ISO 27001 Controls aus Anhang A: Übersicht der Maßnahmen der ISO 27001

Die ISO 27001 ist eine bekannte internationale Norm für das Informationssicherheits-Management, sie beschreibt die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS). 

Bei den ISO 27001 Controls, im Folgenden auch als ISO 27001 Maßnahmen bezeichnet, handelt es sich um Verfahren, mit denen die Risiken für die Informationssicherheit im Rahmen der Norm erheblich verringert werden. Die Maßnahmen können mehrere Bereiche abdecken (organisatorisch, rechtlich, physisch usw.). Der Anhang A (Annex A) zeigt dabei 114 Referenzmaßnahmenziele aller 14 Kategorien auf. Je nach Art und Charakter Ihrer Organisation werden Sie bei der Einrichtung Ihres ISMS auf die Anforderungen reagieren müssen.  

Dieser Artikel erläutert die 14 Referenzmaßnahmenziele aus Anhang A der ISO 27001 und die Schwerpunkte der einzelnen Kategorien in Bezug auf das ISMS Ihrer Organisation. 

Was ist der ISO 27001 Annex A? 

Der Anhang A der ISO 27001 (ISO 27001 Annex A) ist der wohl bekannteste Anhang aller ISO-Normen, da er ein essenzielles Instrument für das Management von Informationssicherheitsrisiken bereithält: eine Liste mit Sicherheits- oder Schutzmaßnahmen, die zur Stärkung der Sicherheit von Informationswerten zum Einsatz kommen sollten. 

Die ISO 27001 Maßnahmen werden im Anhang A der ISO 27001 beschrieben, der auch als ISO 27002 bekannt ist. Er definiert Standardmaßnahmen, die sich leicht einrichten lassen sollten, da sie alle im Rahmen der ISO 27001 beschrieben werden. 

Vorstellen kann man sich den Annex A vereinfacht als ein Portfolio von Maßnahmen zur Informationssicherheit, aus dem eine bedarfsgerechte Auswahl zu treffen ist. Sie können aus den 114 in Anhang A spezifizierten Maßnahmen diejenigen herausgreifen und auswählen, die für das Anwendungsszenario in Ihrer Organisation relevant sind. 

Wo liegt der Unterschied zwischen der ISO 27001 und der ISO 27002? 

In Anhang A der ISO 27001 wird nicht sehr detailliert auf die einzelnen Maßnahmen eingegangen. In der Regel ist jede Maßnahme mit einer einzeiligen Erklärung versehen, die Ihnen eine Vorstellung vom gewünschten ISO 27001 Maßnahmenziel vermittelt, aber nicht, wie die Maßnahme durchzuführen ist. 

Aus diesem Grund wurde die ISO 27002 ins Leben gerufen. Sie ist analog zu ISO 27001 Anhang A aufgebaut. Jede Maßnahme aus Anhang A findet sich also auch in der ISO 27002. Letztere enthält jedoch eine weitaus ausführlichere Beschreibung für die praktische Umsetzung der Maßnahmen. Das Informationssicherheits-Management Ihrer Organisation sollte sowohl im Einklang mit der ISO 27001 als auch mit der ISO 27002 stehen.

Wie viele ISO 27001 Controls gibt es in Annex A? 

Die ISO 27001 Controls, bzw. Maßnahmen in Annex A sind in 14 Referenzmaßnahmenziele untergliedert, innerhalb derer 114 ISO 27001 Maßnahmen als Tools für ein effektives Risikomanagement beschrieben werden. 

Diese Maßnahmen können, anhand der Ergebnisse einer Risikobewertung selektiv auf Ihre Organisation zugeschnitten, angewendet werden. 

Das übergeordnete Ziel ISO 27001 als Standard für Informationssicherheit ist der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Vorteile für Organisationen durch die Implementierung sind: 

•   Compliance mit sich ständig ändernden rechtlichen Anforderungen in einem einzigen Handbuch 
• Demonstration des hohen Stellenwerts der Informationssicherheit und Erzielung eines Wettbewerbsvorteils 
• Vermeidung von Sicherheitsvorfällen und Bußgeldern 
• Definition von Prozessen und Aufgaben und Verbesserung der Organisationsstruktur 

Jedes ISO 27001 Referenzmaßnahmenziel kann einem bestimmten Schwerpunktbereich innerhalb Ihrer Organisation zugeordnet werden. Entgegen verbreitetem Wissens, haben nicht alle ISO 27001 Maßnahmen mit dem Thema IT zu tun. Nachfolgend finden Sie eine Aufschlüsselung der Themen, die in den einzelnen Abschnitten behandelt werden. 

