Your-ultimate-guide-to-ISO-27001-Certification-Background

Ein ultimativer Leitfaden

ISO 27001 Annex A Controls

Maßnahmen zur Umsetzung der ISO 27001

Kostenlosen Leitfaden herunterladen

Get your free guide

ISO 27001 Maßnahmen: Alle Controls aus Anhang A im Überblick

Die ISO 27001 ist die internationale Norm für den Aufbau, die Implementierung und Instandhaltung eines Informationssicherheits-Managementsystems. Dabei werden die Anforderungen an das ISMS durch die sogenannten ISO 27001 Controls definiert.

Bei den ISO 27001 Controls, im Folgenden auch als ISO 27001 Maßnahmen bezeichnet, handelt es sich um Verfahren, mit denen die Risiken für die Informationssicherheit im Rahmen der Norm erheblich verringert werden. Dabei werden alle Risiken berücksichtigt - technologische, organisatorische, physische und menschliche.

Die Zertifizierung nach ISO 27001 hilft Unternehmen dabei, ihre Informationssicherheitsprozesse zu verbessern, Abläufe zu standardisieren und Vertrauen bei Kunden aufzubauen. Der Anhang A (Annex A) ist dabei die Übersicht über alle relevanten Referenzmaßnahmenziele der Norm: 93 Controls eingeteilt in vier Kategorien.

Je nach Art und Charakter Ihrer Organisation sind unterschiedliche Controls relevant, Beim Aufbau Ihres ISMS müssen Sie daher die jeweiligen Anforderungen beachten. Um den Standard erfolgreich anwenden zu können, müssen Unternehmen und Manager ihre eigenen Risiken erkennen und verstehen, welche Maßnahmen sie ergreifen müssen.

Aus diesem Grund haben wir eine praktische Übersicht aller 4 Kategorien und ihren 93 Controls aus Anhang A der ISO 27001 zusammengestellt. Erfahren Sie alles zum Schutz Ihrer Informationen.

Content overview

What is ISO 27001?

What is an ISMS?

What is the ISO 27001 Certification?

What is the ISO 27001:2022 standard?

Why is ISO 27001 important? Why should I consider getting an ISO 27001 Certification?

Who needs ISO 27001 Certification?

How hard is it to get ISO 27001 certified? 

How long does it take to get certified? 

Does the ISO 27001 Certification expire? 

What are the benefits of getting ISO 27001 certified? 

What are the certification steps? What exactly do I need to do to get ISO 27001 certified? 

Conducting a risk assessment

Implementing controls and a risk treatment plan to mitigate risks? 

Documenting your ISMS

What is an ISO 27001 audit, and why is it important?

Conducting internal audits: How to go about it? 

How long does it take to get ready for an ISO 27001 external audit?

What you can expect at an external audit

What are the ISO 27001 controls? 

The costs of ISO 27001 Certification

Is the investment worth it?

How to get started with ISO 27001 Certification? 

Was ist ISO 27001 und warum sollten Unternehmen sie einführen?

ISO 27001 ist ein universelles Framework für Informationssicherheit. Die Zertifizierung gilt als internationaler Standard für Informationssicherheit und dient als Leitfaden für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystem (ISMS).

2022 fand die dritte Überarbeitung der Norm statt - ISO 27001:2022 ist die aktuelle Version der Anforderungen.

Die Maßnahmen (Controls) der ISO 27001 sind auf den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen von Unternehmen ausgerichtet. Gleichzeitig definieren diese drei Eigenschaften die Schutzziele der Informationssicherheit, durch deren Erfüllung ein unbefugter Zugriff sowieVerstöße und Geldbußen im Zusammenhang mit Daten eingedemmt werden können.

Darüber hinaus gewährleistet die Zertifizierung nach ISO 27001 nicht nur eine robuste Informationssicherheit, sondern entspricht auch einem Großteil (ca. 70 %) der Anforderungen der neuen NIS2-Richtlinie, die ein höheres Cybersicherheitsniveau innerhalb der EU bieten soll. Dadurch erlangt die ISO 27001 zusätzliche Bedeutung und Relevanz unter den Sicherherheitsstandards.

Eine ISO 27001-Zertifizierung Schritt-für-Schritt angehen und ein ISMS aufbauen.

Kostenlosten Leitfaden herunterladen

Was ist der ISO 27001 Annex A?

