Wenn Sie zu den Unternehmen gehören, die eine ISO 27001-Zertifizierung oder wiederzuerlangen möchten, ist es unerlässlich, dass Ihre Kontrollen effektiv sind, damit Ihr Informationssicherheits-Managementsystem (ISMS) den ISO 27001-Anforderungen entspricht.
Um Ihnen bei der Etablierung oder Verbesserung Ihres ISMS zu helfen und eine Vorbereitung auf ein Audit zu treffen, werfen wir im Folgenden einen genaueren Blick auf die ISO 27001:2022-Kontrollen.
Was sind die ISO 27001 Annex A-Kontrollen?
Informationssicherheitskontrollen sind Prozesse und Richtlinien, die Sie einführen, um Risiken zu mindern. ISO/IEC 27001 verlangt von Organisationen, Kontrollen zu implementieren, die seinen Standards für ein Informationssicherheits-Managementsystem entsprechen.
Das ISO 27001:2022 internationaler Standarddokument enthält Annex A, in dem alle 93 ISO 27001-Kontrollen aufgelistet und in 4 Themen unterteilt sind. Annex A skizziert jedes Ziel und jede Kontrolle, um Organisationen bei der Entscheidung zu helfen, welche sie verwenden sollten.
Der ISO 27002-Standard dient als ergänzende Ressource. Er geht detaillierter darauf ein und bietet eine ganze Seite mit Informationen über den Zweck jeder Kontrolle, wie sie funktioniert und wie sie implementiert wird.
Empfohlene Lektüre
ISO 27001 vs 27002: Was ist der Unterschied?
Read MoreWie viele Kontrollen gibt es in ISO 27001?
ISO 27001:2022 Annex A enthält 93 Kontrollen, die in vier Kategorien unterteilt sind.
- Klausel 5: Organisatorische Kontrollen (37 Kontrollen)
- Klausel 6: Personenkontrollen (8 Kontrollen)
- Klausel 7: Physische Kontrollen (14 Kontrollen)
- Klausel 8: Technologische Kontrollen (34 Kontrollen)
Als die Internationale Organisation für Normung den ISO 27001:2013-Standard im Jahr 2022 aktualisierte, wurden 11 neue Kontrollen hinzugefügt. Diese sind:
- A.5.7: Bedrohungsinformationen
- A.5.23: Informationssicherheit bei der Nutzung von Cloud-Diensten
- A.5.30: IKT-Bereitschaft für die Geschäftskontinuität
- A.7.4: Überwachung der physische Sicherheit
- A.8.9: Konfigurationsmanagement
- A.8.10: Informationslöschung
- A.8.11: Datenmaskierung
- A.8.12: Verhinderung von Datenlecks
- A.8.16: Überwachungsaktivitäten
- A.8.23: Webfilterung
- A.8.28: Sichere Programmierung
Zusätzlich zur Erfüllung der Anforderungen der Anlage A müssen Organisationen die Anforderungen der Klauseln 4-10 der Norm erfüllen, um die ISO 27001-Zertifizierung zu erreichen:
- Klausel 4: Kontext der Organisation
- Klausel 5: Führung
- Klausel 6: Planung
- Klausel 7: Unterstützung
- Klausel 8: Betrieb
- Klausel 9: Leistungsbewertung
- Klausel 10: Verbesserung
Wie Sie die ISO 27001-Klauseln und die Kontrollen der Anlage A erfüllen, hängt von Ihrer einzigartigen Organisation ab. Die ISO 27001-Norm ist so formuliert, dass verschiedene Arten von Organisationen die rechtlichen, regulatorischen und vertraglichen Anforderungen auf ihre Weise erfüllen können.
Verwenden Sie Ihre interne ISO 27001-Risikoanalyse als Leitfaden und wählen Sie die Kontrollen aus, die für Ihre Organisation gelten. Wenn Sie sich entscheiden, eine Kontrolle aus Anlage A nicht einzubeziehen, erklären Sie dies in Ihrer Erklärung zur Anwendbarkeit. Wenn Sie beispielsweise A.6.7 ausschließen, weil keiner Ihrer Mitarbeiter remote arbeitet, möchte Ihr Zertifizierungsauditor dies wissen.
