Wenn Sie zu den Unternehmen gehören, die eine ISO 27001-Zertifizierung oder wiederzuerlangen möchten, ist es unerlässlich, dass Ihre Kontrollen effektiv sind, damit Ihr Informationssicherheits-Managementsystem (ISMS) den ISO 27001-Anforderungen entspricht.

Um Ihnen bei der Etablierung oder Verbesserung Ihres ISMS zu helfen und eine Vorbereitung auf ein Audit zu treffen, werfen wir im Folgenden einen genaueren Blick auf die ISO 27001:2022-Kontrollen.

Was sind die ISO 27001 Annex A-Kontrollen?

Informationssicherheitskontrollen sind Prozesse und Richtlinien, die Sie einführen, um Risiken zu mindern. ISO/IEC 27001 verlangt von Organisationen, Kontrollen zu implementieren, die seinen Standards für ein Informationssicherheits-Managementsystem entsprechen.

Das ISO 27001:2022 internationaler Standarddokument enthält Annex A, in dem alle 93 ISO 27001-Kontrollen aufgelistet und in 4 Themen unterteilt sind. Annex A skizziert jedes Ziel und jede Kontrolle, um Organisationen bei der Entscheidung zu helfen, welche sie verwenden sollten.

Der ISO 27002-Standard dient als ergänzende Ressource. Er geht detaillierter darauf ein und bietet eine ganze Seite mit Informationen über den Zweck jeder Kontrolle, wie sie funktioniert und wie sie implementiert wird.

Wie viele Kontrollen gibt es in ISO 27001?

ISO 27001:2022 Annex A enthält 93 Kontrollen, die in vier Kategorien unterteilt sind.

  • Klausel 5: Organisatorische Kontrollen (37 Kontrollen)
  • Klausel 6: Personenkontrollen (8 Kontrollen)
  • Klausel 7: Physische Kontrollen (14 Kontrollen)
  • Klausel 8: Technologische Kontrollen (34 Kontrollen)

Als die Internationale Organisation für Normung den ISO 27001:2013-Standard im Jahr 2022 aktualisierte, wurden 11 neue Kontrollen hinzugefügt. Diese sind:

  • A.5.7: Bedrohungsinformationen
  • A.5.23: Informationssicherheit bei der Nutzung von Cloud-Diensten
  • A.5.30: IKT-Bereitschaft für die Geschäftskontinuität
  • A.7.4: Überwachung der physische Sicherheit
  • A.8.9: Konfigurationsmanagement
  • A.8.10: Informationslöschung
  • A.8.11: Datenmaskierung
  • A.8.12: Verhinderung von Datenlecks
  • A.8.16: Überwachungsaktivitäten
  • A.8.23: Webfilterung
  • A.8.28: Sichere Programmierung

Zusätzlich zur Erfüllung der Anforderungen der Anlage A müssen Organisationen die Anforderungen der Klauseln 4-10 der Norm erfüllen, um die ISO 27001-Zertifizierung zu erreichen:

  • Klausel 4: Kontext der Organisation
  • Klausel 5: Führung
  • Klausel 6: Planung
  • Klausel 7: Unterstützung
  • Klausel 8: Betrieb
  • Klausel 9: Leistungsbewertung
  • Klausel 10: Verbesserung

Wie Sie die ISO 27001-Klauseln und die Kontrollen der Anlage A erfüllen, hängt von Ihrer einzigartigen Organisation ab. Die ISO 27001-Norm ist so formuliert, dass verschiedene Arten von Organisationen die rechtlichen, regulatorischen und vertraglichen Anforderungen auf ihre Weise erfüllen können.

Verwenden Sie Ihre interne ISO 27001-Risikoanalyse als Leitfaden und wählen Sie die Kontrollen aus, die für Ihre Organisation gelten. Wenn Sie sich entscheiden, eine Kontrolle aus Anlage A nicht einzubeziehen, erklären Sie dies in Ihrer Erklärung zur Anwendbarkeit. Wenn Sie beispielsweise A.6.7 ausschließen, weil keiner Ihrer Mitarbeiter remote arbeitet, möchte Ihr Zertifizierungsauditor dies wissen.

Was sind die 4 Themen von ISO 27001?

