- Weitere Informationen finden Sie auch in den ISO 27002:2022 Kontrolle 5.15 .
- Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 9.1.1 .
- Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 9.1.2 .
ISO 27001:2022 Anhang A 5.15 – Ein umfassender Leitfaden zu Zugriffskontrollrichtlinien
Anhang A 5.15 von ISO 27001:2022; Ihre Schritt-für-Schritt-Anleitung, um es zu verstehen und zu erfüllen.
Anhang A 5.15 befasst sich mit Zugangskontrollverfahren. Ziel der Anlage A.9 ist es, den Zugang zu Informationen zu sichern und sicherzustellen, dass Mitarbeiter nur Zugriff auf die Informationen haben, die sie zur Erfüllung ihrer Aufgaben benötigen.
Es ist eines der wesentlichen Elemente eines Informationssicherheits-Managementsystem (ISMS), insbesondere wenn Sie eine ISO 27001-Zertifizierung anstreben.
Es ist eine entscheidende Komponente, diesen Teil richtig zu machen ISO 27001 Zertifizierung und eine, bei der viele Unternehmen Unterstützung benötigen. Um diese Anforderungen besser zu verstehen, werfen wir einen genaueren Blick darauf, was sie mit sich bringen.
Zugriffskontrollrichtlinie
Um den Zugriff auf Vermögenswerte im Rahmen einer Organisation zu verwalten, muss eine Zugriffskontrollrichtlinie entwickelt, dokumentiert und regelmäßig überprüft werden.
Die Zugriffskontrolle regelt, wie menschliche und nichtmenschliche Einheiten in einem Netzwerk auf Daten, IT-Ressourcen und Anwendungen zugreifen.
Mit den Informationen verbundene Informationssicherheitsrisiken und die Bereitschaft der Organisation, sie zu verwalten, sollten sich in den Regeln, Rechten und Einschränkungen sowie der Tiefe der verwendeten Kontrollen widerspiegeln. Es geht lediglich darum zu entscheiden, wer wie viel Zugriff auf was hat und wer nicht.
Es ist möglich, digitale und physische Zugangskontrollen einzurichten, z. B. die Beschränkung der Benutzerkontoberechtigungen oder die Beschränkung des Zugangs zu bestimmten physischen Standorten (im Einklang mit Anhang A.7 Physische und Umgebungssicherheit). Die Richtlinie sollte die folgenden Überlegungen berücksichtigen:
- Es ist wichtig, die Sicherheitsanforderungen von Geschäftsanwendungen an das verwendete Informationsklassifizierungsschema gemäß Anhang A 5.9, 5.10, 5.11, 5.12, 5.13 und 7.10 in Bezug auf Asset Management anzupassen.
- Identifizieren Sie, wer Zugang zu Informationen, Kenntnis davon und Nutzung von Informationen benötigt – begleitet von klar definierten Verfahren und Verantwortlichkeiten.
- Stellen Sie sicher, dass Zugriffsrechte und Privilegien Zugriffsrechte (mehr Macht – siehe unten) werden effektiv verwaltet, einschließlich der Hinzufügung von Änderungen im Leben (z. B. Kontrollen für Superuser/Administratoren) und regelmäßigen Überprüfungen (z. B. periodisch). interne Audits gemäß Anforderung Anhang A 5.15, 5.16, 5.17, 5.18 und 8.2).
- Ein formelles Verfahren und definierte Verantwortlichkeiten sollten die Zugangskontrollregeln unterstützen.
Es ist wichtig, die Zugangskontrolle zu überprüfen, wenn sich die Rollen ändern, insbesondere beim Verlassen, um Anhang A.7 „Personalsicherheit“ einzuhalten.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Den Benutzern stehen Netzwerk- und Netzwerkdienste zur Verfügung
Ein allgemeiner Schutzansatz ist der des geringsten Zugriffs anstelle von uneingeschränktem Zugriff und Superuser-Rechten ohne sorgfältige Überlegung.
