ISO/IEC 27001

ISO 27001:2022 Anhang A erklärt

In Aktion sehen
Von Max Edwards | Aktualisiert am 12. März 2024

Im Oktober 2022 wurde der ISO 27001-Standard aktualisiert, um der sich ständig verändernden Technologie- und Informationssicherheitslandschaft Rechnung zu tragen. Die Änderungen waren größtenteils kosmetischer Natur und umfassten die Umstrukturierung und Verfeinerung bestehender Anforderungen. Die größte Änderung betrifft Anhang A, dessen spezifische Kontrollen aus ISO 27002:2022 abgeleitet sind. In diesem Leitfaden schauen wir uns an, was sich geändert hat und was das für Sie bedeutet.

Zum Thema springen

Was ist Anhang A und was hat sich geändert?

Anhang A in ISO 27001 ist ein Teil der Norm, der eine Reihe klassifizierter Sicherheitskontrollen auflistet, die Organisationen verwenden, um die Einhaltung von ISO 27001 6.1.3 (Behandlung von Informationssicherheitsrisiken) und der zugehörigen Anwendbarkeitserklärung (siehe unten) nachzuweisen.

Zuvor enthielt es 114 Kontrollen, die in 14 Kategorien unterteilt waren und ein breites Themenspektrum wie Zugangskontrolle, Kryptographie, physische Sicherheit und Vorfallmanagement abdeckten.

Nach der Veröffentlichung von ISO 27002:2022 (Informationssicherheit, Cybersicherheit und Datenschutzkontrollen) am 15. Februar 2022 hat ISO 27001:2022 seine Anhang-A-Kontrollen angepasst.

Die neue Version des Standards basiert auf einem komprimierten Satz von 93 Anhang-A-Kontrollen, darunter 11 neue Kontrollen.

Insgesamt 24 Kontrollen wurden aus zwei, drei oder mehr Sicherheitskontrollen der Version 2013 zusammengeführt, und 58 Kontrollen der ISO 27002:2013 wurden überarbeitet, um sie an die aktuelle Cybersicherheits- und Informationssicherheitsumgebung anzupassen.

Was ist eine Anwendbarkeitserklärung?

Bevor Sie fortfahren, lohnt es sich, eine Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) einzuführen, da diese den Ansatz einer Organisation zur Umsetzung bestimmter Annex-A-Kontrollen umreißt.

Eine Erklärung zur Anwendbarkeit (SoA) in ISO 27001 2022 ist ein Dokument, das die Kontrollen in Anhang A auflistet, die eine Organisation implementieren wird, um die Anforderungen der Norm zu erfüllen. Dies ist ein obligatorischer Schritt für jeden, der eine ISO 27001-Zertifizierung anstrebt.

Ihr SoA sollte vier Hauptelemente enthalten:

  • Eine Liste aller Kontrollen, die erforderlich sind, um den Behandlungsoptionen für Informationssicherheitsrisiken gerecht zu werden, einschließlich der in Anhang A enthaltenen.
  • Eine Erklärung, die darlegt, warum alle oben genannten Steuerelemente enthalten sind.
  • Bestätigung der Umsetzung.
  • Die Begründung der Organisation für das Weglassen einer der Anhang-A-Kontrollen.
Kostenlos Herunterladen

Holen Sie sich Ihren Leitfaden zu
ISO 27001-Erfolg

Alles, was Sie wissen müssen, um ISO 27001 zum ersten Mal zu erreichen

Holen Sie sich Ihren kostenlosen Ratgeber

Die neuen Kontrollkategorien der ISO 27001:2022 werden erklärt

Die Anhang-A-Kontrollen der ISO 27001:2013 waren bisher in 14 Kategorien unterteilt. ISO 27001 2022 verfolgt einen ähnlichen kategorialen Ansatz für die Informationssicherheit, der Prozesse auf vier Kategorien der obersten Ebene verteilt.

Anhang a-Kontrollen wurden nun in vier Kategorien gruppiert

Die Kontrollen im ISO 27001:2022-Anhang wurden umstrukturiert und konsolidiert, um den aktuellen Sicherheitsherausforderungen Rechnung zu tragen. Die Kernprozesse des ISMS-Managements bleiben unverändert, der Kontrollsatz in Anhang A wurde jedoch aktualisiert, um modernere Risiken und die damit verbundenen Kontrollen widerzuspiegeln.

