Wie schützt man Informationen systematisch und nachvollziehbar? Annex A der ISO 27001 liefert die Antwort: 93 konkrete Maßnahmen, die zeigen, worauf es in der Informationssicherheit wirklich ankommt. Von physischen Zugangskontrollen bis hin zu Verschlüsselung und Netzwerksicherheit. Hier erfahren Sie, wie die Umsetzung gelingt.
ISO 27001 ist der internationale Standard für die Einrichtung eines Informationssicherheits-Managementsystems (ISMS). Die Controls im Anhang A von ISO 27001 sind Maßnahmen, die das Risiko für Ihre Informationssicherheit senken. Dabei werden Risiken auf allen Ebenen berücksichtigt: technologische, organisatorische, physische und menschliche.
Die Zertifizierung nach ISO 27001 verbessert nicht nur Ihre Sicherheitsprozesse, sondern stärkt auch das Vertrauen Ihrer Kunden. Anhang A enthält 93 Controls, unterteilt in vier Kategorien, die je nach Unternehmensart unterschiedlich relevant sein können.
Um Ihnen den Einstieg zu erleichtern, haben wir eine Übersicht aller 93 Controls aus Anhang A zusammengestellt. So schützen Sie Ihre Informationen effektiv und erfüllen die Anforderungen der ISO 27001.
ISO 27001 ist der weltweit anerkannte Standard für Informationssicherheit. Das Framework hilft Unternehmen, ein robustes Informationssicherheits-Managementsystem (ISMS) aufzubauen und kontinuierlich zu verbessern.
Auch die aktuelle Version, ISO 27001:2022, ist auf den Schutz von Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten ausgerichtet. Diese drei Eigenschaften sind die Schutzziele der Informationssicherheit. Wenn sie eingehalten werden, lassen sich unbefugte Zugriffe, Verstöße und Bußgelder im Umgang mit sensiblen Informationen wirksam eindämmen.
Mit einer ISO 27001-Zertifizierung sichern Sie nicht nur Ihre Informationen, sondern erfüllen auch einen Großteil (etwa 70 %) der Anforderungen der neuen NIS2-Richtlinie der EU, die ein höheres Cybersicherheitsniveau vorschreibt. Damit schützen Sie nicht nur Ihr Unternehmen, sondern bleiben auch rechtlich auf der sicheren Seite.
Der ISO 27001 Anhang A ist eine zentrale Sammlung von 93 Sicherheitsmaßnahmen, die Unternehmen dabei unterstützen, ihre Informationssicherheit zu stärken
Er dient als Werkzeugkasten, aus dem Sie je nach Bedarf und Anwendungsbereich Ihres ISMS die passenden Maßnahmen auswählen, die für Ihr Unternehmen relevant sind. Diese standardisierten Controls helfen Ihnen, Ihre Informationswerte effektiv zu schützen und Risiken gezielt zu minimieren.
ISO 27001 bietet einen Überblick über die 93 Controls im Anhang A, beschreibt jedoch nur kurz deren Ziele. Wenn es um die konkrete Umsetzung dieser Maßnahmen geht, kommt ISO 27002 ins Spiel. Diese Norm ergänzt ISO 27001, indem sie detailliert erklärt, wie die einzelnen Controls funktionieren und wie Unternehmen sie erfolgreich umsetzen können.
Während ISO 27001 den Rahmen vorgibt, liefert ISO 27002 die praktischen Anleitungen zur Umsetzung.
Erfahren Sie mehr über die Unterschiede zwischen ISO 27001 und ISO 27002 in diesem Blog-Artikel.
Der Anhang A der ISO 27001:2022 enthält eine Liste von Controls, die Sie je nach Unternehmenskontext auswählen und umsetzen, um ihre Informationssicherheit zu stärken. Das Ziel der Norm ist der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
Die Umsetzung der Controls hilft Ihrem Unternehmen, gesetzliche Anforderungen zu erfüllen, die Informationssicherheit gegenüber Stakeholdern zu demonstrieren, Sicherheitsvorfälle zu minimieren und Prozesse zu optimieren. Doch was genau sind diese Controls, und wie setzt man sie effektiv ein?