Empfohlene Lektüre
ISO 27001:2022 und ISO 27002:2022: Was wurde aktualisiert und wie man konform bleibt
Read MoreWas sind die 4 Themen von ISO 27001?
Was sind die Themen von ISO 27001? Sie können sie als die breiten Themen betrachten, die von ISO 27001 abgedeckt werden.
Themen wie: Wie behandeln Sie die Sicherheit Ihres Unternehmens? Wie gehen Sie mit dem Asset-Management um? Wie adressieren Sie die physische Sicherheit und Cybersicherheit?
Jedes Thema konzentriert sich auf allgemeine bewährte Verfahren für diesen Bereich der Informationssicherheit und dessen Kontrollziele.
A 5.1-5.37: Organisatorische Kontrollen
Das erste Thema der ISO 27001-Anlage-A-Kontrollen dreht sich darum, wie Ihre Organisation die Datensicherheit angeht, von den Richtlinien und Prozessen, die Sie einführen, bis hin zur Struktur Ihres Unternehmens.
Hat Ihre Organisation eine klare Richtlinie, um ihr ISMS sicher zu halten? Sind die Rollen und Verantwortlichkeiten der Informationssicherheit klar definiert und effektiv kommuniziert? Sind angemessene Zugangskontrollen vorhanden?
Dies sind die Probleme, die die organisatorischen Kontrollen ansprechen sollen. Die Kontrollen umfassen:
Informationssicherheitspolizeien
Die Stärke Ihrer Informationssicherheitspolizeien beeinflusst direkt jede andere Kategorie.
Auditoren werden nach folgendem suchen:
- Hochwertige Dokumentation der Informationssicherheitspolizeien
- Ein regelmäßiger Prozess zur Überprüfung und Aktualisierung dieser Richtlinien
- Eine klare Erklärung, wie diese Richtlinien mit den anderen Bedürfnissen des Unternehmens funktionieren
Organisation der Informationssicherheit
Es ist gut und schön, wenn der CISO Sicherheitsrichtlinien einführt, aber das ist nicht ausreichend für ISO 27001. Speziell definierte Sicherheitsrollen auf allen Ebenen der Organisation sind ein Muss.
In jeder Abteilung sollte es keine Unklarheiten über die Verantwortlichkeiten der Informationssicherheit geben. Es sollten auch Pläne dafür vorhanden sein, wie externe Mitarbeiter oder Lieferanten in das Umfeld integriert werden.
Es ist für einen einzelnen Infosec-Experten viel einfacher, Richtlinien in einem kleineren Büro umzusetzen. Dennoch sollten Sie einen Plan zur Organisation der Datensicherheit haben, wenn Ihr Unternehmen wächst.
Lieferantenbeziehungen
Die meisten Unternehmen sind in gewissem Maße auf externe Partnerschaften angewiesen. Bei der Zertifizierung nach ISO 27001 konzentrieren sich die Unternehmen oft auf interne Abläufe und Betriebssysteme und übersehen leicht das Lieferketten- und Dritt-Risikomanagement.
Es ist schwieriger, hier Kontrollen umzusetzen, da man nicht kontrollieren kann, wie jemand anders arbeitet. Präsentieren Sie dem Auditor den Nachweis, dass Sie alle Drittanbieter an hohe Standards halten und einen umfassenden Risikobehandlungsplan für Drittanbieter umgesetzt haben. Sie sollten sich auch weigern, mit jemandem zu arbeiten, der diese Standards nicht erfüllt.
Zugangskontrollen
Kurz gesagt, die Mitarbeiter Ihrer Organisation sollten keine Informationen einsehen können, die für ihre Arbeit nicht relevant sind.
Zugangskontrollen umfassen, wer Authentifizierungsinformationen – wie Anmeldeinformationen – erhält und welche Berechtigungen diese Informationen mit sich bringen. Je mehr Personen Zugriff auf Unternehmensinformationen haben, desto höher ist das Risiko.
Diese Kontrollen behandeln, wie Mitarbeiter-Benutzer-IDs und Passwörter sicher aufbewahrt werden und der nicht erforderliche Zugriff auf Anwendungen durch einen formalen Zugriffsmanagementprozess eingeschränkt wird. Sie sollten durch dokumentierte Verfahren und Benutzerverantwortlichkeiten unterstützt werden.
