Annex A der ISO 27001

Der Annex A der ISO 27001 ist ein extrem nützliches Werkzeug, wenn man nach der Lektüre der ISO 27001 mit vielen Fragezeichen bei der Umsetzung dasteht (wie es vermutlich den meisten gehen wird).

Was enthält der Annex A der ISO 27001?

Im Annex A oder Anhang A der ISO 27001 werden die Controls aufgelistet, welche im Zuge des Punktes 6.1.3 der ISO 27001 umgesetzt werden sollen. Dabei sind zwei Dinge wichtig: Was war nochmal der Punkt 6.1.3 der ISO 27001? Hier geht es um die Informationssicherheitsrisikobehandlung, also mit welchen Maßnahmen werden die vorher analysierten und beurteilten Risiken behandelt. Der zweite Punkte betrifft das Wort sollen: Dei Maßnahmen im Annex A sind nicht zwingend umzusetzen. Sie müssen lediglich in Betracht gezogen werden und bei Bedarf gar nicht umgesetzt werden (sofern nicht zutreffend) oder in abgewandelter Form.

Welche konkreten Maßnahmen schlägt der Annex A vor?

Zwar konkretisiert der Annex A die Vorgaben der ISO 27001 stärker, aber das sind immer noch keine Maßnahmen der Art: ‚Patche deine Windows Server spätestens 7 Tage nach dem Microsoft-Patchday‘. Die Maßnahmen im Annex A sind immer noch auf einem sehr hohen Niveau und eher der Art: ‚Du brauchst ein Backupkonzept inkl. Restoretest‘. Das ist schonmal eine Vorgabe, aber sagt nichts über die angemessene Umsetzung.

Die Maßnahmen im Annex A werden in der ISO 27002 weiter untersetzt. Hier ein Überblick über die Abschnitte im Annex A:

• A.5 Informationssicherheitspolitik
• A.6 Organisation der Informationssicherheit
• A.7 Personalsicherheit
• A.8 Asset Management
• A.9 Zugriffskontrolle
• A.10 Kryptografie
• A.11 Physische und Umgebungssicherheit
• A.12 Betriebssicherheit
• A.13 Kommunikationssicherheit
• A.14 Systemerwerb, Entwicklung und Wartung
• A.15 Lieferantenbeziehungen
• A.16 Informationssicherheits-Störfallmanagement
• A.17 Informationssicherheitsaspekte des betrieblichen Kontinuitätsmanagement
• A.18 Compliance/Konformität