Brain-Media.de/Compliance-Lexikon/Control Mapping
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Audit

Control Mapping

[kənˈtrəʊl ˈmæpɪŋ] · auch: Framework-Mapping, Control-Zuordnung

Control Mapping bezeichnet die systematische Zuordnung von Sicherheitskontrollen zu den Anforderungen eines oder mehrerer Compliance-Frameworks – so dass sichtbar wird, welche Controls welche Anforderungen erfüllen und wo Lücken bestehen.

Warum Control Mapping wichtig ist

Ohne Control Mapping wird jedes Framework separat bearbeitet, obwohl viele Anforderungen deckungsgleich sind. Das Collect-Once-Comply-Many-Prinzip ist nur durch konsequentes Control Mapping realisierbar.

Wo Control Mapping gefordert wird

FrameworkReferenzAnforderung
ISO 27001:2022Kap. 6.1.3Statement of Applicability basiert auf Control Mapping zwischen Risiken und Annex-A-Controls.
NIS-2 / BSIG§ 30Zuordnung der zehn Art.-21-Maßnahmen zu bestehenden Controls des eigenen ISMS.
DORAArt. 5–16Mapping von DORA-Anforderungen gegen ISO 27001 oder NIST-Controls für Finanzunternehmen mit bestehendem ISMS.

BAM-Objektreferenz

BAM-Objekt CROSS-CM-01
BeschreibungCross-Framework-Mapping-Objekt mit Zuordnungstabelle, Lückenidentifikation und Collect-Once-Analyse
GitHubBAM Core →

Häufige Audit-Fehler

  • Mapping nur einmalig, nicht bei Framework-Updates aktualisiert
  • Mapping auf Anforderungsebene statt Control-Ebene
  • Lücken im Mapping nicht als Findings dokumentiert

Praxisbeispiel

Ein mittelständisches Unternehmen mit 150 Mitarbeitenden steht vor seiner ersten NIS-2-Prüfung. Der Auditor fragt nach dem Nachweis. Was in den meisten Fällen fehlt: ein datiertes, vollständiges Evidence-Dokument zur Wirksamkeit. Genau diese Lücke schließt das BAM-Objekt durch ein strukturiertes Evidence-Feld, das definiert, was konkret vorliegen muss – bevor der Audit stattfindet, nicht danach.

Abgrenzung und Zusammenhang

Dieser Begriff ist nicht isoliert zu betrachten. Er steht in direkter Verbindung zu Evidence (Was muss nachgewiesen werden?), Gap Analysis (Wo liegt die Lücke?) und Remediation (Wie wird die Lücke geschlossen?). Im BAM-Objektmodell sind alle vier Dimensionen im selben Objekt verankert – Requirement, Gap-Check, Remediation und Evidence bilden eine zusammenhängende Einheit statt verteilter Dokumente.

Nächste Ebene

Control Mapping für NIS-2, DORA und ISO 27001 durchführen

Konkrete Methode für das Control Mapping – typische Fehler und wie das Collect-Once-Comply-Many-Prinzip umgesetzt wird.

Verwandte Begriffe

ControlGap AnalysisStatement Of ApplicabilityCompliance As Code

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper