ISO_Controls

Was sind ISO 27001 Controls und warum solltest Du sie kennen?

Picture of Dr. Kilian Schmidt
Dr. Kilian Schmidt

Dr. Kilian Schmidt ist Jurist, Co-Founder und CEO der Kertos GmbH und bringt zahlreiche Jahre Erfahrung in Datenschutz- und Legal Tech mit.

AUF EINEN BLICK

  • ISO 27001 Controls sind spezifische Maßnahmen, die Unternehmen implementieren, um Informationssicherheitsrisiken zu minimieren und die Einhaltung der Norm zu gewährleisten

  • Die aktualisierte ISO 27001:2022 fasst die Controls in vier Kategorien zusammen: organisatorische, personelle, physische und technologische Controls, mit insgesamt 93 Maßnahmen

  • Die Revision von 2022 führt 11 neue Controls ein, darunter Bedrohungsaufklärung, Cloud-Sicherheit, physische Sicherheitsüberwachung, Datenmaskierung und sichere Codierung, um neuen Sicherheitsanforderungen gerecht zu werden

  • Diese Controls decken Schlüsselbereiche wie Zugangskontrollen, Netzwerksicherheit, Kryptografie und den Schutz physischer Standorte ab und stärken die Sicherheitsstrategie eines Unternehmens umfassend

ISO 27001:2022 – Was Unternehmen über die Neuerungen und ihre Auswirkungen wissen müssen

Am 25. Oktober 2022 veröffentlichte die ISO/IEC eine neue Version der ISO 27001, um der Notwendigkeit gerecht zu werden, den wachsenden Bedrohungen für das Informationssicherheitsmanagementsystem (ISMS) von Unternehmen entgegenzuwirken. 

Während die meisten Änderungen kosmetischer Natur sind – bestehende Anforderungen wurden neu strukturiert und verfeinert – beinhalten die Aktualisierungen auch Ziele und Controls, die Unternehmen dabei unterstützen, sich gegen neue Bedrohungen zu wappnen. 

ISO 27001:2022 ist eine aktualisierte Version des ISO 27001-Standards. Die vorherige Version, ISO 27001:2013, enthielt 114 Controls, die in 14 Domains unterteilt waren. „Annex A“ der ISO 27001:2022 enthält die folgenden Änderungen: 

  • 11 neue Controls hinzugefügt, 
  • 1 Control in 2 aufgeteilt, 
  • 57 Controls in 24 zusammengeführt, 
  • 23 Controls umbenannt, 
  • 3 Controls entfernt und 
  • 35 Controls unverändert belassen. 

Sogar der Titel dieses Anhangs wurde von “Reference control objectives and controls” zu “Information security controls reference” geändert. In der neuesten Version von 2022 wurde die Anzahl der Controls auf eine reduzierte Anzahl von 93 Annex-A-Controls reduziert und in vier Hauptthemen gruppiert. 

ISO 27001:2022 leicht gemacht

Bist du bereit, hunderte Stunden Zeit und jede Menge Aufwand in Datenschutz und Informationssicherheit zu sparen? Mache jetzt die Demo und finde heraus, ob Kertos die richtige Lösung für dein Unternehmen ist.

Annex-A-Controls sind in vier Hauptkategorien unterteilt:

ISO 27001:2022-Controls, insgesamt 93 an der Zahl, wurden unter dem aktualisierten Standard in die vier Themenbereiche eingeordnet.

 

1. Organisatorische Controls

  • Anzahl der Controls: 37 
  • Kontrollnummern: ISO 27001 Anhang A, 5.1 bis 5.37 

Dieses Thema umfasst Gesetze, Vorschriften und Betriebsabläufe des Unternehmens in Bezug auf den Ansatz zur Informationssicherheit in einer Vielzahl von Bereichen. Organisatorische Controls sollen sicherstellen, dass das Unternehmen über klare Richtlinien verfügt, um das ISMS sicher zu halten, die Sicherheitsrollen und -verantwortlichkeiten klar definiert und effektiv kommuniziert sind und geeignete Zugriffs-controls vorhanden sind. 

Beispiele für organisatorische Controls: 

  • Informationssicherheitsrichtlinien, 
  • Lieferantenbeziehungen, 
  • Zugriffs-Controls, 
  • Asset-Management, 
  • Compliance. 

Weitere Controls, darunter das Management von Informationssicherheitsvorfällen und Aspekte der Informationssicherheit im Geschäftskontinuitätsmanagement, sind unter den 11 neu hinzugefügten Controls beschrieben. 

