ISO 27001:2022 Anhang A erklärt

Was ist Anhang A und was hat sich geändert?

Anhang A in ISO 27001 ist ein Teil der Norm, der eine Reihe klassifizierter Sicherheitskontrollen auflistet, die Organisationen verwenden, um die Einhaltung von ISO 27001 6.1.3 (Behandlung von Informationssicherheitsrisiken) und der zugehörigen Anwendbarkeitserklärung (siehe unten) nachzuweisen.

Zuvor enthielt es 114 Kontrollen, die in 14 Kategorien unterteilt waren und ein breites Themenspektrum wie Zugangskontrolle, Kryptographie, physische Sicherheit und Vorfallmanagement abdeckten.

Nach der Veröffentlichung von ISO 27002:2022 (Informationssicherheit, Cybersicherheit und Datenschutzkontrollen) am 15. Februar 2022 hat ISO 27001:2022 seine Anhang-A-Kontrollen angepasst.

Die neue Version des Standards basiert auf einem komprimierten Satz von 93 Anhang-A-Kontrollen, darunter 11 neue Kontrollen.

Insgesamt 24 Kontrollen wurden aus zwei, drei oder mehr Sicherheitskontrollen der Version 2013 zusammengeführt, und 58 Kontrollen der ISO 27002:2013 wurden überarbeitet, um sie an die aktuelle Cybersicherheits- und Informationssicherheitsumgebung anzupassen.

Was ist eine Anwendbarkeitserklärung?

Bevor Sie fortfahren, lohnt es sich, eine Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) einzuführen, da diese den Ansatz einer Organisation zur Umsetzung bestimmter Annex-A-Kontrollen umreißt.

Eine Erklärung zur Anwendbarkeit (SoA) in ISO 27001 2022 ist ein Dokument, das die Kontrollen in Anhang A auflistet, die eine Organisation implementieren wird, um die Anforderungen der Norm zu erfüllen. Dies ist ein obligatorischer Schritt für jeden, der eine ISO 27001-Zertifizierung anstrebt.

Ihr SoA sollte vier Hauptelemente enthalten:

• Eine Liste aller Kontrollen, die erforderlich sind, um den Behandlungsoptionen für Informationssicherheitsrisiken gerecht zu werden, einschließlich der in Anhang A enthaltenen.
• Eine Erklärung, die darlegt, warum alle oben genannten Steuerelemente enthalten sind.
• Bestätigung der Umsetzung.
• Die Begründung der Organisation für das Weglassen einer der Anhang-A-Kontrollen.

Die neuen Kontrollkategorien der ISO 27001:2022 werden erklärt

Die Anhang-A-Kontrollen der ISO 27001:2013 waren bisher in 14 Kategorien unterteilt. ISO 27001 2022 verfolgt einen ähnlichen kategorialen Ansatz für die Informationssicherheit, der Prozesse auf vier Kategorien der obersten Ebene verteilt.

Anhang a-Kontrollen wurden nun in vier Kategorien gruppiert

Die Kontrollen im ISO 27001:2022-Anhang wurden umstrukturiert und konsolidiert, um den aktuellen Sicherheitsherausforderungen Rechnung zu tragen. Die Kernprozesse des ISMS-Managements bleiben unverändert, der Kontrollsatz in Anhang A wurde jedoch aktualisiert, um modernere Risiken und die damit verbundenen Kontrollen widerzuspiegeln.

• Organisatorisch
• Personen
• Physik
• Filter, Parameter, Zeitachsen, Sparklines, Zellprozentsatz und Fortschritte

Jedem Steuerelement ist zusätzlich eine Attributionstaxonomie zugeordnet. Jedes Steuerelement verfügt jetzt über eine Tabelle mit einer Reihe empfohlener Attribute, und Anhang A von ISO 27002:2022 enthält eine Reihe empfohlener Zuordnungen.

Dadurch können Sie Ihre Steuerungsauswahl schnell an die gängige Branchensprache und internationale Standards anpassen. Die Verwendung von Attributen unterstützt die Arbeit, die viele Unternehmen bereits im Rahmen ihrer Risikobewertung und ihrer Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) leisten.

Beispielsweise können Cybersicherheitskonzepte ähnlich den NIST- und CIS-Kontrollen unterschieden und die Einsatzfähigkeiten in Bezug auf andere Standards erkannt werden.

