In einer sich rasch entwickelnden digitalen Landschaft ist der Schutz sensibler Informationen für Organisationen weltweit von größter Bedeutung. Allein in Deutschland hat das BKA im letzten Jahr 136.865 Cyberangriffe gezählt - enorme finanzielle Schäden und Vertrauensverlust sind die Folge.
In diesem Zusammenhang sind die ISO 27001 Controls ein wichtiger Leitfaden für die Informationssicherheit. Die ISO 27001 Controls sind ein zentraler Bestandteil der ISO 27001-Norm, einem internationalen Standard für Informationssicherheits-Managementsysteme (ISMS). Sie bieten einen Rahmen für die Entwicklung, Implementierung, Überwachung und Verbesserung eines ISMS.
Die ISO 27001 Controls wurden 2022 neu kategorisiert und an die aktuellen Entwicklungen der Unternehmen in Sachen Informationssicherheit angepasst. Zu den Control Sets gehören auch die organisatorischen Maßnahmen.
Control Kategorien aus Anhang A: Organisatorisch, personalbezogen, physisch und technologisch
Die Control Kategorien: Anhang A der ISO 27001:2022 definiert 93 Controls, die dazu beitragen, die Informationssicherheit einer Organisation zu verbessern. Diese Controls sind in vier Kategorien unterteilt:
- Organisatorische Controls
- Personenbezogene Controls
- Physische Controls
- Technologische Controls
Die vier Kategorien erleichtern die Planung und Implementierung von Referenzmaßnamen und die Wahl der richtigen Controls für den Kontext der Organisation. 2022 wurden die Kategorien neu strukturiert, um den aktuellen Sicherheitsanforderungen gerecht zu werden. Die Kernprozesse des ISMS-Managements bleiben unverändert, aber die Controls in Anhang A wurde aktualisiert, um modernere Risiken und die damit verbundenen Maßnahmen zu berücksichtigen.
In diesem Artikel konzentrieren wir uns auf die organisatorischen Controls.
Was sind organisatorische Controls?
Organisatorische Controls sind Maßnahmen, die nicht auf personelle, physische oder technologische Bedrohungen abzielen. Sie betreffen stattdessen die Organisation als Ganzes, z. B. die Unternehmenskultur, die Prozesse und die Strukturen.
Zu den organisatorischen Controls gehören unter anderem:
- Informationssicherheitspolitik: Diese Richtlinie definiert die Grundsätze und Ziele des Informationssicherheitsmanagements.
- Verantwortlichkeiten und Befugnisse: Es ist klar festgelegt, wer für die Informationssicherheit verantwortlich ist und welche Befugnisse er hat.
- Verantwortung des Managements: Es wird sichergestellt, dass das Management die eigene Rolle in der Umsetzung einer Informationssicherheitsstrategie versteht und erfüllt.
- Klassifizierung von Informationen: Informationswerte werden nach ihrem Informationssicherheitsbedarf sortiert und angemessene Maßnahmen werden entwickelt
Organisatorische Controls schaffen einen Rahmen für den grundlegenden Umgang mit Informationswerten im Unternehmen: Mit ihrer Hilfe lassen Informationswerte sich nach ihrem Kontext einteilen, ihr Risiko bestimmen und Prioritäten festlegen, Verantwortlichkeiten festlegen und Management Teams bilden.
Sie unterstützen Organisationen dabei, Informationssicherheit in allen Projektabläufen mitzudenken und klare Richtlinien im Projekt Management, im Umgang mit Zulieferern und im Kontakt mit Autoritäten zu erstellen.
Schnell zur ISO 27001-Zertifizierung mit Experten an Ihrer Seite
Reduzierung der manuellen Arbeit um bis zu 75 %
Reduzieren Sie Ihre Kosten um die Hälfte, indem Sie bis zu 40 % Arbeitskraft einsparen
Neue organisatorische Controls in der ISO 27001:2022
Die ISO 27001:2022 enthält einige neue organisatorische Controls, die auf die aktuellen Herausforderungen der Informationssicherheit reagieren. Dazu gehören:
- Threat Intelligence: Organisationen sollten eine Bedrohungsanalyse durchführen, um besser zu verstehen, wie sie angegriffen werden können.
- Informationssicherheit für den Einsatz von Cloud-Diensten: Organisationen sollten die Risiken des Einsatzes von Cloud-Diensten für die Informationssicherheit bewerten und einen Leitfaden zum Umgang mit ihnen entwickeln.
- ICT (Informations- und Kommunikationstechnologie) -Bereitschaft für die Geschäftskontinuität: Organisationen sollten sicherstellen, dass ihre ICT-Systeme im Falle eines Ausfalls in der Lage sind, die Geschäftskontinuität zu gewährleisten.
ISO 27001 Organisatorische Controls: Welche gibt es?
Organisatorische Controls sind ein essentieller Bestandteil einer umfassenden Informationssicherheitsstrategie. Um ein funktionierendes Informationssicherheits-Managementsystem aufbauen zu können, müssen Organisationen wissen, welche Maßnahmen es gibt.