 

2. Personen-Controls

  • Anzahl der Controls: 8 
  • Kontrollnummern: ISO 27001 Anhang A, 6.1 bis 6.8 

Dieses Thema konzentriert sich darauf, wie Mitarbeiter eines Unternehmens mit Daten und Informationssystemen interagieren sollten, um Risiken in Bezug auf menschliche Faktoren zu minimieren. Diese Controls decken sicheres Personalmanagement, Personalsicherheit sowie Sensibilisierung und Schulung ab. Personen-Controls verlangen, dass alle Mitarbeiter über ihre Informationssicherheitsverantwortlichkeiten informiert sind, einschließlich der Meldung von Sicherheitsvorfällen und Vertraulichkeitsvereinbarungen. 

 

3. Physische Controls

  • Anzahl der Controls: 14 
  • Kontrollnummern: ISO 27001 Anhang A, 7.1 bis 7.13 

Physische Controls sind Schutzmaßnahmen, die eingesetzt werden, um die Sicherheit physischer Ressourcen zu gewährleisten und damit vertrauliche Informationen zu schützen. Generell sollte ein Unternehmen alle physischen Standorte schützen, an denen sensible Daten gespeichert werden, einschließlich Büros, Rechenzentren und Kundenstandorten. 

Beispiele für physische Controls: 

  • Richtlinien für klare Schreibtische, 
  • Gastzugriffsprotokolle, 
  • Aufbewahrungs- und Entsorgungsprotokolle, 
  • Eintritts- und Zugangssysteme. 

4. Technologische Controls

  • Anzahl der Controls: 34 
  • Kontrollnummern: ISO 27001 Anhang A, 8.1 bis 8.34 

Technologische Controls beziehen sich auf Maßnahmen, die Unternehmen ergreifen sollten, um eine geschützte und konforme IT-Infrastruktur zu erhalten. Dazu gehören Authentifizierung und Datenverschlüsselung sowie Maßnahmen zur Vermeidung von Datenverlusten, die es einem Unternehmen ermöglichen, Daten digital zu sichern und Zugriffsrechte sowie Netzwerksicherheit zu kontrollieren. 

Schlüsselbereiche der technologischen Controls: 

  • Kryptografie: Die Norm fordert, dass Unternehmen ihre Verschlüsselungstechniken dokumentieren und nachweisen, dass eine geeignete Verschlüsselung entsprechend den geschäftlichen Anforderungen verwendet wird. 
  • Sicherheit des Betriebs: Schutz der Informationsverarbeitungsanlagen und Systeme des ISMS. 
  • Netzwerksicherheit: Schutz vor Angriffen durch Netzwerkkonfigurationen, Firewalls und Erkennungssysteme. 
  • Systemerwerb, -entwicklung und -wartung: Sicherheit in jedem Stadium der Informationssicherheitssysteme. 

11 neue Controls in der ISO 27001:2022-Revision

  • A.5.7: Threat intelligence – fordert Unternehmen dazu auf, Bedrohungsinformationen sowohl intern als auch extern zu sammeln, um sich gegen bestimmte Angriffe und Technologien zu wappnen. 
  • A.5.23: Information security for the use of cloud services – beschreibt das Management und den Schutz von Informationen in Cloud-Diensten. 
  • A.5.30: ICT-Readiness – fordert, dass die IKT-Bereitschaft für Geschäftskontinuitätsziele geplant, implementiert, gepflegt und getestet wird. 
  • A.7.4: Physical security monitoring – verlangt, dass sensible Bereiche wie Büros und Produktionsstätten überwacht werden. 
  • A.8.9: Configuration management – stellt sicher, dass IT-Konfigurationen festgelegt, dokumentiert, überwacht und überprüft werden. 
  • A.8.10: Information deletion – fordert Unternehmen dazu auf, Daten nach Erfüllung ihres Zwecks zu löschen. 
  • A.8.11: Data masking – nutzt Datenmaskierungstechniken wie Verschlüsselung, um sensible Daten zu schützen. 
  • A.8.12: Data leakage prevention – Maßnahmen zur Minimierung des Risikos unerlaubter Datenweitergabe. 
  • A.8.16: Monitoring activities – fordert eine kontinuierliche Überwachung von Netzwerken, technologischen Ressourcen und Softwareanwendungen. 
  • A.8.23: Web filtering – schützt Unternehmen vor Webseiten mit potenziell schädlichem Code. 
  • A.8.28: Secure coding – fordert Sicherheitsmaßnahmen, um Schwachstellen im Code zu minimieren.