Der Anhang A der ISO 27001 (ISO 27001 Annex A) ist der wohl bekannteste Anhang aller ISO-Normen. Er ist ein essenzielles Instrument für das Management von Informationssicherheitsrisiken und enthält eine Liste mit Sicherheits- oder Schutzmaßnahmen, die zur Stärkung der Sicherheit von Informationswerten zum Einsatz kommen.

Die ISO 27001 Maßnahmen werden im Anhang A der ISO 27001 beschrieben und definieren Standardmaßnahmen, die Organisationen zum Schutzihrer Informationen einsetzen können.

Vorstellen kann man sich den Annex A vereinfacht als ein Portfolio von Maßnahmen zur Informationssicherheit, aus dem eine bedarfsgerechte Auswahl zu treffen ist. Diese Auswahl richtet sich nach dem von Ihnen definierten Anwendungsbereiches Ihres ISMS. Sie können dabei aus den 93 in Anhang A spezifizierten Maßnahmen diejenigen herausgreifen und auswählen, die für das Anwendungsszenario in Ihrer Organisation relevant sind.

ISO 27001 vs. ISO 27002: Was ist der Unterschied?

Die ISO 27001 ist ein Framework, der Unternehmen ein grundlegendes Verständnis der Controls und Klauseln in Anhang A vermittelt. Der Anhang beschreibt die Controls nicht in der Tiefe, aber vermittelt Ihnen eine Vorstellung davon, welche Ziele Sie zum Erhalt Ihrer Informationssicherheit erreichen müssen.

Zu jeder Maßnahme gibt es eine einzeilige Erklärung zu ihrem Ziel. Nun stellt sich jedoch die Frage, wie die Controls umgesetzt werden sollen?

Und hier kommt die ISO 27002 ins Spiel. Sie ist eine weitere Norm der ISO 27000-Normen-Reihe und enthält zusätzlich Ausarbeitungen, die näher auf die jeweiligen Maßnahmen eingehen.

Während ISO 27001 den Anhang A enthält und kurz auf die einzelnen Maßnahmen eingeht, geht ISO 27002 mehr ins Detail. Sie deckt das Ziel jeder Maßnahme ab, erklärt, wie sie funktioniert, und beschreibt, wie Unternehmen die Einhaltung der Vorschriften erfolgreich erreichen können.

Erfahren Sie mehr über die Unterschiede zwischen ISO 27001 und ISO 27002 in diesem Blog-Artikel.

ISO 27001:2022 Anhang A - Controls

Wie wir inzwischen wissen, enhält Anhang A der ISO 27001, eine Liste von Controls, die je nach Unternehmenskontext ausgewählt und entsprechend umgesetzt werden müssen, um eine starke Infrastruktur für die Informationssicherheit zu schaffen.

Das übergeordnete Ziel der ISO 27001-Norm ist der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Die Umsetzung ermöglicht Organisationen:

  • Die Erfüllung der sich ständig ändernden gesetzlichen Anforderungen durch ein einziges Regelwerk.
  • Die Bedeutung von Informationssicherheit gegenüber internen und externen Stakeholdern zu demonstrieren, wodurch Sie zudem einen Wettbewerbsvorteil erlangen.
  • Sicherheitsvorfälle zu eindemmen und Bußgelder zu vermeiden.
  • Prozesse und Aufgaben zu definieren und die Organisationsstruktur zu verbessern. Aber was sind die Controls und wie setzt man sie effektiv ein?

ISO 27001:2022: Elf neue Controls

Die Controls aus der ISO 27001 Annex A (Anhang A) sind die Maßnahmen, Unternehmen an die Hand gegeben wird, um Risiken erheblich zu verringern. Welche Maßnahmen eine Organisation wählt, wird auf Basis einer Risikoanalyse ermittelt.

Seit 2022 wurden der ISO 27001 elf neue Controls hinzugefügt, die unterschiedlichen Kategorien zugeordnet werden:

A.5.7 Threat intelligence

Unternehmen sind dazu verpflichtet, Daten über potenzielle Gefahren für die Informationssicherheit zu erfassen und einer eingehenden Analyse zu unterziehen.

A.5.23 Information security for the use of cloud services

Unternehmen sind dazu angehalten, die Informationssicherheit für die Nutzung von Cloud-Diensten festzulegen und zu verwalten.

