Lexikon · ISMS & Frameworks
Control (Maßnahme)
Ein Control (deutsch: Maßnahme oder Kontrolle) ist eine konkrete Sicherheitsvorkehrung, die ein Risiko vermindert, etwa eine Zugriffsbeschränkung, Verschlüsselung oder ein Schulungsprozess.
Ausführliche Erklärung
Controls sind die Bausteine, mit denen Risiken behandelt werden. Sie können organisatorisch (Richtlinien, Prozesse), personell (Schulung, Pflichten), physisch (Zutritt) oder technisch (MFA, Verschlüsselung) sein.
In der ISO 27001 stammen Controls aus Annex A, ihre Anwendbarkeit wird in der SoA festgehalten. Wichtig ist nicht nur die Existenz, sondern der Nachweis der Wirksamkeit über Reviews und Kontrollen.
Verwandte Begriffe
Annex A
Annex A der ISO 27001:2022 ist der Katalog von 93 Sicherheitscontrols in vier Themengruppen (organisatorisch, personell, physisch, technologisch), aus denen sich Organisationen risikobasiert bedienen.
SoA (Anwendbarkeitserklärung)
Die Anwendbarkeitserklärung (SoA) dokumentiert für jedes Annex-A-Control der ISO 27001, ob es anwendbar ist, wie es umgesetzt wird und warum nicht anwendbare Controls ausgeschlossen wurden.
Nachweis (Evidence)
Ein Nachweis (Evidence) ist ein dokumentierter Beleg dafür, dass eine Maßnahme tatsächlich umgesetzt ist und wirkt, etwa ein Protokoll, ein Screenshot, ein Zertifikat oder ein Bericht.
Control (Maßnahme) in der Praxis umsetzen
CompliantDesk bringt ISO 27001, NIS2, DSGVO und weitere Frameworks in einer Plattform zusammen, mit gemeinsamem Kern-Modell statt doppelter Dokumentation.