Zum Inhalt
ISMS.online

ISO 27701:2025 Gemeinsame Sicherheitskontrollen: Anforderungen der Tabelle A.3

Tabelle A.3 enthält 29 Maßnahmen zur Informationssicherheit, die sowohl für Verantwortliche als auch für Verarbeiter personenbezogener Daten gelten. Diese umfassen Richtlinien, Zugriffskontrolle, Vorfallmanagement, Kryptografie und Entwicklungssicherheit.

Autorin
Max Edwards
Aktualisiert März 27, 2026
4 / 5 Sterne

Welche gemeinsamen Sicherheitskontrollen gibt es in ISO 27701:2025?

Tabelle A.3 von ISO 27701:2025 Anhang A definiert 29 Informationssicherheitskontrollen, die für jede Organisation gelten, die personenbezogene Daten verarbeitet, sei es als Verantwortlicher, Auftragsverarbeiter oder beides.

Diese Kontrollen ersetzten die über 90 Unterklauseln in Klausel 6 der Ausgabe von 2019. Die Ausgabe von 2025 behielt nur diejenigen Kontrollen bei, die spezifische Implementierungshinweise für personenbezogene Daten erfordern, und fasste diese in einem übersichtlichen Set zusammen. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung von 2019 bis 2025.

Die Umsetzungshinweise für jede Kontrollmaßnahme finden sich in Anhang B, Abschnitt B.3 (z. B. Hinweise für A.3.3 Informationssicherheitsrichtlinien befindet sich bei B.3.3).

