ISO 27001 Anforderungen: Vollständige Checkliste der 93 Annex-A-Controls 2026
1. Mai 2026
23 Min. Lesezeit
ISO 27001
Die ISO/IEC 27001:2022 definiert die Anforderungen an ein wirksames Informationssicherheits-Managementsystem (ISMS) in zehn Hauptklauseln (4–10) sowie 93 Sicherheitsmaßnahmen (Controls) in Annex A. Die 2022er-Revision hat die Annex-A-Struktur von 114 auf 93 Controls verschlankt und in vier Themengebiete neu geordnet: organisatorisch (37), personell (8), physisch (14) und technisch (34). Diese Checkliste deckt alle Anforderungen vollständig ab und zeigt, welche Dokumente, Nachweise und technischen Maßnahmen die Auditoren in deutschen Erstaudits typischerweise verlangen.
Kerntatsachen
Hauptnorm-Klauseln 4–10 sind Pflicht für jedes zertifizierte ISMS — sie regeln Kontext, Führung, Planung, Unterstützung, Betrieb, Bewertung und Verbesserung.
Annex A:2022 umfasst 93 Controls in vier Gruppen: A.5 Organisatorisch (37), A.6 Personell (8), A.7 Physisch (14), A.8 Technisch (34).
11 neue Controls wurden 2022 ergänzt (u. a. Threat Intelligence A.5.7, Cloud Security A.5.23, Data Masking A.8.11, Web-Filterung A.8.23).
Statement of Applicability (SoA) dokumentiert für jeden Control, ob er anwendbar ist und wie er umgesetzt wird — das wichtigste Auditdokument.
Übergangsfrist von Version 2017 auf 2022 endet im Oktober 2025 — alle bestehenden Zertifikate müssen bis dahin migriert sein.
Auditmaßstab: nicht alle Controls müssen vollständig umgesetzt sein — die Auswahl folgt der Risikoanalyse und wird im SoA begründet.
Implementierungsreife: für die Erstzertifizierung wird in der Regel mindestens Reifegrad 3 (definiert / dokumentiert / angewendet) erwartet.
Anforderungen an Aufbau, Betrieb und Verbesserung des ISMS
vollständig
Annex A
93 Sicherheitsmaßnahmen als Referenzkatalog
nur soweit anwendbar laut Risikoanalyse
Die Hauptnorm beschreibt das „Was" — also welche Prozesse ein ISMS haben muss. Annex A liefert das „Wie" — konkrete Sicherheitsmaßnahmen, aus denen das Unternehmen die für sein Risikoprofil passenden auswählt.
11 hinzugefügt (Threat Intelligence, Cloud, Data Masking, Web-Filterung u. a.)
Zusammengefasste Controls
24 zusammengelegt zu 24
Eingeführte Attribute
jedes Control hat fünf Attribute (Type, Information Security Property, Cybersecurity Concept, Operational Capability, Security Domain) — Auditerleichterung
Klauseln 4–10
weitgehend unverändert; Klausel 6.3 „Planning of changes" neu hinzugefügt
Kennzahl
31. Oktober 2025 — Stichtag, bis zu dem alle bestehenden ISO-27001-Zertifikate auf die 2022er-Version umgestellt sein müssen. Die DAkkS hat klargestellt, dass nach diesem Datum keine Zertifikate nach der 2017er-Version mehr ausgestellt werden dürfen.
Hauptnorm-Klauseln 4 bis 10
Die sieben Hauptklauseln folgen der High-Level Structure (HLS) der ISO — sie ist identisch mit ISO 9001, ISO 14001 und anderen Managementnormen. Das erleichtert Integration in bestehende Managementsysteme.
Klausel 4 — Kontext der Organisation
Anforderung
Pflichtdokument
4.1 Verstehen der Organisation und ihres Kontexts
Kontextanalyse, SWOT, Stakeholder-Karte
4.2 Verstehen der Erfordernisse interessierter Parteien
Stakeholder-Anforderungsmatrix
4.3 Festlegung des Anwendungsbereichs
Scope-Statement (auditkritisch)
4.4 Informationssicherheits-Managementsystem
ISMS-Handbuch
Klausel 5 — Führung
Anforderung
Pflichtdokument
5.1 Führung und Verpflichtung
Geschäftsleitungs-Mandat, Ressourcen-Zusage
5.2 Politik
Informationssicherheits-Leitlinie (öffentlich oder intern)
5.3 Rollen, Verantwortlichkeiten und Befugnisse
Rollenmatrix, Funktionsbeschreibungen
Klausel 6 — Planung
Anforderung
Pflichtdokument
6.1.1 Allgemeines
Risikomanagementmethodik
6.1.2 Informationssicherheits-Risikobeurteilung
Risiko-Inventar mit Eintrittswahrscheinlichkeit / Auswirkung
6.1.3 Informationssicherheits-Risikobehandlung
Risiko-Behandlungsplan + Statement of Applicability
6.2 Informationssicherheitsziele und Pläne
Zieldefinition mit KPIs
6.3 Planung von Änderungen
Change-Prozess (NEU 2022)
Klausel 7 — Unterstützung
Anforderung
Pflichtdokument
7.1 Ressourcen
Budget- und Personal-Plan
7.2 Kompetenz
Qualifikationsmatrix, Schulungsnachweise
7.3 Bewusstsein
Awareness-Programm, Teilnahmenachweise
7.4 Kommunikation
Kommunikationsplan intern / extern
7.5 Dokumentierte Information
Dokumentenlenkung, Versionsverwaltung
Klausel 8 — Betrieb
Anforderung
Pflichtdokument
8.1 Betriebliche Planung und Steuerung
Betriebshandbuch
8.2 Risikobeurteilung
jährliche Risiko-Updates
8.3 Risikobehandlung
Wirksamkeitsnachweise der Maßnahmen
Klausel 9 — Bewertung der Leistung
Anforderung
Pflichtdokument
9.1 Überwachung, Messung, Analyse, Bewertung
KPI-Berichte
9.2 Internes Audit
Audit-Programm, Auditberichte
9.3 Managementbewertung
Management-Review-Protokoll (mind. jährlich)
Klausel 10 — Verbesserung
Anforderung
Pflichtdokument
10.1 Allgemeines
Verbesserungs-Roadmap
10.2 Nichtkonformität und Korrekturmaßnahmen
CAPA-Liste (Corrective and Preventive Actions)
Annex A — 93 Controls in 4 Gruppen
Die 93 Annex-A-Controls sind in vier Themengruppen eingeteilt — eine Strukturänderung, die das Auditieren und das Mapping zu anderen Standards (BSI-IT-Grundschutz, NIST CSF, CIS Controls) deutlich vereinfacht hat.
Die größte Gruppe — sie deckt organisatorische Steuerung und Lieferantenmanagement ab. Die Auditoren erwarten hier vollständige Dokumentation und gelebte Prozesse.
Verantwortlichkeiten bei Beendigung oder Wechsel des Beschäftigungsverhältnisses
Offboarding-Prozess inklusive Asset-Rückgabe
A.6.6
Vertraulichkeits- oder Geheimhaltungsvereinbarungen
NDAs, regelmäßige Review
A.6.7
Telearbeit
Telearbeit-Richtlinie, sichere Endgeräte
A.6.8
Meldung von Informationssicherheitsereignissen
niedrigschwelliger Meldekanal, Kein-Tadel-Politik
A.7 Physische Controls
Schutz der physischen Infrastruktur — relevant für alle Standorte im Anwendungsbereich, einschließlich Rechenzentren, Büros, Lager und Außendienst-Mitarbeiter-Geräte.
Sichere Systemarchitektur und Engineering-Prinzipien
Defense-in-Depth, Zero Trust
A.8.28
Sichere Codierung (NEU 2022)
OWASP-konforme Coding Guidelines
A.8.29
Sicherheitstests in Entwicklung und Akzeptanz
SAST, DAST, Penetration Tests
A.8.30
Outsourcing der Entwicklung
Vertragsklauseln, Prüfrechte
A.8.31
Trennung der Entwicklungs-, Test- und Produktivumgebungen
strikte Umgebungstrennung
A.8.32
Änderungsmanagement
dokumentierter Change-Prozess
A.8.33
Test-Informationen
maskierte Testdaten, keine Echtdaten
A.8.34
Schutz der Informationssysteme während Audit-Tests
sichere Testverfahren
Statement of Applicability
Das Statement of Applicability (SoA) ist das wichtigste Auditdokument der gesamten Zertifizierung. Es listet jeden der 93 Controls und gibt für jeden eine Antwort auf vier Fragen.
Aufbau eines SoA-Eintrags
Spalte
Inhalt
Control-ID
A.5.1 bis A.8.34
Control-Bezeichnung
wörtlich aus Annex A
Anwendbar?
Ja / Nein
Begründung bei Nicht-Anwendbarkeit
nachvollziehbare Begründung, z. B. „kein Hardware-Entwicklungsprozess"
Umgesetzt durch
konkrete Maßnahmen, Prozesse, Tools
Verweis auf interne Dokumente
Richtlinien-IDs, Prozesshandbücher
Typische SoA-Fallen
„Anwendbar" ohne Maßnahmen — Control aktiviert, aber im Audit fehlen die Wirksamkeitsnachweise → Major Non-Conformity.
„Nicht anwendbar" ohne Begründung — pauschale Ausschlüsse („wir haben keine Lieferanten") sind unrealistisch und werden vom Auditor zurückgewiesen.
Kopierte SoAs aus Vorlagen — wenn der Anwendungsbereich nicht zu den Vorlagen passt, wirkt das wie Audit-Theater.
Das SoA ist das erste Dokument, das Auditoren in Stufe 1 anfordern. Es zeigt sofort, ob das ISMS tatsächlich auf das Unternehmen zugeschnitten ist oder nur eine generische Vorlage ist.
Reifegradbewertung
Für jeden anwendbaren Control sollte der Reifegrad bewertet werden — am häufigsten nach einer 5-stufigen Skala in Anlehnung an CMMI:
Reifegrad
Bezeichnung
Was Auditoren erwarten
0
nicht existent
keine Maßnahmen, hohes Audit-Risiko
1
initial / ad-hoc
Maßnahmen vorhanden, aber nicht dokumentiert
2
wiederholbar
dokumentiert, aber nicht durchgehend gelebt
3
definiert / implementiert
dokumentiert, gelebt, gemessen — Mindestreife für Erstzertifizierung
4
gemessen / quantitativ gesteuert
KPIs, Metriken, kontinuierliche Verbesserung
5
optimiert
datenbasierte Optimierung, Best-Practice-Niveau
In der Erstzertifizierung wird typischerweise erwartet, dass alle anwendbaren Controls mindestens Reifegrad 3 erreichen. In regulierten Branchen (Finanzdienstleister, KRITIS, Gesundheitswesen) wird oft mindestens Reifegrad 4 in den Kern-Controls verlangt.
Audit-Praxis
In der Realität konzentrieren sich Auditoren während der knappen Audittage auf bestimmte Schwerpunkt-Controls — die Erfahrungswerte aus über 200 Erstzertifizierungen zeigen klare Muster.
Top-10 der am intensivsten geprüften Controls
Rank
Control
Warum kritisch
1
A.5.9 Inventarisierung der Informationen und Werte
Basis für jede Risikoanalyse
2
A.5.34 Datenschutz und Schutz personenbezogener Daten
DSGVO-Bezug, Bußgeld-Risiko
3
A.8.13 Backup von Informationen
erfordert Restore-Tests, oft schwach umgesetzt
4
A.5.24 Planung und Vorbereitung Incident-Behandlung
Reife des Krisenmanagements
5
A.5.7 Threat Intelligence (NEU)
neuer Control, viele Findings
6
A.5.23 Cloud-Sicherheit (NEU)
Komplexität, Verantwortungsmatrix
7
A.6.3 Awareness und Schulung
Mitarbeiter werden interviewt
8
A.8.8 Schwachstellen-Management
Tooling und Prozess-Reife
9
A.8.15 Protokollierung
Logging-Vollständigkeit, Aufbewahrung
10
A.5.19 Lieferantensicherheit
Vertragsprüfungen, Sub-Processors
Typische Audit-Findings nach DAkkS-Praxis
Nicht aktualisierte Risiko-Inventare — Risiko-Bewertung älter als 12 Monate.
Lücken im Asset-Inventar — Cloud-Services oder Schatten-IT nicht erfasst.
Backup ohne Restore-Test — formal vorhanden, aber praktisch nie geprüft.
Awareness-Schulungen ohne Wirksamkeitsmessung — kein Phishing-Test oder Quiz.
Lieferantenrichtlinie ohne tatsächliche Umsetzung — Sub-Processors nicht überprüft.
SoA ohne klare Begründungen — pauschale „Nicht anwendbar" -Einträge.
Migration von 2017 auf 2022
Bestehende Zertifikate nach ISO 27001:2017 müssen bis 31. Oktober 2025 auf die 2022er-Version migriert werden. Die Migration erfolgt typischerweise im Rahmen eines Überwachungs- oder Re-Zertifizierungsaudits.
Kernaufgaben der Migration
Mapping der bestehenden 114 Controls auf die neue 93er-Struktur
Implementierung der 11 neuen Controls (Threat Intelligence, Cloud, Data Masking, DLP, Web-Filter usw.)
Anpassung des SoA an die neue Struktur
Aktualisierung der Risikoanalyse zur Berücksichtigung neuer Bedrohungslagen
Schulung der Mitarbeiter zu den neuen Anforderungen
Typischer Mehraufwand: 5–15 Beratertage plus internen Personalaufwand. Die Zertifizierungsstellen führen den Migrationsaudit-Anteil meist im laufenden Überwachungsaudit durch und erhöhen die Audittage um 0,5–2 Tage.
FAQ
Welche Anforderungen stellt ISO 27001 an die Geschäftsleitung?
Klausel 5.1 verlangt Engagement und Verantwortungsübernahme der Geschäftsleitung — unter anderem die Bereitstellung von Ressourcen, die Verabschiedung der Sicherheitsleitlinie und die jährliche Managementbewertung.
Sind alle 93 Annex-A-Controls Pflicht?
Nein — die Auswahl folgt der Risikoanalyse. Im Statement of Applicability (SoA) wird für jeden Control begründet, ob er anwendbar ist. Praktisch werden bei den meisten Unternehmen 70–90 der 93 Controls aktiviert.
Was sind die wichtigsten neuen Controls in der 2022er-Version?
Die elf neuen Controls sind: Threat Intelligence (A.5.7), Identity Management (A.5.16), Information Security for use of Cloud Services (A.5.23), ICT Readiness for Business Continuity (A.5.30), Physical Security Monitoring (A.7.4), Configuration Management (A.8.9), Information Deletion (A.8.10), Data Masking (A.8.11), Data Leakage Prevention (A.8.12), Monitoring Activities (A.8.16), Web Filtering (A.8.23) und Secure Coding (A.8.28).
Welche Reifegradstufe brauche ich für die Zertifizierung?
In der Regel Reifegrad 3 für alle anwendbaren Controls — definiert, dokumentiert und durchgängig angewendet. In regulierten Branchen wird oft Reifegrad 4 (gemessen) verlangt.
Wie viele Audittage brauche ich?
Die Audittage richten sich nach der Mitarbeiterzahl im Anwendungsbereich. Ein Unternehmen mit 100 Mitarbeitern benötigt nach IAF MD 5 etwa 10 Audittage für Stufe 1+2.
Wann muss ich von 2017 auf 2022 migrieren?
Bis spätestens 31. Oktober 2025. Nach diesem Datum dürfen keine 2017er-Zertifikate mehr ausgestellt werden, und bestehende verlieren ihre Gültigkeit.
Was ist der Unterschied zwischen ISO 27001 und ISO 27002?
ISO 27001 ist der Zertifizierungsstandard mit den verbindlichen Anforderungen. ISO 27002 ist ein Anwendungsleitfaden, der die 93 Controls aus Annex A detailliert erklärt.
Wie unterscheiden sich ISO 27001 und BSI-IT-Grundschutz?
ISO 27001 ist risikoorientiert und international, BSI-IT-Grundschutz ist maßnahmenorientiert und deutsch. Beide sind kombinierbar — etwa 70–80 % der Controls sind kongruent.
Brauche ich für jedes Control ein eigenes Dokument?
Nein — viele Controls können in zusammengefassten Richtlinien adressiert werden (z. B. eine „Zugangsrichtlinie", die A.5.15, A.5.16, A.5.17 und A.5.18 abdeckt).
Welche Mindestdokumente verlangt die Norm?
Pflichtdokumente sind das Scope-Statement, die Sicherheitsleitlinie, die Risikoanalyse-Methodik, der Risikobehandlungsplan, das Statement of Applicability, die Sicherheitsziele, das Audit-Programm, die Managementbewertung und die Aufzeichnungen über Korrekturmaßnahmen.
Die ISO/IEC 27001:2022 ist kein Maßnahmenkatalog, sondern ein strukturiertes Managementsystem zur kontinuierlichen Risikobeherrschung. Die 93 Annex-A-Controls sind ein Werkzeugkasten, kein Pflichtenheft — die Kunst liegt in der passgenauen Auswahl auf Basis einer fundierten Risikoanalyse.
Drei Erfolgsfaktoren entscheiden über das Audit-Ergebnis:
Erstens, ein realistisch abgegrenzter Anwendungsbereich. Wer alles zertifizieren will, riskiert einen verwässerten ISMS, der weder wirksam noch wirtschaftlich ist.
Zweitens, eine gelebte Risikoanalyse, deren Ergebnisse das SoA und die Maßnahmenpriorisierung steuern. Eine generische Vorlage führt zwangsläufig zu Findings.
Drittens, Reifegrad 3 als Mindeststandard in allen anwendbaren Controls — also nicht nur dokumentiert, sondern durchgängig gelebt und gemessen.
Vision Compliance unterstützt Unternehmen vom KMU bis zum Konzern bei der Implementierung und Re-Zertifizierung nach ISO 27001:2022. Wir nutzen erprobte Vorlagen und Mappings zu BSI-IT-Grundschutz, NIS2 und DSGVO, um den Implementierungsaufwand systematisch zu reduzieren — bei gleichzeitig hoher Zertifizierungserfolgsquote. Ergänzend bieten wir ISO-27001-Schulungen für Lead Implementer und Auditoren. Sprechen Sie uns an für ein kostenloses Erstgespräch mit individueller Reifegradanalyse.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