Daher sollte Benutzern lediglich Zugriff auf gewährt werden Netzwerke und Netzwerkdienste zur Erfüllung ihrer Aufgaben verpflichtet sind. Die Politik muss Folgendes ansprechen: Die für den Zugriff vorgesehenen Netzwerke und Netzwerkdienste; Berechtigungsverfahren zur Darstellung, wer (rollenbasiert) wann auf was zugreifen darf; und Managementkontrollen und -verfahren, um den Zugriff zu verhindern und im Falle eines Vorfalls zu überwachen.
Beim Onboarding und Offboarding sollte auch dieser Aspekt berücksichtigt werden, der eng mit der Zugangskontrollrichtlinie zusammenhängt.
Zweck von ISO 27001:2022 Anhang A 5.15
Als vorbeugende Kontrolle verbessert Anhang A 5.15 die grundlegende Fähigkeit einer Organisation, den Zugriff auf Daten und Vermögenswerte zu kontrollieren.
Ein konkreter Satz von kommerzielle und Informationssicherheit Bedürfnisse müssen erfüllt sein, bevor der Zugriff auf Ressourcen gemäß Anhang A Kontrolle 5.15 gewährt und geändert werden kann.
ISO 27001 Anhang A 5.15 bietet Richtlinien zur Erleichterung des sicheren Zugriffs auf Daten und zur Minimierung des Risikos eines unbefugten Zugriffs auf physische und virtuelle Netzwerke.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Eigentum an Anlage A 5.15
Wie in Anhang A 5.15 dargestellt, sind Führungskräfte in verschiedenen Bereichen eines Die Organisation muss ein umfassendes Verständnis aufrechterhalten auf welche Ressourcen zugegriffen werden muss (z. B. Zusätzlich zur Information der Personalabteilung über ihre Jobrollen, die ihre RBAC-Parameter vorgeben, sind Zugriffsrechte letztendlich eine Wartungsfunktion, die von Netzwerkadministratoren gesteuert wird.
Die Eigentumsrechte einer Organisation gemäß Anhang A 5.15 sollten bei einem Mitglied der Geschäftsleitung liegen, das über die übergreifende technische Autorität über die Domänen, Subdomänen, Anwendungen, Ressourcen und Vermögenswerte des Unternehmens verfügt. Das könnte der Leiter der IT sein.
Allgemeine Leitlinien zu ISO 27001:2022, Anhang 5.15
Für die Einhaltung von ISO 27001:2022 Annex A Control 5.15 ist ein themenspezifischer Ansatz zur Zugangskontrolle erforderlich (allgemein bekannt als themenspezifischer Ansatz).
Anstatt sich an eine pauschale Zugriffskontrollrichtlinie zu halten, die für den Ressourcen- und Datenzugriff im gesamten Unternehmen gilt, ermutigen themenspezifische Ansätze Unternehmen, Zugriffskontrollrichtlinien zu erstellen, die auf einzelne Geschäftsfunktionen abzielen.
In allen themenspezifischen Bereichen verlangt Annex A Control 5.15, dass Richtlinien zur Zugriffskontrolle die folgenden 11 Punkte berücksichtigen. Einige dieser Richtlinien überschneiden sich mit anderen Richtlinien.
Als Richtlinie sollten Organisationen von Fall zu Fall die begleitenden Kontrollen konsultieren, um weitere Informationen zu erhalten:
- Identifizieren Sie, welche Unternehmen Zugriff auf bestimmte Vermögenswerte und Informationen benötigen.
- Die einfachste Möglichkeit, Compliance sicherzustellen, besteht darin, eine Aufzeichnung der Aufgabenbereiche und Datenzugriffsanforderungen entsprechend der Organisationsstruktur Ihrer Organisation zu führen.
- Sicherheit und Integrität aller relevanten Anwendungen (verknüpft mit Control 8.2).
- Eine formelle Risikobewertung könnte durchgeführt werden, um die Sicherheitsmerkmale einzelner Anwendungen zu bewerten.
- Die Kontrolle des physischen Zugangs zu einer Site (Links zu den Kontrollen 7.2, 7.3 und 7.4).
- Im Rahmen Ihres Compliance-Programms muss Ihre Organisation über eine Reihe robuster Gebäude- und Raumzugangskontrollen verfügen, einschließlich verwalteter Zugangssysteme, Sicherheitsbereiche und Besucherverfahren, sofern angemessen.