  • Organisatorisch
  • Personen
  • Physik
  • Filter, Parameter, Zeitachsen, Sparklines, Zellprozentsatz und Fortschritte

Jedem Steuerelement ist zusätzlich eine Attributionstaxonomie zugeordnet. Jedes Steuerelement verfügt jetzt über eine Tabelle mit einer Reihe empfohlener Attribute, und Anhang A von ISO 27002:2022 enthält eine Reihe empfohlener Zuordnungen.

Dadurch können Sie Ihre Steuerungsauswahl schnell an die gängige Branchensprache und internationale Standards anpassen. Die Verwendung von Attributen unterstützt die Arbeit, die viele Unternehmen bereits im Rahmen ihrer Risikobewertung und ihrer Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) leisten.

Beispielsweise können Cybersicherheitskonzepte ähnlich den NIST- und CIS-Kontrollen unterschieden und die Einsatzfähigkeiten in Bezug auf andere Standards erkannt werden.

Anhang A Kontrollkategorien

Organisatorische Kontrollen

  • Anzahl der Bedienelemente: 37
  • Kontrollnummern: ISO 27001 Anhang A 5.1 bis 5.37

Organisatorische Kontrollen umfassen Vorschriften und Maßnahmen, die die umfassende Haltung einer Organisation zum Datenschutz in einem breiten Spektrum von Angelegenheiten vorschreiben. Zu diesen Kontrollen gehören Richtlinien, Regeln, Prozesse, Verfahren, Organisationsstrukturen und mehr.

Menschenkontrollen

  • Anzahl der Bedienelemente: 8
  • Kontrollnummern: ISO 27001 Anhang A 6.1 bis 6.8

Mit Personenkontrollen können Unternehmen die menschliche Komponente ihres Informationssicherheitsprogramms regulieren, indem sie die Art und Weise definieren, wie Mitarbeiter mit Daten und untereinander interagieren. Diese Kontrollen umfassen sicheres Personalmanagement, Personalsicherheit sowie Sensibilisierung und Schulung.

Physikalische Kontrollen

  • Anzahl der Bedienelemente: 14
  • Kontrollnummern: ISO 27001 Anhang A 7.1 bis 7.13

Physische Schutzmaßnahmen sind Maßnahmen zur Gewährleistung der Sicherheit materieller Vermögenswerte. Dazu können Zutrittssysteme, Gastzugangsprotokolle, Entsorgungsprozesse für Vermögenswerte, Protokolle für Speichermedien und Clear-Desk-Richtlinien gehören. Solche Schutzmaßnahmen sind für den Schutz vertraulicher Informationen von wesentlicher Bedeutung.

Technologische Kontrollen

  • Anzahl der Bedienelemente: 34
  • Kontrollnummern: ISO 27001 Anhang A 8.1 bis 8.34

Technologische Beschränkungen bestimmen die kybernetischen/digitalen Vorschriften und Verfahren, die Unternehmen anwenden sollten, um eine geschützte, konforme IT-Infrastruktur einzurichten, von Authentifizierungstechniken bis hin zu Einstellungen, BUDR-Strategien und Informationsprotokollierung.

Schritt-für-Schritt-Anleitung

Die ISMS.online-Plattform ermöglicht es Unternehmen in Verbindung mit unseren integrierten Anleitungen und vorkonfigurierten ISMS, die Einhaltung jeder Annex-A-Kontrolle mühelos nachzuweisen.

Buchen Sie noch heute eine Plattformdemo und erfahren Sie, wie wir Ihrem Unternehmen helfen können