Die Anwendbarkeitserklärung (SoA) für die ISO 27001-Zertifizierung listet auf und begründet, welche Maßnahmen aus Anhang A einbezogen oder ausgeschlossen werden. Und sie hält fest, welche Maßnahmen bereits umgesetzt wurden.
So erstellen und pflegen Sie eine effektive SoA anhand von Beispielen aus den Maßnahmen des Anhangs A der ISO 27001:2022:
Erfassen Sie alle relevanten Kontrollen aus Anhang A, unterteilt in die Kategorien Organisation, Personal, Physisch und Technologisch.
Geben Sie für jede aufgenommene Kontrolle eine Begründung basierend auf Ihrer Risikobewertung an.
Beispiel: „Maßnahme 5.7 (Bedrohungsaufklärung) ist aufgenommen, um unsere Fähigkeit zu verbessern, neue Sicherheitsbedrohungen zu erkennen und darauf zu reagieren.“
Erläutern Sie, warum bestimmte Kontrollen nicht anwendbar sind.
Beispiel: „Maßnahme 7.4 (Überwachung der physischen Sicherheit) ist ausgeschlossen, da unser Unternehmen vollständig remote arbeitet und keine zentrale physische Niederlassung hat.“
Dokumentieren Sie, ob jede Kontrolle vollständig, teilweise oder noch nicht umgesetzt ist.
Beispiel: „Maßnahme 8.9 (Konfigurationsmanagement) – teilweise umgesetzt, vollständige Umsetzung geplant.”
Überprüfen und aktualisieren Sie die SoA regelmäßig, um Veränderungen in der Risikolage des Unternehmens abzubilden. Integrieren Sie die SoA mit anderen wichtigen ISMS-Dokumenten, wie z. B. dem Risikobericht und den internen Auditberichten.
Stellen Sie sicher, dass die SoA leicht zugänglich ist und unter strenger Versionskontrolle geführt wird. Dokumentieren Sie alle Änderungen mit Datum, verantwortlicher Person und Grund für die Aktualisierung. Durch die sorgfältige Dokumentation der Auswahl, Umsetzung und Begründung von Kontrollen unterstützt die SoA die ISO 27001:2022-Compliance und stärkt Ihr Informationssicherheits-Managementsystem (ISMS). Für detailliertere Anleitungen verweisen wir auf die ISO 27002.
Seit 2022 wurden der ISO 27001 elf neue Controls hinzugefügt, die unterschiedlichen Kategorien zugeordnet werden:
Die 93 Controls im Anhang A der ISO 27001 sind in vier Gruppen unterteilt, um den Kontext und die relevanten Risiken besser zu verstehen. Diese Einteilung erleichtert es Ihnen, die passenden Maßnahmen gezielt anzuwenden und Verantwortlichkeiten klar zu definieren.
Hier sind die vier Kategorien:
Die Einteilung der Controls in vier Kategorien hilft Ihnen zu entscheiden, wer für die Umsetzung der Maßnahmen verantwortlich ist und welche Maßnahmen für die jeweilige Organisation gelten. Während technologische Controls oft von der IT umgesetzt werden, können organisatorische Maßnahmen beispielsweise vom Operations-Team übernommen werden.
Organisatorische Maßnahmen beziehen sich in der Regel auf alle Bereiche, die nicht direkt mit Menschen, Technik oder physischer Sicherheit zu tun haben. Dazu zählen zum Beispiel das Identitätsmanagement, klare Zuständigkeiten sowie das Erfassen von Nachweisen.
Neue organisatorische Maßnahmen:
Insbesondere Threat Intelligence ist eine spannende Innovation in diesem Bereich – diese Maßnahme geht über die Erkennung bösartiger Domänennamen hinaus. Threat Intelligence hilft Ihrer Organisation, besser zu verstehen, wie sie angegriffen werden kann.
