- Weitere Informationen finden Sie auch in den ISO 27002:2022 Kontrolle 6.6 .
- Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 13.2.4 .
Was ist ISO 27001:2022 Anhang A 6.6?
ISO 27001:2022 Anhang A 6.6 besagt, dass Organisationen Maßnahmen ergreifen müssen, um vertrauliche Informationen vor unbefugter Offenlegung zu schützen. Dazu gehört auch der Abschluss von Vertraulichkeitsvereinbarungen mit Interessenten und Mitarbeitern.
Organisationen sollten Bedingungen für ihre Vereinbarungen mit anderen Parteien erstellen, nachdem sie die Bedingungen der Organisation berücksichtigt haben Informationssicherheit Anforderungen, die Art der zu verwaltenden Informationen, ihre Klassifizierungsstufe, den Zweck, für den sie bestimmt sind, und den Zugriff, der der anderen Partei gestattet ist.
Vertraulichkeits- oder Geheimhaltungsvereinbarungen erklärt
Eine Vertraulichkeits- oder Geheimhaltungsvereinbarung (NDA) ist ein rechtliches Dokument, das die Offenlegung von Geschäftsgeheimnissen und anderen vertraulichen Informationen verbietet.
Vertrauliche Informationen können den Geschäftsplan eines Unternehmens, Finanzzahlen, Kundenlisten und andere exklusive Details umfassen. Diese Verträge werden unter verschiedenen Umständen genutzt, beispielsweise:
- Eine Vertraulichkeitsvereinbarung kann Teil eines Arbeitsvertrags für einen neuen Mitarbeiter sein. Dadurch wird sichergestellt, dass der Mitarbeiter keine vertraulichen Informationen über das Unternehmen, seine Produkte oder Dienstleistungen, sein Personal oder seine Lieferanten preisgibt. Unternehmen nutzen außerdem Geheimhaltungsvereinbarungen, um ihren ehemaligen Mitarbeitern die Offenlegung sensibler Informationen nach Beendigung des Arbeitsverhältnisses zu verbieten.
- Vertraulichkeitsvereinbarungen sind regelmäßig Bestandteil von Geschäftsabschlüssen, beispielsweise beim Kauf eines Unternehmens, beim Zusammenschluss mit einem anderen Unternehmen oder beim Verkauf eines Unternehmens. Diese Vereinbarungen sollen verhindern, dass beide Parteien vertrauliche Informationen preisgeben, die sie während der Transaktion erhalten haben.
- Partnerschaften beinhalten die Verwendung von Vertraulichkeitsvereinbarungen, wenn eine Partei ihren bestehenden Kunden schützen möchte oder Lieferantenbeziehungen vor der Offenlegung gegenüber einem neuen Partner. Wenn ein Unternehmen beispielsweise Finanzierung von Risikokapitalgebern benötigt, kann es diese Investoren auffordern, NDAs zu unterzeichnen, um vertrauliche Daten über die Produkte oder Dienstleistungen des Unternehmens zu sichern.
Bei Partnerschaften sind in der Partnerschaftsvereinbarung häufig Vertraulichkeitsklauseln enthalten, in denen sich jeder Partner verpflichtet, alle während der Partnerschaft erlangten vertraulichen Informationen absolut vertraulich zu behandeln.
Zweck von Vertraulichkeitsvereinbarungen
Vertraulichkeitsvereinbarungen werden häufig sowohl von Privatpersonen als auch von Unternehmen genutzt. Sie dienen einer Reihe von Zielen, darunter:
- Schutz ihrer Geschäftsgeheimnisse und geschützten Informationen vor Konkurrenten, die diese ausnutzen könnten.
- Verhindern Sie, dass Mitarbeiter sensible Unternehmensdaten an andere Organisationen weitergeben.
- Sicherung Rechte an geistigem Eigentum wie Patente und Urheberrechte.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Was ist der Zweck von ISO 27001:2022 Anhang A 6.6?
ISO 27001:2022 Anhang A 6.6 sollte angewendet werden, um die Sicherheit von Daten zu gewährleisten, wenn Mitarbeiter, Partner und Lieferanten mit einer Organisation zusammenarbeiten.