Buchen Sie eine Plattform-Demo

Tabelle aller Anhang-A-Kontrollen

ISO 27001:2022 Organisationskontrollen

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
Organisatorische KontrollenAnhang A 5.1Anhang A 5.1.1
Anhang A 5.1.2
Richtlinien zur Informationssicherheit
Organisatorische KontrollenAnhang A 5.2Anhang A 6.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
Organisatorische KontrollenAnhang A 5.3Anhang A 6.1.2Aufgabentrennung
Organisatorische KontrollenAnhang A 5.4Anhang A 7.2.1Führungsaufgaben
Organisatorische KontrollenAnhang A 5.5Anhang A 6.1.3Kontakt mit Behörden
Organisatorische KontrollenAnhang A 5.6Anhang A 6.1.4Kontakt mit speziellen Interessengruppen
Organisatorische KontrollenAnhang A 5.7NEU!Threat Intelligence
Organisatorische KontrollenAnhang A 5.8Anhang A 6.1.5
Anhang A 14.1.1
Informationssicherheit im Projektmanagement
Organisatorische KontrollenAnhang A 5.9Anhang A 8.1.1
Anhang A 8.1.2
Inventar der Informationen und anderer damit verbundener Vermögenswerte
Organisatorische KontrollenAnhang A 5.10Anhang A 8.1.3
Anhang A 8.2.3
Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
Organisatorische KontrollenAnhang A 5.11Anhang A 8.1.4Rückgabe von Vermögenswerten
Organisatorische KontrollenAnhang A 5.12Anhang A 8.2.1Klassifizierung von Informationen
Organisatorische KontrollenAnhang A 5.13Anhang A 8.2.2Kennzeichnung von Informationen
Organisatorische KontrollenAnhang A 5.14Anhang A 13.2.1
Anhang A 13.2.2
Anhang A 13.2.3
Informationsübertragung
Organisatorische KontrollenAnhang A 5.15Anhang A 9.1.1
Anhang A 9.1.2
Access Control
Organisatorische KontrollenAnhang A 5.16Anhang A 9.2.1Identitätsmanagement
Organisatorische KontrollenAnhang A 5.17Anhang A 9.2.4
Anhang A 9.3.1
Anhang A 9.4.3
Authentifizierungsinformationen
Organisatorische KontrollenAnhang A 5.18Anhang A 9.2.2
Anhang A 9.2.5
Anhang A 9.2.6
Zugangsrechte
Organisatorische KontrollenAnhang A 5.19Anhang A 15.1.1Informationssicherheit in Lieferantenbeziehungen
Organisatorische KontrollenAnhang A 5.20Anhang A 15.1.2Adressierung der Informationssicherheit in Lieferantenvereinbarungen
Organisatorische KontrollenAnhang A 5.21Anhang A 15.1.3Management der Informationssicherheit in der IKT-Lieferkette
Organisatorische KontrollenAnhang A 5.22Anhang A 15.2.1
Anhang A 15.2.2
Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
Organisatorische KontrollenAnhang A 5.23NEU!Informationssicherheit für die Nutzung von Cloud-Diensten
Organisatorische KontrollenAnhang A 5.24Anhang A 16.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
Organisatorische KontrollenAnhang A 5.25Anhang A 16.1.4Bewertung und Entscheidung zu Informationssicherheitsereignissen
Organisatorische KontrollenAnhang A 5.26Anhang A 16.1.5Reaktion auf Informationssicherheitsvorfälle
Organisatorische KontrollenAnhang A 5.27Anhang A 16.1.6Aus Informationssicherheitsvorfällen lernen
Organisatorische KontrollenAnhang A 5.28Anhang A 16.1.7Beweissammlung
Organisatorische KontrollenAnhang A 5.29Anhang A 17.1.1
Anhang A 17.1.2
Anhang A 17.1.3
Informationssicherheit bei Störungen
Organisatorische KontrollenAnhang A 5.30NEU!IKT-Bereitschaft für Geschäftskontinuität
Organisatorische KontrollenAnhang A 5.31Anhang A 18.1.1
Anhang A 18.1.5
Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen
Organisatorische KontrollenAnhang A 5.32Anhang A 18.1.2Rechte an geistigem Eigentum
Organisatorische KontrollenAnhang A 5.33Anhang A 18.1.3Schutz von Aufzeichnungen
Organisatorische KontrollenAnhang A 5.34 Anhang A 18.1.4Datenschutz und Schutz personenbezogener Daten
Organisatorische KontrollenAnhang A 5.35Anhang A 18.2.1Unabhängige Überprüfung der Informationssicherheit
Organisatorische KontrollenAnhang A 5.36Anhang A 18.2.2
Anhang A 18.2.3
Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit
Organisatorische KontrollenAnhang A 5.37Anhang A 12.1.1Dokumentierte Betriebsabläufe


ISO 27001:2022 Personenkontrollen

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
MenschenkontrollenAnhang A 6.1Anhang A 7.1.1Untersuchungen
MenschenkontrollenAnhang A 6.2Anhang A 7.1.2Allgemeine Geschäftsbedingungen
MenschenkontrollenAnhang A 6.3Anhang A 7.2.2Informationssicherheitsbewusstsein, Bildung und Schulung
MenschenkontrollenAnhang A 6.4Anhang A 7.2.3Disziplinarverfahren
MenschenkontrollenAnhang A 6.5Anhang A 7.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
MenschenkontrollenAnhang A 6.6Anhang A 13.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
MenschenkontrollenAnhang A 6.7Anhang A 6.2.2Fernarbeit
MenschenkontrollenAnhang A 6.8Anhang A 16.1.2
Anhang A 16.1.3
Berichterstattung über Informationssicherheitsereignisse


