Welchen Zweck hat Anhang F?
Anhang F wurde in der Ausgabe 2025 speziell eingeführt, um Organisationen beim Übergang von ISO 27701:2019 zu unterstützen. Er gewährleistet Abwärtskompatibilität, indem er jede Kontrolle in beide Richtungen abbildet:
- Tabelle F.1 — Ordnet jede Kontrollmaßnahme von 2025 ihrer/ihren entsprechenden Kontrollmaßnahme(n) von 2019 zu
- Tabelle F.2 — Ordnet jede Kontrollmaßnahme von 2019 ihrer entsprechenden Maßnahme von 2025 zu (oder kennzeichnet sie als N/A, falls sie entfernt wurde)
Dies ist das maßgebliche Nachschlagewerk für Ihre Analyse der ÜbergangslückeNutzen Sie Tabelle F.2, um zu überprüfen, was mit Ihren bestehenden Kontrollen geschehen ist, und Tabelle F.1, um zu verstehen, woher jede neue Kontrolle für 2025 stammt.
Wie lassen sich die gemeinsamen Sicherheitskontrollen von 2025 auf das Jahr 2019 übertragen?
Die 29 gemeinsame Sicherheitskontrollen in Tabelle A.3 Die über 90 Unterklauseln wurden in Klausel 6 der Ausgabe von 2019 ersetzt. Viele Kontrollen aus dem Jahr 2019 wurden zusammengefasst oder entfernt, da sie keine spezifischen Hinweise zum Umgang mit personenbezogenen Daten enthielten.
| 2025 Steuerung | Äquivalent(e) von 2019 | Kontrollname |
|---|---|---|
| A.3.3 Informationssicherheitsrichtlinien | 6.2.1.1, 6.2.1.2 | Richtlinien zur Informationssicherheit |
| A.3.4 Sicherheitsrollen | 6.3.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
| A.3.5 Klassifizierung von Informationen | 6.5.2.1 | Klassifizierung von Informationen |
| A.3.6 Kennzeichnung von Informationen | 6.5.2.2 | Kennzeichnung von Informationen |
| A.3.7 Informationstransfer | 6.10.2.1, 6.10.2.2, 6.10.2.3 | Informationsübertragung |
| A.3.8 Identitätsmanagement | 6.6.2.1 | Identitätsmanagement |
| A.3.9 Zugriffsrechte | 6.6.2.2, 6.6.2.5, 6.6.2.6 | Zugangsrechte |
| A.3.10 Lieferantenvereinbarungen | 6.12.1.1, 6.12.1.2 | Lieferantenvereinbarungen |
| A.3.11 Vorfallmanagement | 6.13.1.4 | Planung des Krisenmanagements |
| A.3.12 Reaktion auf Sicherheitsvorfälle | 6.13.1.5 | Reaktion auf Sicherheitsvorfälle |
| A.3.13 Rechtliche und regulatorische Anforderungen | 6.15.1.1, 6.15.1.5 | Gesetzliche und behördliche Anforderungen |
| A.3.14 Schutz von Aufzeichnungen | 6.15.1.3 | Schutz von Aufzeichnungen |
| A.3.15 Unabhängige Überprüfung | 6.15.2.1 | Unabhängige Überprüfung |
| A.3.16 Einhaltung der Richtlinien | 6.15.2.2, 6.15.2.3 | Einhaltung von Richtlinien und Standards |
| A.3.17 Sicherheitsbewusstsein und -schulung | 6.4.2.2 | Sensibilisierung, Aufklärung und Schulung |
| A.3.18 Vertraulichkeitsvereinbarungen | 6.10.2.4 | Vertraulichkeitsvereinbarungen |
| A.3.19 Aufgeräumter Schreibtisch und aufgeräumter Bildschirm | 6.8.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| A.3.20 Speichermedien | 6.5.3.1, 6.5.3.2, 6.5.3.3, 6.8.2.5 | Speichermedium |
| A.3.21 Sichere Entsorgung von Geräten | 6.8.2.7 | Sichere Entsorgung oder Wiederverwendung |
| A.3.22 Benutzerendgeräte | 6.3.2.1, 6.8.2.8 | Benutzerendpunktgeräte |
| A.3.23 Sichere Authentifizierung | 6.6.4.2 | Sichere Authentifizierung |
| A.3.24 Informationssicherung | 6.9.3.1 | Informationssicherung |
| A.3.25 Protokollierung | 6.9.4.1, 6.9.4.2, 6.9.4.3 | Protokollierung |
| A.3.26 Einsatz von Kryptographie | 6.7.1.1, 6.7.1.2 | Verwendung von Kryptographie |
| A.3.27 Sicherer Entwicklungslebenszyklus | 6.11.2.1 | Sicherer Entwicklungslebenszyklus |
| A.3.28 Anwendungssicherheit | 6.11.1.2, 6.11.1.3 | Anforderungen an die Anwendungssicherheit |
| A.3.29 Sichere Systemarchitektur | 6.11.2.5 | Sichere Systemarchitektur |
| A.3.30 Ausgelagerte Entwicklung | 6.11.2.7 | Ausgelagerte Entwicklung |
| A.3.31 Testinformationen | 6.11.3.1 | Testinformationen |
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche Kontrollmaßnahmen aus dem Jahr 2019 wurden abgeschafft?
