Annex A (Anhang A) der ISO/IEC 27001:2022 ist ein Katalog von 93 Informationssicherheitsmaßnahmen (englisch: controls), die als Referenzliste dienen. Sie decken organisatorische, personelle, physische und technologische Aspekte der Informationssicherheit ab. Entscheidend ist: Sie müssen nicht alle 93 Maßnahmen umsetzen. Sie setzen genau die Maßnahmen um, die sich aus Ihrer Risikobewertung als notwendig ergeben. Welche das sind, dokumentieren und begründen Sie in der Erklärung zur Anwendbarkeit (Statement of Applicability, SoA).
Die vier Themenbereiche von Anhang A (Version 2022)
Mit der Revision von 2022 wurde die frühere Struktur von 114 Maßnahmen in 14 Bereichen auf 93 Maßnahmen in 4 Themen neu geordnet:
| Thema |
Anzahl der Maßnahmen |
Beispiele |
| Organisatorische Maßnahmen |
37 |
Richtlinien, Lieferantenmanagement, Vorfallmanagement, Zugriffssteuerung |
| Personenbezogene Maßnahmen |
8 |
Sensibilisierung, Schulungen, Verantwortlichkeiten der Mitarbeitenden |
| Physische Maßnahmen |
14 |
Zutrittskontrolle, sichere Bereiche, Entsorgung von Datenträgern |
| Technologische Maßnahmen |
34 |
Verschlüsselung, Protokollierung, Schutz vor Schadsoftware, Backups |
Die Version 2022 führte außerdem 11 neue Maßnahmen ein, darunter Threat Intelligence, Informationssicherheit bei der Cloud-Nutzung, Datenmaskierung und sichere Programmierung.
Wie viele Maßnahmen muss ich umsetzen?
Es gibt keine vorgeschriebene Mindestzahl. Maßgeblich ist Ihr Risikoprofil, nicht die Liste selbst. Der Ablauf ist:
- Risikobewertung durchführen: Identifizieren Sie Risiken für Ihre Werte und bewerten Sie diese.
- Maßnahmen auswählen: Wählen Sie die Anhang-A-Maßnahmen, die die identifizierten Risiken behandeln. Zusätzliche, eigene Maßnahmen sind ebenfalls erlaubt.
- Ausschlüsse begründen: Nicht anwendbare Maßnahmen dürfen ausgeschlossen werden, sofern Sie die Begründung nachvollziehbar in der SoA festhalten.
- SoA erstellen: Die Erklärung zur Anwendbarkeit listet alle 93 Maßnahmen auf und vermerkt für jede, ob sie anwendbar ist, wie sie umgesetzt wird oder warum sie ausgeschlossen wurde.
In der Praxis schließen die meisten Organisationen nur wenige Maßnahmen aus. Anhang A ist keine reine Checkliste, sondern eine Referenz, die sicherstellt, dass keine relevante Maßnahmenkategorie übersehen wird.
Wie Kertos die Maßnahmen-Auswahl und Umsetzung vereinfacht
Kertos macht aus dem abstrakten Maßnahmenkatalog einen geführten, nachvollziehbaren Prozess. Kertos verbindet eine agentische Compliance-Plattform (KAIA) mit akkreditierten internen Expertinnen und Experten, die Seite an Seite mit Ihrem Team arbeiten:
- Risikobasierte Maßnahmen-Auswahl: Die Plattform verknüpft Ihre Risikobewertung direkt mit den passenden Anhang-A-Maßnahmen.
- Automatisch erstellte SoA: Die Erklärung zur Anwendbarkeit wird aus Ihren Entscheidungen generiert und bleibt bei Änderungen aktuell.
- Vorlagen und Nachweissammlung: Für jede ausgewählte Maßnahme werden Richtlinien vorbereitet und Nachweise kontinuierlich zugeordnet.
- Expertenbewertung der Ausschlüsse: Die Expertinnen und Experten von Kertos prüfen Begründungen, damit diese im Audit standhalten.
Dieses Vorgehen spiegelt die Bilanz von Kertos wider: eine 100%ige Audit-Erfolgsquote, rund 80% weniger manueller Compliance-Aufwand und Kunden wie AskUI, die die ISO 27001-Zertifizierung in nur 2,5 Monaten erreicht haben. Statt 93 Maßnahmen manuell zu interpretieren, setzen Sie gezielt das um, was Ihr Risikoprofil verlangt.
.svg)
