Your-ultimate-guide-to-ISO-27001-Certification-Background

Navigating ISO 27001

Organisatorische Controls der ISO 27001

Die wichtigsten Maßnahmen für die Informationssicherheit

Kostenlosen Leitfaden herunterladen

 

Get your free guide

In einer sich rasch entwickelnden digitalen Landschaft ist der Schutz sensibler Informationen für Organisationen weltweit von größter Bedeutung. Allein in Deutschland hat das BKA im letzten Jahr 136.865 Cyberangriffe gezählt - enorme finanzielle Schäden und Vertrauensverlust sind die Folge.

In diesem Zusammenhang sind die ISO 27001 Controls ein wichtiger Leitfaden für die Informationssicherheit. Die ISO 27001 Controls sind ein zentraler Bestandteil der ISO 27001-Norm, einem internationalen Standard für Informationssicherheits-Managementsysteme (ISMS). Sie bieten einen Rahmen für die Entwicklung, Implementierung, Überwachung und Verbesserung eines ISMS.

Die ISO 27001 Controls wurden 2022 neu kategorisiert und an die aktuellen Entwicklungen der Unternehmen in Sachen Informationssicherheit angepasst. Zu den Control Sets gehören auch die organisatorischen Maßnahmen.


Control Kategorien aus Anhang A: Organisatorisch, personalbezogen, physisch und technologisch

Die Control Kategorien: Anhang A der ISO 27001:2022 definiert 93 Controls, die dazu beitragen, die Informationssicherheit einer Organisation zu verbessern. Diese Controls sind in vier Kategorien unterteilt:

Die vier Kategorien erleichtern die Planung und Implementierung von Referenzmaßnamen und die Wahl der richtigen Controls für den Kontext der Organisation. 2022 wurden die Kategorien neu strukturiert, um den aktuellen Sicherheitsanforderungen gerecht zu werden. Die Kernprozesse des ISMS-Managements bleiben unverändert, aber die Controls in Anhang A wurde aktualisiert, um modernere Risiken und die damit verbundenen Maßnahmen zu berücksichtigen.

In diesem Artikel konzentrieren wir uns auf die organisatorischen Controls.

 

Was sind organisatorische Controls?

Organisatorische Controls sind Maßnahmen, die nicht auf personelle, physische oder technologische Bedrohungen abzielen. Sie betreffen stattdessen die Organisation als Ganzes, z. B. die Unternehmenskultur, die Prozesse und die Strukturen.

Zu den organisatorischen Controls gehören unter anderem:

  • Informationssicherheitspolitik: Diese Richtlinie definiert die Grundsätze und Ziele des Informationssicherheitsmanagements.

  • Verantwortlichkeiten und Befugnisse: Es ist klar festgelegt, wer für die Informationssicherheit verantwortlich ist und welche Befugnisse er hat.

  • Verantwortung des Managements: Es wird sichergestellt, dass das Management die eigene Rolle in der Umsetzung einer Informationssicherheitsstrategie versteht und erfüllt.

  • Klassifizierung von Informationen: Informationswerte werden nach ihrem Informationssicherheitsbedarf sortiert und angemessene Maßnahmen werden entwickelt

Organisatorische Controls schaffen einen Rahmen für den grundlegenden Umgang mit Informationswerten im Unternehmen: Mit ihrer Hilfe lassen Informationswerte sich nach ihrem Kontext einteilen, ihr Risiko bestimmen und Prioritäten festlegen, Verantwortlichkeiten festlegen und Management Teams bilden.

Sie unterstützen Organisationen dabei, Informationssicherheit in allen Projektabläufen mitzudenken und klare Richtlinien im Projekt Management, im Umgang mit Zulieferern und im Kontakt mit Autoritäten zu erstellen.

Schnell zur ISO 27001-Zertifizierung mit Experten an Ihrer Seite


Reduzierung der manuellen Arbeit um bis zu 75 % 

Reduzieren Sie Ihre Kosten um die Hälfte, indem Sie bis zu 40 % Arbeitskraft einsparen 

DG Seal ISO 27001

Neue organisatorische Controls in der ISO 27001:2022

Die ISO 27001:2022 enthält einige neue organisatorische Controls, die auf die aktuellen Herausforderungen der Informationssicherheit reagieren. Dazu gehören:

  • Threat Intelligence: Organisationen sollten eine Bedrohungsanalyse durchführen, um besser zu verstehen, wie sie angegriffen werden können.

  • Informationssicherheit für den Einsatz von Cloud-Diensten: Organisationen sollten die Risiken des Einsatzes von Cloud-Diensten für die Informationssicherheit bewerten und einen Leitfaden zum Umgang mit ihnen entwickeln.

  • ICT (Informations- und Kommunikationstechnologie) -Bereitschaft für die Geschäftskontinuität: Organisationen sollten sicherstellen, dass ihre ICT-Systeme im Falle eines Ausfalls in der Lage sind, die Geschäftskontinuität zu gewährleisten.