Organisatorische Kontrollen

• Anzahl der Bedienelemente: 37
• Kontrollnummern: ISO 27001 Anhang A 5.1 bis 5.37

Organisatorische Kontrollen umfassen Vorschriften und Maßnahmen, die die umfassende Haltung einer Organisation zum Datenschutz in einem breiten Spektrum von Angelegenheiten vorschreiben. Zu diesen Kontrollen gehören Richtlinien, Regeln, Prozesse, Verfahren, Organisationsstrukturen und mehr.

Menschenkontrollen

• Anzahl der Bedienelemente: 8
• Kontrollnummern: ISO 27001 Anhang A 6.1 bis 6.8

Mit Personenkontrollen können Unternehmen die menschliche Komponente ihres Informationssicherheitsprogramms regulieren, indem sie die Art und Weise definieren, wie Mitarbeiter mit Daten und untereinander interagieren. Diese Kontrollen umfassen sicheres Personalmanagement, Personalsicherheit sowie Sensibilisierung und Schulung.

Physikalische Kontrollen

• Anzahl der Bedienelemente: 14
• Kontrollnummern: ISO 27001 Anhang A 7.1 bis 7.13

Physische Schutzmaßnahmen sind Maßnahmen zur Gewährleistung der Sicherheit materieller Vermögenswerte. Dazu können Zutrittssysteme, Gastzugangsprotokolle, Entsorgungsprozesse für Vermögenswerte, Protokolle für Speichermedien und Clear-Desk-Richtlinien gehören. Solche Schutzmaßnahmen sind für den Schutz vertraulicher Informationen von wesentlicher Bedeutung.

Technologische Kontrollen

• Anzahl der Bedienelemente: 34
• Kontrollnummern: ISO 27001 Anhang A 8.1 bis 8.34

Technologische Beschränkungen bestimmen die kybernetischen/digitalen Vorschriften und Verfahren, die Unternehmen anwenden sollten, um eine geschützte, konforme IT-Infrastruktur einzurichten, von Authentifizierungstechniken bis hin zu Einstellungen, BUDR-Strategien und Informationsprotokollierung.

Warum ist Anhang A für meine Organisation wichtig?

Der ISO 27001-Standard ist so formuliert, dass Organisationen aller Formen und Größen die Anforderungen des Standards erfüllen und gleichzeitig die grundlegende Prämisse der Implementierung und Aufrechterhaltung umfassender Informationssicherheitspraktiken einhalten können.

Organisationen haben verschiedene Möglichkeiten, die Einhaltung von ISO 27001 zu erreichen und aufrechtzuerhalten, abhängig von der Art ihres Geschäfts und dem Umfang ihrer Datenverarbeitungsaktivitäten.

Anhang A bietet Unternehmen einen einfachen Leitfaden zur Erstellung eines gut strukturierten Informationssicherheitsplans, der ihren ausschließlichen kommerziellen und betrieblichen Anforderungen entspricht.

Anhang A dient als zeit- und ressourcensparendes Tool für die Erstzertifizierung und nachfolgende Compliance-Prozesse und bietet eine Grundlage für Audits, Prozessüberprüfungen und strategische Planung. Es kann als internes Governance-Dokument (d. h. als Risikobehandlungsplan) verwendet werden, das einen formellen Ansatz zur Informationssicherheit festlegt.

Verstehen der Risikobehandlung in ISO 27001 6.1.3

In der ISO 27001-Anforderung 6.1.3 geht es um die Einrichtung und Aufrechterhaltung eines Risikobewertungsprozesses für die Informationssicherheit, der Risikoakzeptanz- und Bewertungskriterien umfasst.

ISO 27001 6.1.3 dient Organisationen als Kanal, um sicherzustellen, dass ihre Verfahren zur Informationssicherheitsrisiken, einschließlich ihrer Risikomanagementalternativen, den von ISO empfohlenen Standards entsprechen, um eine Zertifizierung anzustreben.

Risikobehandlung als Konzept

Zertifizierte und konforme Organisationen gehen auf vielfältige Weise mit Risiken um. Das Risikomanagement beschränkt sich nicht auf die heilenden Maßnahmen, die zur Risikominderung erforderlich sind. Nach der Identifizierung eines Risikos wird von Organisationen erwartet, dass sie:

• Akzeptieren Sie das Risiko.
• Behandeln Sie das Risiko.
• Reduzieren Sie das Risiko.
• Übertragen Sie das Risiko.
• Vermeiden Sie das Risiko.

