Ein Control (Kontrollmaßnahme) ist im ISO-Kontext eine einzelne Sicherheitsmaßnahme, die ein bestimmtes Risiko adressiert. ISO 27001:2022 Annex A enthält 93 solcher Controls, gegliedert in vier Kategorien: organisatorisch (A.5), personell (A.6), physisch (A.7) und technologisch (A.8).
Jedes Control hat eine Nummer, einen Titel und einen Beschreibungstext. Die detaillierte Implementierungsanleitung findest Du in ISO 27002:2022. Im ISMS-Prozess wählst Du anhand Deiner Risikoanalyse (Clause 6.1.2) die anwendbaren Controls aus und dokumentierst sie im Statement of Applicability (SoA, Clause 6.1.3 d). Für jedes ausgewählte Control benötigst Du: eine Umsetzungsbeschreibung, eine verantwortliche Person und Nachweise, dass die Maßnahme wirksam ist.