Home/ Wissensdatenbank/ ISO 27001/ Was ist Annex A in ISO 27001? Die 93 Controls im Überblick
ISO 27001

Was ist Annex A in ISO 27001? Die 93 Controls im Überblick

Annex A ist das Herzstück der ISO 27001 — eine strukturierte Sammlung von Sicherheitsmaßnahmen (Controls), die als Referenz für die Risikobehandlung dienen. Die aktuelle Version ISO 27001:2022 enthält 93 Controls in 4 Kategorien. Dieser Artikel erklärt Aufbau, Inhalt und praktische Anwendung.

⏱ Lesedauer: ca. 10 Min. 📅 Aktualisiert: Juni 2026 ✍️ APASEC Consulting

Was ist Annex A und wofür wird er genutzt?

Annex A der ISO 27001 ist eine normative Referenzliste von Sicherheitsmaßnahmen (Controls). Er dient als Checkliste: Unternehmen prüfen für jedes Control, ob es relevant ist und umgesetzt wird. Das Ergebnis dieser Prüfung ist das Statement of Applicability (SoA).

Wichtig: Annex A schreibt nicht vor, alle 93 Controls umzusetzen. Er schreibt vor, jeden Control zu bewerten und die Entscheidung (anwendbar/nicht anwendbar) zu begründen.

Die 4 Kategorien der ISO 27001:2022 Controls

KategorieControlsBeschreibung
Organisatorisch (5.x)37Richtlinien, Rollen, Lieferanten, Incidents
Personalbezogen (6.x)8Einstellung, Schulung, Disziplinarmaßnahmen
Physisch (7.x)14Gebäudesicherheit, Geräte, Arbeitsplatz
Technologisch (8.x)34Netzwerk, Kryptografie, Schwachstellen, Logging

ISO 27001:2022 hat gegenüber der 2013er Version 11 neue Controls eingeführt und die Gesamtzahl von 114 auf 93 reduziert (durch Zusammenführungen).

Die 11 neuen Controls in ISO 27001:2022

Die 2022er Version führte folgende 11 neuen Controls ein:

  • 5.7 Threat Intelligence
  • 5.23 Informationssicherheit bei Cloud-Diensten
  • 5.30 IKT-Bereitschaft für Business Continuity
  • 7.4 Physische Sicherheitsüberwachung
  • 8.9 Konfigurationsmanagement
  • 8.10 Löschung von Informationen
  • 8.11 Datenmaskierung
  • 8.12 Data Leakage Prevention
  • 8.16 Überwachung von Aktivitäten
  • 8.23 Web-Filterung
  • 8.28 Sicheres Coding

Statement of Applicability: Annex A in der Praxis

Das Statement of Applicability (SoA) ist ein Pflichtdokument der ISO 27001. Es listet alle 93 Controls und dokumentiert für jeden:

  • Ob er anwendbar ist (Ja/Nein)
  • Begründung der Entscheidung
  • Umsetzungsstatus
  • Verweis auf die implementierende Maßnahme

Ein SoA ist kein Einmal-Dokument — es muss bei jeder Risikobeurteilung aktualisiert werden und spiegelt den aktuellen Stand der Controls wider.

Typische Lücken bei Annex-A-Controls

In der Praxis werden bestimmte Controls häufig vernachlässigt:

  • 5.23 Cloud-Sicherheit: Wird oft vergessen, obwohl fast alle Unternehmen Cloud-Dienste nutzen.
  • 8.12 Data Leakage Prevention: Technisch komplex, daher oft nur rudimentär umgesetzt.
  • 5.7 Threat Intelligence: Neu in 2022, viele Unternehmen haben keinen Prozess dafür.
  • 8.28 Sicheres Coding: Relevant für Softwareentwickler, wird in gemischten Umgebungen übersehen.

Fazit: Annex A als Sicherheitsfahrplan

Annex A ist kein Bürokratiemonster, sondern ein praxiserprobter Rahmen. Die 93 Controls decken alle relevanten Aspekte der Informationssicherheit ab — von der Passwortrichtlinie bis zu Threat Intelligence. Wer Annex A systematisch durcharbeitet und im SoA dokumentiert, hat einen vollständigen Überblick über seine Sicherheitsmaßnahmen — und eine solide Grundlage für das Zertifizierungsaudit.

Checkliste: Was ist Annex A in ISO 27001? Die 93 Controls im Überblick

  • Alle 93 Annex-A-Controls einzeln bewerten
  • Statement of Applicability (SoA) vollständig ausfüllen
  • Begründung für jede Nichtanwendbarkeit dokumentieren
  • Neue Controls aus ISO 27001:2022 prüfen und adressieren
  • Control-Umsetzungsverantwortliche benennen
  • SoA mit Risikobehandlungsplan verknüpfen
  • Cloud-Dienste unter 5.23 erfassen
  • Threat Intelligence-Prozess für Control 5.7 aufbauen
  • Data Leakage Prevention (8.12) implementieren oder begründen
  • SoA bei jeder Risikoaktualisierung reviewen

Häufig gestellte Fragen

Das Statement of Applicability (SoA) ist ein Pflichtdokument der ISO 27001, das alle 93 Annex-A-Controls auflistet und dokumentiert, welche Controls angewendet werden, warum, und in welchem Umsetzungsstand sie sich befinden.

Nein — aber Sie müssen jeden Control bewerten und die Nichtanwendbarkeit begründen. Ein Control kann ausgeschlossen werden, wenn die damit verbundenen Risiken nicht auf Ihren Scope zutreffen.

ISO 27001:2022 enthält 93 Controls (statt 114) in 4 Kategorien (statt 14 Domänen). 11 neue Controls wurden eingeführt, darunter Threat Intelligence, Cloud-Sicherheit, Konfigurationsmanagement und Sicheres Coding.

ISO 27001 Annex A listet die Controls. ISO 27002 gibt detaillierte Implementierungshinweise für jeden Control. ISO 27002 ist kein Zertifizierungsstandard, sondern ein Leitfaden für die Umsetzung.

Das SoA muss aktualisiert werden, wenn sich die Risikolage ändert, neue Prozesse oder Systeme eingeführt werden, Controls neu bewertet werden oder sich der ISMS-Scope ändert. In der Praxis mindestens jährlich.

Verwandte Themen

ISO 27001Was ist ISO 27001?ISO 27001ISO 27001 AnforderungenISO 27001ISO 27001 ZertifizierungISO 27001Was ist ein ISMS?ISO 27001Risikomanagement IT

Verwandte Begriffe

ISO 27001 Annex AISO 27001 ControlsStatement of ApplicabilitySoA ISO 27001ISO 27001 202293 Controls ISO 27001Informationssicherheit MaßnahmenISO 27002ISMS ControlsThreat Intelligence Control