- Wenn es um die Verteilung, Sicherheit und Kategorisierung von Informationen geht, sollte in der gesamten Organisation das „Need-to-know“-Prinzip angewendet werden (verknüpft mit 5.10, 5.12 und 5.13).
- Unternehmen sollten sich an strenge Best-Practice-Richtlinien halten, die keinen pauschalen Zugriff auf Daten über die gesamte Hierarchie einer Organisation hinweg ermöglichen.
- Stellen Sie sicher, dass privilegierte Zugriffsrechte eingeschränkt sind (bezogen auf 8.2).
- Die Zugriffsrechte von Benutzern, denen über die eines Standardbenutzers hinaus Zugriff auf Daten gewährt wird, müssen überwacht und geprüft werden.
- Stellen Sie sicher, dass alle geltenden Gesetze, branchenspezifischen Regulierungsrichtlinien oder vertraglichen Verpflichtungen in Bezug auf den Datenzugriff eingehalten werden (siehe 5.31, 5.32, 5.33, 5.34 und 8.3).
- Die Zugriffskontrollrichtlinien einer Organisation werden an externe Verpflichtungen in Bezug auf Datenzugriff, Vermögenswerte und Ressourcen angepasst.
- Mögliche Interessenkonflikte im Auge behalten.
- Die Richtlinien sollten Kontrollen umfassen, um zu verhindern, dass eine Person eine umfassendere Zugriffskontrollfunktion basierend auf ihren Zugriffsebenen gefährdet (z. B. einen Mitarbeiter, der Änderungen an einem Netzwerk anfordern, autorisieren und implementieren kann).
- Eine Zugriffskontrollrichtlinie sollte die drei Hauptfunktionen – Anfragen, Autorisierungen und Verwaltung – unabhängig voneinander abdecken.
- Eine Richtlinie zur Zugangskontrolle muss anerkennen, dass sie trotz ihres eigenständigen Charakters mehrere Einzelschritte umfasst, von denen jeder seine Anforderungen enthält.
- Um die Einhaltung der Anforderungen von 5.16 und 5.18 sicherzustellen, sollten Zugriffsanfragen auf strukturierte und formelle Weise bearbeitet werden.
- Organisationen sollten formelle Autorisierungsprozesse implementieren, die eine formelle, dokumentierte Genehmigung des entsprechenden Personals erfordern.
- Zugriffsrechte laufend verwalten (verknüpft mit 5.18).
- Um die Datenintegrität und Sicherheitsbereiche aufrechtzuerhalten, sind regelmäßige Audits, HR-Überwachung (Abgänge usw.) und arbeitsplatzspezifische Änderungen (z. B. Abteilungswechsel und Rollenänderungen) erforderlich.
- Aufrechterhaltung angemessener Protokolle und Kontrolle des Zugriffs darauf. Compliance – Organisationen sollten Daten zu Zugriffsereignissen (z. B. Dateiaktivitäten) sammeln und speichern, sich vor unbefugtem Zugriff auf Sicherheitsereignisprotokolle schützen und a befolgen umfassendes Incident-Management Strategie.
Ergänzende Anleitung zu Anhang 5.15
Gemäß der ergänzenden Anleitung erwähnt ISO 27001:2022 Annex A Control 5.15 (ohne sich darauf zu beschränken) vier verschiedene Arten der Zugangskontrolle, die grob wie folgt klassifiziert werden können:
- Mandatory Access Control (MAC) – Der Zugriff wird zentral von einer einzigen Sicherheitsbehörde verwaltet.
- Eine Alternative zu MAC ist die diskretionäre Zugriffskontrolle (DAC), bei der der Eigentümer des Objekts anderen Berechtigungen innerhalb des Objekts gewähren kann.
- Ein Zugriffskontrollsystem, das auf vordefinierten Jobfunktionen und Berechtigungen basiert, wird als rollenbasierte Zugriffskontrolle (Role-based Access Control, RBAC) bezeichnet.
