ISO 27001 – Anhang A.18: Konformität

Was ist das Ziel von Anhang A.18.1?

In der Anlage A.18.1 geht es um die Einhaltung gesetzlicher und vertraglicher Anforderungen. Ziel ist es, Verstöße gegen gesetzliche, satzungsmäßige, behördliche oder vertragliche Verpflichtungen im Zusammenhang mit der Informationssicherheit und etwaige Sicherheitsanforderungen zu vermeiden.

Es ist ein wichtiger Bestandteil des Informationssicherheits-Managementsystems (ISMS), insbesondere wenn Sie eine ISO 27001-Zertifizierung erreichen möchten.

A.18.1.1 Identifizierung der geltenden Gesetze und vertraglichen Anforderungen

Eine gute Kontrolle beschreibt, wie alle relevanten gesetzlichen, behördlichen und vertraglichen Anforderungen sowie der Ansatz der Organisation zur Erfüllung dieser Anforderungen für jedes Informationssystem und die Organisation explizit identifiziert, dokumentiert und auf dem neuesten Stand gehalten werden sollten. Einfach ausgedrückt muss die Organisation sicherstellen, dass sie über die Gesetzgebung und Vorschriften, die sich auf die Erreichung ihrer Geschäftsziele und die Ergebnisse des ISMS auswirken, auf dem Laufenden bleibt und diese dokumentiert.

Es ist wichtig, dass die Organisation die Gesetze, Vorschriften und vertraglichen Anforderungen versteht, die sie einhalten muss. Diese sollten zentral im Register erfasst werden, um eine einfache Verwaltung und Koordination zu ermöglichen. Die Identifizierung dessen, was relevant ist, wird weitgehend davon abhängen: Wo die Organisation ihren Sitz hat oder tätig ist; Was ist die Art der Geschäftstätigkeit der Organisation? und Die Art der Informationen, die innerhalb der Organisation verarbeitet werden. Die Identifizierung der relevanten Gesetze, Vorschriften und Vertragsanforderungen umfasst wahrscheinlich die Zusammenarbeit mit Rechtsexperten, Regulierungsbehörden und Vertragsmanagern.

Dies ist ein Bereich, der Organisationen oft überrascht, da es im Allgemeinen weitaus mehr Gesetze und Vorschriften gibt, die sich auf die Organisation auswirken, als zunächst angenommen wird. Der Prüfer wird prüfen, wie die Organisation ihre gesetzlichen, behördlichen und vertraglichen Verpflichtungen identifiziert und dokumentiert hat; die Verantwortlichkeiten für die Erfüllung dieser Anforderungen sowie alle erforderlichen Richtlinien, Verfahren und anderen Kontrollen, die zur Erfüllung der Kontrollen erforderlich sind.

Darüber hinaus werden sie darauf achten, dass dieses Register regelmäßig vor relevanten Änderungen geführt wird – insbesondere bei der Gesetzgebung in allgemeinen Bereichen, von denen sie erwarten, dass jede Organisation davon betroffen ist.

A.18.1.2 Geistige Eigentumsrechte

Eine gute Kontrolle beschreibt, wie die geeigneten Verfahren die Einhaltung gesetzlicher, behördlicher und vertraglicher Anforderungen im Zusammenhang mit geistigen Eigentumsrechten und der Nutzung proprietärer Softwareprodukte sicherstellen. Einfach ausgedrückt: Die Organisation sollte geeignete Verfahren implementieren, die sicherstellen, dass sie alle ihre Anforderungen einhält, unabhängig davon, ob diese gesetzlicher, behördlicher oder vertraglicher Natur sind – im Zusammenhang mit der Nutzung von Softwareprodukten oder geistigen Eigentumsrechten.

Es sind zwei Aspekte des IPR-Managements zu berücksichtigen; Schutz der geistigen Eigentumsrechte der Organisation; und Verhinderung von Missbrauch oder Verletzung der geistigen Eigentumsrechte anderer. Ersteres wird auch mit A.13.24 für Geheimhaltungs- und Vertraulichkeitsvereinbarungen behandelt, wo wir Unternehmen auch empfehlen, ihre umfassenderen Rahmenverträge mit Dritten von dort aus zu verwalten, und auch innerhalb von A.15 speziell für die Lieferkette. Für Mitarbeiter deckt A7.1.2 Allgemeine Beschäftigungsbedingungen auch geistige Eigentumsrechte ab.

