An welchen Rahmenwerken richtet sich Die Zenith Controls aus?

Es ist abgebildet auf ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev. 5, EU NIS2, EU DORA, GDPR, COBIT 2019 und weitere.

Welche Sicherheitsbereiche werden abgedeckt?

Kontrollen decken Governance, Betrieb, Zugriff, personelle Maßnahmen, physische Sicherheit, Lieferanten/Auslagerung, Cloud, technologische Bereiche und Vorfallmanagement ab.

Enthalten die Kontrollen Audit-Leitlinien?

Ja, jede Kontrolle enthält die entsprechende Auditmethodik, Anforderungen an Auditnachweise und Verknüpfungen zu Zertifizierungsklauseln.

Wie adressiert Die Zenith Controls Drittparteienrisiken?

Es beschreibt die Sicherheit über den Lieferantenlebenszyklus, vertragliche Anforderungen, Bewältigung von Sicherheitsvorfällen und Auditrechtsklauseln mit Kontroll-Mapping.

Gibt es Leitlinienabschnitte für regulatorisches Mapping?

Ja. Jede Kontrolle enthält ein Cross-Compliance-Mapping und zeigt Nachweisverknüpfungen zu EU-, US- und internationalen Vorschriften und Normen.

Die Zenith Controls

Übersicht

Die Zenith Controls ist ein detailliertes Referenzwerk für Informationssicherheitskontrollen, ausgerichtet an wichtigen globalen Rahmenwerken. Es deckt Governance-, physische, personelle, technologische, Lieferanten- und Entwicklungsdomänen ab und enthält abgebildete Auditmethodik sowie Compliance-Leitlinien zur Unterstützung einer wirksamen Steuerung, Umsetzung und Zertifizierung.

Umfassende Kontrollbibliothek

Deckt Governance, technische Maßnahmen, personelle Maßnahmen und physische Sicherheitsmaßnahmen für einen durchgängigen Schutz von Informationen ab.

Abgebildet auf regulatorische Normen

Abgebildet auf ISO/IEC 27001 & 27002, NIST SP 800-53 Rev. 5, EU NIS2, DORA, GDPR und COBIT 2019 für nachweisbare Kontrollabdeckung.

Leitfaden zur operativen Umsetzung

Enthält detaillierte Verknüpfungen zu anderen Kontrollen, Umsetzungshinweise und Querverweise auf praxisnahe Risikoszenarien.

Sicherheit von Drittparteien & Lieferkette

Behandelt Lieferantenverträge, Cloud und ausgelagerte Entwicklung mit Beispiel-Auditkriterien und Sicherheitsklauseln.

End-to-End-Risikomanagement

Verknüpft Risikoidentifikation, Risikobehandlung, Incident-Response und kontinuierliche Verbesserung in einem einheitlichen Sicherheitsrahmen.

Auditbereites Kontroll-Mapping

Jede Kontrolle enthält Anforderungen an Auditnachweise, ISO/NIST-Mapping und Methodik-Erwartungen für Zertifizierungsaudits.

Integrierter Datenschutz & Sicherheit

Integriert den Umgang mit PII, Datenmaskierung, Datenminimierung und Löschung für Datenschutzvorgaben und bewährte Sicherheitspraktiken.

