Security Control

Warum Security Control wichtig ist

Security Controls sind die operative Umsetzungseinheit aller Compliance-Frameworks. Ohne implementierte und nachgewiesene Controls bleibt Compliance eine Absichtserklärung.

Wo Security Control gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	Annex A	93 Security Controls in vier Kategorien als Referenz-Kontrollkatalog.
NIST SP 800-53	vollständig	Umfassender US-amerikanischer Kontrollkatalog, international als Referenz anerkannt.
NIS-2 / BSIG	§ 30 Abs. 2	Zehn Maßnahmenkategorien, die in konkrete Security Controls übersetzt werden müssen.
CIS Controls	vollständig	Priorisierter Kontrollkatalog des Center for Internet Security – besonders für KMU geeignet.

BAM-Objektreferenz

Häufige Audit-Fehler

• Control implementiert, aber nicht nachgewiesen
• Kein Eigentümer für die Control definiert
• Control-Typ nicht klassifiziert (präventiv/detektiv/korrektiv)
• Control ohne Prüfzyklus

Praxisbeispiel

Ein mittelständisches Unternehmen mit 150 Mitarbeitenden steht vor seiner ersten NIS-2-Prüfung. Der Auditor fragt nach dem Nachweis. Was in den meisten Fällen fehlt: ein datiertes, vollständiges Evidence-Dokument zur Wirksamkeit. Genau diese Lücke schließt das BAM-Objekt durch ein strukturiertes Evidence-Feld, das definiert, was konkret vorliegen muss – bevor der Audit stattfindet, nicht danach.

Abgrenzung und Zusammenhang

Dieser Begriff ist nicht isoliert zu betrachten. Er steht in direkter Verbindung zu Evidence (Was muss nachgewiesen werden?), Gap Analysis (Wo liegt die Lücke?) und Remediation (Wie wird die Lücke geschlossen?). Im BAM-Objektmodell sind alle vier Dimensionen im selben Objekt verankert – Requirement, Gap-Check, Remediation und Evidence bilden eine zusammenhängende Einheit statt verteilter Dokumente.

Verwandte Begriffe