- Mithilfe der attributbasierten Zugriffskontrolle (ABAC) werden Benutzerzugriffsrechte auf der Grundlage von Richtlinien gewährt, die Attribute kombinieren.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Richtlinien zur Implementierung von Zugriffskontrollregeln
Wir haben besprochen, dass Zugriffskontrollregeln verschiedenen in einem Netzwerk agierenden (menschlichen und nichtmenschlichen) Einheiten gewährt werden, denen Rollen zugewiesen werden, die ihre Gesamtfunktion definieren.
Bei der Definition und Umsetzung der Zugangskontrollrichtlinien Ihrer Organisation werden Sie in Anhang A 5.15 aufgefordert, die folgenden vier Faktoren zu berücksichtigen:
- Die Konsistenz zwischen den Daten, für die das Zugriffsrecht gilt, und der Art des Zugriffsrechts muss gewahrt bleiben.
- Es ist wichtig, die Konsistenz zwischen den Zugriffsrechten Ihrer Organisation und den physischen Sicherheitsanforderungen (Perimeter usw.) sicherzustellen.
- Zugriffsrechte in einer verteilten Computerumgebung (z. B. einer Cloud-basierten Umgebung) berücksichtigen die Auswirkungen von Daten, die sich in einem breiten Spektrum von Netzwerken befinden.
- Berücksichtigen Sie die Auswirkungen dynamischer Zugriffskontrollen (eine granulare Methode zum Zugriff auf einen detaillierten Satz von Variablen, die von einem Systemadministrator implementiert wird).
Verantwortlichkeiten festlegen und den Prozess dokumentieren
Gemäß ISO 27001:2022 Annex A Control 5.15 müssen Organisationen eine strukturierte Liste von Verantwortlichkeiten und Dokumentationen entwickeln und pflegen. Es gibt zahlreiche Ähnlichkeiten in der gesamten Liste der Kontrollen der ISO 27001:2022, wobei Anhang A 5.15 die relevantesten Anforderungen enthält:
Dokumentation
- ISO 27001:2022 Anhang A 5.16
- ISO 27001:2022 Anhang A 5.17
- ISO 27001:2022 Anhang A 5.18
- ISO 27001:2022 Anhang A 8.2
- ISO 27001:2022 Anhang A 8.3
- ISO 27001:2022 Anhang A 8.4
- ISO 27001:2022 Anhang A 8.5
- ISO 27001:2022 Anhang A 8.18
Aufgaben
- ISO 27001:2022 Anhang A 5.2
- ISO 27001:2022 Anhang A 5.17
Körnung
Control 5.15 von Anhang A bietet Organisationen erhebliche Freiheit bei der Festlegung der Granularität ihrer Zugriffskontrollrichtlinien.
Im Allgemeinen empfiehlt die ISO Unternehmen, ihr eigenes Urteilsvermögen hinsichtlich der Detailliertheit eines bestimmten Regelwerks für jeden einzelnen Mitarbeiter zu nutzen und wie viele Variablen auf eine bestimmte Information angewendet werden sollten.
Insbesondere wird in Anhang A 5.15 anerkannt, dass die Kosten umso höher sind und das Konzept der Zugangskontrolle über mehrere Standorte, Netzwerktypen und Anwendungsvariablen hinweg umso anspruchsvoller wird, je detaillierter die Zugangskontrollrichtlinien eines Unternehmens sind.
Wenn die Zugangskontrolle nicht sorgfältig verwaltet wird, kann sie sehr schnell außer Kontrolle geraten. Es ist ratsam, die Zugangskontrollregeln zu vereinfachen, um sicherzustellen, dass sie einfacher zu verwalten und kosteneffizienter sind.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Was sind die Änderungen gegenüber ISO 27001:2013?
Anhang A 5.15 in 27001:2022 ist eine Zusammenführung zweier ähnlicher Kontrollen in 27001:2013 – Anhang A 9.1.1 (Zugriffskontrollrichtlinie) und Anhang A 9.1.2 (Zugang zu Netzwerken und Netzwerkdiensten).
Die zugrunde liegenden Themen von A.9.1.1 und A.9.1.2 ähneln denen in Anhang A 5.15, abgesehen von einigen subtilen betrieblichen Unterschieden.
