- Weitere Informationen finden Sie auch in den ISO 27002:2022 Kontrolle 5.9 .
- Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 8.1.1 .
- Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 8.1.2 .
ISO 27001 Anhang A 5.9: Leitfaden zur Verwaltung von Informationsvermögensbeständen
ISO 27001:2022 Annex A Control 5.9 trägt den Namen „Inventory of Information and Other Associated Assets“.
Es verlangt von Organisationen, die für ihren Betrieb wichtigen Vermögenswerte und die damit verbundenen Risiken zu identifizieren und zu dokumentieren sowie Maßnahmen zu deren Schutz zu ergreifen. Dadurch wird sichergestellt, dass Vermögenswerte angemessen verwaltet und überwacht werden, was zu ihrer Sicherheit beiträgt.
Anhang A von ISO 27001:2022 beschreibt die Kontrolle 5.9, in der erläutert wird, wie eine Liste von Informationen und zugehörigen Vermögenswerten zusammen mit ihren jeweiligen Eigentümern erstellt und auf dem neuesten Stand gehalten werden muss.
Inventar der Informationsressourcen erklärt
Die Organisation muss anerkennen, worauf sie Zugriff hat, um ihre Geschäftstätigkeit durchführen zu können. Es muss sich seiner Informationsressourcen bewusst sein.
Eine umfassende Folgenabschätzung ist ein entscheidender Bestandteil der Datensicherheitsrichtlinie eines jeden Unternehmens. Dabei handelt es sich um eine Bestandsaufnahme aller Daten, die gespeichert, verarbeitet oder übertragen werden, sowie der jeweiligen Standorte und Sicherheitskontrollen. Es ist im Wesentlichen das Finanzbuchhaltungsäquivalent von Datenschutz, sodass Unternehmen jedes Datenelement identifizieren können.
Eine Folgenabschätzung kann verwendet werden, um Schwachstellen in Ihrem Sicherheitsprogramm zu identifizieren und Informationen zur Bewertung bereitzustellen Cyber-Risiken, die zu einem Verstoß führen könnten. Es kann auch ein Beweis dafür sein, dass Sie Maßnahmen zur Identifizierung sensibler Daten ergriffen haben bei Compliance-Audits, was Ihnen hilft, Bußgelder und Strafen zu umgehen.
Die Inventar der Informationsbestände Es sollte angegeben werden, wem jeder Vermögenswert gehört und wer für ihn verantwortlich ist, sowie den Wert und die Bedeutung jedes Gegenstands für die Geschäftstätigkeit der Organisation.
Es ist von entscheidender Bedeutung, die Bestände auf dem neuesten Stand zu halten, um sicherzustellen, dass sie Änderungen innerhalb der Organisation genau widerspiegeln.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Warum benötige ich ein Inventar der Informationsressourcen?
Das Information Asset Management hat eine lange Tradition in der Geschäftskontinuitätsplanung (BCP), der Notfallwiederherstellung (DR) und der Vorbereitung auf die Reaktion auf Vorfälle.
Der erste Schritt in jedem dieser Prozesse ist die Identifizierung kritischer Systeme, Netzwerke, Datenbanken, Anwendungen, Datenflüsse und anderer Komponenten, die Sicherheit erfordern. Wenn Sie nicht wissen, was geschützt werden muss und wo es sich befindet, können Sie nicht planen, wie es geschützt werden soll.
Was ist der Zweck von ISO 27001:2022 Annex A Control 5.9?
Ziel der Kontrolle ist die Anerkennung der Organisation Informationen und zugehörige Vermögenswerte, um die Informationssicherheit zu gewährleisten und benennen Sie das ordnungsgemäße Eigentum.
Anhang A von ISO 27001:2022 beschreibt die Kontrolle 5.9, die den Zweck und die Umsetzungsanleitungen zur Erstellung eines Inventars von Informationen und anderen Vermögenswerten in Bezug auf das ISMS-Framework beschreibt.
Führen Sie eine Bestandsaufnahme aller Informationen und zugehörigen Vermögenswerte durch, klassifizieren Sie sie in Kategorien, identifizieren Sie Eigentümer und dokumentieren Sie vorhandene/erforderliche Kontrollen.
Dies ist ein wichtiger Schritt, um sicherzustellen, dass alle Datenbestände angemessen geschützt sind.
Was dazugehört und wie man die Anforderungen erfüllt
Um die Kriterien für ISO 27001:2022 zu erfüllen, müssen Sie die Informationen und andere damit verbundene Vermögenswerte innerhalb Ihrer Organisation identifizieren. Anschließend sollten Sie die Bedeutung dieser Punkte im Hinblick auf die Informationssicherheit beurteilen. Bewahren Sie Aufzeichnungen bei Bedarf in speziellen oder vorhandenen Beständen auf.