A.5.30 ICT readiness for business continuity

Unternehmen müssen einen ICT (Information and Communications Technology) -Kontinuitätsplan erstellen, um die betriebliche Widerstandsfähigkeit aufrechtzuerhalten.

A.7.4 Physical security monitoring

Es ist erforderlich, dass Unternehmen geeignete Überwachungsinstrumente einsetzen, um externe und interne Unbefugte zu erkennen und ihnen die Hände zu binden.

A.8.9 Configuration management

Unternehmen müssen Richtlinien für die Dokumentation, Implementierung, Überwachung und Überprüfung von Konfigurationen in ihrem gesamten Netzwerk festlegen.

A.8.10 Information deletion

Das Dokument enthält Anleitungen zur Verwaltung der Datenlöschung zur Einhaltung von Gesetzen und Vorschriften.

A.8.11 Data masking

Es werden Techniken zur Datenmaskierung für personenbezogene Daten (personal identifiable information, PII) zur Einhaltung von Gesetzen und Vorschriften bereitgestellt.

A.8.12 Data leakage prevention

Unternehmen sind verpflichtet, technische Maßnahmen zu ergreifen, um die Offenlegung und/oder Extraktion von Informationen zu erkennen und zu verhindern.

A.8.16 Monitoring activities

Es werden Richtlinien zur Verbesserung der Netzwerküberwachungsaktivitäten bereitgestellt, um anomales Verhalten zu erkennen und auf Sicherheitsereignisse und -vorfälle zu reagieren.

A.8.23 Web filtering

Unternehmen müssen Zugangskontrollen und Maßnahmen zur Beschränkung und Kontrolle des Zugangs zu externen Websites durchsetzen.

A.8.28 Secure coding

Die Unternehmen sind dazu verpflichtet, bewährte Grundsätze des secure coding zu implementieren, um Schwachstellen zu verhindern, die durch unzureichende Kodierungsmethoden verursacht werden könnten.

ISO 27001: Vier Control Gruppen

Der Einfachheit halber sind die Controls in Anhang A in verschiedene Gruppen eingeteilt. Dadurch wird der Kontext der Controls und der Bereich der anwendbaren Risiken unterteilt. Aber was sind die relevanten Kategorien und wo finden sie Anwendung?

Es gibt 93 Controls nach ISO 27001 Anhang A, die mehrere Bereiche einer Organisation abdecken - diese Maßnahmen sind in vier verschiedene Kategorien (Sets) unterteilt.

Das erleichtert es, die jeweiligen Controls selektiv auf Ihre Organisation anzuwenden.

Jede Kategorie kann einem bestimmten Schwerpunktbereich innerhalb Ihrer Organisation zugeordnet werden. Entgegen der landläufigen Meinung sind sie nicht alle IT-bezogen.

Die Einteilung der Controls in vier Kategorien hilft Organisationen zu entscheiden, wer für die Umsetzung der Maßnahmen verantwortlich ist und welche Maßnahmen für die jeweilige Organisation gelten.

So können beispielsweise technologische Controls von der IT-Abteilung durchgeführt werden, während organisatorische Controls von Ihrem Operations-Team durchgeführt werden können.

Um einen besseren Überblick zu erhalten, finden Sie hier eine Liste der vier verschiedenen Kategorien von Kontrollen:

  • Organisational Controls (37 Maßnahmen)
  • People Controls (8 Maßnahmen)
  • Physical Controls (14 Maßnahmen)
  • Technological Controls (34 Maßnahmen)

Organisational Controls: Maßnahmen zur organisatorischen Sicherheit

Organisatorische Controls umfassen in der Regel alles, was nicht unter die Themen Menschen, Technik oder physische Sicherheit fällt. Dazu gehören zum Beispiel das Identitätsmanagement, die Zuständigkeiten und die Sammlung von Beweisen.

Neue organisatorische Maßnahmen umfassen:

  • 5.7: Threat Intelligence
  • 5.23: Information security for the use of cloud services
  • 5.30: ICT readiness for business continuity

Insbesondere Threat Intelligence ist eine spannende Innovation in diesem Bereich – diese Maßnahme geht über die Erkennung bösartiger Domänennamen hinaus. Threat Intelligence hilft Organisationen, besser zu verstehen, wie sie angegriffen werden können.