Physische Kontrollen nach ISO 27001:2022

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
Physikalische KontrollenAnhang A 7.1Anhang A 11.1.1Physische Sicherheitsbereiche
Physikalische KontrollenAnhang A 7.2Anhang A 11.1.2
Anhang A 11.1.6
Physischer Eintritt
Physikalische KontrollenAnhang A 7.3Anhang A 11.1.3Sicherung von Büros, Räumen und Einrichtungen
Physikalische KontrollenAnhang A 7.4NEU!Physische Sicherheitsüberwachung
Physikalische KontrollenAnhang A 7.5Anhang A 11.1.4Schutz vor physischen und umweltbedingten Bedrohungen
Physikalische KontrollenAnhang A 7.6Anhang A 11.1.5Arbeiten in sicheren Bereichen
Physikalische KontrollenAnhang A 7.7Anhang A 11.2.9Klarer Schreibtisch und klarer Bildschirm
Physikalische KontrollenAnhang A 7.8Anhang A 11.2.1Standort und Schutz der Ausrüstung
Physikalische KontrollenAnhang A 7.9Anhang A 11.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
Physikalische KontrollenAnhang A 7.10Anhang A 8.3.1
Anhang A 8.3.2
Anhang A 8.3.3
Anhang A 11.2.5
Speichermedien
Physikalische KontrollenAnhang A 7.11Anhang A 11.2.2Unterstützende Dienstprogramme
Physikalische KontrollenAnhang A 7.12Anhang A 11.2.3Verkabelungssicherheit
Physikalische KontrollenAnhang A 7.13Anhang A 11.2.4Wartung der Ausrüstung
Physikalische KontrollenAnhang A 7.14Anhang A 11.2.7Sichere Entsorgung oder Wiederverwendung von Geräten


ISO 27001:2022 Technologische Kontrollen

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
Technologische KontrollenAnhang A 8.1Anhang A 6.2.1
Anhang A 11.2.8
Benutzer-Endpunktgeräte
Technologische KontrollenAnhang A 8.2Anhang A 9.2.3Privilegierte Zugriffsrechte
Technologische KontrollenAnhang A 8.3Anhang A 9.4.1Beschränkung des Informationszugriffs
Technologische KontrollenAnhang A 8.4Anhang A 9.4.5Zugang zum Quellcode
Technologische KontrollenAnhang A 8.5Anhang A 9.4.2Sichere Authentifizierung
Technologische KontrollenAnhang A 8.6Anhang A 12.1.3Kapazitätsmanagement
Technologische KontrollenAnhang A 8.7Anhang A 12.2.1Schutz vor Malware
Technologische KontrollenAnhang A 8.8Anhang A 12.6.1
Anhang A 18.2.3
Management technischer Schwachstellen
Technologische KontrollenAnhang A 8.9NEU!Configuration Management
Technologische KontrollenAnhang A 8.10NEU!Löschen von Informationen
Technologische KontrollenAnhang A 8.11NEU!Datenmaskierung
Technologische KontrollenAnhang A 8.12NEU!Verhinderung von Datenlecks
Technologische KontrollenAnhang A 8.13Anhang A 12.3.1Informationssicherung
Technologische KontrollenAnhang A 8.14Anhang A 17.2.1Redundanz von Informationsverarbeitungseinrichtungen
Technologische KontrollenAnhang A 8.15Anhang A 12.4.1
Anhang A 12.4.2
Anhang A 12.4.3
Protokollierung
Technologische KontrollenAnhang A 8.16NEU!Überwachungsaktivitäten
Technologische KontrollenAnhang A 8.17Anhang A 12.4.4Uhrensynchronisation
Technologische KontrollenAnhang A 8.18Anhang A 9.4.4Verwendung von Privileged Utility-Programmen
Technologische KontrollenAnhang A 8.19Anhang A 12.5.1
Anhang A 12.6.2
Installation von Software auf Betriebssystemen
Technologische KontrollenAnhang A 8.20Anhang A 13.1.1Netzwerksicherheit
Technologische KontrollenAnhang A 8.21Anhang A 13.1.2Sicherheit von Netzwerkdiensten
Technologische KontrollenAnhang A 8.22Anhang A 13.1.3Trennung von Netzwerken
Technologische KontrollenAnhang A 8.23NEU!Web-Filter
Technologische KontrollenAnhang A 8.24Anhang A 10.1.1
Anhang A 10.1.2
Verwendung von Kryptographie
Technologische KontrollenAnhang A 8.25Anhang A 14.2.1Sicherer Entwicklungslebenszyklus
Technologische KontrollenAnhang A 8.26Anhang A 14.1.2
Anhang A 14.1.3
Anforderungen an die Anwendungssicherheit
Technologische KontrollenAnhang A 8.27Anhang A 14.2.5Sichere Systemarchitektur und technische Prinzipien
Technologische KontrollenAnhang A 8.28NEU!Sichere Codierung
Technologische KontrollenAnhang A 8.29Anhang A 14.2.8
Anhang A 14.2.9
Sicherheitstests in Entwicklung und Akzeptanz
Technologische KontrollenAnhang A 8.30Anhang A 14.2.7Ausgelagerte Entwicklung
Technologische KontrollenAnhang A 8.31Anhang A 12.1.4
Anhang A 14.2.6
Trennung von Entwicklungs-, Test- und Produktionsumgebungen
Technologische KontrollenAnhang A 8.32Anhang A 12.1.2
Anhang A 14.2.2
Anhang A 14.2.3
Anhang A 14.2.4
Änderungsmanagement
Technologische KontrollenAnhang A 8.33Anhang A 14.3.1Testinformationen
Technologische KontrollenAnhang A 8.34Anhang A 12.7.1Schutz von Informationssystemen während Audittests



