ISO 27001 Alle Klauseln

und Anhänge im Überblick

Die ISO/IEC 27001 definiert ein umfassendes System zur Steuerung der Informationssicherheit in Unternehmen. Ein zentraler Bestandteil sind die Controls aus Anhang A der Norm. Diese Sicherheitsmaßnahmen helfen Organisationen, Risiken systematisch zu identifizieren, zu reduzieren und ein wirksames Informationssicherheitsmanagementsystem (ISMS) aufzubauen.

In der aktuellen Version der ISO 27001 sind die Controls in vier Kategorien strukturiert: organisatorische, personelle, physische und technologische Maßnahmen. Insgesamt umfasst der Standard 93 Controls, die Unternehmen je nach Risikobewertung umsetzen müssen.

Auf dieser Seite finden Sie einen vollständigen Überblick über alle ISO 27001 Controls sowie die wichtigsten Anhänge der Norm. Zu jedem Control gelangen Sie über einen direkten Link zu einer ausführlichen Erklärung und praktischen Umsetzungshinweisen.

Allgemeine Informationen

Allgemeines

BCM und Informationssicherheit: Ein unschlagbares Team

CISO vs. ISB: Aufgaben, Unterschiede und Bedeutung in der Informationssicherheit

Warum Cybersecurity heute jedes Unternehmen betrifft

Cybersicherheit & Informationssicherheit: Was ist der Unterschied?

Das EU-KI-Gesetz kommt

Endpoint Detection and Response (EDR) verständlich erklärt

EU-KI-Gesetz (AI Act): Kurzüberblick für Unternehmen

EU-Richtlinie NIS2: Neue Anforderungen an Cybersecurity für Unternehmen

Incident Response Management: So reagieren Sie richtig auf Sicherheitsvorfälle

ISO 27001: 5 Tipps für Cybersicherheit in KMUs

Alle ISO 27001 Controls aus Anhang A im Überblick

ISO 27001 Audit Checkliste: So prüfen Sie Ihr ISMS richtig

ISO 27001 in produzierenden Unternehmen

ISO 27001 oder TISAX®?

Revision ISO 27001:2022 – Prozessorientierung rückt stärker in den Fokus

IT-Sicherheitsbewusstsein. Zentraler Baustein Ihrer Informationssicherheit

Kosten sparen bei der Cyber-Versicherung mit ISO 27001

Risikomanagement-Framework: Struktur für wirksame Informationssicherheit

Risikomanagement nach ISO 27001

Sicherheitsvorfall-Reaktionsplan (SIRP): vorbereitet für den Ernstfall

Sicherheitsvorfall-Reaktionsplan (SIRP): vorbereitet für den Ernstfall

SoA in der ISO 27001: Das unterschätzte Herzstück Ihrer Zertifizierung

Vorteile einer ISO 27001 Zertifizierung

Warum die ISO 27001 für jedes KMU ein Muss ist

Wie läuft eine ISO 27001 Zertifizierung ab?