 

ISO 27001 Organisatorische Controls: Welche gibt es?

Organisatorische Controls sind ein essentieller Bestandteil einer umfassenden Informationssicherheitsstrategie. Um ein funktionierendes Informationssicherheits-Managementsystem aufbauen zu können, müssen Organisationen wissen, welche Maßnahmen es gibt.

Wir haben Ihnen deswegen eine Liste mit einem umfassenden Überblick über alle organisatorischen Controls aus Anhang A der ISO 27001 erstellt:

 

Organisational Controls

Annex A 5.1

Policies for Information Security

Organisational Controls

Annex A 5.2

Information Security Roles and Responsibilities

Organisational Controls

Annex A 5.3

Segregation of Duties

Organisational Controls

Annex A 5.4

Management Responsibilities

Organisational Controls

Annex A 5.5

Contact with Authorities

Organisational Controls

Annex A 5.6

Contact with Special Interest Groups

Organisational Controls

Annex A 5.7

Threat Intelligence

Organisational Controls

Annex A 5.8

Information Security in Project Management

Organisational Controls

Annex A 5.9

Inventory of Information and Other Associated Assets

Organisational Controls

Annex A 5.10

Acceptable Use of Information and Other Associated Assets

Organisational Controls

Annex A 5.11

Return of Assets

Organisational Controls

Annex A 5.12

Classification of Information

Organisational Controls

Annex A 5.13

Labelling of Information

Organisational Controls

Annex A 5.14

Information Transfer

Organisational Controls

Annex A 5.15

Access Control

Organisational Controls

Annex A 5.16

Identity Management

Organisational Controls

Annex A 5.17

Authentication Information

Organisational Controls

Annex A 5.18

Access Rights

Organisational Controls

Annex A 5.19

Information Security in Supplier Relationships

Organisational Controls

Annex A 5.20

Addressing Information Security within Supplier Agreements

Organisational Controls

Annex A 5.21

Managing Information Security in the ICT Supply Chain

Organisational Controls

Annex A 5.22

Monitoring, Review and Change Management of Supplier Services

Organisational Controls

Annex A 5.23

Information Security for Use of Cloud Services

Organisational Controls

Annex A 5.24

Information Security Incident Management Planning and Preparation

Organisational Controls

Annex A 5.25

Assessment and Decision on Information Security Events

Organisational Controls

Annex A 5.26

Response to Information Security Incidents

Organisational Controls

Annex A 5.27

Learning From Information Security Incidents

Organisational Controls

Annex A 5.28

Collection of Evidence

Organisational Controls

Annex A 5.29

Information Security During Disruption

Organisational Controls

Annex A 5.30

ICT Readiness for Business Continuity

Organisational Controls

Annex A 5.31

Legal, Statutory, Regulatory and Contractual Requirements

Organisational Controls

Annex A 5.32

Intellectual Property Rights

Organisational Controls

Annex A 5.33

Protection of Records

Organisational Controls

Annex A 5.34

Privacy and Protection of PII

Organisational Controls

Annex A 5.35

Independent Review of Information Security

Organisational Controls

Annex A 5.36

Compliance With Policies, Rules and

Organisational Controls

Annex A 5.37

Documented Operating Procedures Standards for Information Security

Wie implementiert man organisatorische Controls?

Der Überblick über die Controls ist geschafft – jetzt müssen Sie noch die richtigen Controls wählen und in Ihrem Unternehmen einsetzen. Wie das geht? Die Implementierung von organisatorischen Controls ist ein Prozess, der in mehrere Schritte unterteilt werden kann:

  1. Bewertung des Status quo:

    Im ersten Schritt ist es wichtig, den aktuellen Stand der Informationssicherheit der Organisation zu bewerten. Dazu gehört die Identifizierung der relevanten Risiken und die Bewertung der Wirksamkeit der bestehenden Controls.

    Die Bewertung kann mithilfe von verschiedenen Methoden durchgeführt werden, z. B.:

    • Interne Audits: Ein internes Audit ist eine systematische Untersuchung der  Informationssicherheits-Vorgaben und -Prozesse einer Organisation.

    • Externe Audits: Ein externes Audit wird von einem unabhängigen Dritten durchgeführt.

  2. Auswahl der Controls: 

    Auf der Grundlage der Bewertung werden die geeigneten Controls ausgewählt. Dabei ist es wichtig, die Risiken und die Anforderungen der Organisation zu berücksichtigen.

    Die Auswahl der Controls kann mithilfe eines Risikomanagementprozesses durchgeführt werden. Dieser Prozess besteht unter anderem aus den folgenden Schritten:

    • Identifizierung der Risiken: Die Risiken für die Informationssicherheit der Organisation werden identifiziert.

    • Bewertung der Risiken: Die Risiken werden hinsichtlich ihrer Eintrittswahrscheinlichkeit und ihres Schadenspotenzials bewertet.