Warum ist Anhang A für meine Organisation wichtig?

Der ISO 27001-Standard ist so formuliert, dass Organisationen aller Formen und Größen die Anforderungen des Standards erfüllen und gleichzeitig die grundlegende Prämisse der Implementierung und Aufrechterhaltung umfassender Informationssicherheitspraktiken einhalten können.

Organisationen haben verschiedene Möglichkeiten, die Einhaltung von ISO 27001 zu erreichen und aufrechtzuerhalten, abhängig von der Art ihres Geschäfts und dem Umfang ihrer Datenverarbeitungsaktivitäten.

Anhang A bietet Unternehmen einen einfachen Leitfaden zur Erstellung eines gut strukturierten Informationssicherheitsplans, der ihren ausschließlichen kommerziellen und betrieblichen Anforderungen entspricht.

Anhang A dient als zeit- und ressourcensparendes Tool für die Erstzertifizierung und nachfolgende Compliance-Prozesse und bietet eine Grundlage für Audits, Prozessüberprüfungen und strategische Planung. Es kann als internes Governance-Dokument (d. h. als Risikobehandlungsplan) verwendet werden, das einen formellen Ansatz zur Informationssicherheit festlegt.

Verschaffen Sie sich einen Vorsprung von 81 %

Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.

Demo buchen

Verständnis der Risikobehandlung in ISO 27001 6.1.3

In der ISO 27001-Anforderung 6.1.3 geht es um die Einrichtung und Aufrechterhaltung eines Risikobewertungsprozesses für die Informationssicherheit, der Risikoakzeptanz- und Bewertungskriterien umfasst.

ISO 27001 6.1.3 dient Organisationen als Kanal, um sicherzustellen, dass ihre Verfahren zur Informationssicherheitsrisiken, einschließlich ihrer Risikomanagementalternativen, den von ISO empfohlenen Standards entsprechen, um eine Zertifizierung anzustreben.

Risikobehandlung als Konzept

Zertifizierte und konforme Organisationen gehen auf vielfältige Weise mit Risiken um. Das Risikomanagement beschränkt sich nicht auf die heilenden Maßnahmen, die zur Risikominderung erforderlich sind. Nach der Identifizierung eines Risikos wird von Organisationen erwartet, dass sie:

  • Akzeptieren Sie das Risiko.
  • Behandeln Sie das Risiko.
  • Reduzieren Sie das Risiko.
  • Übertragen Sie das Risiko.
  • Vermeiden Sie das Risiko.

ISO 27001 6.1.3 verlangt von Organisationen, einen Risikobehandlungsplan zu formulieren, einschließlich der Genehmigung durch Risikoverantwortliche und einer breiten Akzeptanz dessen, was ISO als „Restrisiken“ ansieht.