People Controls: Personalbezogene Maßnahmen zum Schutz des Personals

Der Bereich der personellen Controls umfasst nur acht Maßnahmen. Hier geht es darum, wie Mitarbeiter bei ihrer täglichen Arbeit mit sensiblen Informationen umgehen - dazu gehören zum Beispiel die Themen Homeoffice/Remote Work, Geheimhaltungsvereinbarungen und Screenings. Darüber hinaus sind auch Onboarding- und Offboarding-Prozesse sowie Zuständigkeiten für die Meldung von Vorfällen relevant.

Physical Controls: Physische Maßnahmen für den Schutz der Organisation

Zu den physischen Controls gehören die Sicherheitsüberwachung, die Wartung, die Sicherheit der Einrichtungen und die Speichermedien. In dieser Kategorie geht es darum, wie Sie sich gegen physische und umweltbedingte Bedrohungen wie Diebstahl, Naturkatastrophen und vorsätzliche Zerstörung schützen.

Unter den physischen Controls gibt es eine neue Maßnahme:

  • 7.4: Physical security monitoring

Technological Controls: Technologische Maßnahmen für die technische Sicherheit

Technologische Controls umfassen die Bereiche Authentifizierung, Verschlüsselung und Verhinderung von Datenverlusten. Zum Schutz der Daten muss die Technik entsprechend gesichert werden. Verschiedene Ansätze wie Zugriffsrechte, Netzwerksicherheit und Datenmaskierung tragen dazu bei, dies zu erreichen.

Zu den neuen technologischen Controls gehören:

  • 8.1: Data masking
  • 8.9: Configuration management
  • 8.10: Information deletion
  • 8.12: Data leakage prevention
  • 8.16: Monitoring activities
  • 8.23: Web filtering
  • 8.28: Secure coding

In diesem Bereich ist eine Innovation besonders wichtig: die Verhinderung von Datenlecks (Data leak prevention). Aber auch die Webfilterung ist erwähnenswert: Dieser Control beschreibt, wie Organisationen den Online-Verkehr filtern sollten, um zu verhindern, dass Nutzer potenziell schädliche Websites besuchen.

In nur 3 Monaten bereit für das ISO 27001 Audit

Ihr ISO 27001-Zertifizierungsprozess leicht gemacht.

Laden Sie jetzt Ihren kostenlosen Leitfaden herunter
DG Seal ISO 27001

93 Controls in ISO 27001: Ein Überblick

Die Antwort auf die Frage wie viele ISO 27001-Controls es gibt hat sich mit der neuen Version der ISO 27001 geändert. Die vollständige Version der ISO 27001:2022 enthält 93 Controls, die jeweils einer Kategorie zugeordnet sind: organisatorisch, personell, physisch und technologisch.

Auf diese Weise können die Verantwortlichkeiten und Bereiche je nach Unternehmensbereich aufgeteilt werden. Um die unternehmenseigene Informationssicherheit zu stärken, ist es hilfreich, sich einen Überblick über die einzelnen Controls zu verschaffen. Aus diesem Grund haben wir Ihnen eine Liste mit allen 93 Kontrollen aus Anhang A und ihren jeweiligen Kategorien zur Verfügung gestellt:

Organisational Controls:

Organisational Controls

Annex A 5.1

Policies for Information Security

Organisational Controls

Annex A 5.2

Information Security Roles and Responsibilities

Organisational Controls

Annex A 5.3

Segregation of Duties

Organisational Controls

Annex A 5.4

Management Responsibilities

Organisational Controls

Annex A 5.5

Contact with Authorities

Organisational Controls

Annex A 5.6

Contact with Special Interest Groups

Organisational Controls

Annex A 5.7

Threat Intelligence

Organisational Controls

Annex A 5.8

Information Security in Project Management

Organisational Controls

Annex A 5.9

Inventory of Information and Other Associated Assets

Organisational Controls

Annex A 5.10

Acceptable Use of Information and Other Associated Assets

Organisational Controls

Annex A 5.11

Return of Assets

Organisational Controls

Annex A 5.12

Classification of Information

Organisational Controls

Annex A 5.13

Labelling of Information

Organisational Controls

Annex A 5.14

Information Transfer

Organisational Controls

Annex A 5.15

Access Control

Organisational Controls

Annex A 5.16

Identity Management

Organisational Controls

Annex A 5.17

Authentication Information

Organisational Controls

Annex A 5.18

Access Rights

Organisational Controls

Annex A 5.19

Information Security in Supplier Relationships

Organisational Controls

Annex A 5.20

Addressing Information Security within Supplier Agreements

Organisational Controls

Annex A 5.21

Managing Information Security in the ICT Supply Chain

Organisational Controls

Annex A 5.22

Monitoring, Review and Change Management of Supplier Services

Organisational Controls

Annex A 5.23

Information Security for Use of Cloud Services

Organisational Controls

Annex A 5.24

Information Security Incident Management Planning and Preparation

Organisational Controls

Annex A 5.25

Assessment and Decision on Information Security Events

Organisational Controls

Annex A 5.26

Response to Information Security Incidents

Organisational Controls

Annex A 5.27

Learning From Information Security Incidents

Organisational Controls

Annex A 5.28

Collection of Evidence

Organisational Controls

Annex A 5.29

Information Security During Disruption

Organisational Controls

Annex A 5.30

ICT Readiness for Business Continuity

Organisational Controls

Annex A 5.31

Legal, Statutory, Regulatory and Contractual Requirements

Organisational Controls

Annex A 5.32

Intellectual Property Rights

Organisational Controls

Annex A 5.33

Protection of Records

Organisational Controls

Annex A 5.34

Privacy and Protection of PII

Organisational Controls

Annex A 5.35

Independent Review of Information Security

Organisational Controls

Annex A 5.36

Compliance With Policies, Rules and

Organisational Controls

Annex A 5.37

Documented Operating Procedures Standards for Information Security

People Controls

People Controls

Annex A 6.1

Screening

People Controls

Annex A 6.2

Terms and Conditions of Employment

People Controls

Annex A 6.3

Information Security Awareness, Education and Training

People Controls

Annex A 6.4

Disciplinary Process

People Controls

Annex A 6.5

Responsibilities After Termination or Change of Employment

People Controls

Annex A 6.6

Confidentiality or Non-Disclosure Agreements

People Controls

Annex A 6.7

Remote Working

People Controls

Annex A 6.8

Information Security Event Reporting

Physical Controls

Physical Controls

Annex A 7.1

Physical Security Perimeters

Physical Controls

Annex A 7.2

Physical Entry

Physical Controls

Annex A 7.3

Securing Offices, Rooms and Facilities

Physical Controls

Annex A 7.4

Physical Security Monitoring

Physical Controls

Annex A 7.5

Protecting Against Physical and Environmental Threats

Physical Controls

Annex A 7.6

Working In Secure Areas

Physical Controls

Annex A 7.7

Clear Desk and Clear Screen

Physical Controls

Annex A 7.8

Equipment Siting and Protection

Physical Controls

Annex A 7.9

Security of Assets Off-Premises

Physical Controls

Annex A 7.10

Storage Media

Physical Controls

Annex A 7.11

Supporting Utilities

Physical Controls

Annex A 7.12

Cabling Security

Physical Controls

Annex A 7.13

Equipment Maintenance

Physical Controls

Annex A 7.14

Secure Disposal or Re-Use of Equipment

Technological Controls

Technological Controls

Annex A 8.1

User Endpoint Devices

Technological Controls

Annex A 8.2

Privileged Access Rights

Technological Controls

Annex A 8.3

Information Access Restriction

Technological Controls

Annex A 8.4

Access to Source Code

Technological Controls

Annex A 8.5

Secure Authentication

Technological Controls

Annex A 8.6

Capacity Management

Technological Controls

Annex A 8.7

