ISO 27001:2022 Anhang A - Controls
Der Anhang A der ISO 27001:2022 enthält eine Liste von Controls, die Sie je nach Unternehmenskontext auswählen und umsetzen, um ihre Informationssicherheit zu stärken. Das Ziel der Norm ist der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
Die Umsetzung der Controls hilft Ihrem Unternehmen, gesetzliche Anforderungen zu erfüllen, die Informationssicherheit gegenüber Stakeholdern zu demonstrieren, Sicherheitsvorfälle zu minimieren und Prozesse zu optimieren. Doch was genau sind diese Controls, und wie setzt man sie effektiv ein?
Wofür brauchen Sie die Anwendbarkeitserklärung (SoA)?
Die Anwendbarkeitserklärung (SoA) für die ISO 27001-Zertifizierung listet auf und begründet, welche Maßnahmen aus Anhang A einbezogen oder ausgeschlossen werden. Und sie hält fest, welche Maßnahmen bereits umgesetzt wurden.
So erstellen und pflegen Sie eine effektive SoA anhand von Beispielen aus den Maßnahmen des Anhangs A der ISO 27001:2022:
Liste der Kontrollen
Erfassen Sie alle relevanten Kontrollen aus Anhang A, unterteilt in die Kategorien Organisation, Personal, Physisch und Technologisch.
Begründung für die Aufnahme
Geben Sie für jede aufgenommene Kontrolle eine Begründung basierend auf Ihrer Risikobewertung an. Beispiel: „Maßnahme 5.7 (Bedrohungsaufklärung) ist aufgenommen, um unsere Fähigkeit zu verbessern, neue Sicherheitsbedrohungen zu erkennen und darauf zu reagieren.“
Begründung für den Ausschluss
Erläutern Sie, warum bestimmte Kontrollen nicht anwendbar sind. Beispiel: „Maßnahme 7.4 (Überwachung der physischen Sicherheit) ist ausgeschlossen, da unser Unternehmen vollständig remote arbeitet und keine zentrale physische Niederlassung hat.“
Umsetzungsstatus
Dokumentieren Sie, ob jede Kontrolle vollständig, teilweise oder noch nicht umgesetzt ist. Beispiel: „Maßnahme 8.9 (Konfigurationsmanagement) – teilweise umgesetzt, vollständige Umsetzung geplant.”
Pflege der SoA
Überprüfen und aktualisieren Sie die SoA regelmäßig, um Veränderungen in der Risikolage des Unternehmens abzubilden. Integrieren Sie die SoA mit anderen wichtigen ISMS-Dokumenten, wie z. B. dem Risikobericht und den internen Auditberichten.
Zugänglichkeit und Versionskontrolle
Stellen Sie sicher, dass die SoA leicht zugänglich ist und unter strenger Versionskontrolle geführt wird. Dokumentieren Sie alle Änderungen mit Datum, verantwortlicher Person und Grund für die Aktualisierung. Durch die sorgfältige Dokumentation der Auswahl, Umsetzung und Begründung von Kontrollen unterstützt die SoA die ISO 27001:2022-Compliance und stärkt Ihr Informationssicherheits-Managementsystem (ISMS). Für detailliertere Anleitungen verweisen wir auf die ISO 27002.
ISO 27001:2022: Elf neue Controls
Seit 2022 wurden der ISO 27001 elf neue Controls hinzugefügt, die unterschiedlichen Kategorien zugeordnet werden:
A.5.7 Threat intelligence
Unternehmen sind dazu verpflichtet, Daten über potenzielle Gefahren für die Informationssicherheit zu erfassen und einer eingehenden Analyse zu unterziehen.
A.5.23 Information security for the use of cloud services
Unternehmen sind dazu angehalten, die Informationssicherheit für die Nutzung von Cloud-Diensten festzulegen und zu verwalten.
A.5.30 ICT readiness for business continuity
Unternehmen müssen einen ICT (Information and Communications Technology) -Kontinuitätsplan erstellen, um die betriebliche Widerstandsfähigkeit aufrechtzuerhalten.
A.7.4 Physical security monitoring
Es ist erforderlich, dass Unternehmen geeignete Überwachungsinstrumente einsetzen, um externe und interne Unbefugte zu erkennen und ihnen die Hände zu binden.
A.8.9 Configuration management
Unternehmen müssen Richtlinien für die Dokumentation, Implementierung, Überwachung und Überprüfung von Konfigurationen in ihrem gesamten Netzwerk festlegen.
A.8.10 Information deletion
Das Dokument enthält Anleitungen zur Verwaltung der Datenlöschung zur Einhaltung von Gesetzen und Vorschriften.