Für beide Aspekte sind wahrscheinlich Richtlinien, Prozesse und technische Kontrollen erforderlich. Im Rahmen von Vermögensverzeichnissen und akzeptablen Nutzungsrichtlinien ist es wahrscheinlich, dass Überlegungen zu den Rechten des geistigen Eigentums angestellt werden müssen – wenn beispielsweise ein Vermögenswert geistige Eigentumsrechte enthält oder enthält, muss der Schutz dieses Vermögenswerts den Aspekt der geistigen Eigentumsrechte berücksichtigen. Kontrollen, um sicherzustellen, dass innerhalb der Organisation nur autorisierte und lizenzierte Software verwendet wird, sollten regelmäßige Inspektionen und Audits umfassen.

Der Prüfer möchte sicherstellen, dass Verzeichnisse der Lizenzen der Organisation für die Nutzung von Software und anderen Vermögenswerten anderer geführt und aktualisiert werden. Von besonderem Interesse für sie wird es sein, sicherzustellen, dass bei Lizenzen, die eine maximale Anzahl von Benutzern oder Installationen umfassen, diese Zahl nicht überschritten wird und Benutzer- und Installationszahlen regelmäßig überprüft werden, um die Einhaltung zu überprüfen. Der Prüfer wird auch prüfen, wie die Organisation ihre eigenen geistigen Eigentumsrechte schützt. Datenverlust- und Präventionskontrollen; Richtlinien und Sensibilisierungsprogramme zur Benutzerschulung; oder Geheimhaltungs- und Vertraulichkeitsvereinbarungen, die auch nach Beendigung des Arbeitsverhältnisses fortbestehen.

A.18.1.3 Schutz von Aufzeichnungen

Eine gute Kontrolle beschreibt, wie Aufzeichnungen gemäß den gesetzlichen, behördlichen, vertraglichen und geschäftlichen Anforderungen vor Verlust, Zerstörung, Fälschung, unbefugtem Zugriff und unbefugter Freigabe geschützt werden.

Unterschiedliche Arten von Aufzeichnungen erfordern wahrscheinlich unterschiedliche Schutzniveaus und -methoden. Es ist von entscheidender Bedeutung, dass Aufzeichnungen angemessen und verhältnismäßig vor Verlust, Zerstörung, Fälschung, unbefugtem Zugriff oder unbefugter Veröffentlichung geschützt sind. Der Schutz von Aufzeichnungen muss allen relevanten Gesetzen, Vorschriften oder vertraglichen Verpflichtungen entsprechen. Es ist besonders wichtig zu verstehen, wie lange Aufzeichnungen aufbewahrt werden müssen, sollten oder könnten und welche technischen oder physischen Probleme diese im Laufe der Zeit beeinträchtigen könnten – wobei zu berücksichtigen ist, dass einige Gesetze hinsichtlich der Aufbewahrung und des Schutzes möglicherweise Vorrang vor anderen haben. Der Prüfer prüft, ob Überlegungen zum Schutz der Aufzeichnungen auf der Grundlage geschäftlicher Anforderungen sowie gesetzlicher, behördlicher und vertraglicher Verpflichtungen getroffen wurden.

A.18.1.4 Datenschutz und Schutz personenbezogener Daten

Eine gute Kontrolle beschreibt, wie die Privatsphäre und der Schutz personenbezogener Daten durch relevante Gesetze und Vorschriften gewährleistet werden. Alle verarbeiteten Informationen, die persönlich identifizierbare Informationen (PII) enthalten, unterliegen wahrscheinlich den Verpflichtungen aus Gesetzen und Vorschriften. Besonders hohe Anforderungen an die Vertraulichkeit und Integrität und in manchen Fällen auch an die Verfügbarkeit (z. B. Gesundheitsinformationen, Finanzinformationen) stellen bei personenbezogenen Daten besondere Anforderungen. In einigen Rechtsvorschriften (z. B. der DSGVO) werden bestimmte Arten personenbezogener Daten als zusätzlich „sensibel“ definiert und erfordern weitere Kontrollen, um die Einhaltung sicherzustellen.

