ISMS Copilot
Kostenloses Tool

ISO 27001 Generator für die Anwendbarkeitserklärung

Arbeiten Sie alle 93 Annex-A-Controls der ISO/IEC 27001:2022 durch, markieren Sie jedes als anwendbar, ausgeschlossen oder teilweise mit Begründung und exportieren Sie einen strukturierten Entwurf — ein Entwurf zur Abstimmung mit Ihrer auditierenden Stelle, kein fertiges Dokument.

Dies erzeugt nur einen ENTWURF. Es gibt keine Control-Titel oder normativen Texte der ISO/IEC 27001:2022 wieder — diese entnehmen Sie der Norm über Ihre nationale Normungsorganisation. Eine echte Anwendbarkeitserklärung muss Ihre Risikobewertung und Risikobehandlungsentscheidungen widerspiegeln und intern geprüft werden, bevor sie durch eine kompetente auditierende Stelle oder Zertifizierungsstelle bewertet wird.

1. ISMS-Geltungsbereich

0 von 93 Controls entschieden · Anwendbar: 0 · Ausgeschlossen: 0 · Teilweise anwendbar: 0

Vor dem Export

Füllen Sie oben die ISMS-Geltungsbereichsfelder aus (Organisation, Geltungsbereichserklärung, Version, Datum) — eine Anwendbarkeitserklärung ist ohne sie unvollständig.

  • A.5.1 Noch keine Entscheidung erfasst
  • A.5.2 Noch keine Entscheidung erfasst
  • A.5.3 Noch keine Entscheidung erfasst
  • A.5.4 Noch keine Entscheidung erfasst
  • A.5.5 Noch keine Entscheidung erfasst
  • A.5.6 Noch keine Entscheidung erfasst
  • A.5.7 Noch keine Entscheidung erfasst
  • A.5.8 Noch keine Entscheidung erfasst
  • A.5.9 Noch keine Entscheidung erfasst
  • A.5.10 Noch keine Entscheidung erfasst
  • +83