Vollständige Liste der Kontrollen aus Tabelle A.3

Kontrollieren Titel Zusammenfassung
A.3.3 Informationssicherheitsrichtlinien Richtlinien zur Informationssicherheit Informationssicherheitsrichtlinien im Zusammenhang mit der Verarbeitung personenbezogener Daten definieren, genehmigen und kommunizieren.
A.3.4 Sicherheitsrollen Rollen und Verantwortlichkeiten im Bereich Informationssicherheit Sicherheitsrollen und Verantwortlichkeiten für die Verarbeitung personenbezogener Daten definieren und zuweisen.
A.3.5 Klassifizierung von Informationen Klassifizierung von Informationen Informationen unter Berücksichtigung personenbezogener Daten werden nach Vertraulichkeit, Integrität und Verfügbarkeit klassifiziert.
A.3.6 Kennzeichnung von Informationen Kennzeichnung von Informationen Entwicklung von Kennzeichnungsverfahren unter Berücksichtigung der PII-Klassifizierung
A.3.7 Informationstransfer Informationsübertragung Festlegung von Übertragungsregeln, -verfahren und -vereinbarungen für personenbezogene Daten
A.3.8 Identitätsmanagement Identitätsmanagement Verwalten Sie den gesamten Lebenszyklus von Identitäten im Zusammenhang mit der Verarbeitung personenbezogener Daten.
A.3.9 Zugriffsrechte Zugangsrechte Bereitstellung, Überprüfung, Änderung und Entfernung von Zugriffsrechten auf personenbezogene Daten
A.3.10 Lieferantenvereinbarungen Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen Legen Sie mit jedem Lieferanten Sicherheitsanforderungen für die Verarbeitung personenbezogener Daten fest.
A.3.11 Vorfallmanagement Planung und Vorbereitung des Krisenmanagements Planen und bereiten Sie sich auf den Umgang mit Sicherheitsvorfällen im Zusammenhang mit personenbezogenen Daten vor.
A.3.12 Reaktion auf Sicherheitsvorfälle Reaktion auf Informationssicherheitsvorfälle Reagieren Sie gemäß den dokumentierten Verfahren auf sicherheitsrelevante Vorfälle im Zusammenhang mit personenbezogenen Daten.
A.3.13 Rechtliche und regulatorische Anforderungen Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen Dokumentieren Sie die rechtlichen und regulatorischen Anforderungen im Zusammenhang mit der Sicherheit der Verarbeitung personenbezogener Daten.
A.3.14 Schutz von Aufzeichnungen Schutz von Aufzeichnungen Schützen Sie Datensätze zur Verarbeitung personenbezogener Daten vor Verlust, Zerstörung und unberechtigtem Zugriff.
A.3.15 Unabhängige Überprüfung Unabhängige Überprüfung der Informationssicherheit Überprüfen Sie unabhängig den Ansatz zum Umgang mit personenbezogenen Daten (PII) und deren Sicherheit.
A.3.16 Einhaltung der Richtlinien Einhaltung von Richtlinien, Regeln und Standards Überprüfen Sie regelmäßig die Einhaltung der Sicherheitsrichtlinien für die Verarbeitung personenbezogener Daten.
A.3.17 Sicherheitsbewusstsein und -schulung Bewusstsein für Informationssicherheit, Aus- und Weiterbildung Bieten Sie angemessene Schulungen zum Sicherheitsbewusstsein im Zusammenhang mit der Verarbeitung personenbezogener Daten an.
A.3.18 Vertraulichkeitsvereinbarungen Vertraulichkeits- oder Geheimhaltungsvereinbarungen Vertraulichkeitsvereinbarungen zum Schutz personenbezogener Daten identifizieren, dokumentieren und überprüfen
A.3.19 Aufgeräumter Schreibtisch und aufgeräumter Bildschirm Klarer Schreibtisch und klarer Bildschirm Regeln für einen aufgeräumten Arbeitsplatz und einen aufgeräumten Bildschirm für Einrichtungen mit personenbezogenen Daten festlegen und durchsetzen
A.3.20 Speichermedien Speichermedium Verwalten Sie Speichermedien mit PII über ihren gesamten Lebenszyklus hinweg.
A.3.21 Sichere Entsorgung von Geräten Sichere Entsorgung oder Wiederverwendung von Geräten Stellen Sie sicher, dass personenbezogene Daten vor der Entsorgung oder Wiederverwendung von den Geräten entfernt wurden.
A.3.22 Benutzerendgeräte Benutzerendpunktgeräte Schutz personenbezogener Daten auf Endgeräten
A.3.23 Sichere Authentifizierung Sichere Authentifizierung Implementieren Sie eine sichere Authentifizierung für PII-Verarbeitungssysteme
A.3.24 Informationssicherung Informationssicherung Pflegen und testen Sie Sicherungskopien von personenbezogenen Daten und zugehörigen Systemen.
A.3.25 Protokollierung Protokollierung Protokolle der Verarbeitung personenbezogener Daten erstellen, speichern, schützen und analysieren
A.3.26 Einsatz von Kryptographie Verwendung von Kryptographie Kryptographieregeln für die Verarbeitung personenbezogener Daten definieren und implementieren
A.3.27 Sicherer Entwicklungslebenszyklus Sicherer Entwicklungslebenszyklus Regeln für die sichere Entwicklung von PII-Verarbeitungssystemen festlegen
A.3.28 Anwendungssicherheit Anforderungen an die Anwendungssicherheit Ermitteln Sie die Sicherheitsanforderungen für personenbezogene Daten bei der Entwicklung oder dem Erwerb von Anwendungen.
A.3.29 Sichere Systemarchitektur Sichere Systemarchitektur und technische Prinzipien Grundsätze für die Entwicklung sicherer PII-Verarbeitungssysteme festlegen
A.3.30 Ausgelagerte Entwicklung Ausgelagerte Entwicklung Direkte Steuerung, Überwachung und Überprüfung der Entwicklung ausgelagerter PII-Verarbeitungssysteme
A.3.31 Testinformationen Testinformationen Geeignete Auswahl, Schutz und Verwaltung von Testinformationen für die Verarbeitung personenbezogener Daten


Das leistungsstarke Dashboard von ISMS.online

Einfacher Einstieg mit einer persönlichen Produktdemo

Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.

Buchen Sie Ihre Demo


In welchem ​​Zusammenhang stehen diese Kontrollen mit der Ausgabe 2019?

Die 29 Kontrollpunkte in Tabelle A.3 sind direkte Nachfolger von Klausel 6 der Ausgabe von 2019. Klausel 6 Die ursprüngliche Fassung enthielt über 90 Unterabschnitte, die sich größtenteils auf die Kontrollen der ISO 27002 bezogen. In der Ausgabe 2025 wurden Unterabschnitte ohne spezifische Leitlinien zum Umgang mit personenbezogenen Daten (z. B. physische Sicherheit, Netzwerksicherheit, Schutz vor Schadsoftware, Geschäftskontinuität) entfernt und die verbleibenden Kontrollen zusammengefasst.

Die vollständige Kartierung finden Sie unter Korrespondenztabelle im Anhang F.

Wer muss Tabelle A.3 implementieren?

Jede Organisation, die eine Zertifizierung nach ISO 27701:2025 anstrebt, muss Tabelle A.3 berücksichtigen, unabhängig davon, ob sie als Verantwortlicher oder Auftragsverarbeiter personenbezogener Daten agiert. Diese Kontrollen bilden die Grundlage für die Informationssicherheit Ihres Datenschutzmanagementsystems.