Bevor wir uns mit den einzelnen ISO 27001 Referenzmaßnahmenzielen und mit der Zertifizierung nach ISO 27001 befassen, folgt eine kurze Aufschlüsselung der Maßnahmen nach Anhang A (ISO 27001 controls, annex A) und der Bereiche Ihrer Organisation, auf die sie sich jeweils beziehen: 

Wie lauten die 14 ISO 27001 Referenzmaßnahmenziele? 

Mit den 14 Referenzmaßnahmenzielen aus Anhang A werden verschiedene Sicherheitsbereiche abgedeckt, wobei jede einzelne Maßnahme der Verbesserung Ihrer Informationssicherheit dient. In ISO 27001 Annex A sind 114 Maßnahmen aufgeführt, die nach den folgenden 14 Referenzmaßnahmenzielen untergliedert sind:  

• Informationssicherheitsrichtlinien 
• Organisation der Informationssicherheit 
• Personalsicherheit 
• Asset Management 
• Zugangskontrolle 
• Physische und umfeldbezogene Sicherheit 
• Operative Sicherheit 

Es folgt eine umfassende Liste der 14 Referenzmaßnahmenziele:

Anhang A.5 – Informationssicherheitsrichtlinien | 2 Maßnahmen

Ziel:  

• Sicherstellen, dass die Richtlinien zur Informationssicherheit im Einklang mit den Anforderungen Ihrer Organisation verfasst werden. 

Anhang A.6 – Organisation der Informationssicherheit | 7 Maßnahmen

Ziel: 

• Einrichten eines Management-Frameworks und Zuweisen der Informationssicherheitsrollen für die Umsetzung der Maßnahmen. 
• Verabschieden von Sicherheitsrichtlinien für den Fall, dass Mitarbeiter bei ihrer Arbeit außerhalb des Büros auf Informationen zugreifen, diese verarbeiten und speichern. 

Anhang A.7 – Personalsicherheit | 6 Maßnahmen

Ziel: 

• Sicherstellen, dass sich alle beteiligten Parteien (Angestellte und Auftragnehmer) über ihre Anforderungen und Pflichten vor, während und nach ihrer Beschäftigung im Klaren sind. 
• Dazu gehören das Durchführen von Hintergrundüberprüfungen, das Einhalten von Richtlinien zur Informationssicherheit, das Durchführen notwendiger Trainings und das Implementieren eines Prozesses für formelle Disziplinarverfahren, um die Interessen der Organisation zu schützen.

Anhang A.8 – Asset Management | 10 Maßnahmen

Ziel: 

• Identifizierung, Klassifizierung und Verhinderung der Offenlegung von Informationen und Assets.  
• Dies umfasst die Definition der zulässigen Nutzung, die Einführung eines Klassifizierungsschemas, die Festlegung von Verfahren für den Umgang mit Assets und die Einführung von Prozessen für die sichere Entsorgung von Speichermedien.

Anhang A.9 – Zugangssteuerung | 14 Maßnahmen

Ziel: 

• Begrenzung des Informationszugriffs und Vermeidung von unbefugten Zugriffen sowie Verantwortlichkeit der Einzelpersonen für den Schutz von Authentifizierungsdaten herstellen (etwa durch PINs und Passwörter). 
• Dies beinhaltet das Implementieren einer Zugriffskontrollrichtlinie, die Steuerung der Zugriffsrechte, Vorgaben zur Verwendung geheimer Authentifizierungsinformationen und die Einschränkung von Programmen mit Befugnis zum Überschreiben. 

Anhang A.10 – Kryptographie | 2 Maßnahmen

Ziel: 

• Gewährleistung der Verschlüsselung und Schlüsselverwaltung zur Wahrung der Vertraulichkeit, Integrität und Authentizität wichtiger Informationen. 
• Dies umfasst Vorgaben zur Verwendung und zur Gültigkeitsdauer von kryptografischen Schlüsseln durch eine kryptografische Richtlinie. 