Es ist wichtig, dass Sensibilisierungskampagnen bei Mitarbeitern und Stakeholdern eingesetzt werden, um ein wiederholtes Verständnis der individuellen Verantwortung für den Schutz personenbezogener Daten und der Privatsphäre sicherzustellen. Der Prüfer wird prüfen, wie mit PII umgegangen wird, ob die entsprechenden Kontrollen implementiert wurden, ob sie überwacht, überprüft und gegebenenfalls verbessert werden. Sie werden auch prüfen, ob die Handhabungsanforderungen erfüllt sind, und entsprechende Audits durchführen. Darüber hinaus gibt es noch weitere Verantwortlichkeiten. So verlangt die DSGVO beispielsweise eine regelmäßige Prüfung von Bereichen, in denen personenbezogene Daten gefährdet sind. Kluge Organisationen werden diese Audits parallel zu ihren ISO 27001-Audits verknüpfen und Doppelarbeit oder Lücken vermeiden.

A.18.1.5 Regulierung kryptografischer Kontrollen

Eine gute Kontrolle beschreibt, wie kryptografische Kontrollen in Übereinstimmung mit allen relevanten Vereinbarungen, Gesetzen und Vorschriften eingesetzt werden. Der Einsatz kryptografischer Technologien unterliegt in vielen Gebieten Gesetzen und Vorschriften. Es ist wichtig, dass eine Organisation die geltenden Vorschriften kennt und Kontrollen und Sensibilisierungsprogramme implementiert, die die Einhaltung dieser Anforderungen gewährleisten. Dies gilt insbesondere dann, wenn Kryptographie in anderen Gebieten als dem gewöhnlichen Wohn- oder Betriebsort der Organisation oder des Benutzers transportiert oder verwendet wird. Grenzüberschreitende Import-/Exportgesetze können Anforderungen in Bezug auf kryptografische Technologien oder deren Nutzung enthalten. Der Prüfer wird darauf achten, dass Überlegungen zur angemessenen Regulierung kryptografischer Kontrollen angestellt und relevante Kontrollen und Sensibilisierungsprogramme implementiert wurden, um die Einhaltung sicherzustellen.

Was ist das Ziel von Anhang A.18.2?

In Anhang A.18.2 geht es um Überprüfungen der Informationssicherheit. Das Ziel dieses Anhangs besteht darin, sicherzustellen, dass die Informationssicherheit in Übereinstimmung mit den Richtlinien und Verfahren der Organisation umgesetzt und betrieben wird.

A.18.2.1 Unabhängige Überprüfung der Informationssicherheit

Eine gute Kontrolle beschreibt den Ansatz der Organisation zur Verwaltung der Informationssicherheit und ihre Umsetzung (d. h. Kontrollziele, Kontrollen, Richtlinien, Prozesse und Verfahren für die Informationssicherheit) wird in geplanten Abständen oder bei Auftreten wesentlicher Änderungen unabhängig überprüft.

Es ist gut, eine unabhängige Überprüfung der Sicherheitsrisiken und -kontrollen einzuholen, um Unparteilichkeit und Objektivität zu gewährleisten und aus neuen Augen zu profitieren. Das bedeutet nicht, dass es extern sein muss. Profitieren Sie einfach davon, dass zusätzlich zum Hauptautor/Administrator ein weiterer Kollege die Richtlinien überprüft. Diese Überprüfungen sollten in geplanten, regelmäßigen Abständen und bei Auftreten wesentlicher, sicherheitsrelevanter Änderungen durchgeführt werden – gemäß ISO bedeutet „regelmäßig“ mindestens einmal jährlich.

Der Prüfer achtet sowohl auf eine regelmäßige unabhängige Sicherheitsüberprüfung als auch auf eine Überprüfung bei wesentlichen Änderungen und geht davon aus, dass es einen Plan für regelmäßige Überprüfungen gibt. Sie benötigen außerdem den Nachweis, dass Überprüfungen durchgeführt wurden und alle in den Überprüfungen festgestellten Probleme oder Verbesserungen angemessen behandelt werden.