Die Größe und Komplexität einer Organisation, bestehende Kontrollen und Richtlinien sowie die Arten von Informationen und Vermögenswerten, die sie verwendet, wirken sich alle auf die Entwicklung eines Inventars aus.
Gemäß Kontrollpunkt 5.9 ist es von entscheidender Bedeutung, sicherzustellen, dass der Bestand an Informationen und anderen zugehörigen Vermögenswerten korrekt, aktuell, konsistent und im Einklang mit anderen Beständen ist. Um die Genauigkeit zu gewährleisten, kann man Folgendes berücksichtigen:
- Führen Sie systematische Bewertungen der aufgeführten Informationen und zugehörigen Vermögenswerte gemäß dem Vermögenskatalog durch.
- Während der Installation, Änderung oder Entfernung eines Assets wird automatisch eine Bestandsaktualisierung erzwungen.
- Nehmen Sie bei Bedarf den Verbleib eines Vermögenswerts in das Inventar auf.
Einige Organisationen müssen möglicherweise mehrere Bestände für unterschiedliche Zwecke führen. Beispielsweise verfügen sie möglicherweise über spezielle Lagerbestände für Softwarelizenzen oder physische Geräte wie Laptops und Tablets.
Es ist wichtig, den gesamten physischen Bestand, einschließlich Netzwerkgeräten wie Routern und Switches, regelmäßig zu überprüfen, um die Genauigkeit des Bestands aufrechtzuerhalten Zwecken des Risikomanagements.
Weitere Informationen zur Erfüllung der Kontrolle 5.9 finden Sie im Dokument ISO 27001:2022.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Unterschiede zwischen ISO 27001:2013 und ISO 27001:2022
In der ISO 27001:2022 wurden 58 Kontrollen aus ISO 27001:2013 überarbeitet und weitere 24 Kontrollen zusammengeführt. Es wurden 11 neue Steuerelemente hinzugefügt und einige gelöscht.
Daher werden Sie es nicht finden Anhang A Kontrolle 5.9 – Inventar der Informationen und anderer damit verbundener Vermögenswerte – in der Version 2013, da es sich nun um eine Kombination aus handelt ISO 27001:2013 Anhang A 8.1.1 – Inventar der Vermögenswerte - und ISO 27001:2013 Anhang A 8.1.2 – Eigentum an Vermögenswerten – in der Version 2022.
Anhang A von ISO 27001:2022 beschreibt Kontrolle 8.1.2, Eigentum an Vermögenswerten. Dadurch wird sichergestellt, dass alle Informationsbestände eindeutig identifiziert und im Besitz sind. Wenn Sie wissen, wem was gehört, können Sie feststellen, welche Vermögenswerte geschützt werden müssen und wer Rechenschaftspflicht hat.
ISO 27001:2013 und ISO 27001:2022 verfügen beide über ähnliche KontrollenAnhang A Control 5.9 des letzteren wurde jedoch erweitert, um eine einfachere Interpretation zu ermöglichen. Die Implementierungsleitlinien zum Asset-Eigentum in Kontrolle 8.1.2 schreiben beispielsweise vor, dass der Asset-Eigentümer Folgendes tun sollte:
- Stellen Sie sicher, dass alle Vermögenswerte im Inventar korrekt erfasst werden.
- Stellen Sie sicher, dass Vermögenswerte angemessen klassifiziert und geschützt werden.
- Überprüfen Sie regelmäßig und Zugangsbeschränkungen definieren und Klassifizierungen für wichtige Vermögenswerte unter Berücksichtigung der geltenden Zugangskontrollrichtlinien.
- Stellen Sie sicher, dass bei der Veräußerung oder Zerstörung des Vermögenswerts geeignete Maßnahmen ergriffen werden.
Der Eigentumsabschnitt von Control 5.9 wurde um neun Punkte statt der ursprünglichen vier erweitert. Es wurden Korrekturen an Rechtschreibung und Grammatik vorgenommen und der Ton wurde in einen professionellen, freundlichen Stil geändert. Redundanzen und Wiederholungen wurden beseitigt und der Schreibstil ist jetzt in einem aktiven Stil gehalten.
Der Vermögenseigentümer sollte die Verantwortung für die angemessene Überwachung eines Vermögenswerts während seines gesamten Lebenszyklus übernehmen und sicherstellen, dass:
- Alle Daten und zugehörigen Ressourcen werden aufgelistet und dokumentiert.
- Stellen Sie sicher, dass alle Daten, zugehörigen Vermögenswerte und anderen zugehörigen Ressourcen genau klassifiziert und geschützt sind.
- Die Klassifizierung wird regelmäßig überprüft, um ihre Richtigkeit sicherzustellen.
- Komponenten, die Technologieressourcen unterstützen, werden erfasst und miteinander verknüpft, einschließlich Datenbanken, Speicher, Softwarekomponenten und Unterkomponenten.
- Anforderungen für die akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten sind in 5.10 festgelegt.
- Zugangsbeschränkungen entsprechen der Klassifizierung und erweisen sich als wirksam. Sie werden regelmäßig überprüft, um einen kontinuierlichen Schutz zu gewährleisten.
- Informationen und andere damit verbundene Vermögenswerte werden beim Löschen oder Entsorgen sicher behandelt und aus dem Inventar entfernt.
- Sie sind dafür verantwortlich, die mit ihren Vermögenswerten verbundenen Risiken zu identifizieren und zu bewältigen.
- Sie unterstützen das Personal bei der Verwaltung ihrer Informationen und übernehmen die damit verbundenen Rollen und Verantwortlichkeiten.
Das Zusammenführen dieser beiden Steuerelemente zu einem erleichtert dem Benutzer das Verständnis.
Tabelle aller ISO 27001:2022 Anhang A-Kontrollen
In der Tabelle unten finden Sie weitere Informationen zu den einzelnen Personen ISO 27001:2022 Anhang A Steuern.
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Organisatorische Kontrollen | Anhang A 5.1 |
Anhang A 5.1.1 Anhang A 5.1.2 |
Richtlinien zur Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
| Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
| Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
| Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
| Organisatorische Kontrollen | Anhang A 5.7 | NEU | Threat Intelligence |
| Organisatorische Kontrollen | Anhang A 5.8 |
Anhang A 6.1.5 Anhang A 14.1.1 |
Informationssicherheit im Projektmanagement |
| Organisatorische Kontrollen | Anhang A 5.9 |
Anhang A 8.1.1 Anhang A 8.1.2 |
Inventar der Informationen und anderer damit verbundener Vermögenswerte |
| Organisatorische Kontrollen | Anhang A 5.10 |
Anhang A 8.1.3 Anhang A 8.2.3 |
Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.14 |
Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 |
Informationsübertragung |
| Organisatorische Kontrollen | Anhang A 5.15 |
Anhang A 9.1.1 Anhang A 9.1.2 |
Zugangskontrolle |
| Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
| Organisatorische Kontrollen | Anhang A 5.17 |
Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 |
Authentifizierungsinformationen |
| Organisatorische Kontrollen | Anhang A 5.18 |
Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 |
Zugangsrechte |
| Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
| Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
| Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
| Organisatorische Kontrollen | Anhang A 5.22 |
Anhang A 15.2.1 Anhang A 15.2.2 |
Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
| Organisatorische Kontrollen | Anhang A 5.23 | NEU | Informationssicherheit für die Nutzung von Cloud-Diensten |
| Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
| Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
| Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
| Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
| Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
| Organisatorische Kontrollen | Anhang A 5.29 |
Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 |
Informationssicherheit bei Störungen |
| Organisatorische Kontrollen | Anhang A 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| Organisatorische Kontrollen | Anhang A 5.31 |
Anhang A 18.1.1 Anhang A 18.1.5 |
Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
| Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
| Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
| Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
| Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.36 |
Anhang A 18.2.2 Anhang A 18.2.3 |
Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Rekrutierung |
| Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
| Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
| Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
| Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
| Menschenkontrollen | Anhang A 6.8 |
Anhang A 16.1.2 Anhang A 16.1.3 |
Berichterstattung über Informationssicherheitsereignisse |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
| Physikalische Kontrollen | Anhang A 7.2 |
Anhang A 11.1.2 Anhang A 11.1.6 |
Physischer Eintritt |
| Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
| Physikalische Kontrollen | Anhang A 7.4 | NEU | Physische Sicherheitsüberwachung |
| Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
| Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| Physikalische Kontrollen | Anhang A 7.10 |
Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 |
Speichermedien |
| Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
| Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
| Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Technologische Kontrollen | Anhang A 8.1 |
Anhang A 6.2.1 Anhang A 11.2.8 |
Benutzer-Endpunktgeräte |
| Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
| Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
| Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
| Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
| Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
| Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
| Technologische Kontrollen | Anhang A 8.8 |
Anhang A 12.6.1 Anhang A 18.2.3 |
Management technischer Schwachstellen |
| Technologische Kontrollen | Anhang A 8.9 | NEU | Configuration Management |
| Technologische Kontrollen | Anhang A 8.10 | NEU | Löschen von Informationen |
| Technologische Kontrollen | Anhang A 8.11 | NEU | Datenmaskierung |
| Technologische Kontrollen | Anhang A 8.12 | NEU | Verhinderung von Datenlecks |
| Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
| Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
| Technologische Kontrollen | Anhang A 8.15 |
Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 |
Protokollierung |
| Technologische Kontrollen | Anhang A 8.16 | NEU | Überwachungsaktivitäten |
| Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
| Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Nutzung privilegierter DienstprogrammeZugriffsrechte |
| Technologische Kontrollen | Anhang A 8.19 |
Anhang A 12.5.1 Anhang A 12.6.2 |
Installation von Software auf Betriebssystemen |
| Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
| Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
| Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
| Technologische Kontrollen | Anhang A 8.23 | NEU | Web-Filter |
| Technologische Kontrollen | Anhang A 8.24 |
Anhang A 10.1.1 Anhang A 10.1.2 |
Verwendung von Kryptographie |
| Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
| Technologische Kontrollen | Anhang A 8.26 |
Anhang A 14.1.2 Anhang A 14.1.3 |
Anforderungen an die Anwendungssicherheit |
| Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien. Lernen aus Informationssicherheitsvorfällen. |
| Technologische Kontrollen | Anhang A 8.28 | NEU | Sichere Codierung |
| Technologische Kontrollen | Anhang A 8.29 |
Anhang A 14.2.8 Anhang A 14.2.9 |
Sicherheitstests in Entwicklung und Akzeptanz |
| Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
| Technologische Kontrollen | Anhang A 8.31 |
Anhang A 12.1.4 Anhang A 14.2.6 |
Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
| Technologische Kontrollen | Anhang A 8.32 |
Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 |
Change Control |
| Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
| Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
Was bedeuten diese Veränderungen für Sie?
Die neuesten ISO 27001-Änderungen haben keine Auswirkungen auf Ihre aktuelle Zertifizierung gemäß ISO 27001-Standards. Nur Upgrades auf ISO 27001 kann Auswirkungen auf bestehende Zertifizierungen haben. Die Akkreditierungsstellen werden mit den Zertifizierungsstellen zusammenarbeiten, um eine Übergangsfrist zu entwickeln, die den Organisationen Zeit gibt ISO 27001-Zertifikate bieten genügend Zeit, um von einer Version zur nächsten zu wechseln.
Diese Schritte müssen unternommen werden, um die überarbeitete Version zu erfüllen:
- Stellen Sie sicher, dass Ihr Unternehmen die neuesten Vorschriften einhält, indem Sie das Risikoregister und die Risikomanagementverfahren prüfen.
- Der Anhang A sollte geändert werden, um etwaige Änderungen an der Anwendbarkeitserklärung widerzuspiegeln.
- Stellen Sie sicher, dass Ihre Richtlinien und Verfahren auf dem neuesten Stand sind, um den neuen Vorschriften gerecht zu werden.
Während der Umstellung auf den neuen Standard haben wir Zugriff auf neue Best Practices und Qualitäten für die Kontrollauswahl, was einen effektiveren und effizienteren Auswahlprozess ermöglicht.
Sie sollten an einem risikobasierten Ansatz festhalten, um sicherzustellen, dass nur die relevantesten und effizientesten Kontrollen für Ihr Unternehmen ausgewählt werden.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Wie ISMS.online hilft
ISMS.online ist ideal für die Implementierung Ihres ISO 27001 Informationssicherheits-Managementsystems. Es wurde speziell entwickelt, um Unternehmen dabei zu helfen, die Anforderungen des Standards zu erfüllen.
Die Die Plattform wendet eine risikoorientierte Methode an In Verbindung mit führenden Best Practices und Vorlagen der Branche können Sie die Risiken, denen Ihr Unternehmen ausgesetzt ist, und die zu deren Bewältigung erforderlichen Kontrollen ermitteln. Dadurch können Sie sowohl Ihre Risikoexposition als auch Ihren Compliance-Aufwand systematisch reduzieren.
ISMS.online ermöglicht Ihnen:
- Entwickle ein Informationssicherheits-Managementsystem (ISMS).
- Erstellen Sie maßgeschneiderte Richtlinien und Verfahren.
- Implementieren Sie ein ISMS, um die ISO 27001-Standards zu erfüllen.
- Erhalten Sie Unterstützung von erfahrenen Beratern.
Sie können ISMS.online nutzen, um ein ISMS aufzubauen, individuelle Richtlinien und Prozesse zu erstellen, die ISO 27001-Kriterien einzuhalten und Hilfe von erfahrenen Beratern zu erhalten.
Die ISMS.online-Plattform basiert auf Plan-Do-Check-Act (PDCA), einem iterativen vierstufigen Verfahren zur kontinuierlichen Verbesserung, das alle Anforderungen der ISO 27001:2022 erfüllt. Es ist unkompliziert. Kontaktieren Sie uns jetzt, um Vereinbaren Sie Ihre Vorführung.