Anhang A.11 – Physische und Umgebungssicherheit | 15 Maßnahmen

Ziel: 

• Vermeidung von unbefugtem Zugriff auf Informationen und dadurch bedingte Verluste oder Betriebsunterbrechungen. 
• Prävention einer Kompromittierung von Assets durch Verlust, Beschädigung oder Diebstahl. 
• Umfasst auch das Definieren und Einrichten eines physischen Sicherheitsbereichs, die Sicherung der am Transport beteiligten Bereiche (z. B. Laderampen), die regelmäßige Wartung der Geräte und einen entsprechenden Schutz der Geräte beim Verlassen des Büros.

Anhang A.12 – Betriebssicherheit | 14 Maßnahmen

Ziel: 

• Sicherstellung der Integrität von Informationsverarbeitungseinrichtungen und operativen Systemen, Schutz dieser Einrichtungen vor Schadsoftware, Verhinderung von Datenverlusten, Wahrung der Konsistenz von Aktivitätsprotokollen, Eindämmung potenzieller technischer Risiken und Minimierung der durch Audit-Aktivitäten verursachten Störungen. 
• Dies umfasst eine Dokumentation der Betriebsverfahren (z. B. Änderungen der organisatorischen Abläufe), das Separieren der Betriebsumgebungen, das Implementieren von Anti-Malware-Software und das Sensibilisieren der Benutzer für eine akzeptable Nutzung, das Einhalten der vereinbarten Richtlinie zur Datensicherung, das Überwachen der installierten Software und die regelmäßige Risikobeurteilung.

Anhang A.13 – Kommunikationssicherheit | 7 Maßnahmen

Ziel: 

• Überwachung der internen und externen Informationsübermittlung. 
• Dazu gehört das Umsetzen von Richtlinien für die Informationsweitergabe über alle Kommunikationskanäle (z. B. E-Mail, soziale Medien und interne Messaging-Plattformen).

Anhang A.14 – Anschaffung, Entwicklung und Instandhaltung von Systemen | 13 Maßnahmen

Ziel: 

• Sicherstellen, dass die Anforderungen an die Informationssicherheit während des gesamten Nutzungszeitraums von Informationssystemen eingehalten und bei der Aktualisierung bestehender Systeme oder der Einführung neuer Systeme berücksichtigt werden. 
• Sicherstellen, dass nur befugtes Personal Zugang zu den für Tests verwendeten Daten hat. 
• Dies umfasst den Schutz von Informationen, die über öffentliche Netzwerke weitergeleitet werden, um fehlerhafte Weiterleitungen, Änderungen oder eine unbefugte Offenlegung zu verhindern. Dazu gehört auch das Einrichten sicherer Entwicklungsbereiche und ein regelmäßiges Überprüfen von Sicherheitseinrichtungen.

Anhang A.15 – Lieferantenbeziehungen | 5 Maßnahmen

Ziel: 

• Sicherstellen, dass alle Assets, auf die Lieferanten Zugriff haben, weiterhin geschützt sind und dass ein vereinbartes Niveau an Informationssicherheit aufrechterhalten wird. 
• Dafür müssen formelle Vereinbarungen über potenzielle Risiken festgelegt und die Lieferanten regelmäßig überwacht und auditiert werden.

Anhang A.16 – Handhabung von Informationssicherheitsvorfällen (Incident Management) | 7 Maßnahmen

Ziel: 

• Sicherstellen, dass alle Informationssicherheitsvorfälle wirksam und konsequent angegangen werden. 
• Hierzu müssen alle Schwachstellen so schnell wie möglich über entsprechende Managementkanäle gemeldet werden. Zudem ist sicherzustellen, dass auf Vorfälle verfahrenskonform reagiert wird und dass Beweise gesichert werden.

Anhang A.17 – Informationssicherheitsaspekte beim betrieblichen Kontinuitätsmanagement (Business Continuity Management) | 4 Maßnahmen

Ziel: 

• Gewährleistung einer kontinuierlichen Informationssicherheit und der Übereinstimmung aller Maßnahmen mit den Kontinuitätsplänen Ihrer Organisation. 
• Dafür muss sichergestellt sein, dass Einrichtungen zur Datenverarbeitung verfügbar sind.

 Mehr über ein Business Continuity Management finden Sie hier.

Anhang A.18 – Compliance Richtlinien des Unternehmens | 8 Maßnahmen

Ziel: 

• Vermeidung von Verstößen gegen die Informationssicherheit aus rechtlichen, gesetzlichen, behördlichen oder vertraglichen Gründen und Durchführung der Informationssicherheit gemäß den Anforderungen der Organisation. 
• Dies umfasst das Ermitteln von Compliance-Anforderungen, die anforderungsgemäße Absicherung gegen Auswirkungen aller Art (Verlust, Diebstahl usw.), die Gewährleistung des Schutzes sensibler Informationen und die regelmäßige Überprüfung der Compliance von Informationssystemen.
  

Wie lassen sich ISO 27001 Maßnahmen gemäß Anhang A umsetzen? 

Anhang A kann als Katalog aller ISO 27001 Maßnahmen dienen. Organisationen sind nicht verpflichtet, alle 114 Maßnahmen umzusetzen. Es geht vielmehr darum, die für eine konkrete Organisation am besten geeigneten Maßnahmen zu ermitteln und anzuwenden. Der Prozess der Auswahl geeigneter Maßnahmen beginnt mit der Risikobewertung und -behandlung. Im Anschluss muss gemessen werden, wie erfolgreich die Maßnahmen für das Erreichen der Informationssicherheitsziele waren. 

Bei der Informationssicherheit geht es um das Aufstellen einer Reihe von strengen Regeln, die mit der Zeit immer ausgereifter werden. Für das Implementieren der in Anhang A beschriebenen ISO 27001 Maßnahmen sind daher immer mehrere Personen verantwortlich. 

Das Zusammenstellen aller erforderlichen Unterlagen und die Anpassung an ISO 27001 können sich schwierig gestalten. Von der Erfahrung eines ISO 27001 Beraters können Sie und Ihre Organisation deshalb umso mehr profitieren. 

Warum sollte eine Organisation die ISO 27001 umsetzen? 

2023 kommen auf Unternehmen neue Herausforderungen in der Informationssicherheit zu - darunter neue Angriffsmethoden von Hackern und der Mangel an Fachkräften. Viele Unternehmen nutzen die ISO 27001 bereits um sich diesen und anderen Herausforderungen zu stellen. Weiterhin dient sie aber auch als Rahmen, um ein ISMS aufzubauen und vor dem Risiko von Verstößen gegen die Informationssicherheit zu bewahren. 

Der Nachweis einer ISO 27001-Zertifizierung zeigt den beteiligten Parteien (z. B. Kunden und Stakeholdern), dass eine Organisation dem Thema Informationssicherheit Priorität einräumt und die Best Practices umgesetzt hat. 

Im Kern erleichtert eine Zertifizierung nach ISO 27001 das Erfüllen gesetzlicher Auflagen, demonstriert die Zuverlässigkeit Ihrer Organisation gegenüber Partnern und zeigt, dass Sie alles daransetzen, die höchsten Standards für Informationssicherheit einzuhalten. Die ISO 27001-Zertifizierung steigert den Wert Ihrer Marke und schafft so eine Win-Win-Situation. 

Auf was Sie bei der Zertifizierung achten sollten, fasst dieser Artikel nochmal zusammen: ISO 27001 Checkliste: ein umfassender Leitfaden

Wie wird eine Organisation nach ISO 27001 zertifiziert? 

Bei der ISO 27001 Zertifizierung handelt es sich um einen zweistufigen Prozess, der im Durchschnitt rund drei Monate dauert. Mit über 25 praxiserprobten ISO 27001-Richtlinien und über 25 Veröffentlichungen zu branchenspezifischen ISO 27001 Best Practices realisiert DataGuard für Sie ein Informationssicherheits-Managementsystem, das auf Ihre speziellen Bedürfnisse zugeschnitten ist. 

Die Auswahl und Implementierung der geeigneten Maßnahmen gemäß ISO 27001 Anhang A ist zeitaufwändig. Unsere Berater verfügen jedoch über das nötige Fachwissen, um den Erfolg Ihres ISMS sicherzustellen. Vereinbaren Sie dafür einfach einen Termin für ein kostenloses, unverbindliches Beratungsgespräch und nehmen Sie den Compliance-Prozess für die ISO 27001 in Angriff.