Klauseln

4. Kontext der Organisation

Klausel 4.1 Verstehen der Organisation und ihres Kontextes

Klausel 4.2. Verstehen der Bedürfnisse und Erwartungen interessierter Parteien

Klausel 4.3 Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems

Klausel 4.4 Informationssicherheitsmanagementsystem

5. Führung

Klausel 5.1 Führung und Verpflichtung

Klausel 5.2 Policy

Klausel 5.3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation

6. Planung

Klausel 6.1.1 Maßnahmen zum Umgang mit Risiken und Chancen

Klausel 6.1.2 Informationssicherheitsrisikobewertung

Klausel 6.1.3 Informationssicherheitsrisikobehandlung

Klausel 6.2 Informationssicherheitsziele und Planung zu deren Erreichung

Klausel 6.3 Planung von Änderungen

7.Unterstützung

Klausel 7.1 Ressourcen

Klausel 7.2 Kompetenz

Klausel 7.3 Bewusstsein

Klausel 7.4 Kommunikation

Klausel 7.5.1 Dokumentierte Information – Allgemeines

Klausel 7.5.2 Erstellung und Aktualisierung

Klausel 7.5.3 Steuerung dokumentierter Information

8.Betrieb

Klausel 8.1 Betriebliche Planung und Steuerung

Klausel 8.2 Informationssicherheitsbewertung

Klausel 8.3 Informationssicherheitsrisikobehandlung

9. Bewertung der Leistung

Klausel 9.1 Überwachung, Messung, Analyse und Bewertung

Klausel 9.2.1 Internes Audit allgemein

Klausel 9.2.2 Internes Auditprogramm

Klausel 9.3.1 Managementbewertung – Allgemeines

Klausel 9.3.2 Eingaben für die Managementbewertung

Klausel 9.3.3 Ergebnisse der Managementbewertung

10. Verbesserung

Klausel 10.1 Fortlaufende Verbesserung

Klausel 10.2 Nichtkonformität und Korrekturmaßnahmen

Anhänge

A5.Organisatorische Controls

Anhang A 5.1 Informationssicherheitsleitlinie

Anhang A 5.2 Informationssicherheitsrollen und -verantwortlichkeiten

Anhang A 5.3 Aufgabentrennung

Anhang A 5.4 Verantwortlichkeiten des Managements

Anhang A 5.5 Kontakt mit Behörden

Anhang A 5.6 Kontakt mit speziellen Interessensgruppen

Anhang A 5.7 Erkenntnisse über Bedrohungen

Anhang A 5.8 Informationssicherheit im Projektmanagement

Anhang A 5.9 Inventar der Informationen und anderen damit verbundenen Werten

Anhang A 5.10 Zulässiger Gebrauch von Informationen und anderen damit verbundenen Werten

Anhang A 5.11 Rückgabe von Werten

Anhang A 5.12 Klassifizierung von Information

Anhang A 5.13 Kennzeichnung von Information

Anhang A 5.14 Sichere Informationsübertragung

Anhang A 5.15 Zugangskontrolle

Anhang A 5.16 Identitäsmanagement

Anhang A 5.17 Informationen zur Authentifizierung

Anhang A 5.18 Zugangsrechte

Anhang A 5.19 Informationssicherheit in Lieferantenbeziehungen

Anhang A 5.20 Behandlung von Informationssicherheit in Lieferantenvereinbarungen

Anhang A 5.21 Umgang mit der Informationssicherheit in der Lieferkette der Informations- und Kommunikationstechnologie (IKT)

Anhang A 5.22 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen

Anhang A 5.23 Informationssicherheit für die Nutzung von Cloud-Diensten

Anhang A 5.24 Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen

Anhang A 5.25 Beurteilung und Entscheidung über Informationssicherheitsereignisse

Anhang A 5.26 Reaktion auf Informationssicherheitsvorfälle

Anhang A 5.27 Erkenntnisse aus Informationssicherheitsvorfällen

Anhang A 5.28 Sammeln von Beweismaterial

Anhang A 5.29 Informationssicherheit bei Störungen

Anhang A 5.30 IKT-Bereitschaft für Business Continuity

Anhang A 5.31 Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen

Anhang A 5.32 Geistige Eigentumsrechte

Anhang A 5.33 Schutz von Aufzeichnungen

Anhang A 5.34 Schutz der Privatsphäre und personenbezogener Daten (PbD)

Anhang A 5.35 Unabhängige Überprüfung der Informationssicherheit

Anhang A 5.36 Einhaltung von Richtlinien, Vorschriften und Normen für die Informationssicherheit

Anhang A 5.37 Dokumentierte Bedienabläufe

A6.Personelle Controls

Anhang A 6.1 Sicherheitsüberprüfung Mitarbeiter

Anhang A 6.2 Beschäftigungs- und Vertragsbedingungen

Anhang A 6.3 Informationssicherheitsbewusstsein, -ausbildung und -schulung

Anhang A 6.4 Maßregelungsprozess

Anhang A 6.5 Verantwortlichkeiten nach Beendigung oder Änderung der Beschäftigung