Asset-Management
Jedes Informations-Asset ist ein potenzielles Sicherheitsrisiko – wenn es für Sie wertvoll ist, ist es wahrscheinlich auch für jemand anderen wertvoll.
Die ISO 27001-Zertifizierung erfordert, dass Ihr Unternehmen seine Informations-Assets identifiziert, klassifiziert und Managementprozesse basierend auf diesen Klassifikationen anwendet.
Für die Kontrollen in diesem Bereich sollten Sie wissen:
- Was ist die akzeptable Nutzung eines Informations-Assets?
- Wer ist berechtigt, jedes Asset zu erhalten und weiterzugeben?
- Wie kann der Standort eines Asset verfolgt werden
- Wie das Asset bei Bedarf entsorgt wird
Kontrollen decken auch ab, wie Assets sicher auf austauschbaren Medien wie USB-Laufwerken gespeichert werden.
Kommunikationssicherheit
Diese Kontrollen decken den Informationsaustausch ab, einschließlich der Art und Weise, wie Informationen ausgetauscht werden, wie Sie diese beim Verwenden von elektronischen Nachrichten, wie E-Mail, schützen und wie Sie Geheimhaltungsvereinbarungen verwenden.
Management von Informationssicherheitsvorfällen
Sie werden nicht in der Lage sein, jeder Sicherheitsbedrohung auszuweichen, unabhängig davon, wie gut Sie vorbereitet sind. Dieser Bereich behandelt, wie Ihr Unternehmen auf Sicherheitsereignisse und Vorfälle reagieren wird.
Im Falle eines Datenlecks: Wer wird zuerst informiert? Wer hat die Befugnis, Entscheidungen zu treffen? Was werden Sie tun, um die Auswirkungen zu minimieren?
Dieser Kontrollsatz berücksichtigt auch, was Sie nach der Krise tun. Wie werden Sie aus dem Vorfall lernen?
Aspekte der Informationssicherheit im Rahmen des Geschäftskontinuitätsmanagements
Wenn das Geschäft erheblich gestört ist, kann die Informationssicherheit in den Hintergrund treten.
Hat Ihr Unternehmen einen Plan, um sensible Daten während einer ernsthaften betrieblichen Störung zu schützen?
Störungen können alles sein, von einer Naturkatastrophe bis zu einem Ransomware-Angriff oder politischen Unruhen im Heimatland des Unternehmens. Es kann auch intern sein, wie eine Übernahme oder eine Änderung in der Unternehmensführung.
Redundanzmaßnahmen – einschließlich der Aufrechterhaltung eines Inventars von Ersatzteilen und doppelter Hardware und Software – können helfen, die Geschäftskontinuität und reibungslose Abläufe während Zeiten der Störung zu gewährleisten.
Compliance
Der letzte Abschnitt beschreibt, wie Ihre Organisation die Informationssicherheitsgesetze einhält.
Unter Gesetzen wie der EU-Datenschutz-Grundverordnung (DSGVO) können Unternehmen bei Informationssicherheitsversagen mit hohen Geldstrafen belegt werden. ISO 27001-Auditoren wollen sehen, dass Sie einen Plan zur Minderung von Compliance-Risiken haben.
A 6.1-6.8: Personenbezogene Kontrollen
Personenbezogene Kontrollen definieren, wie Ihr Personal mit Daten und Informationssystemen umgeht. Dazu gehören Praktiken wie Hintergrundüberprüfungen von Mitarbeitern und Schulungen zur Sicherheitsbewusstsein.
Personalsicherheit
Die Kontrollen in diesem Abschnitt erfordern, dass jeder Mitarbeiter sich klar über seine Informationssicherheitsverantwortlichkeiten im Klaren ist.
Es deckt die gesamte Personalbeziehung ab:
- Wie werden Mitarbeiter vor der Einstellung überprüft? Dies umfasst Screening und Hintergrundüberprüfungen sowie klare Beschäftigungsbedingungen.
- Wie werden die Erwartungen in Bezug auf Informationssicherheit den Mitarbeitern kommuniziert? Dies umfasst Aspekte wie Informationssicherheitsbewusstsein, Schulungen, das Disziplinarverfahren, Sicherheitsvorfallmeldungen und Geheimhaltungsvereinbarungen.