Wie im Jahr 2022 beziehen sich beide Kontrollen auf die Verwaltung des Zugriffs auf Informationen, Vermögenswerte und Ressourcen und basieren auf dem „Need-to-know“-Prinzip, bei dem Unternehmensdaten als eine Ware behandelt werden, die sorgfältig verwaltet und geschützt werden muss.
Es gibt 11 maßgebliche Richtlinien in 27001:2013 Anhang A 9.1.1, die alle denselben allgemeinen Grundsätzen folgen wie 27001:2022 Anhang A Kontrolle 5.15 mit einem etwas stärkeren Schwerpunkt auf Perimetersicherheit und physischer Sicherheit.
Im Allgemeinen gelten dieselben Implementierungsrichtlinien für die Zugangskontrolle, aber die Kontrolle von 2022 bietet in ihren vier Implementierungsrichtlinien viel prägnantere und praktischere Anleitungen.
Die in ISO 27001:2013 Anhang A 9.1.1 verwendeten Arten von Zugangskontrollen haben sich geändert
Wie in ISO 27001 Anhang A 5.15 dargelegt, sind in den letzten neun Jahren verschiedene Formen der Zugangskontrolle entstanden (MAC, DAC, ABAC), während in 27001:2013 Anhang A Kontrolle 9.1.1 die primäre Methode der kommerziellen Zugangskontrolle darstellt Zeit war RBAC.
Granularitätsgrad
Die Kontrollen von 2013 müssen aussagekräftige Richtlinien dafür enthalten, wie eine Organisation angesichts technologischer Veränderungen, die Organisationen eine verbesserte Kontrolle über ihre Daten ermöglichen, an detaillierte Zugriffskontrollen herangehen sollte.
Im Gegensatz dazu bietet Anhang A 5.15 der 27001:2022 Organisationen erhebliche Flexibilität.
Tabelle aller ISO 27001:2022 Anhang A-Kontrollen
In der Tabelle unten finden Sie weitere Informationen zu den einzelnen Personen ISO 27001:2022 Anhang A Steuern.
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Organisatorische Kontrollen | Anhang A 5.1 |
Anhang A 5.1.1 Anhang A 5.1.2 |
Richtlinien zur Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
| Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
| Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
| Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
| Organisatorische Kontrollen | Anhang A 5.7 | NEU | Threat Intelligence |
| Organisatorische Kontrollen | Anhang A 5.8 |
Anhang A 6.1.5 Anhang A 14.1.1 |
Informationssicherheit im Projektmanagement |
| Organisatorische Kontrollen | Anhang A 5.9 |
Anhang A 8.1.1 Anhang A 8.1.2 |
Inventar der Informationen und anderer damit verbundener Vermögenswerte |
| Organisatorische Kontrollen | Anhang A 5.10 |
Anhang A 8.1.3 Anhang A 8.2.3 |
Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.14 |
Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 |
Informationsübertragung |
| Organisatorische Kontrollen | Anhang A 5.15 |
Anhang A 9.1.1 Anhang A 9.1.2 |
Zugangskontrolle |
| Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
| Organisatorische Kontrollen | Anhang A 5.17 |
Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 |
Authentifizierungsinformationen |
| Organisatorische Kontrollen | Anhang A 5.18 |
Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 |
Zugangsrechte |
| Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
| Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
| Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
| Organisatorische Kontrollen | Anhang A 5.22 |
Anhang A 15.2.1 Anhang A 15.2.2 |
Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
| Organisatorische Kontrollen | Anhang A 5.23 | NEU | Informationssicherheit für die Nutzung von Cloud-Diensten |
| Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
| Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
| Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
| Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
| Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
| Organisatorische Kontrollen | Anhang A 5.29 |
Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 |
Informationssicherheit bei Störungen |
| Organisatorische Kontrollen | Anhang A 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| Organisatorische Kontrollen | Anhang A 5.31 |
Anhang A 18.1.1 Anhang A 18.1.5 |
Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
| Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
| Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
| Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
| Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.36 |
Anhang A 18.2.2 Anhang A 18.2.3 |
Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Rekrutierung |
| Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
| Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
| Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
| Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
| Menschenkontrollen | Anhang A 6.8 |
Anhang A 16.1.2 Anhang A 16.1.3 |