Diese Kontrolle soll die Daten der Organisation schützen und die Unterzeichner über ihre Verpflichtung informieren, Informationen verantwortungsvoll und rechtmäßig zu verwalten und zu schützen. Es dient auch als Instrument zur Wahrung geistiger Eigentumsrechte, beispielsweise Patente, Marken, Geschäftsgeheimnisse und Urheberrechte.
Arbeitgeber sollten sicherstellen, dass eine Geheimhaltungsvereinbarung besteht, bevor vertrauliche Informationen an einen Mitarbeiter oder Auftragnehmer weitergegeben werden. In der Vereinbarung wird die Verantwortung des Einzelnen für die Geheimhaltung der Informationen sowie die Dauer der Vertraulichkeitsfrist nach Beendigung des Arbeitsverhältnisses klargestellt.
Anhang A 6.6 erklärt
ISO 27001:2022 Anhang A Control 6.6 soll das geistige Eigentum und die Geschäftsinteressen Ihrer Organisation schützen, indem es die Weitergabe vertraulicher Daten an Dritte verhindert. Dabei handelt es sich um den Abschluss einer rechtlichen Vereinbarung oder Vereinbarung zwischen Ihrer Organisation und ihren Mitarbeitern, Partnern, Auftragnehmern, Lieferanten und anderen Außenstehenden, die die Verwendung vertraulicher Informationen regelt.
Vertrauliche Informationen sind alle Daten, die nicht veröffentlicht oder an andere Organisationen im gleichen Sektor weitergegeben wurden. Dazu gehören Geschäftsgeheimnisse, Kundenregister, Formeln und Geschäftsstrategien.
Bewerten Sie die Kontrolle, wenn Sie entscheiden, ob einem Dritten Zugriff auf sensible personenbezogene Daten gewährt wird und ob Maßnahmen ergriffen werden müssen, um sicherzustellen, dass er die sensiblen personenbezogenen Daten der Organisation nicht behält oder weiterhin darauf zugreift, wenn er die Organisation verlässt.
Wenn ein Dritter eine Organisation verlässt und die Möglichkeit besteht, dass sensible Daten offengelegt werden, muss die Organisation die notwendigen Schritte unternehmen, um die Offenlegung vor oder kurz nach ihrem Ausscheiden zu verhindern.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Was dazugehört und wie man die Anforderungen erfüllt
ISO 27001:2022 Anhang A 6.6 verlangt, dass die Vertragsparteien die Offenlegung vertraulicher Informationen, die in ihren Geltungsbereich fallen, unterlassen. In allen Fällen, in denen eine Offenlegung erforderlich ist, ist die Zustimmung der Organisation erforderlich, es sei denn, es liegt eine gerichtliche Anordnung vor. Diese Bestimmung ist für den Schutz von Daten über Geschäftsaktivitäten, geistiges Eigentum sowie Forschung und Entwicklung von wesentlicher Bedeutung.
Um Anhang A 6.6 einzuhalten, muss eine Vertraulichkeits- und Geheimhaltungsvereinbarung/ein Vertrag präzise erstellt werden, um alle Geschäftsgeheimnisse und sensiblen Daten/Informationen im Zusammenhang mit den Aktivitäten und Transaktionen des Unternehmens zu schützen. Es ist wichtig, dass beide Parteien ihre vertraglichen Pflichten und Verantwortlichkeiten während und nach Abschluss der Geschäftspartnerschaft verstehen.
In Verträgen, die über das Arbeitsverhältnis des Arbeitnehmers oder die Beauftragung Dritter hinausgehen, kann eine Vertraulichkeitsklausel enthalten sein. Dies sollte erfolgen, um sicherzustellen, dass die Informationen sicher bleiben.
Es ist wichtig, dass die Sicherheitspflichten und -verantwortlichkeiten eines ausscheidenden Mitarbeiters oder eines wechselnden Arbeitsplatzes auf eine neue Person übertragen werden, wobei alle Zugangsdaten entfernt und neue angelegt werden.
