Annex A — Kontrollen

ISO 27001 sagt dir, welche Kontrollen du brauchst. ISO 27002 sagt dir, wie du sie umsetzt. Annex A von ISO 27001 listet 93 Kontrollen als Referenz — kurze Einzeiler, die definieren, was eine Kontrolle erreichen soll. Die eigentliche Umsetzungsanleitung steht in ISO 27002:2022, dem Begleitstandard. Dort findest du für jede Kontrolle einen Abschnitt mit Zweck, Leitlinien und ergänzenden Hinweisen.

Die 93 Kontrollen verteilen sich auf vier Themenbereiche: organisatorisch (Richtlinien, Prozesse, Verantwortlichkeiten), personenbezogen (Schulung, Überprüfung, Arbeitsverträge), physisch (Gebäude, Geräte, Umgebung) und technologisch (Systeme, Netzwerk, Kryptographie, Entwicklung). Diese Struktur ist neu seit der Revision 2022 — die vorherige Version aus 2013 hatte 114 Kontrollen in 14 Gruppen.

Die Risikobehandlung bestimmt, welche Kontrollen du brauchst — Annex A ist die Checkliste, nicht die Pflichtliste. ISO 27001 Clause 6.1.3 verlangt, dass du die Kontrollen aus Annex A mit deiner Risikobehandlung abgleichst. Das Ergebnis ist das Statement of Applicability (SoA): eine Tabelle, die für jede der 93 Kontrollen dokumentiert, ob sie anwendbar ist, warum (oder warum nicht) und wie sie umgesetzt wird.

In der Praxis funktioniert das in drei Schritten: Zuerst identifizierst du die Risiken für deine Informationswerte. Dann entscheidest du für jedes Risiko, wie du es behandelst — vermeiden, übertragen, akzeptieren oder durch Kontrollen reduzieren. Zum Schluss prüfst du anhand von Annex A, ob du an alles gedacht hast. Kontrollen, die du nicht brauchst (z.B. A.8.28 Sicheres Programmieren, wenn du keine eigene Software entwickelst), markierst du als nicht anwendbar — mit Begründung.

Der häufigste Fehler: alle 93 Kontrollen als anwendbar markieren, ohne Bezug zur eigenen Risikolandschaft. Das führt zu einem SoA, das im Audit nicht verteidigt werden kann. Besser: weniger Kontrollen, dafür gut begründet und nachweislich umgesetzt.