Berichterstattung über Informationssicherheitsereignisse |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
| Physikalische Kontrollen | Anhang A 7.2 |
Anhang A 11.1.2 Anhang A 11.1.6 |
Physischer Eintritt |
| Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
| Physikalische Kontrollen | Anhang A 7.4 | NEU | Physische Sicherheitsüberwachung |
| Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
| Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| Physikalische Kontrollen | Anhang A 7.10 |
Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 |
Speichermedien |
| Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
| Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
| Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Technologische Kontrollen | Anhang A 8.1 |
Anhang A 6.2.1 Anhang A 11.2.8 |
Benutzer-Endpunktgeräte |
| Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
| Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
| Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
| Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
| Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
| Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
| Technologische Kontrollen | Anhang A 8.8 |
Anhang A 12.6.1 Anhang A 18.2.3 |
Management technischer Schwachstellen |
| Technologische Kontrollen | Anhang A 8.9 | NEU | Configuration Management |
| Technologische Kontrollen | Anhang A 8.10 | NEU | Löschen von Informationen |
| Technologische Kontrollen | Anhang A 8.11 | NEU | Datenmaskierung |
| Technologische Kontrollen | Anhang A 8.12 | NEU | Verhinderung von Datenlecks |
| Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
| Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
| Technologische Kontrollen | Anhang A 8.15 |
Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 |
Protokollierung |
| Technologische Kontrollen | Anhang A 8.16 | NEU | Überwachungsaktivitäten |
| Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
| Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Nutzung privilegierter DienstprogrammeZugriffsrechte |
| Technologische Kontrollen | Anhang A 8.19 |
Anhang A 12.5.1 Anhang A 12.6.2 |
Installation von Software auf Betriebssystemen |
| Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
| Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
| Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
| Technologische Kontrollen | Anhang A 8.23 | NEU | Web-Filter |
| Technologische Kontrollen | Anhang A 8.24 |
Anhang A 10.1.1 Anhang A 10.1.2 |
Verwendung von Kryptographie |
| Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
| Technologische Kontrollen | Anhang A 8.26 |
Anhang A 14.1.2 Anhang A 14.1.3 |
Anforderungen an die Anwendungssicherheit |
| Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien. Lernen aus Informationssicherheitsvorfällen. |
| Technologische Kontrollen | Anhang A 8.28 | NEU | Sichere Codierung |
| Technologische Kontrollen | Anhang A 8.29 |
Anhang A 14.2.8 Anhang A 14.2.9 |
Sicherheitstests in Entwicklung und Akzeptanz |
| Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
| Technologische Kontrollen | Anhang A 8.31 |
Anhang A 12.1.4 Anhang A 14.2.6 |
Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
| Technologische Kontrollen | Anhang A 8.32 |
Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 |
Change Control |
| Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
| Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
Wie kann ISMS.online helfen?
Anhang A 5.15 von ISO 27001:2022 ist wahrscheinlich der am meisten diskutierte Abschnitt in Anhang A, und einige behaupten, er sei der wichtigste.
Ihr Informationssicherheits-Managementsystem (ISMS) soll sicherstellen, dass die entsprechenden Personen zur richtigen Zeit Zugriff auf die richtigen Informationen haben. Einer der Schlüssel zum Erfolg liegt darin, es richtig zu machen, aber wenn man es falsch macht, kann es sich negativ auf Ihr Unternehmen auswirken.
Stellen Sie sich das Szenario vor, in dem Sie versehentlich vertrauliche Mitarbeiterinformationen an die falschen Personen weitergegeben haben, beispielsweise die Bezahlung aller Mitarbeiter im Unternehmen.
Wenn Sie nicht aufpassen, kann es schwerwiegende Folgen haben, wenn Sie dieses Teil falsch ausführen. Daher ist es unbedingt erforderlich, dass Sie sich die Zeit nehmen, alle Aspekte sorgfältig zu prüfen, bevor Sie fortfahren.
In dieser Hinsicht unsere Plattform kann eine echte Bereicherung sein. Denn es folgt der gesamten Struktur der ISO 27001 und ermöglicht Ihnen die Übernahme, Anpassung und Bereicherung der von uns für Sie bereitgestellten Inhalte, was Ihnen einen erheblichen Vorsprung verschafft.
Holen Sie sich einen Holen Sie sich noch heute die kostenlose Demo von ISMS.online.