Der Bereich der personellen Controls umfasst nur acht Maßnahmen. Hier geht es darum, wie Mitarbeitenden bei ihrer täglichen Arbeit mit sensiblen Informationen umgehen. Dazu gehören zum Beispiel die Themen Homeoffice/Remote Work, Geheimhaltungsvereinbarungen und Screenings. Darüber hinaus sind auch Onboarding- und Offboarding-Prozesse sowie Zuständigkeiten für die Meldung von Vorfällen relevant.
Zu den physischen Maßnahmen gehören die Sicherheitsüberwachung, die Wartung, die Sicherheit der Einrichtungen und die Speichermedien. In dieser Kategorie geht es darum, wie Sie sich gegen physische und umweltbedingte Bedrohungen wie Diebstahl, Naturkatastrophen und vorsätzliche Zerstörung zu schützen.
Neue physische Maßnahmen:
Technologische Maßnahmen umfassen die Bereiche Authentifizierung, Verschlüsselung und Verhinderung von Datenverlusten. Zum Schutz der Daten muss die Technik entsprechend gesichert werden. Verschiedene Ansätze wie Zugriffsrechte, Netzwerksicherheit und Datenmaskierung tragen dazu bei, dies zu erreichen.
Neue technologische Maßnahmen:
Ein besonders wichtiger Aspekt in diesem Bereich ist der Schutz vor Datenlecks (Data Leak Prevention). Aber auch die Webfilterung spielt eine zentrale Rolle: Sie legt fest, wie Organisationen den Online-Verkehr steuern sollten, um zu verhindern, dass Nutzer auf potenziell gefährliche Websites zugreifen.
Die Antwort auf die Frage, wie viele ISO 27001-Controls es gibt, hat sich mit der neuen Version der ISO 27001 geändert. Die vollständige Version der ISO 27001:2022 enthält 93 Controls, die jeweils einer Kategorie zugeordnet sind: organisatorisch, personell, physisch und technologisch.
Auf diese Weise können die Verantwortlichkeiten und Bereiche je nach Unternehmensbereich aufgeteilt werden. Um die unternehmenseigene Informationssicherheit zu stärken, ist es hilfreich, sich einen Überblick über die einzelnen Controls zu verschaffen. Aus diesem Grund haben wir Ihnen eine Liste mit allen 93 Kontrollen aus Anhang A und ihren jeweiligen Kategorien zur Verfügung gestellt:
|
Annex A 5.1 |
Policies for Information Security |
|
Annex A 5.2 |
Information Security Roles and Responsibilities |
|
Annex A 5.3 |
Segregation of Duties |
|
Annex A 5.4 |
Management Responsibilities |
|
Annex A 5.5 |
Contact with Authorities |
|
Annex A 5.6 |
Contact with Special Interest Groups |
|
Annex A 5.7 |
Threat Intelligence |
|
Annex A 5.8 |
Information Security in Project Management |
|
Annex A 5.9 |
Inventory of Information and Other Associated Assets |
|
Annex A 5.10 |
Acceptable Use of Information and Other Associated Assets |
|
Annex A 5.11 |
Return of Assets |
|
Annex A 5.12 |
Classification of Information |
|
Annex A 5.13 |
Labelling of Information |
|
Annex A 5.14 |
Information Transfer |
|
Annex A 5.15 |
Access Control |
|
Annex A 5.16 |
Identity Management |
|
Annex A 5.17 |
Authentication Information |
|
Annex A 5.18 |
Access Rights |
|
Annex A 5.19 |
Information Security in Supplier Relationships |
|
Annex A 5.20 |
Addressing Information Security within Supplier Agreements |
|
Annex A 5.21 |
Managing Information Security in the ICT Supply Chain |
|
Annex A 5.22 |
Monitoring, Review and Change Management of Supplier Services |
|
Annex A 5.23 |
Information Security for Use of Cloud Services |
|
Annex A 5.24 |
Information Security Incident Management Planning and Preparation |
|
Annex A 5.25 |
Assessment and Decision on Information Security Events |
|
Annex A 5.26 |
Response to Information Security Incidents |
|
Annex A 5.27 |