- Wie stellen Sie sicher, dass Mitarbeiter nach Verlassen des Unternehmens Ihre Informationssicherheit nicht gefährden?
A 7.1-7.13: Physische Kontrollen
Wie werden Sie physische Informationswerte schützen? Diese Kontrollen umfassen Richtlinien für saubere Schreibtische, Aufbewahrungs- und Entsorgungsprotokolle, Eintritts- und Zugangssysteme und so weiter.
Physische und Umwelt-Sicherheit
Ihre Organisation sollte jeden physischen Standort schützen, an dem sie sensible Daten speichert. Das bedeutet Büros, Rechenzentren, kundenorientierte Räumlichkeiten und überall sonst, wo bei einem Verstoß Ihre Informationssicherheit beeinträchtigt werden könnte.
Sicherheit ist mehr als nur Schlösser und Wachleute. Es erfordert, darüber nachzudenken, wer Zugang zu sicheren Bereichen wie Serverräumen hat, und Fragen wie „Wie bestimmen Sie, wer einen sicheren Bereich betreten darf?“ zu stellen.
Dieses Thema umfasst auch Kontrollen, um sicherzustellen, dass Mitarbeiter physische Sicherheitsmaßnahmen umsetzen. Es kann schlimmer sein, wenn jemand seinen Laptop oder sein mobiles Gerät in einem Café liegen lässt, als gehackt zu werden. Sowohl Remote- als auch Büroangestellte sollten eine saubere Schreibtisch- und Bildschirmrichtlinie einhalten, damit Informationen nicht von unbefugten Personen eingesehen oder genommen werden können.
Andere Kontrollen in dieser Serie decken das Risiko von Naturkatastrophen ab. Wenn Ihr Rechenzentrum durch eine Flut oder ein Erdbeben beschädigt wird, wie stellen Sie sicher, dass es vor gewaltsamem Eindringen geschützt bleibt? Wenn Sie das nicht sicherstellen können, was werden Sie sonst tun, um Ihre sensiblen Daten zu schützen?
A 8.1-8.34: Technologische Kontrollen
Technologische Kontrollen drehen sich darum, eine sichere und konforme IT-Infrastruktur aufrechtzuerhalten. Diese Kontrollen decken eine Reihe von Themen ab, von der Frage, wer Zugriff auf den Quellcode hat, und wie die Netzwerksicherheit aufrechterhalten wird, bis hin zur Synchronisierung von Uhren.
Kryptographie
Kryptographie ist nur ein Werkzeug in Ihrem Sicherheitsarsenal, aber ISO 27001 betrachtet es als wichtig genug, um ein eigenes Kontrollset zu verdienen.
Ihr Unternehmen sollte eine dokumentierte Richtlinie für das Management der Verschlüsselung haben, mit Nachweisen, dass Sie über die beste Art der Verschlüsselung für die Bedürfnisse Ihres Unternehmens nachgedacht haben.
Stellen Sie sicher, dass Sie besonderes Augenmerk darauf legen, wie Sie kryptographische Schlüssel während ihres gesamten Lebenszyklus verwalten, einschließlich eines Plans für den Fall, dass ein Schlüssel kompromittiert wird.
Betriebssicherheit
ISO 27001 verlangt, dass Ihr Unternehmen die Informationsverarbeitungseinrichtungen und -systeme sichert, die sein ISMS ausmachen.
Diese technologischen Kontrollen decken die Dokumentation der ISMS-Betriebsverfahren ab, einschließlich Änderungsmanagement- und Überprüfungsverfahren. Weitere Unterbereiche umfassen Malware-Schutz, Datensicherungen, Penetrationstests, technisches Schwachstellenmanagement und mehr.
Wenn Ihr Unternehmen technologielastig ist, müssen Sie auch nachweisen, dass Ihre Entwicklungs- und Testumgebungen sicher sind.
Netzwerksicherheit
Informationen sind besonders gefährdet, wenn sie sich in Bewegung befinden. ISO 27001 definiert Kommunikation im weiteren Sinne als jede Übertragung von Informationen von einem Knoten Ihres Netzwerks zu einem anderen.
Diese Kontrollen verhindern, dass Angreifer durch Ausnutzung von Schwachstellen und Sicherheitslücken in Ihrer Netzwerksicherheit auf sensible Informationen zugreifen.