Wir haben Ihnen deswegen eine Liste mit einem umfassenden Überblick über alle organisatorischen Controls aus Anhang A der ISO 27001 erstellt:
Organisational Controls |
Annex A 5.1 |
Policies for Information Security |
Organisational Controls |
Annex A 5.2 |
Information Security Roles and Responsibilities |
Organisational Controls |
Annex A 5.3 |
Segregation of Duties |
Organisational Controls |
Annex A 5.4 |
Management Responsibilities |
Organisational Controls |
Annex A 5.5 |
Contact with Authorities |
Organisational Controls |
Annex A 5.6 |
Contact with Special Interest Groups |
Organisational Controls |
Annex A 5.7 |
Threat Intelligence |
Organisational Controls |
Annex A 5.8 |
Information Security in Project Management |
Organisational Controls |
Annex A 5.9 |
Inventory of Information and Other Associated Assets |
Organisational Controls |
Annex A 5.10 |
Acceptable Use of Information and Other Associated Assets |
Organisational Controls |
Annex A 5.11 |
Return of Assets |
Organisational Controls |
Annex A 5.12 |
Classification of Information |
Organisational Controls |
Annex A 5.13 |
Labelling of Information |
Organisational Controls |
Annex A 5.14 |
Information Transfer |
Organisational Controls |
Annex A 5.15 |
Access Control |
Organisational Controls |
Annex A 5.16 |
Identity Management |
Organisational Controls |
Annex A 5.17 |
Authentication Information |
Organisational Controls |
Annex A 5.18 |
Access Rights |
Organisational Controls |
Annex A 5.19 |
Information Security in Supplier Relationships |
Organisational Controls |
Annex A 5.20 |
Addressing Information Security within Supplier Agreements |
Organisational Controls |
Annex A 5.21 |
Managing Information Security in the ICT Supply Chain |
Organisational Controls |
Annex A 5.22 |
Monitoring, Review and Change Management of Supplier Services |
Organisational Controls |
Annex A 5.23 |
Information Security for Use of Cloud Services |
Organisational Controls |
Annex A 5.24 |
Information Security Incident Management Planning and Preparation |
Organisational Controls |
Annex A 5.25 |
Assessment and Decision on Information Security Events |
Organisational Controls |
Annex A 5.26 |
Response to Information Security Incidents |
Organisational Controls |
Annex A 5.27 |
Learning From Information Security Incidents |
Organisational Controls |
Annex A 5.28 |
Collection of Evidence |
Organisational Controls |
Annex A 5.29 |
Information Security During Disruption |
Organisational Controls |
Annex A 5.30 |
ICT Readiness for Business Continuity |
Organisational Controls |
Annex A 5.31 |
Legal, Statutory, Regulatory and Contractual Requirements |
Organisational Controls |
Annex A 5.32 |
Intellectual Property Rights |
Organisational Controls |
Annex A 5.33 |
Protection of Records |
Organisational Controls |
Annex A 5.34 |
Privacy and Protection of PII |
Organisational Controls |
Annex A 5.35 |
Independent Review of Information Security |
Organisational Controls |
Annex A 5.36 |
Compliance With Policies, Rules and |
Organisational Controls |
Annex A 5.37 |
Documented Operating Procedures Standards for Information Security |
Wie implementiert man organisatorische Controls?
Der Überblick über die Controls ist geschafft – jetzt müssen Sie noch die richtigen Controls wählen und in Ihrem Unternehmen einsetzen. Wie das geht? Die Implementierung von organisatorischen Controls ist ein Prozess, der in mehrere Schritte unterteilt werden kann:
- Bewertung des Status quo:
Im ersten Schritt ist es wichtig, den aktuellen Stand der Informationssicherheit der Organisation zu bewerten. Dazu gehört die Identifizierung der relevanten Risiken und die Bewertung der Wirksamkeit der bestehenden Controls.
Die Bewertung kann mithilfe von verschiedenen Methoden durchgeführt werden, z. B.:
- Interne Audits: Ein internes Audit ist eine systematische Untersuchung der Informationssicherheits-Vorgaben und -Prozesse einer Organisation.
- Externe Audits: Ein externes Audit wird von einem unabhängigen Dritten durchgeführt.
- Interne Audits: Ein internes Audit ist eine systematische Untersuchung der Informationssicherheits-Vorgaben und -Prozesse einer Organisation.
- Auswahl der Controls:
Auf der Grundlage der Bewertung werden die geeigneten Controls ausgewählt. Dabei ist es wichtig, die Risiken und die Anforderungen der Organisation zu berücksichtigen.
Die Auswahl der Controls kann mithilfe eines Risikomanagementprozesses durchgeführt werden. Dieser Prozess besteht unter anderem aus den folgenden Schritten:
- Identifizierung der Risiken: Die Risiken für die Informationssicherheit der Organisation werden identifiziert.
- Bewertung der Risiken: Die Risiken werden hinsichtlich ihrer Eintrittswahrscheinlichkeit und ihres Schadenspotenzials bewertet.
