Controls sind keine Kontrollen – Ein weit verbreitetes Missverständnis klargestellt
Wer sich mit der ISO 27001 im englischen Original und speziell mit dem Anhang A beschäftigt, stößt unweigerlich auf den Begriff "Controls". Viele übersetzen das direkt mit "Kontrollen" – und liegen damit komplett falsch. Tatsächlich übersetzte sich das englische Wort "Control" hier nicht mit "Kontrolle", sondern mit "Maßnahme".
Es geht um nachhaltige Maßnahmen, die Informationssicherheit sicherstellen sollen.
Was sind ISO 27001 Controls wirklich?
"Control" übersetzte sich hier mit "Maßnahme". Im Anhang A der ISO 27001 sind knapp 100 dieser Maßnahmen aufgeführt, die Unternehmen dabei helfen, ihre Informationssicherheit zu verbessern. Beispiele für solche Maßnahmen sind:
- Zugriffsmanagement: Sicherstellen, dass nur autorisierte Personen auf bestimmte Daten zugreifen können.
- Verschlüsselung: Schutz sensibler Informationen durch kryptografische Verfahren.
- Sicherheitsrichtlinien: Definition von Regeln und Verhaltensweisen für Mitarbeiter.
Warum sind Controls keine Kontrollen?
Eine Kontrolle ist eine Überprüfung. Sie dient dazu, einmalig oder regelmäßig zu prüfen, ob Anforderungen eingehalten werden. Ein Beispiel: Prüfen, ob alle Mitarbeiter ihre Passwörter regelmäßig ändern.
Ein Control, also eine Maßnahme, geht deutlich weiter. Es geht um die nachhaltige Umsetzung von Sicherheitsvorkehrungen, die über einen langen Zeitraum greifen. Beispielsweise:
- Das Einführen und Konfigurieren eines Passwort-Management-Systems.
- Schulungen für Mitarbeiter, um sichere Passwörter zu erstellen.
- Regelungen, die in Sicherheitsrichtlinien verankert werden.
Wie hängen Controls und Kontrollen zusammen?
Klar: Ob die Umsetzung eines Controls (also: einer Maßnahme) funktioniert, kann (und sollte) durch eine Kontrolle überprüft werden. Aber: Die Kontrolle steht immer erst am Ende, nicht am Anfang.
Bevor man darüber nachdenkt, ob die Maßnahme korrekt umgesetzt wird, muss die Maßnahme überhaupt erst eingeführt werden. Nur eine nachhaltige Implementierung eines Controls (also: einer Maßnahme) sorgt dafür, dass Informationssicherheit effektiv wird.
Fazit: Fokus auf Maßnahmen, nicht nur auf Kontrollen
Ein klarer Fokus auf die richtigen Maßnahmen sorgt dafür, dass die Informationssicherheit nicht nur auf dem Papier, sondern auch in der Praxis funktioniert.
Unser Tipp
Wir empfehlen, den Fokus erst einmal auf Maßnahmen zu setzen, nicht auf Kontrollen. Die Übersetzung "Kontrolle" ist hier ein sog. false friend und sorgt dafür, dass die Umsetzung nichts wird. Die Controls in der ISO 27001 sind keine einmaligen Prüfungen. Es sind Maßnahmen, die ein Unternehmen systematisch und nachhaltig umsetzen muss, um Informationssicherheit zu erreichen. Kontrollen spielen eine Rolle – aber erst, wenn die Maßnahmen stehen.
Interesse geweckt?
Möchten Sie mehr zum Thema ISO 27001 Controls wissen? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!