Learning From Information Security Incidents |
|
Annex A 5.28 |
Collection of Evidence |
|
Annex A 5.29 |
Information Security During Disruption |
|
Annex A 5.30 |
ICT Readiness for Business Continuity |
|
Annex A 5.31 |
Legal, Statutory, Regulatory and Contractual Requirements |
|
Annex A 5.32 |
Intellectual Property Rights |
|
Annex A 5.33 |
Protection of Records |
|
Annex A 5.34 |
Privacy and Protection of PII |
|
Annex A 5.35 |
Independent Review of Information Security |
|
Annex A 5.36 |
Compliance With Policies, Rules and |
|
Annex A 5.37 |
Documented Operating Procedures Standards for Information Security |
|
Annex A 6.1 |
Screening |
|
Annex A 6.2 |
Terms and Conditions of Employment |
|
Annex A 6.3 |
Information Security Awareness, Education and Training |
|
Annex A 6.4 |
Disciplinary Process |
|
Annex A 6.5 |
Responsibilities After Termination or Change of Employment |
|
Annex A 6.6 |
Confidentiality or Non-Disclosure Agreements |
|
Annex A 6.7 |
Remote Working |
|
Annex A 6.8 |
Information Security Event Reporting |
|
Annex A 7.1 |
Physical Security Perimeters |
|
Annex A 7.2 |
Physical Entry |
|
Annex A 7.3 |
Securing Offices, Rooms and Facilities |
|
Annex A 7.4 |
Physical Security Monitoring |
|
Annex A 7.5 |
Protecting Against Physical and Environmental Threats |
|
Annex A 7.6 |
Working In Secure Areas |
|
Annex A 7.7 |
Clear Desk and Clear Screen |
|
Annex A 7.8 |
Equipment Siting and Protection |
|
Annex A 7.9 |
Security of Assets Off-Premises |
|
Annex A 7.10 |
Storage Media |
|
Annex A 7.11 |
Supporting Utilities |
|
Annex A 7.12 |
Cabling Security |
|
Annex A 7.13 |
Equipment Maintenance |
|
Annex A 7.14 |
Secure Disposal or Re-Use of Equipment |
|
Annex A 8.1 |
User Endpoint Devices |
|
Annex A 8.2 |
Privileged Access Rights |
|
Annex A 8.3 |
Information Access Restriction |
|
Annex A 8.4 |
Access to Source Code |
|
Annex A 8.5 |
Secure Authentication |
|
Annex A 8.6 |
Capacity Management |
|
Annex A 8.7 |
Protection Against Malware |
|
Annex A 8.8 |
Management of Technical Vulnerabilities |
|
Annex A 8.9 |
Configuration Management |
|
Annex A 8.10 |
Information Deletion |
|
Annex A 8.11 |
Data Masking |
|
Annex A 8.12 |
Data Leakage Prevention |
|
Annex A 8.13 |
Information Backup |
|
Annex A 8.14 |
Redundancy of Information Processing Facilities |
|
Annex A 8.15 |
Logging |
|
Annex A 8.16 |
Monitoring Activities |
|
Annex A 8.17 |
Clock Synchronization |
|
Annex A 8.18 |
Use of Privileged Utility Programs |
|
Annex A 8.19 |
Installation of Software on Operational Systems |
|
Annex A 8.20 |
Networks Security |
|
Annex A 8.21 |
Security of Network Services |
|
Annex A 8.22 |
Segregation of Networks |
|
Annex A 8.23 |
Web filtering |
|
Annex A 8.24 |
Use of Cryptography |
|
Annex A 8.25 |
Secure Development Life Cycle |
|
Annex A 8.26 |
Application Security Requirements |
|
Annex A 8.27 |
Secure System Architecture and Engineering Principles |
|
Annex A 8.28 |
Secure Coding |
|
Annex A 8.29 |
Security Testing in Development and Acceptance |
|
Annex A 8.30 |
Outsourced Development |
|
Annex A 8.31 |
Separation of Development, Test and Production Environments |
|
Annex A 8.32 |
Change Management |
|
Annex A 8.33 |
Test Information |
|
Annex A 8.34 |
Protection of Information Systems During Audit Testing |
Ganz klar, das Erkennen und Beheben von Sicherheitsrisiken ist für jedes Unternehmen von Vorteil. Die ISO 27001 Controls leisten einen wichtigen Beitrag zur klaren Kategorisierung potenzieller Risiken. Aber was sind die konkreten Vorteile der Risikominderung?