A.18.2.2 Einhaltung von Sicherheitsrichtlinien und -standards

ISMS-Manager sollten regelmäßig die Einhaltung der Informationsverarbeitung und -verfahren in ihrem Verantwortungsbereich überprüfen. Richtlinien sind nur wirksam, wenn sie durchgesetzt werden und die Einhaltung regelmäßig getestet und überprüft wird. Normalerweise liegt es in der Verantwortung des Linienmanagements, dafür zu sorgen, dass die ihm unterstellten Mitarbeiter die Richtlinien und Kontrollen der Organisation einhalten. Dies sollte jedoch durch gelegentliche unabhängige Überprüfungen und Audits ergänzt werden. Wenn eine Nichteinhaltung festgestellt wird, sollte diese protokolliert und verwaltet werden. Dabei sollte ermittelt werden, warum sie aufgetreten ist, wie oft sie auftritt und ob Verbesserungsmaßnahmen erforderlich sind, entweder im Zusammenhang mit der Kontrolle oder der Sensibilisierung, Aufklärung oder Schulung des Benutzers, der die Nichteinhaltung verursacht hat Nichteinhaltung.

Der Prüfer wird darauf achten, dass beides geschieht; Proaktive präventive Richtlinien, Kontrollen und Sensibilisierungsprogramme sind vorhanden, umgesetzt und wirksam; Außerdem sind reaktive Compliance-Überwachung, -Überprüfung und -Prüfung vorhanden. Sie werden auch darauf achten, dass es Beweise dafür gibt, wie im Laufe der Zeit Verbesserungen vorgenommen werden, um eine Verbesserung des Compliance-Niveaus oder der Wartung sicherzustellen, wenn die Compliance bereits bei 100 % liegt. Dies steht im Einklang mit den Hauptanforderungen der ISO 27001 für 9 und 10 rund um interne Audits, Managementbewertungen, Verbesserungen und Nichtkonformitäten. Das Bewusstsein und Engagement der Mitarbeiter gemäß A 7.2.2 ist ebenfalls wichtig, um in diesem Teil das Vertrauen in die Compliance zu gewährleisten.

A.18.2.3 Technische Compliance-Überprüfung

Informationssysteme sollten regelmäßig auf Übereinstimmung mit den Informationssicherheitsrichtlinien und -standards der Organisation überprüft werden. Zur Überprüfung von Systemen und Netzwerken auf technische Konformität werden in der Regel automatisierte Tools eingesetzt, die entsprechend identifiziert und implementiert werden sollten. Wenn Tools wie diese verwendet werden, ist es notwendig, deren Verwendung auf möglichst wenige autorisierte Personen zu beschränken und den Einsatz sorgfältig zu kontrollieren und zu koordinieren, um eine Beeinträchtigung der Systemverfügbarkeit und -integrität zu verhindern. Angemessene Compliance-Tests hängen von den Geschäftsanforderungen und dem Risikoniveau ab, und der Prüfer erwartet, dass er Beweise dafür sieht, dass diese Überlegungen angestellt wurden. Sie erwarten außerdem, dass sie die Prüfungspläne und -aufzeichnungen einsehen können.

Wie hilft ISMS.online bei der Compliance?

ISMS.online erleichtert einen Großteil der Compliance-Seite der Informationssicherheit erheblich. Die integrierten Genehmigungsprozesse und automatischen Erinnerungen für Überprüfungen machen das Leben viel einfacher und bieten einen „lebenden Plan“, um Prüfern zu zeigen, dass Sie die Kontrolle über das ISMS haben. Das vorab ausgefüllte Risikotool für anwendbare Rechtsvorschriften umfasst viele gemeinsame Bereiche der Gesetzgebung und Regulierung, die häufig übersehen werden, und erleichtert außerdem die Verwaltung dieses gesamten Bereichs. Interne und externe Audits, Korrekturmaßnahmen, Verbesserungen und Nichtkonformitäten lassen sich mit den vorgefertigten Tools und Funktionen problemlos verwalten. Auch die Einhaltung der Personalressourcen, egal ob Mitarbeiter, Lieferanten oder andere, lässt sich mit dem Policy Pack-Tool leicht nachweisen. ISMS.online-Partner bieten bei Bedarf auch fachspezifische, unabhängige Gesundheitsprüfungen und Auditunterstützung innerhalb Ihrer Plattform an.