Eine beträchtliche Anzahl von 2019 Klausel 6 Für die Kontrollen gibt es im Jahr 2025 keine direkte Entsprechung. Es handelt sich um Kontrollen, bei denen die Ausgabe von 2019 zwar auf ISO 27002 verwies, aber keine spezifischen Leitlinien zum Schutz personenbezogener Daten (PII) enthielt. Die Ausgabe von 2025 beschränkt sich daher auf Kontrollen mit konkreter datenschutzrelevanter Bedeutung.
Zu den wichtigsten Kategorien der entfernten Steuerelemente gehören:
| Kategorie | 2019 Steuerung entfernt | Grund |
|---|---|---|
| Aufgabentrennung | 6.3.1.2 | Es sind keine PII-spezifischen Richtlinien erforderlich |
| Kontakt mit Behörden / Interessengruppen | 6.3.1.3, 6.3.1.4 | Unterliegt den Klauseln des Managementsystems |
| Vermögensbestand und Eigentum | 6.5.1.1-6.5.1.4 | Es sind keine PII-spezifischen Ergänzungen erforderlich |
| Zugriffskontrollrichtlinie | 6.6.1.1, 6.6.1.2 | Überdeckt von A.3.9 Zugriffsrechte (Zugriffsrechte) |
| Physische Sicherheit | 6.8.1.1-6.8.1.6, 6.8.2.1-6.8.2.6 | Keine spezifischen Richtlinien für personenbezogene Daten über die Datenträger-/Entsorgungsrichtlinien hinaus. |
| Malware Schutz | 6.9.2.1 | Es sind keine PII-spezifischen Richtlinien erforderlich |
| Netzwerksicherheit | 6.10.1.1-6.10.1.3 | Es sind keine PII-spezifischen Richtlinien erforderlich |
| Schwachstellenmanagement | 6.9.6.1, 6.9.6.2 | Es sind keine PII-spezifischen Richtlinien erforderlich |
| Geschäftskontinuität | 6.14.1.1-6.14.2.1 | Es sind keine PII-spezifischen Richtlinien erforderlich |
Wichtig: Die Streichung aus ISO 27701 bedeutet nicht, dass diese Kontrollen unwichtig sind. Wenn Ihre Organisation auch nach ISO 27001 zertifiziert ist, bleiben diese Kontrollen gemäß dieser Norm relevant. Sie wurden lediglich aus ISO 27701:2025 ausgeschlossen, da sie keine spezifischen Implementierungshinweise für personenbezogene Daten erfordern.
Wie sollten Sie Anhang F für Ihren Übergang nutzen?
- Beginnen Sie mit Tabelle F.2 — Listen Sie alle Ihre aktuellen Steuerungen aus dem Jahr 2019 auf und schlagen Sie jede einzelne nach. Markieren Sie, ob sie einer Steuerung aus dem Jahr 2025 zugeordnet ist oder ob „N/A“ angezeigt wird.