Vollständige Übersicht lesen

Die Zenith Controls bietet ein umfassendes, strukturiertes Set von Informationssicherheitskontrollen, ausgerichtet an international anerkannten Normen für wirksame Governance, Risikomanagement und Compliance. Der Leitfaden umfasst Governance-, technologische, physische und personelle Domänen und beschreibt einzelne Kontrollen, einschließlich Richtlinienmanagement, Rollendefinition, Lieferantenaufsicht, Inventar der Werte, Benutzerzugriffsverwaltung, Schwachstellenmanagement, sichere Entwicklung und Incident-Response, mit detaillierten Querverweisen auf globale Rahmenwerke wie ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, EU-NIS2-Richtlinie, EU DORA, EU GDPR und COBIT 2019. Jede Kontrolle im Set ist sorgfältig beschrieben und zeigt operative Merkmale, Risikoziele, adressierte Informationssicherheitseigenschaften sowie Beziehungen zu anderen Kontrollen. Kontrollen werden nicht isoliert betrachtet, sondern über miteinander verbundene Governance-, technologische, Lieferanten- und Entwicklungsszenarien hinweg abgebildet. Praxisnahe Umsetzungshinweise begleiten jede Kontrolle, unterstützt durch zusammengefasste Erwartungen an die Auditmethodik, die aktuelle bewährte Verfahren widerspiegeln, einschließlich Interviews, Dokumentationsprüfung, Stichproben und Live-Szenariotests. Die Zenith Controls adressiert den gesamten Sicherheitslebenszyklus: von der Erstellung von Informationssicherheitsleitlinien und Managementverantwortung über Identitäts- und Zugriffsmanagement (über Berechtigungen, Informationsbeschränkung und Authentifizierung) bis hin zu sicherer Projektdurchführung, Änderungsmanagement und Lieferantenkontrollen (einschließlich Cloud und ausgelagerter Entwicklung). Detaillierte Aufmerksamkeit gilt technischen Domänen wie Schwachstellenmanagement, Netzwerksegmentierung und -isolation, Kontrollbasislinie, sicherer Systemarchitektur und Systementwicklungslebenszyklus (SDLC) bis hin zu Datensicherungssystemen und Redundanzplanung, Audit-Protokollierung, Überwachung sowie dem Umgang mit Sicherheitsvorfällen und kontinuierlicher Verbesserung. Datenschutz und die Schnittstelle von Datenschutz mit Sicherheit sind wiederkehrende Themen. Der Leitfaden integriert Praktiken für Privacy by Design/Default, Datenminimierung, Maskierung, Kontrolle von Testinformationen, zeitnahe Löschung und sichere Entsorgung von Speichermedien. Wo anwendbar, sind Kontrollen mit Cross-Compliance für personenbezogene Daten verknüpft, einschließlich klarer Abbildungen auf GDPR- sowie ISO/IEC 27701/27018-Anforderungen, mit besonderem Fokus auf Audit-Trail, Ausübung von Benutzerrechten und den Umgang mit PII in Lieferanten- und Cloud-Beziehungen. Sicherheit von Drittparteien und Lieferkette wird ebenfalls umfassend behandelt. Kontrollen beschreiben Lieferantensorgfaltsprüfung, Vertragsklauseln, Prüfungsrechte, Anforderungen an Vorfallmeldungen und sichere Entwicklung für externe Beziehungen. Es werden Leitlinien zur Steuerung des gesamten Drittparteienlebenszyklus bereitgestellt, einschließlich Datenaustausch, Cloud-Verantwortlichkeiten und der Sicherstellung, dass lieferantengeführte Umgebungen mit den Risiko- und Compliance-Anforderungen der Organisation übereinstimmen. Über alle Kontrollen hinweg stellt Die Zenith Controls Beispieltabellen für das Mapping auf regulatorische Klauseln bereit, schlägt Nachweise und Leistungskennzahlen (KPIs) für operative und Auditbereitschaft vor und richtet Praktiken an aktuellen Rahmenwerken und Branchentrends aus. Damit ist es eine zentrale Ressource für Organisationen, die bewährte Sicherheitspraktiken operationalisieren, Compliance-Anforderungen über Jurisdiktionen hinweg erfüllen und Interessenträgern ihr Risikoprofil nachvollziehbar darlegen möchten.

Inhalt

Vollständige Liste der Kontrollen 5.x–8.x (Governance, personelle Maßnahmen, physische Sicherheitsmaßnahmen, technische Maßnahmen)

Detaillierte Querverweise: ISO/IEC 27001, 27002, NIST SP 800-53, EU NIS2, DORA, GDPR, COBIT

Kontrollspezifische Auditmethodik und Nachweiskriterien

Anforderungen an Tests und Validierung sowie Abnahme für DevOps-, Lieferanten- und Cloud-Umgebungen

Datenschutz, Privacy und Löschpraktiken

Integration von kontinuierlicher Verbesserung und Incident-Response

Framework	Abgedeckte Klauseln / Kontrollen
ISO/IEC 27001:2022	Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3
EU NIS2	Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)
EU DORA	Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A
EU GDPR	Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Framework

Abgedeckte Klauseln / Kontrollen

ISO/IEC 27001:2022

Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3

EU NIS2

Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)

EU DORA

Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A

EU GDPR

Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Verwandte Richtlinien

Informationssicherheitsleitlinie

Etabliert die Informationssicherheitsleitlinie der Organisation als Grundlage für Governance.