Nicht alle Organisationen entscheiden sich für die ISO 27001-Zertifizierung, aber viele nutzen sie als Rahmen, um ihr ISMS vor dem Risiko von Verstößen gegen die Informationssicherheit zu bewahren.
Die Einhaltung der ISO 27001-Norm beweist den beteiligten Parteien (z. B. Kunden und Interessengruppen), dass eine Organisation bewährte Praktiken zur Sicherung ihrer Daten anwendet und die Informationssicherheit priorisiert. Daraus ergeben sich unter anderem folgende Vorteile:
Im Wesentlichen erleichtert eine ISO 27001-Zertifizierung die Erfüllung gesetzlicher Verpflichtungen, zeigt Partnern die Zuverlässigkeit Ihrer Organisation und demonstriert Ihr Engagement für die Einhaltung höchster Standards der Informationssicherheit. Sie steigert den Wert Ihrer Marke und führt zu einer Win-Win-Situation.
Um das gewünschte Video abspielen zu können, erklären Sie sich damit einverstanden, dass eine Verbindung zu den Servern von YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA hergestellt wird. Damit werden personenbezogene Daten (Geräte- und Browserinformationen (Insbesondere die IP-Adresse und das Betriebssystem) an den Betreiber des Portals zur Nutzungsanalyse übermittelt.
Weitere Informationen über den Umgang mit Ihren personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.
Die Umsetzung der ISO 27001 Controls aus Anhang A kann auf den ersten Blick komplex wirken. Mit der richtigen Struktur und passenden Unterstützung lässt sich dieser Prozess jedoch effektiv gestalten.
Was hilft beim Aufbau neuer Strukturen am meisten? Eine klare Checkliste. Die ISO 27001 bietet genau das – einen verlässlichen Rahmen, um geeignete Maßnahmen zum Schutz Ihrer Informationen auszuwählen und umzusetzen.
Dabei gilt: Sie müssen nicht alle 93 Controls eins zu eins übernehmen. Entscheidend ist, die Maßnahmen zu identifizieren und umzusetzen, die am besten zu den individuellen Risiken und Anforderungen Ihrer Organisation passen. Der Prozess beginnt mit einer fundierten Risikobewertung und Risikobehandlung. Im Anschluss prüfen Sie, ob die gewählten Maßnahmen die gewünschten Sicherheitsziele auch tatsächlich erreichen.
Unsere praktische Checkliste zu allen notwendigen Dokumenten für die ISO 27001-Zertifizierung hilft Ihnen bei der Orientierung.
Die folgende Liste zeigt Ihnen, auf welche Schritte es bei der erfolgreichen Umsetzung der Controls ankommt:
Da es bei der Informationssicherheit um komplexe Regelwerke geht, sind für die Umsetzung der Controls in Anhang A meist mehrere Personen mit klar verteilten Rollen verantwortlich. Gerade bei der Abwägung, welche Maßnahmen für Ihr Unternehmen im Speziellen relevant sind, kann es schnell unübersichtlich werden.