Bei der Beurteilung von Vertraulichkeits- und Geheimhaltungsvereinbarungen sollten mehrere Elemente berücksichtigt werden:
- Die vertraulichen Daten, die geschützt werden müssen.
- Die Dauer der Vereinbarung, einschließlich der Fälle, in denen die Vertraulichkeit dauerhaft oder bis zur Veröffentlichung der Daten gewahrt bleiben muss, wird festgelegt.
- Im Falle einer Vertragsbeendigung sind die notwendigen Schritte zu unternehmen.
- Die Unterzeichner müssen alle erforderlichen Maßnahmen ergreifen, um die unbefugte Offenlegung von Informationen zu verhindern.
- Eigentum an Daten, vertraulichem Geschäftswissen und geistigem Eigentum, das Auswirkungen auf die Vertraulichkeit hat.
- Der Unterzeichner hat das Recht, vertrauliche Informationen entsprechend der Ermächtigung zu verwenden.
- Das Recht, Tätigkeiten mit äußerst vertraulichen Daten zu überwachen oder auszuwerten.
- Das Verfahren zur Information und Information über nicht genehmigte Enthüllungen oder das Verschütten privater Informationen muss befolgt werden.
- Nach Beendigung dieser Vereinbarung müssen alle zwischen den Parteien ausgetauschten Daten oder Informationen zurückgegeben oder vernichtet werden.
- Welche Maßnahmen werden ergriffen, wenn die Vereinbarung nicht eingehalten wird?
Die Organisation sollte sicherstellen, dass Vertraulichkeits- und Geheimhaltungsvereinbarungen den Gesetzen der jeweiligen Gerichtsbarkeit entsprechen.
In regelmäßigen Abständen und wenn sich Änderungen auf die Anforderungen auswirken, ist eine Überprüfung der Vertraulichkeits- und Geheimhaltungsvereinbarungen erforderlich.
Weitere Details zu diesem Prozess finden Sie in der Norm ISO 27001:2022.
Änderungen und Unterschiede zu ISO 27001:2013
ISO 27001:2022 Anhang A 6.6 ist eine Modifikation von ISO 27001:2013 Anhang A 13.2.4, statt einer neuen Regelung.
Die beiden Anhang-A-Kontrollen weisen verschiedene Parallelen auf, sind jedoch nicht identisch. Beispielsweise sind die Implementierungsanweisungen beider gleich, wenn auch nicht gleich.
Im ersten Teil der ISO 27001:2013-Implementierungsleitlinien, Anhang A 13.2.4, wird Folgendes betont:
„Vertraulichkeits- oder Geheimhaltungsvereinbarungen sollten die Anforderung zum Schutz vertraulicher Informationen durch rechtlich durchsetzbare Bedingungen berücksichtigen. Vertraulichkeits- oder Geheimhaltungsvereinbarungen gelten für externe Parteien oder Mitarbeiter der Organisation.
Elemente sollten unter Berücksichtigung der Art der anderen Partei und ihres zulässigen Zugriffs oder Umgangs mit vertraulichen Informationen ausgewählt oder hinzugefügt werden.“
Anhang A 6.6 von ISO 27001:2022 erklärt, dass jede Organisation geeignete Maßnahmen ergreifen muss, um:
„Vertraulichkeits- oder Geheimhaltungsvereinbarungen sollten die Anforderung zum Schutz vertraulicher Informationen durch rechtlich durchsetzbare Bedingungen berücksichtigen. Vertraulichkeits- oder Geheimhaltungsvereinbarungen gelten für interessierte Parteien und Mitarbeiter der Organisation.
Basierend auf den Informationssicherheitsanforderungen einer Organisation sollten die Bedingungen in den Vereinbarungen unter Berücksichtigung der Art der zu verarbeitenden Informationen, ihres Klassifizierungsgrads, ihrer Verwendung und des zulässigen Zugriffs durch die andere Partei festgelegt werden.“
Beide Steuerelemente haben in ihren jeweiligen Kontexten eine analoge Struktur und Funktion, unterscheiden sich jedoch in ihrer semantischen Bedeutung. Anhang A 6.6 verwendet eine einfachere und benutzerfreundlichere Sprache, um das Verständnis von Inhalt und Kontext zu erleichtern. Dadurch können sich Anwender leichter mit dem Standard identifizieren.