Protection Against Malware

Technological Controls

Annex A 8.8

Management of Technical Vulnerabilities

Technological Controls

Annex A 8.9

Configuration Management

Technological Controls

Annex A 8.10

Information Deletion

Technological Controls

Annex A 8.11

Data Masking

Technological Controls

Annex A 8.12

Data Leakage Prevention

Technological Controls

Annex A 8.13

Information Backup

Technological Controls

Annex A 8.14

Redundancy of Information Processing Facilities

Technological Controls

Annex A 8.15

Logging

Technological Controls

Annex A 8.16

Monitoring Activities

Technological Controls

Annex A 8.17

Clock Synchronization

Technological Controls

Annex A 8.18

Use of Privileged Utility Programs

Technological Controls

Annex A 8.19

Installation of Software on Operational Systems

Technological Controls

Annex A 8.20

Networks Security

Technological Controls

Annex A 8.21

Security of Network Services

Technological Controls

Annex A 8.22

Segregation of Networks

Technological Controls

Annex A 8.23

Web filtering

Technological Controls

Annex A 8.24

Use of Cryptography

Technological Controls

Annex A 8.25

Secure Development Life Cycle

Technological Controls

Annex A 8.26

Application Security Requirements

Technological Controls

Annex A 8.27

Secure System Architecture and Engineering Principles

Technological Controls

Annex A 8.28

Secure Coding

Technological Controls

Annex A 8.29

Security Testing in Development and Acceptance

Technological Controls

Annex A 8.30

Outsourced Development

Technological Controls

Annex A 8.31

Separation of Development, Test and Production Environments

Technological Controls

Annex A 8.32

Change Management

Technological Controls

Annex A 8.33

Test Information

Technological Controls

Annex A 8.34

Protection of Information Systems During Audit Testing

Wie werden die Controls in Anhang A durchgeführt?

Was ist bei der Einführung neuer Strukturen am nützlichsten? Richtig - eine Checkliste. Die ISO 27001 dient als perfekte Checkliste, um die richtigen Maßnahmen zum Schutz Ihrer Informationen auszuwählen.

Organisationen sind daher nicht verpflichtet, alle 93 Controls zu implementieren. Sie müssen die für ihre Organisation am besten geeigneten Maßnahmen identifizieren und anwenden. Der Prozess der Auswahl geeigneter Kontrollen beginnt mit der Risikobewertung und -behandlung. Nach der Behandlung der Risiken müssen Sie messen, wie erfolgreich die Controls beim Erreichen der Informationssicherheit waren.

Bei der Informationssicherheit geht es darum, eine Reihe von strengen Regeln einzuführen, die im Laufe der Zeit ausgereift sind. Für die Durchführung der in Anhang A beschriebenen Controls sind daher immer mehrere Personen verantwortlich.

Das Zusammentragen aller erforderlichen Unterlagen und das Erreichen der Konformität mit ISO 27001 kann schwierig sein. Aus diesem Grund können Sie und Ihre Organisation von der Expertise eines ISO 27001-Beraters profitieren.

Welche Controls sollten Sie auswählen?

Ein zertifiziertes Informationssicherheits-Managementsystem mit bis zu 75 % weniger manueller Arbeit

Demo buchen
DG Seal ISO 27001

Vorteile von ISO 27001: Warum sollten Unternehmen ISO 27001 einführen?

Ganz klar, das Erkennen und Beheben von Sicherheitsrisiken ist für jedes Unternehmen von Vorteil. Die ISO 27001 Controls leisten einen wichtigen Beitrag zur klaren Kategorisierung potenzieller Risiken. Aber was sind die konkreten Vorteile der Risikominderung?

Nicht alle Organisationen entscheiden sich für die ISO 27001-Zertifizierung, aber viele nutzen sie als Rahmen, um ihr ISMS vor dem Risiko von Verstößen gegen die Informationssicherheit zu bewahren.

Die Einhaltung der ISO 27001-Norm beweist den beteiligten Parteien (z. B. Kunden und Interessengruppen), dass eine Organisation der Umsetzung bewährte Praktiken zur Sicherung ihrer Daten anwendet und die Informationssicherheit priorisiert. Daraus ergeben sich unter anderem folgende Vorteile:

  • Verbesserung der Wettbewerbsfähigkeit
  • Vermeidung von Bußgeldern und Verlusten aufgrund von Datenschutzverstößen.
  • Der Ruf der Marke verbessert sich stetig
  • Erreichen der Compliance in allen Bereichen (geschäftlich, rechtlich, wirtschaftlich und gesetzlich).
  • Verbesserte Struktur und Fokussierung
  • Die Anzahl der erforderlichen Audits sinkt
  • Sie erhalten eine unvoreingenommene Bewertung ihrer Sicherheitslage.

Im Wesentlichen erleichtert eine ISO 27001-Zertifizierung die Erfüllung gesetzlicher Verpflichtungen, zeigt Partnern die Zuverlässigkeit Ihrer Organisation und demonstriert Ihr Engagement für die Einhaltung höchster Standards der Informationssicherheit. Sie steigert den Wert Ihrer Marke und führt zu einer Win-Win-Situation.