Was sind die Themen von ISO 27001? Sie können sie als die breiten Themen betrachten, die von ISO 27001 abgedeckt werden. 

Themen wie: Wie behandeln Sie die Sicherheit Ihres Unternehmens? Wie gehen Sie mit dem Asset-Management um? Wie adressieren Sie die physische Sicherheit und Cybersicherheit?

Jedes Thema konzentriert sich auf allgemeine bewährte Verfahren für diesen Bereich der Informationssicherheit und dessen Kontrollziele.

A 5.1-5.37: Organisatorische Kontrollen

Das erste Thema der ISO 27001-Anlage-A-Kontrollen dreht sich darum, wie Ihre Organisation die Datensicherheit angeht, von den Richtlinien und Prozessen, die Sie einführen, bis hin zur Struktur Ihres Unternehmens.

Hat Ihre Organisation eine klare Richtlinie, um ihr ISMS sicher zu halten? Sind die Rollen und Verantwortlichkeiten der Informationssicherheit klar definiert und effektiv kommuniziert? Sind angemessene Zugangskontrollen vorhanden?

Dies sind die Probleme, die die organisatorischen Kontrollen ansprechen sollen. Die Kontrollen umfassen:

Informationssicherheitspolizeien

Die Stärke Ihrer Informationssicherheitspolizeien beeinflusst direkt jede andere Kategorie.

Auditoren werden nach folgendem suchen:

  • Hochwertige Dokumentation der Informationssicherheitspolizeien
  • Ein regelmäßiger Prozess zur Überprüfung und Aktualisierung dieser Richtlinien
  • Eine klare Erklärung, wie diese Richtlinien mit den anderen Bedürfnissen des Unternehmens funktionieren

Organisation der Informationssicherheit

Es ist gut und schön, wenn der CISO Sicherheitsrichtlinien einführt, aber das ist nicht ausreichend für ISO 27001. Speziell definierte Sicherheitsrollen auf allen Ebenen der Organisation sind ein Muss.

In jeder Abteilung sollte es keine Unklarheiten über die Verantwortlichkeiten der Informationssicherheit geben. Es sollten auch Pläne dafür vorhanden sein, wie externe Mitarbeiter oder Lieferanten in das Umfeld integriert werden.

Es ist für einen einzelnen Infosec-Experten viel einfacher, Richtlinien in einem kleineren Büro umzusetzen. Dennoch sollten Sie einen Plan zur Organisation der Datensicherheit haben, wenn Ihr Unternehmen wächst.

Lieferantenbeziehungen

Die meisten Unternehmen sind in gewissem Maße auf externe Partnerschaften angewiesen. Bei der Zertifizierung nach ISO 27001 konzentrieren sich die Unternehmen oft auf interne Abläufe und Betriebssysteme und übersehen leicht das Lieferketten- und Dritt-Risikomanagement.

Es ist schwieriger, hier Kontrollen umzusetzen, da man nicht kontrollieren kann, wie jemand anders arbeitet. Präsentieren Sie dem Auditor den Nachweis, dass Sie alle Drittanbieter an hohe Standards halten und einen umfassenden Risikobehandlungsplan für Drittanbieter umgesetzt haben. Sie sollten sich auch weigern, mit jemandem zu arbeiten, der diese Standards nicht erfüllt.

Zugangskontrollen

Kurz gesagt, die Mitarbeiter Ihrer Organisation sollten keine Informationen einsehen können, die für ihre Arbeit nicht relevant sind.

Zugangskontrollen umfassen, wer Authentifizierungsinformationen – wie Anmeldeinformationen – erhält und welche Berechtigungen diese Informationen mit sich bringen. Je mehr Personen Zugriff auf Unternehmensinformationen haben, desto höher ist das Risiko.

Diese Kontrollen behandeln, wie Mitarbeiter-Benutzer-IDs und Passwörter sicher aufbewahrt werden und der nicht erforderliche Zugriff auf Anwendungen durch einen formalen Zugriffsmanagementprozess eingeschränkt wird. Sie sollten durch dokumentierte Verfahren und Benutzerverantwortlichkeiten unterstützt werden.

