Anhang A der ISO 27001:2022: Ein genauerer Blick auf die wichtigsten Kontrollen

Einführung in ISO 27001:2022 Anhang A

ISO 27001:2022 ist ein internationaler Informationssicherheitsstandard, der durch ein Informationssicherheits-Managementsystem (ISMS) implementiert wird. Anhang A des Standards enthält 93 Sicherheitskontrollen, die je nach den Anforderungen und Zielen Ihres Unternehmens angewendet werden können.  

Durch die Implementierung dieser Kontrollen kann Ihr Unternehmen potenzielle Risiken angehen und die Einhaltung der ISO 27001-Norm erreichen. Dies ist ein bewährter Ansatz, um Ihren Kunden und Interessenten zu zeigen, dass der Schutz ihrer Daten für Ihr Unternehmen Priorität hat.  

In diesem Artikel untersuchen wir Anhang A, skizzieren wichtige Kontrollen und erklären, warum das Verständnis und die Implementierung relevanter Kontrollen aus Anhang A für den Erfolg Ihres Unternehmens im Hinblick auf ISO 27001 von entscheidender Bedeutung ist. 

ISO 27001:2022 Anhang A Kategorien

 Die NT-Tron Serie 93 ISO 27001:2022 Anhang A Kontrollen werden in vier Kategorien eingeteilt: 

•        Organisatorische Kontrollen
•        Personenkontrollen
•        Physische Kontrollen 
•        Technologische Kontrollen.

Organisatorische Kontrollen

ISO 27001 enthält 37 organisatorische Kontrollen. Diese Kontrollen beziehen sich auf die Richtlinien, Verfahren, Strukturen usw. Ihrer Organisation und ermöglichen Ihnen die Umsetzung einer effektiven Informationssicherheit auf organisatorischer Ebene.  

Zu den organisatorischen Kontrollen gehören Ihre Informationssicherheitsrichtlinien, Verantwortlichkeiten für die Informationssicherheit, Zugriffskontrolle, Anlagenverwaltung und mehr. 

Menschenkontrollen

ISO 27001 enthält acht Personalkontrollen und konzentriert sich auf kritische Maßnahmen, die Organisationen ergreifen sollten, um sicherzustellen, dass ihre Mitarbeiter ausreichend in Bezug auf die Informationssicherheit geschult werden und ihre Verantwortlichkeiten kennen. 

Zu den Personalkontrollen gehören Aufklärung, Sensibilisierung und Training zur Informationssicherheit, Maßnahmen zur Fernarbeit, Berichterstattung über Informationssicherheitsereignisse und mehr. 

Physikalische Kontrollen 

Die 14 physischen Kontrollen in ISO 27001 befassen sich mit der Sicherheit der physischen Umgebung Ihres Unternehmens. 

Zu den physischen Kontrollen gehören Sicherheitsmaßnahmen für das Arbeiten in sicheren Bereichen, Speichermedienverwaltung, Richtlinien für aufgeräumte Schreibtische und Bildschirme und mehr. 

Technologische Kontrollen

In ISO 34:27001 sind 2022 technologische Kontrollen beschrieben, die sich auf verschiedene technologische Elemente in Ihrem Unternehmen beziehen. 

Zu den technologischen Kontrollen gehören sichere Authentifizierung, die Verwaltung technischer Schwachstellen, Überwachungsaktivitäten und die Verwendung von Kryptografie. 

Kritische Kontrollen nach ISO 27001:2022 Anhang A

Ihre Organisation muss nicht unbedingt alle 93 Kontrollen implementieren, aber Sie sollten Kontrollen auswählen, die für die Informationssicherheitsziele Ihrer Organisation und die von Ihnen identifizierten Risiken relevant sind. Für die meisten, wenn nicht alle Organisationen sind mehrere wichtige Kontrollen erforderlich, um ISO 27001-konform zu sein. 

Beachten Sie, dass die folgende Liste nicht vollständig ist. Ihre Organisation sollte jede Maßnahme auf der Grundlage Ihrer übergeordneten Informationssicherheitsziele in Betracht ziehen. 

A.5.1 Richtlinien zur Informationssicherheit

Kontrollieren A.5.1, Richtlinien zur Informationssicherheit, gewährleistet die fortlaufende Eignung, Angemessenheit und Wirksamkeit der Managementunterstützung und -leitung hinsichtlich der Informationssicherheit und des Datenschutzes Ihres Unternehmens. 