ISO 27001 Controls Annex A

Um das gewünschte Video abspielen zu können, erklären Sie sich damit einverstanden, dass eine Verbindung zu den Servern von YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA hergestellt wird. Damit werden personenbezogene Daten (Geräte- und Browserinformationen (Insbesondere die IP-Adresse und das Betriebssystem) an den Betreiber des Portals zur Nutzungsanalyse übermittelt.

Weitere Informationen über den Umgang mit Ihren personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.

Unsere Checkliste: Wie erreicht man die ISO 27001-Konformität?

Auch wenn sie keine offizielle Zertifizierung anstreben, gibt es für Organisationen immer die Möglichkeit, die Anforderungen der ISO 27001-Norm zu erfüllen. Die folgende Liste zeigt die besten Praktiken, die Sie zu diesem Zweck anwenden können. Sie kann sehr gut als Checkliste verwendet werden:

  • Sprechen Sie mit Ihren Stakeholdern, um herauszufinden, welche Erwartungen sie an die Informationssicherheit haben.
  • Definieren Sie den Anwendungsbereich Ihres ISMS und die Maßnahmen zur Informationssicherheit.
  • Definieren Sie eine klare Sicherheitspolitik.
  • Führen Sie eine Risikobewertung durch, um alle bestehenden und potenziellen Risiken für Ihre Informationssicherheit zu ermitteln.
  • Implementierung von Maßnahmen und Risikomanagementmethoden mit klaren Zielvorgaben.
  • Bewerten Sie laufend die Wirksamkeit Ihrer Informationssicherheitspraktiken und führen Sie in diesem Zusammenhang regelmäßige Risikobewertungen durch.

ISO 27001: Mit den richtigen Controls zu mehr Sicherheit

Die ISO 27001-Zertifizierung erleichtert die Einhaltung gesetzlicher Vorschriften, unterstreicht die Vertrauenswürdigkeit Ihres Unternehmens gegenüber Ihren Geschäftspartnern und ist ein Beweis für Ihr Engagement, die höchsten Standards der Informationssicherheit zu erfüllen. Ihr Markenwert wird deutlich gesteigert und führt zweifelsohne zu einer Win-Win-Situation.

ISO 27001:2022 Anforderungen

4.1 Verstehen der Organisation und ihres Kontextes

4.2 Verständnis für die Bedürfnisse und Erwartungen der interessierten Parteien

4.3 Der Geltungsbereich des ISMS

4.4 Prozess des Informationssicherheits-Managementsystems

5.1 Führung und Verpflichtung

5.2 Informationssicherheitsrichtlinie

5.3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation

6.1 Tätigkeiten zur Adressierung von Risiken und Chancen

6.2 Informationssicherheitsziele und Planung zur Zielerreichung

7.1 Ressourcen

7.2 Kompetenzen

7.3 Aufmerksamkeit

7.4 Kommunikation

7.5 Dokumentierte Informationen

8.1 Operative Planung und Kontrolle

8.2 Informationssicherheits-Risikobewertung

8.3 Informationssicherheits-Risikobehandlung

9.1 Überwachung, Messung, Analyse und Bewertung

9.2 Internes Audit

9.3 Management Review

10.1 Nicht-Konformität und berichtigende Maßnahmen

10.2 Fortlaufende Verbesserungen

 

ISO 27001 Anhang A

 

P I C

p

PRIVACY

Externer DSB
Audit und Risikoanalyse
Betroffenenanfragen
Online-Trainings
Cookie & Preference Manager
Beratung durch zertifizierte Experten

i

INFOSEC

Vorbereitung auf ISO 27001
Aufbau eines ISMS
Cybersecurity
Asset-Management
Risikominimierung
Internes Audit

c

COMPLIANCE

Digitales Whistleblowing-System
Whistleblowing-Support
Compliance-Audit
Risikominimierung
Online-Trainings
Geprüfte Vorlagen

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.

 

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt durchstarten

  • Datenschutzkonforme und transparente Einholung von Einwilligungen
  • Konform mit DSGVO, CCPS, LGPD, ePrivacy
  • Langfristig wertvollere Daten
  • Zentraler Überblick: Ihre Single Source of Truth
  • Persönlicher Support durch Experten bei jedem Schritt
  • Einfache Integration in alle Ihre Marketing-Tools und CRM

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Jetzt Termin vereinbaren