Asset-Management

Jedes Informations-Asset ist ein potenzielles Sicherheitsrisiko – wenn es für Sie wertvoll ist, ist es wahrscheinlich auch für jemand anderen wertvoll.

Die ISO 27001-Zertifizierung erfordert, dass Ihr Unternehmen seine Informations-Assets identifiziert, klassifiziert und Managementprozesse basierend auf diesen Klassifikationen anwendet.

Für die Kontrollen in diesem Bereich sollten Sie wissen:

  • Was ist die akzeptable Nutzung eines Informations-Assets?
  • Wer ist berechtigt, jedes Asset zu erhalten und weiterzugeben?
  • Wie kann der Standort eines Asset verfolgt werden
  • Wie das Asset bei Bedarf entsorgt wird

Kontrollen decken auch ab, wie Assets sicher auf austauschbaren Medien wie USB-Laufwerken gespeichert werden.

Kommunikationssicherheit

Diese Kontrollen decken den Informationsaustausch ab, einschließlich der Art und Weise, wie Informationen ausgetauscht werden, wie Sie diese beim Verwenden von elektronischen Nachrichten, wie E-Mail, schützen und wie Sie Geheimhaltungsvereinbarungen verwenden.

Management von Informationssicherheitsvorfällen

Sie werden nicht in der Lage sein, jeder Sicherheitsbedrohung auszuweichen, unabhängig davon, wie gut Sie vorbereitet sind. Dieser Bereich behandelt, wie Ihr Unternehmen auf Sicherheitsereignisse und Vorfälle reagieren wird.

Im Falle eines Datenlecks: Wer wird zuerst informiert? Wer hat die Befugnis, Entscheidungen zu treffen? Was werden Sie tun, um die Auswirkungen zu minimieren?

Dieser Kontrollsatz berücksichtigt auch, was Sie nach der Krise tun. Wie werden Sie aus dem Vorfall lernen?

Aspekte der Informationssicherheit im Rahmen des Geschäftskontinuitätsmanagements

Wenn das Geschäft erheblich gestört ist, kann die Informationssicherheit in den Hintergrund treten.

Hat Ihr Unternehmen einen Plan, um sensible Daten während einer ernsthaften betrieblichen Störung zu schützen?

Störungen können alles sein, von einer Naturkatastrophe bis zu einem Ransomware-Angriff oder politischen Unruhen im Heimatland des Unternehmens. Es kann auch intern sein, wie eine Übernahme oder eine Änderung in der Unternehmensführung.

Redundanzmaßnahmen – einschließlich der Aufrechterhaltung eines Inventars von Ersatzteilen und doppelter Hardware und Software – können helfen, die Geschäftskontinuität und reibungslose Abläufe während Zeiten der Störung zu gewährleisten.

Compliance

Der letzte Abschnitt beschreibt, wie Ihre Organisation die Informationssicherheitsgesetze einhält.

Unter Gesetzen wie der EU-Datenschutz-Grundverordnung (DSGVO) können Unternehmen bei Informationssicherheitsversagen mit hohen Geldstrafen belegt werden. ISO 27001-Auditoren wollen sehen, dass Sie einen Plan zur Minderung von Compliance-Risiken haben.

A 6.1-6.8: Personenbezogene Kontrollen

Personenbezogene Kontrollen definieren, wie Ihr Personal mit Daten und Informationssystemen umgeht. Dazu gehören Praktiken wie Hintergrundüberprüfungen von Mitarbeitern und Schulungen zur Sicherheitsbewusstsein.

Personalsicherheit

Die Kontrollen in diesem Abschnitt erfordern, dass jeder Mitarbeiter sich klar über seine Informationssicherheitsverantwortlichkeiten im Klaren ist.

Es deckt die gesamte Personalbeziehung ab:

  1. Wie werden Mitarbeiter vor der Einstellung überprüft? Dies umfasst Screening und Hintergrundüberprüfungen sowie klare Beschäftigungsbedingungen.
  2. Wie werden die Erwartungen in Bezug auf Informationssicherheit den Mitarbeitern kommuniziert? Dies umfasst Aspekte wie Informationssicherheitsbewusstsein, Schulungen, das Disziplinarverfahren, Sicherheitsvorfallmeldungen und Geheimhaltungsvereinbarungen.
  3. Wie stellen Sie sicher, dass Mitarbeiter nach Verlassen des Unternehmens Ihre Informationssicherheit nicht gefährden?