2. Entscheidungen zu den Annex-A-Controls

A.5
A.5.1Ein vom Management genehmigtes Regelwerk für Informationssicherheit pflegen, an Mitarbeitende kommunizieren und planmäßig sowie nach größeren Änderungen überprüfen.
A.5.2Festlegen und dokumentieren, wer für welche Informationssicherheitsaktivität verantwortlich und rechenschaftspflichtig ist.
A.5.3Konfligierende Aufgaben trennen, sodass keine Einzelperson einen Prozess missbrauchen und zugleich verbergen kann.
A.5.4Die Leitung fordert und unterstützt aktiv, dass alle Mitarbeitenden Informationssicherheit gemäß den Vorgaben anwenden.
A.5.5Funktionierende Kontaktwege zu Behörden, Strafverfolgung und Aufsicht vorhalten, bevor sie dringend gebraucht werden.
A.5.6An Sicherheitsforen und Fachgruppen teilnehmen, um bei Bedrohungen und bewährter Praxis aktuell zu bleiben.
A.5.7Ausgewählte Bedrohungsquellen nutzen, um relevante Warnsignale in konkrete Sicherheitsmaßnahmen umzusetzen.
A.5.8Sicherheitsanforderungen und Risikobewertung von Projektbeginn an in Projekte einbauen.
A.5.9Eine aktuelle Liste wichtiger Informationsbestände, unterstützender Systeme und zuständiger Verantwortlicher pflegen.
A.5.10Praktische Ge- und Verbote dafür festlegen, wie Personen Informationsbestände nutzen, handhaben und ausmustern.
A.5.11Organisationswerte zurückerlangen, wenn Personen ausscheiden oder die Rolle wechseln.
A.5.12Informationen nach Sensibilität einstufen, damit der Schutz ihrem Wert und rechtlichen Anforderungen entspricht.
A.5.13Informationen konsistent gemäß ihrer Klassifizierung kennzeichnen, damit Handhabungsregeln eindeutig sind.
A.5.14Informationen, die zwischen Personen, Systemen oder Organisationen übertragen werden, nach vereinbarten Regeln schützen.
A.5.15Zugriffsentscheidungen auf dokumentierten Bedarf, Risiko und genehmigten Geschäftszweck stützen.
A.5.16Den vollständigen Lebenszyklus digitaler Identitäten für Personen und Dienste verwalten.
A.5.17Passwörter, Token und andere zur Authentisierung genutzte Geheimnisse ausgeben, schützen und verwalten.
A.5.18Benutzerberechtigungen aktuell halten: nur das Nötige geben, regelmäßig prüfen und bei Wegfall zügig entfernen.
A.5.19Das Informationssicherheitsrisiko aus der Nutzung von Lieferantenprodukten und -diensten adressieren.
A.5.20Sicherheitserwartungen an Lieferanten in Verträge oder gleichwertige schriftliche Zusagen aufnehmen.
A.5.21Sicherheitsanforderungen durch mehrstufige IKT-Produkt- und Dienstlieferketten weitergeben.
A.5.22Von Lieferanten erbrachte Dienste regelmäßig prüfen und sicherheitsrelevante Änderungen steuern.
A.5.23Vor der Nutzung festlegen, wie Cloud-Dienste freigegeben, betrieben und wieder beendet werden.
A.5.24Vorfallrollen, Ablaufpläne und Werkzeuge vorbereiten, bevor ein echter Vorfall eintritt.
A.5.25Erkannte Sicherheitsereignisse bewerten und entscheiden, welche als Vorfälle gelten.
A.5.26Bestätigte Vorfälle gemäß Reaktionsplan eindämmen, beseitigen und wiederherstellen.
A.5.27Erkenntnisse aus Vorfällen nutzen, um Maßnahmen zu stärken und Wiederholungen zu verringern.
A.5.28Vorfallbeweise so behandeln, dass Verlässlichkeit und Nachvollziehbarkeit erhalten bleiben.
A.5.29Wesentliche Sicherheitsschutzmaßnahmen während einer Geschäftsstörung in Betrieb halten.
A.5.30Sicherstellen, dass die IKT innerhalb der von der Geschäftskontinuität geforderten Zeiten wiederherstellbar ist.
A.5.31Ein Verzeichnis externer, sicherheitsrelevanter Verpflichtungen führen und Verantwortliche für deren Erfüllung benennen.
A.5.32Software, Inhalte und Lizenzen so steuern, dass fremdes geistiges Eigentum gewahrt und eigenes geschützt wird.
A.5.33Erforderliche Aufzeichnungen verlässlich halten, nur Befugten zugänglich machen und für die nötige Dauer aufbewahren.
A.5.34Die Datenschutzpflichten für die von der Organisation verarbeiteten personenbezogenen Daten erfüllen.
A.5.35Regelmäßige externe oder unparteiische Überprüfungen anstoßen, wie gut das Sicherheitsprogramm funktioniert.
A.5.36Prüfen, dass der Betrieb die eigenen Sicherheitsrichtlinien und -standards tatsächlich einhält.
A.5.37Wiederkehrende betriebliche Aufgaben aufschreiben, bei denen Konsistenz für die Sicherheit zählt.
A.6
A.6.1Den Hintergrund von Bewerbenden risikoangemessen und im rechtlichen Rahmen überprüfen.
A.6.2Sicherheitspflichten in Arbeitsverträge, Onboarding-Unterlagen oder gleichwertige Bedingungen aufnehmen.
A.6.3Personen durch wiederkehrende Sicherheits-Briefings, Schulungen und rollenspezifisches Lernen aktuell halten.
A.6.4Einen definierten, fairen Prozess für den Umgang mit Verstößen gegen Sicherheitsrichtlinien betreiben.
A.6.5Sicherheitspflichten festlegen, die nach Ausscheiden oder Rollenwechsel fortbestehen.
A.6.6Durchsetzbare Vertraulichkeitsverpflichtungen für den Umgang mit geschützten Informationen einrichten.
A.6.7Informationen schützen, wenn Personen außerhalb der Organisationsstandorte arbeiten.
A.6.8Personen einen einfachen, bekannten Weg geben, beobachtete Sicherheitsereignisse zeitnah zu melden.
A.7
A.7.1Wände, Türen, Sperren oder gleichwertige Grenzen nutzen, um sensible Arbeitsbereiche von öffentlichem oder weniger vertrauenswürdigem Raum zu trennen.
A.7.2Steuern, wer wann physisch Sicherheitsbereiche betreten darf.
A.7.3Arbeitsbereiche und Einrichtungen schwerer missbrauchbar, betretbar oder beschädigbar machen.
A.7.4Alarme, Überwachung, Rundgänge oder Protokolle nutzen, um unerwünschte Zutrittsversuche zu erkennen und darauf zu reagieren.
A.7.5Einrichtungen gegen Feuer, Wasser, Stromausfall und ähnliche Umweltgefahren schützen.
A.7.6Regeln für Verhalten und Arbeiten in sensiblen Bereichen festlegen.
A.7.7Keine sensiblen Informationen offen auf Tischen oder unbeaufsichtigten Bildschirmen lassen.
A.7.8Geräte so aufstellen und sichern, dass Standort-, Umwelt- und Zugriffsrisiken sinken.
A.7.9Geräte und Werte schützen, die außerhalb der Standorte genutzt oder gelagert werden.
A.7.10Speichermedien von der ersten Nutzung bis zur Ausmusterung nachverfolgen und schützen.
A.7.11Für Versorgungseinrichtungen, von denen kritische Geräte abhängen, Ausfallsicherheit bereitstellen.
A.7.12Wichtige Kabel so verlegen und abschirmen, dass sie schwerer abzuhören, zu manipulieren oder versehentlich zu beschädigen sind.
A.7.13Geräte so warten, dass sie verfügbar und sicher bleiben.
A.7.14Vor Weiternutzung oder Entsorgung sensible Inhalte löschen und lizenzierte Software bei Bedarf entfernen.
A.8
A.8.1Grundschutz auf Laptops, Telefone und andere Endgeräte anwenden, die mit Organisationsinformationen umgehen.
A.8.2Erhöhte administrative Zugriffe streng beschränken und überwachen.
A.8.3Zugriff auf Informationen und Funktionen auf das beschränken, was jede Person benötigt.
A.8.4Zugang zu Repository und Build-System auf Personen und Dienste mit berechtigtem Bedarf begrenzen.
A.8.5Authentisierungsstärke und -verfahren am Zugriffsrisiko ausrichten.
A.8.6Ressourcennutzung überwachen und anpassen, damit Systeme unter Last verfügbar bleiben.
A.8.7Mehrschichtige Abwehr und Nutzersensibilisierung gegen Schadsoftware einsetzen.
A.8.8Technische Schwachstellen rechtzeitig finden, bewerten und beheben.
A.8.9System- und Softwareeinstellungen an genehmigten sicheren Baselines ausgerichtet halten.
A.8.10Nicht mehr benötigte Informationen löschen, um Exposition zu begrenzen und Pflichten zu erfüllen.
A.8.11Sensible Daten wie personenbezogene Daten maskieren oder deren Exposition begrenzen.
A.8.12Unbefugte Offenlegung sensibler Daten erkennen und verhindern.
A.8.13Geschützte Backups erstellen und nachweisen, dass die Wiederherstellung funktioniert.
A.8.14Ausweichkapazität dort ergänzen, wo Ausfälle die Toleranz der Organisation überschreiten würden.
A.8.15Aktivitäten und Ereignisse aufzeichnen, damit sie überprüft und untersucht werden können.
A.8.16Technische Überwachung nutzen, um ungewöhnliche Aktivität zu erkennen und Alarme zur Untersuchung weiterzuleiten.
A.8.17Systemzeit abgeglichen halten, damit Ereigniszeitleisten vertrauenswürdig sind.
A.8.18Werkzeuge, die übliche Kontrollen umgehen können, auf freigegebene Nutzer und protokollierte Nutzung begrenzen.
A.8.19Nur freigegebene Software auf produktive Live-Systeme zulassen.
A.8.20Netzwerke und die sie betreibenden Geräte absichern.
A.8.21Sicherheitserwartungen an Netzwerkdienste festlegen und ihre Einhaltung prüfen.
A.8.22Netzwerke in Zonen unterteilen, um Risiken einzudämmen und laterale Bewegung zu begrenzen.
A.8.23Browsing-Kontrollen nutzen, um Nutzer von bekannten riskanten oder ungeeigneten Web-Zielen wegzulenken.
A.8.24Kryptografie anwenden und Schlüssel nach einer definierten Richtlinie verwalten.
A.8.25Sicherheit über den gesamten Softwareentwicklungslebenszyklus einbauen.
A.8.26Anwendungsspezifische Sicherheitsanforderungen ermitteln und umsetzen.
A.8.27Sichere Entwurfsprinzipien beim Planen und Prüfen von Systemen anwenden.
A.8.28Programmierpraktiken nutzen, die verbreitete Sicherheitsfehler verhindern sollen.
A.8.29Sicherheit prüfen, bevor neue oder geänderte Software abgenommen wird.
A.8.30Sicherheit steuern und überprüfen, wenn Entwicklungsarbeit ausgelagert ist.
A.8.31Verhindern, dass Nicht-Produktionsarbeit Live-Systeme beeinflusst — durch getrennte Zugriffs-, Daten- und Infrastrukturgrenzen.
A.8.32Änderungen an Systemen so steuern, dass die Sicherheit über die Änderung hinweg erhalten bleibt.
A.8.33Für Tests genutzte Daten auswählen und schützen.
A.8.34Audittests so eingrenzen, dass Live-Systeme nicht exponiert oder gestört werden.

Wichtig

Dieses Tool erzeugt aus Ihren Eingaben den Entwurf einer Anwendbarkeitserklärung. Es ist keine Rechtsberatung, kein Audit, zertifiziert Ihre Organisation nicht und ist keine Konformitätserklärung. Es dokumentiert nicht allein alle Nachweise, Umsetzungsstände oder Begründungen für einbezogene Controls, die für eine finale Anwendbarkeitserklärung erforderlich sein können. Ihre Anwendbarkeitserklärung muss aus Ihrer Risikobewertung und -behandlung abgeleitet und mit einer kompetenten auditierenden Stelle bestätigt werden; einige Anforderungen sind hier nicht erfasst.

Häufige Fragen

Ist das eine fertige Anwendbarkeitserklärung?
Nein — es ist ein strukturierter Entwurf. Eine echte Anwendbarkeitserklärung muss auf Ihre Risikobewertung und -behandlung rückführbar sein und mit Ihrer auditierenden Stelle geprüft werden. Dieses Tool hilft, kein Control zu übersehen und Begründungen zu ordnen.
Sind das die offiziellen ISO-Control-Titel?
Nein. Wir geben Control-Titel und normativen Text der ISO/IEC 27001:2022 bewusst nicht wieder. Jedes Control zeigt seine Nummer und unsere eigene verständliche Zusammenfassung. Den offiziellen Wortlaut entnehmen Sie der Norm über Ihre nationale Normungsorganisation.
Warum müssen Ausschlüsse begründet werden?
Ein Annex-A-Control ohne dokumentierte, belastbare Begründung auszuschließen, ist ein typisches Auditthema. Das Tool markiert jeden Ausschluss oder Teilweise-Status ohne Begründung, damit Sie dies vor dem Export beheben.
Speichern Sie meine Antworten?
Nein. Alles läuft in Ihrem Browser. Es gibt kein Formular davor; CSV-/JSON-Export und die druckbare Ansicht werden lokal erzeugt.

Von ISMS Copilot. Strukturiert anhand von ISO/IEC 27001:2022 Annex A. Die Control-Zusammenfassungen sind originale redaktionelle Inhalte; offizielle Titel und normative Anforderungen entnehmen Sie der Norm über Ihre nationale Normungsorganisation.

Bereit, Ihre Compliance-Arbeit zu optimieren?

Entwickelt für Geschwindigkeit, Genauigkeit und prüfungsreife Ergebnisse.

ISMS Copilot 2.0 testen