Anhang A 6.6 Vertraulichkeits- oder Geheimhaltungsvereinbarungen

Anhang A 6.7 Telearbeit

Anhang A 6.8 Meldung von Informationssicherheitsereignissen

A7.Physische Controls

Anhang A 7.1 Physische Sicherheitsperimeter

Anhang A 7.2 Physischer Zutritt

Anhang A 7.3 Sichern von Büros, Räumen und Einrichtungen

Anhang A 7.4 Physische Sicherheitsüberwachung

Anhang A 7.5 Schutz vor physischen und umweltbedingten Bedrohungen

Anhang A 7.6 Arbeiten in Sicherheitsbereichen

Anhang A 7.7 – Aufgeräumte Arbeitsumgebung und Bildschirmsperren

Anhang A 7.8 Platzierung und Schutz von Geräten und Betriebsmitteln

Anhang A 7.9 Sicherheit von Werten außerhalb der Räumlichkeiten

Anhang A 7.10 Speichermedien

Anhang A 7.11 Versorgungseinrichtungen

Anhang A 7.12 Sicherheit der Verkabelung

Anhang A 7.13 Instandhalten von Geräten und Betriebsmitteln

Anhang A 7.14 Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln

A8.Technologische Controls

Anhang A 8.1 Endpunktgeräte des Benutzers

Anhang A 8.2 Privilegierte Zugangsrechte

Anhang A 8.3 Informationszugangsbeschränkung

Anhang A 8.4 Zugriff auf den Quellcode

Anhang A 8.5 Sichere Authentifizierung

Anhang A 8.6 Kapazitätsmanagement

Anhang A 8.7 Schutz gegen Schadsoftware

Anhang A 8.8 Handhabung von technischen Schwachstellen

Anhang A 8.9 Konfigurationsmanagement

Anhang A 8.10 Löschung von Informationen

Anhang A 8.11 Datenmaskierung

Anhang A 8.12 Verhinderung von Datenlecks

Anhang A 8.13 Sicherung von Information

Anhang A 8.14 Redundanz von informationsverarbeitenden Einrichtungen

Anhang A 8.15 Protokollierung

Anhang A 8.16 Überwachung von Aktivitäten

Anhang A 8.17 Uhrensynchronisation

Anhang A 8.18 Gebrauch von Hilfsprogrammen mit privilegierten Rechten

Anhang A 8.19 Installation von Software auf Systemen im Betrieb

Anhang A 8.20 Netzwerksicherheit

Anhang A 8.21 Sicherheit von Netzwerkdiensten

Anhang A 8.22 Trennung von Netzwerken

Anhang A 8.23 Webfilterung

Anhang A 8.24 – Verwendung von Kryptographie

Anhang A 8.25 Lebenszyklus einer sicheren Entwicklung

Anhang A 8.26 Anforderungen an die Anwendungssicherheit

Anhang A 8.27 Sichere Systemarchitektur und technische Grundsätze

Anhang A 8.28 Sichere Kodierung

Anhang A 8.29 Sicherheitsprüfung in Entwicklung und Tests

Anhang A 8.30 Ausgegliederte Entwicklung

Anhang A 8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen

Anhang A 8.32 Änderungssteuerung

Anhang A 8.33 Testdaten

Anhang A 8.34 Schutz der Informationssysteme während der Überwachungsprüfung

🧭 Schnelle Orientierung

Quick-Links zu ISO 27001

Controls Übersicht

ISO 27001 Controls Übersicht Alle Controls und Anhänge erklärt

ISO 27001 Kostenrechner Aufwand und Projektkosten berechnen

ISO 27001 Beratung Unterstützung bei Umsetzung & Zertifizierung

ISO 27001 FAQ Häufige Fragen zur Zertifizierung