Damit dieser Prozess gelingt, braucht es die richtige technologische Unterstützung und fundiertes Fachwissen. Die Kombination aus einer KI-gestützten Plattform mit automatisierten Workflows und der Beratung durch Experten hilft Ihrer Organisation dabei, Anforderungen strukturiert und effizient umzusetzen und ISO 27001-Compliance zu erreichen.
Das ISO 27001-Framework schützt die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationswerte in Ihrem Unternehmen. Die Einhaltung von ISO 27001 hilft dabei, unbefugten Zugriff, Sicherheitsvorfälle und Bußgelder zu vermeiden.
Mit einer ISO 27001-Zertifizierung stellen Unternehmen nicht nur eine starke Informationssicherheit sicher. Sie erfüllen damit auch zentrale Anforderungen der neuen EU-Richtlinie NIS2 und bringen Ihre Sicherheitsstrategie aktiv voran.
Während ISO 27001 den Anhang A enthält und die einzelnen Maßnahmen kurz beschreibt, geht ISO 27002 deutlich mehr ins Detail. Sie erläutert die Zielsetzung jeder Maßnahme, erklärt deren Funktionsweise und zeigt auf, wie Unternehmen die Anforderungen erfolgreich umsetzen können.
Der ISO 27001-Standard umfasst Anhang A, eine Liste von Maßnahmen und Kontrollen, die je nach Unternehmenskontext dabei helfen, ein starkes Informationssicherheits-Framework aufzubauen.
Die vollständige Fassung der ISO 27001:2022 enthält 93 Controls, die in vier Kategorien unterteilt sind: organisatorisch, personell, physisch und technologisch. So lassen sich Verantwortlichkeiten und Zuständigkeitsbereiche klar nach Unternehmensbereichen aufteilen.
Um die Informationssicherheit Ihres Unternehmens zu stärken, ist ein Überblick über die einzelnen Kontrollen hilfreich. Wir haben Ihnen eine Übersicht aller 93 Kontrollen und ihrer jeweiligen Bereiche aus Anhang A zusammengestellt.
_EasiestSetup_EaseOfSetup.svg?width=200&height=200&name=ConsentManagementPlatform(CMP)_EasiestSetup_EaseOfSetup.svg)
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Software-as-a-Service und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "Organization",
"@id": "www.dataguard.de#organization",
"name": "DataGuard",
"legalName": "DataCo GmbH",
"description": "DataGuard ist der führende europäische Anbieter von Security- und Compliance-Software und wird von über 4.000 Organisationen in mehr als 50 Ländern weltweit geschätzt. Wir helfen Ihnen, Sicherheits- und Compliance-Risiken zu identifizieren und zu managen, Compliance-Anforderungen zu erfüllen und Zertifizierungen schneller zu erreichen. Dabei kombinieren wir maßgeschneiderte Expertenberatung mit KI-gestützter Automatisierung. Unsere speziell entwickelte All-in-One-Plattform basiert auf mehr als 1,5 Millionen Stunden Erfahrung eines Teams zertifizierter Security- und Compliance-Experten.",
"foundingDate": "2018",
"taxID": "DE315880213",
"logo": "https://7759810.fs1.hubspotusercontent-na1.net/hubfs/7759810/DataGuardLogo.svg",
"url": "www.dataguard.de",
"email": "info@dataguard.de",
"telephone": "+49 89 452459 900",
"address": {
"@type": "PostalAddress",
"streetAddress": "Sandstrasse 33",
"addressLocality": "München",
"addressRegion": "Bayern",
"postalCode": "80335",
"addressCountry": "Deutschland"
},
"sameAs": [
"https://www.linkedin.com/company/dataguard1/",
"https://www.youtube.com/channel/UCEQzPZ6sCBCj9cAoBvaLL6w",
"https://x.com/i/flow/login?redirect_after_login=%2FDataGuard_dg"
]
}
]
}✅ Organization schema markup for "DataGuard" has been injected into the document head.