Zum Inhalt springen
← Glossar

Annex A - Annex A (ISO/IEC 27001:2022)

Anhang A - Referenzkatalog von 93 Sicherheitsmaßnahmen

Was bedeutet Annex A?

Anhang A ist der Referenzkatalog von 93 Sicherheitsmaßnahmen in ISO/IEC 27001:2022, aus denen Organisationen die für sie anwendbaren auswählen und im Statement of Applicability begründen.

Anhang A (Annex A) der ISO/IEC 27001:2022 ist eine normative Liste von 93 Referenz-Controls, gegliedert in die vier Themen A.5 (organisatorisch), A.6 (personell), A.7 (physisch) und A.8 (technologisch). Er enthält zu jedem Control nur Nummer und Kurztitel - die ausführliche Beschreibung, Zweck und Umsetzungshinweise liefert die begleitende, informative Norm ISO/IEC 27002:2022. Organisationen sind nicht verpflichtet, alle 93 Controls umzusetzen, aber verpflichtet, für jeden einzelnen im Statement of Applicability zu dokumentieren, ob und warum er (nicht) angewendet wird.

Die vier Themen: A.5 bis A.8

A.5 Organisatorische Maßnahmen (37 Controls) deckt Richtlinien, Rollen, Lieferantenbeziehungen und Vorfallmanagement ab. A.6 Personelle Maßnahmen (8 Controls) betrifft Screening, Schulung und Verantwortlichkeiten von Beschäftigten. A.7 Physische Maßnahmen (14 Controls) regelt Zutrittskontrolle, Gerätesicherheit und Entsorgung. A.8 Technologische Maßnahmen (34 Controls) umfasst technische Themen von Zugriffssteuerung über Kryptografie bis zur sicheren Softwareentwicklung.

Anhang A versus ISO/IEC 27002

Anhang A selbst ist bewusst knapp gehalten - er ist Teil der zertifizierbaren Norm ISO/IEC 27001 und listet nur Nummer und Titel jedes Controls, damit Auditoren eine feste, prüfbare Referenz haben. Die vollständige Beschreibung, Zweck und konkrete Umsetzungsempfehlungen zu jedem Control liefert die eigenständige Norm ISO/IEC 27002:2022 - diese ist informativ, nicht zertifizierungsrelevant, aber die praktische Arbeitsgrundlage bei der Umsetzung.

Von 2013 zu 2022: was sich geändert hat

Die Vorgängerfassung ISO/IEC 27001:2013 enthielt noch 114 Controls in 14 Domänen. Die Revision 2022 reduzierte die Zahl auf 93 Controls in vier Themen, führte elf neue Controls ein - etwa zu Threat Intelligence, Cloud-Sicherheit und Datenmaskierung - und ergänzte eine Attributstaxonomie (u. a. Control-Typ, Cybersecurity-Konzept, betriebliche Fähigkeit), mit der sich Controls zusätzlich nach Zweck filtern und gruppieren lassen.

Praxis-Tool

Prüfe alle 93 Anhang-A-Controls im SoA-Tool

Zum Statement of Applicability

Auch bekannt als

Anhang A · ISO 27001 Anhang A · Annex A Controls · Control-Katalog