    • Maßnahmen zur Risikominderung: Maßnahmen zur Minderung der Risiken werden ausgewählt.

  3. Implementierung der Controls:

    Die ausgewählten Controls werden implementiert. Dieser Schritt kann je nach Control sehr unterschiedlich sein.

    Die Implementierung einer Informationssicherheitsrichtlinie kann beispielsweise die folgenden Schritte umfassen:

    • Entwicklung der Richtlinie: Die Richtlinie wird von einem Team aus Experten ausgearbeitet.

    • Genehmigung der Richtlinie: Die Richtlinie wird von der Geschäftsführung genehmigt.

    • Kommunikation der Richtlinie: Die Richtlinie wird an alle Mitarbeiter kommuniziert.

    • Etablierung der Richtlinie: Implementierung und Verbesserung der daraus abzuleitenden Maßnahmen in Prozesse.  

  4. Überwachung und Verbesserung:

    Die Wirksamkeit der Controls wird regelmäßig überwacht und verbessert.

    Dieser Schritt ist wichtig, um sicherzustellen, dass die Controls weiterhin effektiv sind. Die Überwachung der Controls kann mithilfe von verschiedenen Methoden durchgeführt werden, z. B.:

    • Audits: Audits werden durchgeführt, um die Einhaltung der Controls zu überprüfen.

    • Reporting: Die Ergebnisse der Überwachung werden in einem Bericht dokumentiert.

    • Korrekturmaßnahmen: Korrekturmaßnahmen werden ergriffen, wenn die Wirksamkeit der Controls nicht gewährleistet ist.

Tipps für die Implementierung von organisatorischen Controls:

  • Beginnen Sie mit den wichtigsten Controls. Nicht alle Controls sind gleich wichtig. Beginnen Sie mit der Implementierung der wichtigsten Controls und arbeiten Sie sich dann nach und nach vor.

  • Involvieren Sie alle Beteiligten. Die Implementierung von organisatorischen Controls ist ein Team-Prozess. Involvieren Sie alle Beteiligten, um sicherzustellen, dass die Controls erfolgreich implementiert werden.

  • Kommunizieren Sie die Controls. Stellen Sie sicher, dass alle Mitarbeiter die Controls kennen und verstehen.

  • Messen Sie die Wirksamkeit. Messen Sie die Wirksamkeit der Controls, um sicherzustellen, dass sie ihre Ziele erreichen.

 

Organisatorische Controls zur Stärkung Ihrer Informationssicherheit

Organisatorische Controls sind ein wichtiger Bestandteil eines ISMS. Sie helfen Organisationen, ihre Informationssicherheit grundlegend zu verbessern und sich vor Cyberangriffen zu schützen.

Die neuen organisatorischen Controls in der ISO 27001:2022 berücksichtigen die aktuellen Herausforderungen der Informationssicherheit und bieten Organisationen zusätzliche Möglichkeiten, ihre Informationssicherheit zu verbessern.

Ein umfassender Überblick über die organisatorischen Controls erleichtert und strukturiert die Auswahl der richtigen Maßnahmen und hilft dabei, den Kontext Ihres Unternehmens mit einzubeziehen.

Finden Sie die richtigen Controls für Ihr Unternehmen und informieren Sie sich in unserer ISO 27001 Checkliste darüber, welche Maßnahmen Sie zur Umsetzung der ISO 27001 implementieren müssen.


Warum kleine und große UnternehmenDataGuard vertrauen

Save Money with ISO 27001

Bis zu 50%

Günstiger als externe Berater

Opt-in

Bis zu 300%

Erhöhen Sie Ihre Opt-in-Rate mit Consent & Preference Management

Scale Fast with ISO 27001

3 Monate

In nur drei Monaten bereit für den Audit

ISO 27001 Certificate

100%

Bislang haben alle unsere Kunden beim ersten Versuch bestanden

ISO 27001 certification to reduce Workload

Spart bis zu 100 Std.

an manueller Arbeit für die ISO 27001-Zertifizierung oder Label für eine Zertifizierung nach TISAX®

ISO 27001 Certification creates trust
4.000+

Viele namhafte Marken vertrauen auf uns



P I C

p

PRIVACY

Externer DSB
Audit und Risikoanalyse
Betroffenenanfragen
Online-Trainings
Cookie & Preference Manager
Beratung durch zertifizierte Experten

i

INFOSEC

Vorbereitung auf ISO 27001
Aufbau eines ISMS
Cybersecurity
Asset-Management
Risikominimierung
Internes Audit

c

COMPLIANCE

Digitales Whistleblowing-System
Whistleblowing-Support
Compliance-Audit
Risikominimierung
Online-Trainings
Geprüfte Vorlagen

Bereits 4.000+ Unternehmen vertrauen uns

Canon-4 Hyatt-3 Burger King Unicef UK-1 Free Now

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.