Anhang A & die 93 Maßnahmen
Anhang A — Maßnahmen verstehen
Was ist Anhang A?
Anhang A von ISO/IEC 27001 ist ein normativer Katalog von 93 Informationssicherheitsmaßnahmen (Controls). Er dient als Referenzliste, gegen die du bei der Risikobehandlung abgleichst, ob du eine wichtige Maßnahme übersehen hast. Die ausführliche Erklärung jeder Maßnahme steht im Leitfaden ISO/IEC 27002.
Vier Themen statt 14 Bereiche
Die große Neuerung 2022: Statt der früheren 114 Maßnahmen in 14 Bereichen sind es nun 93 Maßnahmen in nur 4 Themen. Das macht den Katalog deutlich übersichtlicher.
| Thema | Nr. | Anzahl | Fokus |
|---|---|---|---|
| Organisatorisch | 5 | 37 | Richtlinien, Prozesse, Governance |
| Personenbezogen | 6 | 8 | Menschen, Personal |
| Physisch | 7 | 14 | Gebäude, Geräte, Medien |
| Technologisch | 8 | 34 | IT, Netzwerke, Software |
37 + 8 + 14 + 34 = 93 Maßnahmen
Was sich 2022 geändert hat
- Zusammengelegt: viele alte Maßnahmen wurden zu einer kombiniert (daher 114 → 93).
- Neu: 11 neue Maßnahmen kamen hinzu, u. a. 5.7 Bedrohungslage, 5.23 Cloud-Dienste, 8.9 Konfigurationsmanagement, 8.11 Datenmaskierung, 8.12 Verhinderung von Datenlecks, 8.16 Überwachung von Aktivitäten, 8.23 Webfilterung, 8.28 Sichere Codierung.
- Attribute: jede Maßnahme erhielt durchsuchbare Attribute für verschiedene Sichten.
Maßnahmen sind nicht alle Pflicht
Ein verbreiteter Irrtum: Man müsse alle 93 Maßnahmen umsetzen. Falsch. Anhang A ist ein Katalog, kein Pflichtprogramm. Welche Maßnahmen du brauchst, ergibt sich aus deiner Risikobeurteilung. Nicht zutreffende darfst du begründet ausschließen – dokumentiert in der Erklärung zur Anwendbarkeit (SoA). Verpflichtend sind dagegen alle Klauseln 4–10.
Wie viele Maßnahmen enthält Anhang A der ISO/IEC 27001:2022, und in wie vielen Themen?