- Maßnahmen zur Risikominderung: Maßnahmen zur Minderung der Risiken werden ausgewählt.
- Identifizierung der Risiken: Die Risiken für die Informationssicherheit der Organisation werden identifiziert.
- Implementierung der Controls:
Die ausgewählten Controls werden implementiert. Dieser Schritt kann je nach Control sehr unterschiedlich sein.
Die Implementierung einer Informationssicherheitsrichtlinie kann beispielsweise die folgenden Schritte umfassen:
- Entwicklung der Richtlinie: Die Richtlinie wird von einem Team aus Experten ausgearbeitet.
- Genehmigung der Richtlinie: Die Richtlinie wird von der Geschäftsführung genehmigt.
- Kommunikation der Richtlinie: Die Richtlinie wird an alle Mitarbeiter kommuniziert.
- Etablierung der Richtlinie: Implementierung und Verbesserung der daraus abzuleitenden Maßnahmen in Prozesse.
- Entwicklung der Richtlinie: Die Richtlinie wird von einem Team aus Experten ausgearbeitet.
- Überwachung und Verbesserung:
Die Wirksamkeit der Controls wird regelmäßig überwacht und verbessert.
Dieser Schritt ist wichtig, um sicherzustellen, dass die Controls weiterhin effektiv sind. Die Überwachung der Controls kann mithilfe von verschiedenen Methoden durchgeführt werden, z. B.:
- Audits: Audits werden durchgeführt, um die Einhaltung der Controls zu überprüfen.
- Reporting: Die Ergebnisse der Überwachung werden in einem Bericht dokumentiert.
- Korrekturmaßnahmen: Korrekturmaßnahmen werden ergriffen, wenn die Wirksamkeit der Controls nicht gewährleistet ist.
- Audits: Audits werden durchgeführt, um die Einhaltung der Controls zu überprüfen.
Tipps für die Implementierung von organisatorischen Controls:
- Beginnen Sie mit den wichtigsten Controls. Nicht alle Controls sind gleich wichtig. Beginnen Sie mit der Implementierung der wichtigsten Controls und arbeiten Sie sich dann nach und nach vor.
- Involvieren Sie alle Beteiligten. Die Implementierung von organisatorischen Controls ist ein Team-Prozess. Involvieren Sie alle Beteiligten, um sicherzustellen, dass die Controls erfolgreich implementiert werden.
- Kommunizieren Sie die Controls. Stellen Sie sicher, dass alle Mitarbeiter die Controls kennen und verstehen.
- Messen Sie die Wirksamkeit. Messen Sie die Wirksamkeit der Controls, um sicherzustellen, dass sie ihre Ziele erreichen.
Organisatorische Controls zur Stärkung Ihrer Informationssicherheit
Organisatorische Controls sind ein wichtiger Bestandteil eines ISMS. Sie helfen Organisationen, ihre Informationssicherheit grundlegend zu verbessern und sich vor Cyberangriffen zu schützen.
Die neuen organisatorischen Controls in der ISO 27001:2022 berücksichtigen die aktuellen Herausforderungen der Informationssicherheit und bieten Organisationen zusätzliche Möglichkeiten, ihre Informationssicherheit zu verbessern.
Ein umfassender Überblick über die organisatorischen Controls erleichtert und strukturiert die Auswahl der richtigen Maßnahmen und hilft dabei, den Kontext Ihres Unternehmens mit einzubeziehen.
Finden Sie die richtigen Controls für Ihr Unternehmen und informieren Sie sich in unserer ISO 27001 Checkliste darüber, welche Maßnahmen Sie zur Umsetzung der ISO 27001 implementieren müssen.
Bis zu 50%
Günstiger als externe Berater
Bis zu 300%
Erhöhen Sie Ihre Opt-in-Rate mit Consent & Preference Management
3 Monate
In nur drei Monaten bereit für den Audit
100%
Bislang haben alle unsere Kunden beim ersten Versuch bestanden
Spart bis zu 100 Std.
an manueller Arbeit für die ISO 27001-Zertifizierung oder Label für eine Zertifizierung nach TISAX®
Viele namhafte Marken vertrauen auf uns
P I C
PRIVACY
Externer DSB
Audit und Risikoanalyse
Betroffenenanfragen
Online-Trainings
Cookie & Preference Manager
Beratung durch zertifizierte Experten
INFOSEC
Vorbereitung auf ISO 27001
Aufbau eines ISMS
Cybersecurity
Asset-Management
Risikominimierung
Internes Audit
COMPLIANCE
Digitales Whistleblowing-System
Whistleblowing-Support
Compliance-Audit
Risikominimierung
Online-Trainings
Geprüfte Vorlagen
ISO 27001:2022 Anforderungen
ISO 27001 Anhang A
A.5 Informationssicherheitsrichtlinien A.6 Organisation der Informationssicherheit A.9 Zugangssteuerung |
A.14 Anschaffung, Entwicklung und Instandhaltung von Systemen |
Bereits Unternehmen vertrauen uns
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.