Lexikon · ISMS & Frameworks
Annex A
Annex A der ISO 27001:2022 ist der Katalog von 93 Sicherheitscontrols in vier Themengruppen (organisatorisch, personell, physisch, technologisch), aus denen sich Organisationen risikobasiert bedienen.
Ausführliche Erklärung
Annex A listet die möglichen Sicherheitsmaßnahmen auf, die zur Behandlung von Risiken eingesetzt werden können. In der Fassung 2022 sind es 93 Controls, gegliedert in A.5 (organisatorisch), A.6 (personenbezogen), A.7 (physisch) und A.8 (technologisch).
Welche Controls eine Organisation umsetzt, ergibt sich aus ihrer Risikoanalyse und wird in der Anwendbarkeitserklärung (SoA) dokumentiert. Annex A ist damit Werkzeugkasten, nicht starre Pflichtliste.
Verwandte Begriffe
Control (Maßnahme)
Ein Control (deutsch: Maßnahme oder Kontrolle) ist eine konkrete Sicherheitsvorkehrung, die ein Risiko vermindert, etwa eine Zugriffsbeschränkung, Verschlüsselung oder ein Schulungsprozess.
SoA (Anwendbarkeitserklärung)
Die Anwendbarkeitserklärung (SoA) dokumentiert für jedes Annex-A-Control der ISO 27001, ob es anwendbar ist, wie es umgesetzt wird und warum nicht anwendbare Controls ausgeschlossen wurden.
ISO 27001
ISO/IEC 27001 ist der international führende Standard für Informationssicherheits-Managementsysteme (ISMS) und definiert die Anforderungen, nach denen sich Organisationen zertifizieren lassen können.
Annex A in der Praxis umsetzen
CompliantDesk bringt ISO 27001, NIS2, DSGVO und weitere Frameworks in einer Plattform zusammen, mit gemeinsamem Kern-Modell statt doppelter Dokumentation.