- Für zugeordnete Bedienelemente — Prüfen Sie, ob Ihre bestehende Implementierung den Anforderungen von 2025 entspricht. Die meisten Implementierungen lassen sich mit minimalen Änderungen übernehmen.
- Für N/A-Steuerungen — Entscheiden Sie, ob die Dokumentation außer Betrieb genommen oder unter einem anderen Rahmenwerk (z. B. ISO 27001) weitergeführt werden soll.
- Neue Kontrollen finden Sie in Tabelle F.1. — Alle Kontrollmaßnahmen aus dem Jahr 2025, die in der Spalte 2019 mit „Neu“ gekennzeichnet sind, müssen neu implementiert werden.
- Aktualisieren Sie Ihre Anwendbarkeitserklärung. — Bauen Sie es mit dem Modell von 2025 neu auf. Anhang A Struktur mit den korrekten Kontrollreferenzen
Eine vollständige Anleitung zum Übergangsprozess finden Sie in unserer Leitfaden für den Übergang zu ISO 27701.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Warum sollten Sie sich ISMS.online für Ihren Übergang?
ISMS.online bietet die Werkzeuge, um Ihren Übergang strukturiert und nachvollziehbar zu gestalten:
- Integrierte Korrespondenzzuordnung — Sehen Sie, wie Ihre bestehenden Kontrollmechanismen von 2019 ohne manuelle Tabellenkalkulation auf die Struktur von 2025 abgebildet werden können.
- Lückenanalyse-Tracking — Markieren Sie jedes Steuerelement als zugeordnet, aktualisierungsbedürftig oder neu und verfolgen Sie den Fortschritt bis zur Fertigstellung.
- Erklärung zur Anwendbarkeit — Erstellen Sie Ihre neue SoA auf Grundlage der 78 Kontrollen in Anhang A mit Begründungen für Ausnahmen.
- Versionskontrollierte Dokumentation — Bewahren Sie Ihre Dokumentation für 2019 und 2025 während der Übergangszeit auf.
- Audit-Trail — Zeigen Sie Ihrer Zertifizierungsstelle genau, was sich während des Übergangs wann geändert hat.
Häufig gestellte Fragen
Sind alle Steuerungselemente aus dem Jahr 2019 in der Ausgabe 2025 enthalten?
Nein. Viele der Klausel-6-Kontrollen von 2019 (insbesondere solche im Zusammenhang mit physischer Sicherheit, Netzwerksicherheit, Malware-Schutz und Geschäftskontinuität) haben keine direkte Entsprechung in den Vorgaben von 2025, da sie keine spezifischen Leitlinien zum Umgang mit personenbezogenen Daten enthielten. Diese sind in der Entsprechungstabelle mit „N/A“ gekennzeichnet.
Gibt es im Jahr 2025 irgendwelche völlig neuen Kontrollmechanismen?
Die Kontrollen der Ausgabe 2025 wurden größtenteils gegenüber den Inhalten von 2019 überarbeitet und sind nicht völlig neu. Die Anforderungen an das Managementsystem in den Abschnitten 4–10 sind nun jedoch eigenständig (und keine Erweiterungen der ISO 27001), was bedeutet, dass einige Anforderungen, wie beispielsweise die eigenständige Datenschutzerklärung und der eigenständige Prozess zur Bewertung von Datenschutzrisiken, für Organisationen, die sich bisher auf ihre ISMS-Dokumentation gestützt haben, neu sein können.
Kann ich während der Übergangszeit beide Ausgaben verwenden?
Ja. Während der Übergangszeit (Oktober 2025 bis Oktober 2028) sind beide Ausgaben gültig. Ihre bestehende Zertifizierung von 2019 bleibt bis zu ihrem planmäßigen Ablaufdatum oder bis Oktober 2028 gültig, je nachdem, welches Ereignis zuerst eintritt. Neue Zertifizierungen können für jede der beiden Ausgaben ausgestellt werden.
Nutzen Sie diese Korrespondenztabelle zusammen mit unserer Schritt-für-Schritt-Anleitung. Leitfaden zur Lückenanalyse um festzustellen, was sich an Ihrem PIMS geändert hat.