Systemerwerb, -entwicklung und -wartung
Dieses Kontrollset interessiert sich dafür, wie sich Ihr ISMS im Laufe der Zeit entwickelt.
Wann immer Sie ein neues Informationssicherheitssystem einführen oder Änderungen an einem bestehenden System vornehmen, sollte die Informationssicherheit im Vordergrund stehen.
Um diese Kontrollanforderungen zu erfüllen, müssen Sie jedes neue System an spezifische Sicherheitsanforderungen halten und Änderungen ablehnen, die Ihren Spezifikationen nicht entsprechen.
Empfohlene Lektüre
5 Schritte zu einem erfolgreichen ISO 27001 Audit + Checkliste
Read MoreWer ist für die Implementierung der ISO 27001-Kontrollen verantwortlich?
Es gibt ein weit verbreitetes Missverständnis, dass die IT allein für die Implementierung der ISO 27001-Kontrollen verantwortlich sein sollte, die für eine Organisation gelten. Allerdings sind nur einige dieser Kontrollen technologischer Natur. Der Rest bezieht sich auf organisatorische Fragen, physische Sicherheit, Personalwesen und rechtlichen Schutz.
Daher muss die Implementierung der Anhang-A-Kontrollen in der Verantwortung mehrerer Interessengruppen und Abteilungen innerhalb einer Organisation liegen. Wer diese Personen genau sind, hängt von der Größe, Komplexität und Sicherheitslage der Organisation ab.
Verstehen der ISO 27001-Kontrollen
Wie alles andere an ISO 27001 scheinen die Anhang-A-Kontrollen zunächst kompliziert. Aber sobald man etwas tiefer gräbt, ist das Kontrollrahmenwerk der ISO 27001 ziemlich einfach.
Je besser Sie Ihre Informationssicherheits-Risikolandschaft verstehen, desto einfacher wird es sein, herauszufinden, welche Kontrollen für Sie gelten.
Das heißt, wir geben Ihnen nicht die Schuld, wenn sich der ISO 27001-Zertifizierungsprozess immer noch entmutigend anfühlt.
Deshalb haben wir Secureframe entwickelt.
Unsere Plattform zur Automatisierung der Compliance macht es einfacher und schneller, eine ISO 27001-Zertifizierung zu erhalten. Mit leistungsstarken Automatisierungsfunktionen und einem Team von ISO 27001-Experten helfen wir Ihnen, ein konformes ISMS aufzubauen, Kontrollen zu überwachen, Lieferantenrisiken zu managen, eine Lückenanalyse durchzuführen und 100% auditbereit zu sein.
FAQs
Wie viele ISO-Kontrollen gibt es?
ISO 27001:2022 Anhang A umfasst 93 Kontrollen, die in vier Kategorien unterteilt sind. Die vorherige Version, ISO 27001:2013 Anhang A, umfasste 114 Kontrollen, die in 14 Kategorien unterteilt waren.
Was sind die Ziele der ISO 27001-Kontrollen?
Alle ISO 27001-Kontrollen haben das Ziel, Organisationen dabei zu helfen, ein Informationssicherheitsmanagementsystem zu implementieren, zu pflegen und kontinuierlich zu verbessern, das den Anforderungen der ISO 27001 entspricht. Zum Beispiel ist das Ziel der Kontrolle A.5.1 Informationssicherheitspolitik, Managementanweisungen und -unterstützung für die Informationssicherheit gemäß den geschäftlichen Anforderungen und relevanten Gesetzen und Vorschriften bereitzustellen.
Wie viele neue Kontrollen gibt es in ISO 27001:2022?
Es gibt 11 neue Kontrollen in ISO 27001:2022. Es ist wichtig zu beachten, dass die Gesamtzahl der Kontrollen von 114 in ISO 27001:2013 auf 93 in ISO 27001:2022 gesunken ist. Es wurden jedoch keine der vorherigen Kontrollen entfernt. 57 wurden einfach in 24 Kontrollen zusammengeführt, 1 Kontrolle wurde in 2 aufgeteilt, 11 neue Kontrollen hinzugefügt und die verbleibenden 58 Kontrollen sind größtenteils unverändert mit kleineren kontextuellen Aktualisierungen.