr über A.17Anhang A.18 – Compliance
Anhang A.18.1 Dabei geht es um die Einhaltung gesetzlicher und vertraglicher Anforderungen. Ziel ist es, Verstöße gegen gesetzliche, satzungsmäßige, behördliche oder vertragliche Verpflichtungen im Zusammenhang mit der Informationssicherheit und etwaige Sicherheitsanforderungen zu vermeiden.
Lesen Sie mehr über A.18