Bei erfolgreicher Implementierung stellt diese Kontrolle sicher, dass Ihr Unternehmen über eine Reihe von Informationssicherheits- und Datenschutzrichtlinien verfügt, die das Verhalten einzelner Personen im Hinblick auf die Informationssicherheitsrisiken informieren und lenken.  

Zum Beispiel dein Informationssicherheitspolitik, eine Voraussetzung für ISO 27001:2022 Abschnitt 5.2, sollte vom Management genehmigt werden und den Ansatz Ihres Unternehmens zur Verwaltung der Informationssicherheit darlegen. Es sollte Ihre Geschäftsstrategie, Anforderungen, relevante Gesetze, Vorschriften und Verträge berücksichtigen.  

Die Richtlinie sollte: 

• Fügen Sie eine Definition der Informationssicherheit hinzu 

• Bereitstellung eines Rahmens für die Festlegung von Informationssicherheitszielen 

• Zeigen Sie, dass Sie sich dauerhaft für die Verbesserung des ISMS Ihrer Organisation engagieren. 

• Weisen Sie definierten Rollen Verantwortlichkeiten für das Informationssicherheitsmanagement zu. 

Die oberste Leitung sollte die Informationssicherheitsrichtlinie und alle vorgenommenen Änderungen genehmigen, um eine wirksame Umsetzung sicherzustellen. Anschließend sollten Sie die Richtlinie (und alle zugehörigen Unterrichtlinien, z. B. Richtlinien zur Zugriffskontrolle und zum Asset-Management) dem relevanten Personal mitteilen. 

 A.5.1. Ergebnisse: Informationssicherheitspolitik; relevante themenspezifische Unterpolitiken, zB A.5.10 Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten, A.8.32 Änderungsverwaltung, A.8.13 Informationssicherung, usw. 

A.5.15 Zugangskontrolle

Kontrollieren A.5.15, Zugriffskontrolle erfordert, dass Ihre Organisation Regeln zur Kontrolle des physischen und logischen Zugriffs auf Informationen und andere zugehörige Vermögenswerte auf der Grundlage von Geschäfts- und Informationssicherheitsanforderungen erstellt und implementiert. Dadurch wird sichergestellt, dass nur autorisierte Profile auf Informationen und andere Vermögenswerte zugreifen können, und unbefugter Zugriff wird verhindert. 

Sie sollten diese Kontrolle mit einer Zugriffskontrollrichtlinie angehen, die als themenspezifische Richtlinie unter Ihrer Informationssicherheitsrichtlinie steht. Ihre Zugriffskontrollrichtlinie sollte Folgendes berücksichtigen:  

• Bestimmen, welche Entitäten welchen Zugriff auf Informationen und andere Vermögenswerte benötigen 

• Sicherheit der Anwendungen 

• Physischer Zugang, unterstützt durch physische Zugangskontrollen 

• Informationsverbreitung und -autorisierung sowie Informationssicherheitsstufen und Klassifizierung von Informationen 

• Einschränkungen des privilegierten Zugriffs 

• Aufgabentrennung 

• Relevante Gesetze, Vorschriften und vertragliche Verpflichtungen bezüglich der Beschränkung des Zugriffs auf Daten oder Dienste 

• Trennung der Zutrittskontrollfunktionen (wie Zutrittsantrag, Zutrittsberechtigung und Zutrittsverwaltung) 

• Formale Autorisierung von Zugriffsanfragen 

• Verwaltung von Zugriffsrechten 

• Protokollierung. 

Bei der Zugriffskontrolle kommen häufig Need-to-Know- und Need-to-Use-Prinzipien zum Einsatz: 

• Wissenswertes Dabei wird einer Entität (z. B. einer Einzelperson oder einer Organisation) nur Zugriff auf die Informationen gewährt, die sie zur Erfüllung ihrer Aufgaben benötigt.  

• Bedarfsgerechte Nutzung bedeutet, dass einer Entität nur dann Zugriff auf die Informationstechnologie-Infrastruktur gewährt wird, wenn ein klarer Bedarf besteht.  