A 7.1-7.13: Physische Kontrollen

Wie werden Sie physische Informationswerte schützen? Diese Kontrollen umfassen Richtlinien für saubere Schreibtische, Aufbewahrungs- und Entsorgungsprotokolle, Eintritts- und Zugangssysteme und so weiter.

Physische und Umwelt-Sicherheit

Ihre Organisation sollte jeden physischen Standort schützen, an dem sie sensible Daten speichert. Das bedeutet Büros, Rechenzentren, kundenorientierte Räumlichkeiten und überall sonst, wo bei einem Verstoß Ihre Informationssicherheit beeinträchtigt werden könnte.

Sicherheit ist mehr als nur Schlösser und Wachleute. Es erfordert, darüber nachzudenken, wer Zugang zu sicheren Bereichen wie Serverräumen hat, und Fragen wie „Wie bestimmen Sie, wer einen sicheren Bereich betreten darf?“ zu stellen.

Dieses Thema umfasst auch Kontrollen, um sicherzustellen, dass Mitarbeiter physische Sicherheitsmaßnahmen umsetzen. Es kann schlimmer sein, wenn jemand seinen Laptop oder sein mobiles Gerät in einem Café liegen lässt, als gehackt zu werden. Sowohl Remote- als auch Büroangestellte sollten eine saubere Schreibtisch- und Bildschirmrichtlinie einhalten, damit Informationen nicht von unbefugten Personen eingesehen oder genommen werden können.

Andere Kontrollen in dieser Serie decken das Risiko von Naturkatastrophen ab. Wenn Ihr Rechenzentrum durch eine Flut oder ein Erdbeben beschädigt wird, wie stellen Sie sicher, dass es vor gewaltsamem Eindringen geschützt bleibt? Wenn Sie das nicht sicherstellen können, was werden Sie sonst tun, um Ihre sensiblen Daten zu schützen?

A 8.1-8.34: Technologische Kontrollen

Technologische Kontrollen drehen sich darum, eine sichere und konforme IT-Infrastruktur aufrechtzuerhalten. Diese Kontrollen decken eine Reihe von Themen ab, von der Frage, wer Zugriff auf den Quellcode hat, und wie die Netzwerksicherheit aufrechterhalten wird, bis hin zur Synchronisierung von Uhren.

Kryptographie

Kryptographie ist nur ein Werkzeug in Ihrem Sicherheitsarsenal, aber ISO 27001 betrachtet es als wichtig genug, um ein eigenes Kontrollset zu verdienen.

Ihr Unternehmen sollte eine dokumentierte Richtlinie für das Management der Verschlüsselung haben, mit Nachweisen, dass Sie über die beste Art der Verschlüsselung für die Bedürfnisse Ihres Unternehmens nachgedacht haben.

Stellen Sie sicher, dass Sie besonderes Augenmerk darauf legen, wie Sie kryptographische Schlüssel während ihres gesamten Lebenszyklus verwalten, einschließlich eines Plans für den Fall, dass ein Schlüssel kompromittiert wird.

Betriebssicherheit

ISO 27001 verlangt, dass Ihr Unternehmen die Informationsverarbeitungseinrichtungen und -systeme sichert, die sein ISMS ausmachen.

Diese technologischen Kontrollen decken die Dokumentation der ISMS-Betriebsverfahren ab, einschließlich Änderungsmanagement- und Überprüfungsverfahren. Weitere Unterbereiche umfassen Malware-Schutz, Datensicherungen, Penetrationstests, technisches Schwachstellenmanagement und mehr.

Wenn Ihr Unternehmen technologielastig ist, müssen Sie auch nachweisen, dass Ihre Entwicklungs- und Testumgebungen sicher sind.

Netzwerksicherheit

Informationen sind besonders gefährdet, wenn sie sich in Bewegung befinden. ISO 27001 definiert Kommunikation im weiteren Sinne als jede Übertragung von Informationen von einem Knoten Ihres Netzwerks zu einem anderen.

