Was ist Anhang A von ISO 27001?

Warum gibt es in ISO 27001 Anhang A?

ISO 27001 definiert die strukturellen und prozessualen Rahmenbedingungen für ein Informationssicherheits-Managementsystem. Das heißt sie definiert Anforderungen, die ein Unternehmen oder eine Organisation für den Aufbau, den Betrieb und die fortlaufende Weiterentwicklung erfüllen muss. Was die Norm allerdings nicht liefert, ist eine konkrete Anleitung zur Umsetzung dieser Anforderungen.

An dieser Stelle setzt Anhang A an: Er listet eine Reihe konkreter Informationssicherheitsmaßnahmen auf, die Unternehmen umsetzen können, um die Vorgaben zu erfüllen. Die Beschreibung im Annex A bleibt bewusst auf einer abstrakten Ebene, auch die Ziele der Sicherheitsmaßnahmen (Controls) werden nur kurz beschrieben.

Die Norm ISO 27002 geht deutlich tiefer ins Detail: Sie greift die Maßnahmen aus Anhang A auf, liefert konkrete Umsetzungshinweise, anschauliche Beispiele und Best Practices und bietet damit einen umfassenden Leitfaden für die konkrete Umsetzung.

Was beinhaltet Anhang A?

Mit der kontinuierlichen Weiterentwicklung von ISO 27001 wird auch Annex A fortlaufend überarbeitet und an die Entwicklungen im Bereich der Informationssicherheit angepasst. In der aktuellen Normversion ISO/IEC 27001:2022 umfasst Anhang A 93 Controls, geordnet in den vier Themenbereichen:

• Organisatorische Maßnahmen
• Personenbezogene Maßnahmen
• Physische Maßnahmen
• Technologische Maßnahmen

Welche Maßnahmen aus Anhang A sind die wichtigsten?

ISO/IEC 27001 dient als allgemeingültige Norm für die verschiedensten Arten von Organisationen aus einer Vielzahl von Branchen. Sie adressiert also eine sehr diverse Zielgruppe mit unterschiedlichsten Bedürfnissen und Voraussetzungen.

Entsprechend dieser Diversität ist die Anlage A nicht als starr vorgegebenes Maßnahmenpaket zu verstehen, sondern vielmehr als ein umfassender Werkzeugkasten für die Informationssicherheit. Je nach Bedarf und Risikoanalyse können Unternehmen genau die Maßnahmen auswählen, die für ihre spezifischen Anforderungen relevant sind.

Die Relevanz einzelner Maßnahmen variiert also je nach Branche, Art und Infrastruktur von Organisationen und Unternehmen.

Wie identifizieren Unternehmen relevante Maßnahmen?

Organisationen sind nicht verpflichtet, alle Maßnahmen vom ISO 27001 Anhang A umzusetzen. Vielmehr gilt es für eine erfolgreiche Zertifizierung, auf Basis der Risikoanalyse bedarfsgerechte Maßnahmen zu identifizieren und umzusetzen.

Nach einer umfassenden Bestandsaufnahme aller physischen und digitalen Assets müssen Unternehmen diese einer sorgfältigen Risikobewertung unterziehen. Nach der Beurteilung lassen sich schließlich die passenden Maßnahmen zur Risikobehandlung auswählen.

Expertise und Vertrauen

Zertifizierte Unternehmen schätzen Managementsysteme als Werkzeuge für die oberste Leitung, die Transparenz schaffen, Komplexität reduzieren und Sicherheit geben. Managementsysteme bewirken jedoch noch mehr: Begutachtet und zertifiziert durch einen neutralen und unabhängigen Dritten wie der DQS schaffen sie Vertrauen gegenüber den interessierten Parteien in die Leistungsfähigkeit Ihres Unternehmens.

Viele Organisationen erleben die Zertifizierung noch immer als Konformitätsprüfung. Unsere Kunden sehen in ihnen dagegen die Chance, den Blick zielgerichtet auf erfolgskritische Faktoren und die Ergebnisse Ihres Managementsystems richten zu können. Denn: Unser Anspruch beginnt dort, wo Auditchecklisten enden. Nehmen Sie uns beim Wort.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.