Diese Grundsätze können als Orientierung dienen, wie Ihr Unternehmen den Zugriff auf Informationsressourcen gewährt. Sie sollten auch Geschäftsanforderungen und Risikofaktoren berücksichtigen, wenn Sie festlegen, welche Zugriffskontrollregeln angewendet werden und welcher Detaillierungsgrad erforderlich ist. 

A.5.15 Ergebnisse: Themenspezifische Zugriffskontrollrichtlinie; Implementierung der Zugriffskontrolle (z. B. obligatorische Zugriffskontrolle, diskretionäre Zugriffskontrolle, rollenbasierte Zugriffskontrolle oder attributbasierte Zugriffskontrolle). 

A.6.3 Bewusstsein, Bildung und Schulung zur Informationssicherheit

Kontrollieren A.6.3, Bewusstsein, Bildung und Schulung im Bereich Informationssicherheitist die Grundlage der Sicherheitslage Ihres Unternehmens. Es stellt sicher, dass Ihre Mitarbeiter und interessierten Parteien potenzielle Informationssicherheitsvorfälle verhindern, identifizieren und melden können.  

Die Kontrolle erfordert, dass Mitarbeiter und relevante Parteien ein angemessenes Bewusstsein für Informationssicherheit sowie entsprechende Schulungen und Trainings erhalten und regelmäßig über die Informationssicherheitsrichtlinie Ihres Unternehmens sowie themenspezifische Richtlinien und Verfahren informiert werden, die für ihre Rollen gelten. 

Sie sollten ein Programm zur Sensibilisierung, Schulung und Ausbildung im Bereich Informationssicherheit einrichten, das Ihren Informationssicherheitszielen entspricht, und Schulungen sollten regelmäßig stattfinden. Das Programm sollte das Personal auf seine Verantwortung für die Informationssicherheit aufmerksam machen und einen entsprechenden Schulungs- und Ausbildungsplan enthalten, damit die Mitarbeiter das Ziel der Informationssicherheit und die möglichen Auswirkungen ihres Verhaltens in Bezug auf die Informationssicherheit auf Ihr Unternehmen verstehen. 

Berücksichtigen Sie beispielsweise die folgenden Aspekte:  

• Engagement des Managements für die Informationssicherheit in Ihrem gesamten Unternehmen 

• Vertrautheit und Compliance-Anforderungen in Bezug auf geltende Informationssicherheitsregeln und -verpflichtungen 

• Persönliche Verantwortung für die eigenen Handlungen und Unterlassungen sowie allgemeine Verantwortung für die Sicherung oder den Schutz von Informationen der Organisation 

• Grundlegende Verfahren zur Informationssicherheit wie Ereignisberichterstattung und Kennwortschutz 

• Kontaktstellen und Ressourcen für weitere Informationen und Beratung. 

A.6.3 Ergebnisse: Regelmäßige Sensibilisierungsschulungen; regelmäßiges Bildungs- und Schulungsprogramm; regelmäßige Verbreitung relevanter Informationssicherheitsrichtlinien, einschließlich Aktualisierungen. 

 A.8.24 Einsatz von Kryptographie

Kontrollieren A.8.24, Einsatz von Kryptographie erfordert, dass Ihre Organisation Regeln für den effektiven Einsatz von Kryptografie definiert und implementiert. Kryptografie kann verwendet werden, um verschiedene Informationssicherheitsziele zu erreichen, wie zum Beispiel: 

• Vertraulichkeitdurch Verschlüsselung zum Schutz sensibler oder kritischer Informationen 

• Integrität oder Authentizität, durch die Verwendung digitaler Signaturen oder Nachrichtenauthentifizierungscodes zur Überprüfung der Authentizität oder Integrität vertraulicher oder kritischer Informationen 

• Nicht-Zurückweisung, durch den Einsatz kryptografischer Techniken, um den Nachweis für das Eintreten oder Nichteintreten eines Ereignisses oder einer Handlung zu erbringen 

• Authentifizierung, by Verwenden Sie kryptografische Techniken, um Benutzer und andere Entitäten zu authentifizieren, die Zugriff auf Ihr System, Ihre Entitäten oder Ressourcen anfordern. 