Diese Kontrollen verhindern, dass Angreifer durch Ausnutzung von Schwachstellen und Sicherheitslücken in Ihrer Netzwerksicherheit auf sensible Informationen zugreifen. 

Systemerwerb, -entwicklung und -wartung

Dieses Kontrollset interessiert sich dafür, wie sich Ihr ISMS im Laufe der Zeit entwickelt. 

Wann immer Sie ein neues Informationssicherheitssystem einführen oder Änderungen an einem bestehenden System vornehmen, sollte die Informationssicherheit im Vordergrund stehen.

Um diese Kontrollanforderungen zu erfüllen, müssen Sie jedes neue System an spezifische Sicherheitsanforderungen halten und Änderungen ablehnen, die Ihren Spezifikationen nicht entsprechen.

Wer ist für die Implementierung der ISO 27001-Kontrollen verantwortlich?    

Es gibt ein weit verbreitetes Missverständnis, dass die IT allein für die Implementierung der ISO 27001-Kontrollen verantwortlich sein sollte, die für eine Organisation gelten. Allerdings sind nur einige dieser Kontrollen technologischer Natur. Der Rest bezieht sich auf organisatorische Fragen, physische Sicherheit, Personalwesen und rechtlichen Schutz.

Daher muss die Implementierung der Anhang-A-Kontrollen in der Verantwortung mehrerer Interessengruppen und Abteilungen innerhalb einer Organisation liegen. Wer diese Personen genau sind, hängt von der Größe, Komplexität und Sicherheitslage der Organisation ab.

Verstehen der ISO 27001-Kontrollen

Wie alles andere an ISO 27001 scheinen die Anhang-A-Kontrollen zunächst kompliziert. Aber sobald man etwas tiefer gräbt, ist das Kontrollrahmenwerk der ISO 27001 ziemlich einfach. 

Je besser Sie Ihre Informationssicherheits-Risikolandschaft verstehen, desto einfacher wird es sein, herauszufinden, welche Kontrollen für Sie gelten.

Das heißt, wir geben Ihnen nicht die Schuld, wenn sich der ISO 27001-Zertifizierungsprozess immer noch entmutigend anfühlt.

Deshalb haben wir Secureframe entwickelt. 

Unsere Plattform zur Automatisierung der Compliance macht es einfacher und schneller, eine ISO 27001-Zertifizierung zu erhalten. Mit leistungsstarken Automatisierungsfunktionen und einem Team von ISO 27001-Experten helfen wir Ihnen, ein konformes ISMS aufzubauen, Kontrollen zu überwachen, Lieferantenrisiken zu managen, eine Lückenanalyse durchzuführen und 100% auditbereit zu sein.

FAQs

Wie viele ISO-Kontrollen gibt es?

ISO 27001:2022 Anhang A umfasst 93 Kontrollen, die in vier Kategorien unterteilt sind. Die vorherige Version, ISO 27001:2013 Anhang A, umfasste 114 Kontrollen, die in 14 Kategorien unterteilt waren.

Was sind die Ziele der ISO 27001-Kontrollen?

Alle ISO 27001-Kontrollen haben das Ziel, Organisationen dabei zu helfen, ein Informationssicherheitsmanagementsystem zu implementieren, zu pflegen und kontinuierlich zu verbessern, das den Anforderungen der ISO 27001 entspricht. Zum Beispiel ist das Ziel der Kontrolle A.5.1 Informationssicherheitspolitik, Managementanweisungen und -unterstützung für die Informationssicherheit gemäß den geschäftlichen Anforderungen und relevanten Gesetzen und Vorschriften bereitzustellen.

Wie viele neue Kontrollen gibt es in ISO 27001:2022?

Es gibt 11 neue Kontrollen in ISO 27001:2022. Es ist wichtig zu beachten, dass die Gesamtzahl der Kontrollen von 114 in ISO 27001:2013 auf 93 in ISO 27001:2022 gesunken ist. Es wurden jedoch keine der vorherigen Kontrollen entfernt. 57 wurden einfach in 24 Kontrollen zusammengeführt, 1 Kontrolle wurde in 2 aufgeteilt, 11 neue Kontrollen hinzugefügt und die verbleibenden 58 Kontrollen sind größtenteils unverändert mit kleineren kontextuellen Aktualisierungen.