Richtlinie zu Governance-Rollen und Verantwortlichkeiten

Definiert Befugnisse und Rechenschaftspflicht für die Entwicklung, Genehmigung und Durchsetzung von Informationssicherheitskontrollen.

Managementverantwortlichkeiten

Weist der obersten Leitung die Pflicht zur ISMS-Aufsicht, Richtlinienumsetzung und Sicherstellung der Compliance-Kontrollen zu.

Kontakt mit Behörden

Stellt sicher, dass Organisationen Beziehungen und Protokolle für eine zeitnahe Einbindung externer Behörden aufrechterhalten.

Kontakt mit Sicherheits-Communities

Fördert die Teilnahme an Sicherheits-Communities, um von gemeinsamem Wissen, Benchmarking und Threat Intelligence zu profitieren.

Über Clarysec-Richtlinien - Die Zenith Controls

Dieses Buch ist ein praxiserprobtes Playbook für Auditoren, CISOs und Compliance-Verantwortliche, die operative Kontrolle statt theoretischer Checklisten wollen. Jede Kontrolle ist für ein direktes Mapping auf ISO 27001:2022, NIS2, DORA, GDPR und NIST aufgeschlüsselt und zeigt, was Auditoren erwarten und welche Auditnachweise tatsächlich relevant sind. Sie erhalten umsetzbare Querverweise, rollenbasierte Zuweisungen und Aufschlüsselungen auf Klausel-Ebene – ausgelegt für die praktische Umsetzung des Informationssicherheits-Managementsystems (ISMS), Auditvorbereitung und kontinuierliche Verbesserung. Kein Füllmaterial, keine Unklarheiten – nur die wesentlichen Leitlinien und Werkzeuge, um Compliance-Lücken zu schließen und Ihr Unternehmen zu schützen.

Umfangreiche Audit- und Nachweisleitlinien

Stellt explizite Auditmethodik und Beispielnachweise für jede Kontrolle bereit und unterstützt interne, externe und Zertifizierungsaudits.

Detaillierte Kontroll-Zusammenhänge

Bildet praktische Kontrollbeziehungen ab und ermöglicht Organisationen, Sicherheitsabhängigkeiten über Governance, Technologie und Betrieb hinweg zu verstehen.

Aktuelle regulatorische Abbildungen

Bietet das aktuelle Cross-Compliance-Mapping auf alle wichtigen Rahmenwerke und erleichtert Zertifizierung, Selbstbewertung und regulatorische Berichterstattung.

Abdeckung von Lieferanten- & Auslagerungssicherheit

Adressiert umfassend vertragliche, Überwachungs- und Audit-Anforderungen für das Management von Lieferanten- und Auslagerungs-Sicherheitsrisiken.

Häufig gestellte Fragen

Von Führungskräften – für Führungskräfte

Diese Richtlinie wurde von einer Sicherheitsführungskraft mit über 25 Jahren Erfahrung in der Implementierung und Auditierung von ISMS-Frameworks für globale Unternehmen verfasst. Sie ist nicht nur als Dokument gedacht, sondern als belastbares Rahmenwerk, das einer Prüfung durch Auditoren standhält.

Verfasst von einem Experten mit folgenden Qualifikationen:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Abdeckung & Themen

🏢 Zielabteilungen

IT-Betrieb Sicherheit Compliance Audit und Compliance Governance

🏷️ Themenabdeckung

Zugangskontrolle Identitätsmanagement Authentifizierung Privilegiertes Zugriffsmanagement (PAM)