Ihre Organisation sollte eine themenspezifische Kryptografierichtlinie implementieren, die allgemeine Grundsätze zum Schutz von Informationen enthält. Sie sollten auch relevante rechtliche, gesetzliche, behördliche und vertragliche Anforderungen in Bezug auf Kryptografie berücksichtigen. Wichtige Überlegungen für Ihre Kryptografierichtlinie sind: 

• Identifizierung des erforderlichen Schutzniveaus und der Klassifizierung der Informationen und in der Folge Festlegung der Art, Stärke und Qualität der erforderlichen kryptografischen Algorithmen 

• Der Ansatz zur Schlüsselverwaltung und Schlüsselgenerierung, einschließlich sicherer Prozesse zum Generieren, Speichern, Archivieren, Abrufen, Verteilen, Außerbetriebsetzen und Vernichten kryptografischer Schlüssel 

• Rollen und Verantwortlichkeiten für die Implementierung der Regeln für die effektive Nutzung von Kryptografie sowie Schlüsselverwaltung und -generierung. 

Im Einklang mit dieser Kontrolle sollte Ihre Organisation ein Schlüsselverwaltungssystem definieren und verwenden. 

A.8.24 Ergebnisse: Themenspezifische Kryptografierichtlinie; Implementierung geeigneter kryptografischer Methoden; Implementierung eines Schlüsselverwaltungssystems.

Risikobewertung und -behandlung in ISO 27001:2022 

Ihre Organisation muss einen Prozess zur Risikobewertung der Informationssicherheit definieren und anwenden, um die Anforderungen der ISO 27001:2022 zu erfüllen. Abschnitt 6.1.2, Risikobewertung der Informationssicherheit.  

Der Prozess der Informationssicherheitsrisikobewertung sollte: 

• Erstellen und pflegen Sie Risikokriterien für die Informationssicherheit, einschließlich Risikoakzeptanzkriterien und Kriterien für die Durchführung von Risikobewertungen für die Informationssicherheit. 

• Stellen Sie sicher, dass wiederholte Bewertungen der Informationssicherheit konsistente, gültige und vergleichbare Ergebnisse liefern. 

• Identifizieren Sie die Informationssicherheitsrisiken. 

• Analysieren Sie Informationssicherheitsrisiken, einschließlich der Wahrscheinlichkeit des Risikoeintritts, der möglichen Folgen des Risikoeintritts und der Risikostufen 

• Bewerten Sie die Informationssicherheitsrisiken, indem Sie die Ergebnisse der Risikoanalyse mit Ihren festgelegten Risikokriterien vergleichen und die analysierten Risiken für die Behandlung priorisieren. 

Mit diesem Prozess können Sie einen systematischen Rahmen für die Risikobewertung erstellen. Sobald dieser etabliert ist, sollten Sie einen Prozess zur Behandlung von Informationssicherheitsrisiken gemäß Abschnitt 6.1.3 definieren und anwenden.  

Ihr Risikobehandlungsprozess sollte Folgendes umfassen: 

• Auswahl geeigneter Optionen zur Risikobehandlung. 

• Berücksichtigung der Ergebnisse der Risikobewertung. 

• Bestimmen der Kontrollen, die zur Implementierung der gezeigten Risikobehandlungsoptionen erforderlich sind.  

 Anhang A dient hier als Leitfaden für eine umfassende und angemessene Risikobehandlung. Mithilfe Ihres Risikobewertungsrahmens können Sie Kontrollen basierend auf Ihrem Risikoprofil und Ihren organisatorischen Anforderungen priorisieren und auswählen. Anschließend sollten Sie die erforderlichen Kontrollen gemäß Anhang A auswählen, um diese zu adressieren, und sicherstellen, dass keine kritischen Kontrollen übersehen wurden.

Anhang A: ISO 27001:2013 vs. ISO 27001:2022 

Die aktuelle Version von ISO 27001, die 2022 veröffentlicht wurde, enthält im Vergleich zur Version von 2013 einen neu strukturierten Satz von Kontrollen in Anhang A. Zuvor umfasste Anhang A 114 Kontrollen in 14 Kategorien; jetzt enthält Anhang A 93 Kontrollen in den vier Kernkategorien: organisatorisch, personell, physisch und technologisch.  

Diese Änderung ist in erster Linie auf die Konsolidierung von Kontrollen zurückzuführen. Allerdings müssen dabei auch elf neue Sicherheitskontrollen berücksichtigt werden: 

• A.5.7 Bedrohungsinformationen  

• A.5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten  

• A.5.30 IKT-Bereitschaft für Geschäftskontinuität 

• A.7.4 Überwachung der physischen Sicherheit 

• A.8.9 Konfigurationsmanagement 

• A.8.10 Löschung von Informationen

• A.8.11 Datenmaskierung

• A.8.12 Verhinderung von Datenlecks 

• A.8.16 Überwachungsaktivitäten

• A.8.23 Webfilterung 

• A.8.28 Sichere Codierung 

Das Update 2022 führt außerdem fünf neue Kernattribute zur einfacheren Kategorisierung ein: 

• Kontrolltyp (präventiv, aufdeckend, korrigierend) 

• Eigenschaften der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) 

• Konzepte zur Cybersicherheit (Identität, Schutz, Erkennung, Reaktion, Wiederherstellung) 

• Betriebsfähigkeiten (Governance, Asset Management usw.) 

• Sicherheitsbereiche (Governance und Ökosystem, Schutz, Verteidigung, Resilienz). 

Übergang von ISO 27001:2013 zu ISO 27001:2022 

Wenn Ihre Organisation bereits nach ISO 27001:2013 zertifiziert ist, ist der Stichtag für die Umstellung auf die neue Revision der 31. Oktober 2025.  

Bei ISMS.online unterstützen wir Unternehmen bereits bei der Umstellung auf ISO 27001:2022. Unsere Kunden haben eine 100%ige Erfolgsquote bei der Zertifizierung mit unserem Methode der gesicherten Ergebnisse (ARM).  

Zu Beginn unterteilen wir den Prozess in sieben einfache Schritte. Diese Schritt-für-Schritt-Anleitung ist in unsere Plattform integriert, sodass wir Sie durch jeden Schritt führen – von der Aktualisierung Ihres Risikobehandlungsplans bis zum Nachweis der Einhaltung der Standardanforderungen von 2022. Wir helfen Ihnen auch dabei, die Konformität mit 2013 beizubehalten, während Sie Ihre Zertifizierung auf 2022 umstellen, und stellen so sicher, dass Ihr Unternehmen durchgehend konform ist.   

Anhang A: So gelingt der Erfolg von ISO 27001:2022 

Für Organisationen, die eine ISO 27001-Zertifizierung anstreben, ist es von entscheidender Bedeutung, die Kontrollen in Anhang A zu verstehen und sie effektiv und klar umzusetzen. Diese Kontrollen ermöglichen es Ihnen, das Auftreten potenzieller Informationssicherheitsrisiken zu verhindern und Prozesse und Verfahren zu skizzieren, um im Falle eines Vorfalls effektiv reagieren zu können. Sie ermöglichen Ihnen außerdem den Aufbau eines robusten ISMS, das sich mit den Anforderungen Ihres Unternehmens weiterentwickelt und wächst. 

Jede Organisation hat andere Anforderungen an die Informationssicherheit. Daher sollten Sie bei der Auswahl der Kontrollen nach Anhang A die spezifischen Anforderungen und Ziele Ihres Unternehmens bewerten. Möglicherweise stellen Sie fest, dass einige Kontrollen Risiken abdecken, die bei Ihren Risikobewertungen nicht zutreffen. Die ISMS.online-Plattform kann diesen Prozess vereinfachen: Identifizieren und adressieren Sie schnell Ihre relevanten Kontrollen nach Anhang A mit vorab ausgefüllten Vorlagen und unserer dynamischen Risikomanagement-Engine.  

Unsere Plattform lässt sich auch mit Ihren bestehenden Systemen verbinden, sodass Sie alles, was Sie für Ihren Erfolg benötigen, an einem Ort finden. Und das Beste: Mit unserer Headstart-Inhalte, Ihr Compliance-Prozess ist ab Ihrer ersten Anmeldung zu 81 % abgeschlossen.  

Erfahren Sie mehr darüber, wie Sie mit unserem praktischen und kostengünstigen Weg die ISO 27001-Zertifizierung gleich beim ersten Mal erreichen können, in unserem Whitepaper „Bewährter Weg zum ISO 27001-Erfolg“.