A.8.11 Data masking
Es werden Techniken zur Datenmaskierung für personenbezogene Daten (personal identifiable information, PII) zur Einhaltung von Gesetzen und Vorschriften bereitgestellt.
A.8.12 Data leakage prevention
Unternehmen sind verpflichtet, technische Maßnahmen zu ergreifen, um die Offenlegung und/oder Extraktion von Informationen zu erkennen und zu verhindern.
A.8.16 Monitoring activities
Es werden Richtlinien zur Verbesserung der Netzwerküberwachungsaktivitäten bereitgestellt, um anomales Verhalten zu erkennen und auf Sicherheitsereignisse und -vorfälle zu reagieren.
A.8.23 Web filtering
Unternehmen müssen Zugangskontrollen und Maßnahmen zur Beschränkung und Kontrolle des Zugangs zu externen Websites durchsetzen.
A.8.28 Secure coding
Die Unternehmen sind dazu verpflichtet, bewährte Grundsätze des secure coding zu implementieren, um Schwachstellen zu verhindern, die durch unzureichende Kodierungsmethoden verursacht werden könnten.
ISO 27001: Vier Control Gruppen
Die 93 Controls im Anhang A der ISO 27001 sind in vier Gruppen unterteilt, um den Kontext und die relevanten Risiken besser zu verstehen. Diese Einteilung erleichtert es Ihnen, die passenden Maßnahmen gezielt anzuwenden und Verantwortlichkeiten klar zu definieren.
Hier sind die vier Kategorien:
Die Einteilung der Controls in vier Kategorien hilft Ihnen zu entscheiden, wer für die Umsetzung der Maßnahmen verantwortlich ist und welche Maßnahmen für die jeweilige Organisation gelten. Während technologische Controls oft von der IT umgesetzt werden, können organisatorische Maßnahmen z. B. vom Operations-Team übernommen werden.
Organisational Controls: Maßnahmen zur organisatorischen Sicherheit
Organisatorische Controls umfassen in der Regel alles, was nicht unter die Themen Menschen, Technik oder physische Sicherheit fällt. Dazu gehören zum Beispiel das Identitätsmanagement, die Zuständigkeiten und die Sammlung von Beweisen.
Neue organisatorische Maßnahmen:
- 5.7: Threat Intelligence
- 5.23: Information security for the use of cloud services
- 5.30: ICT readiness for business continuity
Insbesondere Threat Intelligence ist eine spannende Innovation in diesem Bereich – diese Maßnahme geht über die Erkennung bösartiger Domänennamen hinaus. Threat Intelligence hilft Ihrer Organisation, besser zu verstehen, wie sie angegriffen werden kann.
People Controls: Personalbezogene Maßnahmen zum Schutz des Personals
Der Bereich der personellen Controls umfasst nur acht Maßnahmen. Hier geht es darum, wie Mitarbeiter bei ihrer täglichen Arbeit mit sensiblen Informationen umgehen - dazu gehören zum Beispiel die Themen Homeoffice/Remote Work, Geheimhaltungsvereinbarungen und Screenings. Darüber hinaus sind auch Onboarding- und Offboarding-Prozesse sowie Zuständigkeiten für die Meldung von Vorfällen relevant.
Physical Controls: Physische Maßnahmen für den Schutz der Organisation
Zu den physischen Controls gehören die Sicherheitsüberwachung, die Wartung, die Sicherheit der Einrichtungen und die Speichermedien. In dieser Kategorie geht es darum, wie Sie sich gegen physische und umweltbedingte Bedrohungen wie Diebstahl, Naturkatastrophen und vorsätzliche Zerstörung schützen.
Neue physische Maßnahmen:
- 7.4: Physical security monitoring
Technological Controls: Technologische Maßnahmen für die technische Sicherheit
Technologische Controls umfassen die Bereiche Authentifizierung, Verschlüsselung und Verhinderung von Datenverlusten. Zum Schutz der Daten muss die Technik entsprechend gesichert werden. Verschiedene Ansätze wie Zugriffsrechte, Netzwerksicherheit und Datenmaskierung tragen dazu bei, dies zu erreichen.
Neue technologische Maßnahmen:
- 8.1: Data masking
- 8.9: Configuration management
- 8.10: Information deletion
- 8.12: Data leakage prevention
- 8.16: Monitoring activities
- 8.23: Web filtering
- 8.28: Secure coding
In diesem Bereich ist eine Innovation besonders wichtig: die Verhinderung von Datenlecks (Data leak prevention). Aber auch die Webfilterung ist erwähnenswert: Dieser Control beschreibt, wie Organisationen den Online-Verkehr filtern sollten, um zu verhindern, dass Nutzer potenziell schädliche Websites besuchen.