Wenn Sie auch über die ISO 27001-Zertifizierung verfügen, werden Ihnen viele dieser Kontrollmaßnahmen bereits bekannt sein. Der Hauptunterschied besteht darin, dass Tabelle A.3 jede Kontrollmaßnahme um PII-spezifische Anforderungen ergänzt – zum Beispiel: A.3.25 Protokollierung (Die Protokollierung) erfordert insbesondere die Aufzeichnung, wer auf welche personenbezogenen Daten zugegriffen hat und welche Änderungen vorgenommen wurden.

Warum sollten Sie sich ISMS.online für gemeinsame Sicherheitskontrollen?

ISMS.online hilft Ihnen bei der Umsetzung von Tabelle A.3 zusammen mit Ihren anderen Compliance-Anforderungen:

  • Integriert mit ISO 27001 — Falls Sie bereits ISO 27001-konforme Kontrollen implementiert haben, finden Sie in Tabelle A.3 zusätzliche PII-spezifische Anforderungen, ohne dass dadurch Arbeitsschritte doppelt ausgeführt werden.
  • Richtlinienverwaltung — Entwurf, Genehmigung, Verteilung und Nachverfolgung der Bestätigung von Sicherheitsrichtlinien im Zusammenhang mit personenbezogenen Daten
  • Incident Management — Protokollierung, Bewertung und Reaktion auf personenbezogene Sicherheitsvorfälle mit Benachrichtigungsfunktion
  • Lieferantenmanagement — Lieferantenvereinbarungen, Sicherheitsanforderungen und Compliance-Status verfolgen
  • Audit-Tools — Planen Sie unabhängige Überprüfungen und Konformitätsprüfungen anhand der Anforderungen aus Tabelle A.3
  • Beweise, die einen Zusammenhang herstellen — Richtlinien, Verfahren und Prüfergebnisse direkt an jede Kontrollstelle anhängen.

Häufig gestellte Fragen

Warum gibt es nur 29 Kontrollpunkte, wenn die Ausgabe von 2019 über 90 Unterpunkte enthielt?

Die Ausgabe von 2019 bezog sich auf alle ISO-27002-Kontrollen und enthielt Ergänzungen zum Thema personenbezogene Daten. Viele Unterabschnitte enthielten lediglich den Hinweis „keine zusätzlichen Hinweise“. Die Ausgabe von 2025 entfernte diese und behielt nur die 29 Kontrollen bei, die spezifische Hinweise zur Umsetzung personenbezogener Daten erfordern. Dadurch wurde der Anwendungsbereich fokussierter und besser auditierbar.

Benötige ich Tabelle A.3, wenn ich bereits ISO 27001 habe?

Ja. Die Kontrollen in Tabelle A.3 sind spezifische Anforderungen der ISO 27701, nicht der ISO 27001. Sie ergänzen Ihre bestehenden ISMS-Kontrollen um Anforderungen zum Schutz personenbezogener Daten. Viele Ihrer Nachweise und Implementierungen gemäß ISO 27001 sind jedoch direkt relevant.

Was ist mit Kontrollmechanismen wie physischer Sicherheit und Malware-Schutz geschehen?

Sie wurden aus ISO 27701:2025 entfernt, da sie keine spezifischen Implementierungsrichtlinien für personenbezogene Daten (PII) erforderten. Wenn Sie über eine ISO 27001-Zertifizierung verfügen, sind diese weiterhin durch diese Norm abgedeckt. Sie sind nicht aus Ihrem Sicherheitsprogramm verschwunden – sie fallen lediglich nicht mehr unter den Geltungsbereich von ISO 27701.

Protokollieren Sie Ihre gemeinsamen Steuerelementauswahlen in einer Erklärung zur Anwendbarkeit zusammen mit den Steuerelementen Ihres Controllers oder Prozessors.

CISOs, die das gemeinsame Kontrollset verwalten, sollten unsere [unsere] lesen CISO-Leitfaden zu ISO 27701:2025.

Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise beschreibt, worauf die Prüfer bei diesen gemeinsamen Kontrollen achten.

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Frühjahr 2026
High Performer – Frühjahr 2026, Small Business UK
Regionalleiter – Frühjahr 2026 EU
Regionalleiter – Frühjahr 2026 EMEA
Regionalleiter – Frühjahr 2026, Großbritannien
High Performer – Frühjahr 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.