Dieser Prozess beginnt mit der Identifizierung von Risiken, die mit dem Verlust der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen verbunden sind. Die Organisation muss dann basierend auf den Ergebnissen der Risikobewertung geeignete Behandlungsoptionen für Informationssicherheitsrisiken auswählen.

Andere Faktoren

Als maßgebende Anforderung ist ISO 27001 6.1.3 nicht die ultimative Autorität für das Risikomanagement. Große Organisationen integrieren häufig Sicherheitsprotokolle anderer Akkreditierungsstellen (NIST, SOC2’s Trust Service Criteria).

Organisationen müssen jedoch während des gesamten Zertifizierungs- und Compliance-Prozesses den Annex-A-Kontrollen Vorrang einräumen – ISO-Auditoren werden wie üblich angewiesen, die Authentizität und Relevanz von ISO-Vorschriften zu ermitteln, daher sollte dies die erste Wahl einer Organisation bei der Erstellung einer ISO 27001 sein. konformes Informationssicherheitsmanagementsystem.

Bestimmte Datenstandards Dritter im öffentlichen und privaten Sektor – wie etwa das Data Security and Protection Toolkit (DSPT) des National Health Service – erfordern eine Angleichung der Informationssicherheitsstandards zwischen Organisationen und den öffentlichen Einrichtungen, mit denen sie zusammenarbeiten.

ISO 27001 6.1.3 ermöglicht es Organisationen, ihre Risikobehandlung mit zahlreichen externen Kriterien zu koordinieren, was eine umfassende Einhaltung aller Datensicherheitsmaßnahmen ermöglicht, mit denen sie wahrscheinlich konfrontiert werden.


Welche Anhang-A-Kontrollen sollte ich einbeziehen?

Es ist wichtig, die spezifischen Informationssicherheitsrisiken Ihres Unternehmens einzuschätzen, bevor Sie eine Entscheidung treffen, welche Kontrollen eingeführt werden sollen, und Kontrollen auswählen, die dabei helfen, erkennbare Risiken einzudämmen.

Zusätzlich zur Risikobehandlung können Kontrollen auch aufgrund einer Unternehmens- oder Geschäftsabsicht oder eines Unternehmensziels, einer gesetzlichen Anforderung oder bei der Erfüllung vertraglicher und/oder regulatorischer Verpflichtungen ausgewählt werden.

Darüber hinaus sind Organisationen verpflichtet darzulegen, warum sie bestimmte Kontrollen nicht in ihre SOA integriert haben – z.B. Es besteht keine Notwendigkeit, Kontrollen zu integrieren, die Remote- oder Hybridarbeit berücksichtigen, wenn dies keine Richtlinie Ihrer Einrichtung ist. Diese Daten müssen einem Prüfer jedoch bei der Bewertung Ihrer Zertifizierungs-/Compliance-Aufgaben vorgelegt werden.


Wie ISMS.online helfen kann

Die ISMS.online-Plattform ermöglicht es Unternehmen in Verbindung mit unseren integrierten Anleitungen und vorkonfigurierten ISMS, die Einhaltung jeder Annex-A-Kontrolle mühelos nachzuweisen. Wir sind hier, um Ihnen zu helfen, egal ob Sie neu bei ISO 27001 sind oder Ihr bestehendes ISMS umstellen müssen, um es an die Version 2022 des Standards anzupassen.

Unsere Schritt-für-Schritt-Checkliste führt Sie durch den gesamten Prozess und bietet einen klaren Überblick über den Fortschritt und die offenen Anforderungen. Unsere Software erleichtert die Zuordnung der Informationssicherheitskontrollen Ihres Unternehmens zu jedem Aspekt Ihres ISMS.

Buchen Sie noch heute eine Plattform-Demo und überzeugen Sie sich selbst von den Vorteilen unserer Lösung.

Demo buchen
komplette Compliance-Lösung

Möchten Sie erkunden?
Starten Sie Ihre kostenlose Testversion.

Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat

Mehr erfahren

Anforderungen der ISO 27001:2022


ISO 27001:2022 Anhang A Kontrollen

Organisatorische Kontrollen


Menschenkontrollen


Physikalische Kontrollen


Technologische Kontrollen


Über ISO 27001


Der State of Information Security Report 2024 ist jetzt online – jetzt lesen