ISO 27001 6.1.3 verlangt von Organisationen, einen Risikobehandlungsplan zu formulieren, einschließlich der Genehmigung durch Risikoverantwortliche und einer breiten Akzeptanz dessen, was ISO als „Restrisiken“ ansieht.

Dieser Prozess beginnt mit der Identifizierung von Risiken, die mit dem Verlust der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen verbunden sind. Die Organisation muss dann basierend auf den Ergebnissen der Risikobewertung geeignete Behandlungsoptionen für Informationssicherheitsrisiken auswählen.

Andere Faktoren

Als maßgebende Anforderung ist ISO 27001 6.1.3 nicht die ultimative Autorität für das Risikomanagement. Große Organisationen integrieren häufig Sicherheitsprotokolle anderer Akkreditierungsstellen (NIST, SOC2’s Trust Service Criteria).

Organisationen müssen jedoch während des gesamten Zertifizierungs- und Compliance-Prozesses den Annex-A-Kontrollen Vorrang einräumen – ISO-Auditoren werden wie üblich angewiesen, die Authentizität und Relevanz von ISO-Vorschriften zu ermitteln, daher sollte dies die erste Wahl einer Organisation bei der Erstellung einer ISO 27001 sein. konformes Informationssicherheitsmanagementsystem.

Bestimmte Datenstandards Dritter im öffentlichen und privaten Sektor – wie etwa das Data Security and Protection Toolkit (DSPT) des National Health Service – erfordern eine Angleichung der Informationssicherheitsstandards zwischen Organisationen und den öffentlichen Einrichtungen, mit denen sie zusammenarbeiten.

ISO 27001 6.1.3 ermöglicht es Organisationen, ihre Risikobehandlung mit zahlreichen externen Kriterien zu koordinieren, was eine umfassende Einhaltung aller Datensicherheitsmaßnahmen ermöglicht, mit denen sie wahrscheinlich konfrontiert werden.

Welche Anhang-A-Kontrollen sollte ich einbeziehen?

Es ist wichtig, die spezifischen Informationssicherheitsrisiken Ihres Unternehmens einzuschätzen, bevor Sie eine Entscheidung treffen, welche Kontrollen eingeführt werden sollen, und Kontrollen auswählen, die dabei helfen, erkennbare Risiken einzudämmen.

Zusätzlich zur Risikobehandlung können Kontrollen auch aufgrund einer Unternehmens- oder Geschäftsabsicht oder eines Unternehmensziels, einer gesetzlichen Anforderung oder bei der Erfüllung vertraglicher und/oder regulatorischer Verpflichtungen ausgewählt werden.

Darüber hinaus sind Organisationen verpflichtet darzulegen, warum sie bestimmte Kontrollen nicht in ihre SOA integriert haben – z.B. Es besteht keine Notwendigkeit, Kontrollen zu integrieren, die Remote- oder Hybridarbeit berücksichtigen, wenn dies keine Richtlinie Ihrer Einrichtung ist. Diese Daten müssen einem Prüfer jedoch bei der Bewertung Ihrer Zertifizierungs-/Compliance-Aufgaben vorgelegt werden.

Wie ISMS.online helfen kann

Die ISMS.online-Plattform ermöglicht es Unternehmen in Verbindung mit unseren integrierten Anleitungen und vorkonfigurierten ISMS, die Einhaltung jeder Annex-A-Kontrolle mühelos nachzuweisen. Wir sind hier, um Ihnen zu helfen, egal ob Sie neu bei ISO 27001 sind oder Ihr bestehendes ISMS umstellen müssen, um es an die Version 2022 des Standards anzupassen.

Unsere Schritt-für-Schritt-Checkliste führt Sie durch den gesamten Prozess und bietet einen klaren Überblick über den Fortschritt und die offenen Anforderungen. Unsere Software erleichtert die Zuordnung der Informationssicherheitskontrollen Ihres Unternehmens zu jedem Aspekt Ihres ISMS.

Buchen Sie noch heute eine Plattform-Demo und überzeugen Sie sich selbst von den Vorteilen unserer Lösung.