Die 2022-Ausgabe von ISO 27001 Enthält Absichtserklärungen und Attributtabellen gemäß Anhang A-Kontrolle, um das Verständnis und die erfolgreiche Umsetzung zu erleichtern. Dies ist in der Ausgabe 2013 nicht vorgesehen.
Tabelle aller ISO 27001:2022 Anhang A-Kontrollen
In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A-Kontrolle.
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Organisatorische Kontrollen | Anhang A 5.1 |
Anhang A 5.1.1 Anhang A 5.1.2 |
Richtlinien zur Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
| Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
| Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
| Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
| Organisatorische Kontrollen | Anhang A 5.7 | NEU | Threat Intelligence |
| Organisatorische Kontrollen | Anhang A 5.8 |
Anhang A 6.1.5 Anhang A 14.1.1 |
Informationssicherheit im Projektmanagement |
| Organisatorische Kontrollen | Anhang A 5.9 |
Anhang A 8.1.1 Anhang A 8.1.2 |
Inventar der Informationen und anderer damit verbundener Vermögenswerte |
| Organisatorische Kontrollen | Anhang A 5.10 |
Anhang A 8.1.3 Anhang A 8.2.3 |
Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.14 |
Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 |
Informationsübertragung |
| Organisatorische Kontrollen | Anhang A 5.15 |
Anhang A 9.1.1 Anhang A 9.1.2 |
Zugangskontrolle |
| Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
| Organisatorische Kontrollen | Anhang A 5.17 |
Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 |
Authentifizierungsinformationen |
| Organisatorische Kontrollen | Anhang A 5.18 |
Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 |
Zugangsrechte |
| Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
| Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
| Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
| Organisatorische Kontrollen | Anhang A 5.22 |
Anhang A 15.2.1 Anhang A 15.2.2 |
Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
| Organisatorische Kontrollen | Anhang A 5.23 | NEU | Informationssicherheit für die Nutzung von Cloud-Diensten |
| Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
| Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
| Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
| Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
| Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
| Organisatorische Kontrollen | Anhang A 5.29 |
Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 |
Informationssicherheit bei Störungen |
| Organisatorische Kontrollen | Anhang A 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| Organisatorische Kontrollen | Anhang A 5.31 |
Anhang A 18.1.1 Anhang A 18.1.5 |
Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
| Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
| Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
| Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
| Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.36 |
Anhang A 18.2.2 Anhang A 18.2.3 |
Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Rekrutierung |
| Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
| Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
| Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
| Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
| Menschenkontrollen | Anhang A 6.8 |
Anhang A 16.1.2 Anhang A 16.1.3 |
Berichterstattung über Informationssicherheitsereignisse |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
| Physikalische Kontrollen | Anhang A 7.2 |
Anhang A 11.1.2 Anhang A 11.1.6 |
Physischer Eintritt |
| Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
| Physikalische Kontrollen | Anhang A 7.4 | NEU | Physische Sicherheitsüberwachung |
| Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
| Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| Physikalische Kontrollen | Anhang A 7.10 |
Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 |
Speichermedien |
| Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
| Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
| Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Technologische Kontrollen | Anhang A 8.1 |
Anhang A 6.2.1 Anhang A 11.2.8 |
Benutzer-Endpunktgeräte |
| Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
| Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
| Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
| Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
| Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
| Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
| Technologische Kontrollen | Anhang A 8.8 |
Anhang A 12.6.1 Anhang A 18.2.3 |
Management technischer Schwachstellen |
| Technologische Kontrollen | Anhang A 8.9 | NEU | Configuration Management |
| Technologische Kontrollen | Anhang A 8.10 | NEU | Löschen von Informationen |
| Technologische Kontrollen | Anhang A 8.11 | NEU | Datenmaskierung |
| Technologische Kontrollen | Anhang A 8.12 | NEU | Verhinderung von Datenlecks |
| Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
| Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
| Technologische Kontrollen | Anhang A 8.15 |
Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 |
Protokollierung |
| Technologische Kontrollen | Anhang A 8.16 | NEU | Überwachungsaktivitäten |
| Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
| Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Nutzung privilegierter DienstprogrammeZugriffsrechte |
| Technologische Kontrollen | Anhang A 8.19 |
Anhang A 12.5.1 Anhang A 12.6.2 |
Installation von Software auf Betriebssystemen |
| Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
| Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
| Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
| Technologische Kontrollen | Anhang A 8.23 | NEU | Web-Filter |
| Technologische Kontrollen | Anhang A 8.24 |
Anhang A 10.1.1 Anhang A 10.1.2 |
Verwendung von Kryptographie |
| Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
| Technologische Kontrollen | Anhang A 8.26 |
Anhang A 14.1.2 Anhang A 14.1.3 |
Anforderungen an die Anwendungssicherheit |
| Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien. Lernen aus Informationssicherheitsvorfällen. |
| Technologische Kontrollen | Anhang A 8.28 | NEU | Sichere Codierung |
| Technologische Kontrollen | Anhang A 8.29 |
Anhang A 14.2.8 Anhang A 14.2.9 |
Sicherheitstests in Entwicklung und Akzeptanz |
| Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
| Technologische Kontrollen | Anhang A 8.31 |
Anhang A 12.1.4 Anhang A 14.2.6 |
Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
| Technologische Kontrollen | Anhang A 8.32 |
Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 |
Change Control |
| Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
| Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
Wer ist für diesen Prozess verantwortlich?
Gemäß Anhang A 6.6 von ISO 27001:2022 überwacht die Personalabteilung in den meisten Organisationen in der Regel die Ausarbeitung und Durchsetzung der Vertraulichkeits-/Geheimhaltungsvereinbarung und arbeitet dabei mit dem aufsichtsführenden Manager/der Abteilung des jeweiligen Dritten zusammen.
Der Informationssicherheitsbeauftragte, der Vertriebs- oder Produktionsleiter können alle als leitender Manager fungieren.
Die Abteilungen und Leiter müssen gewährleisten, dass alle von der Organisation eingesetzten Drittanbieter über angemessene Sicherheitsvorkehrungen verfügen, um vertrauliche Daten vor unbefugter Freigabe oder Nutzung zu schützen.
Alle Mitarbeiter müssen zu Beginn ihrer Beschäftigung im Unternehmen eine Vertraulichkeitsvereinbarung unterzeichnen.
In vielen Organisationen, unabhängig von der Größe, müssen alle Mitarbeiter, die mit vertraulichen Informationen umgehen, eine Vertraulichkeits- oder Geheimhaltungsvereinbarung unterzeichnen.
Mitarbeiter in Vertrieb, Marketing, Kundendienst und anderen Abteilungen, die mit vertraulichen Informationen über Kunden, Kunden und Lieferanten interagieren, müssen geschult werden.
Organisationen sollten über Richtlinien verfügen, die ihre Mitarbeiter verpflichten, eine Vertraulichkeitsvereinbarung zu unterzeichnen, bevor sie Zugang zu sensiblen Informationen über Kunden oder Lieferanten erhalten, auch wenn keine schriftliche Vereinbarung vorliegt.
Das Fehlen einer Vertraulichkeitsvereinbarung kann zu ernsthaften Risiken führen. Zu diesen Risiken gehören:
- Mitarbeiter können unbeabsichtigt vertrauliche Informationen an Personen außerhalb des Unternehmens weitergeben, die keinen Zugriff darauf haben sollten, und so der Organisation schaden.
- Ein Mitarbeiter kann vertrauliche Informationen an einen Konkurrenten weitergeben.
- Ein verärgerter Mitarbeiter kann das geistige Eigentum des Unternehmens stehlen und es zu seinem eigenen Vorteil nutzen.
- Mitarbeiter hinterlassen möglicherweise versehentlich vertrauliche Daten auf ihren Desktops im Büro oder auf ihren Laptops zu Hause und riskieren so den Diebstahl durch einen Cyberkriminellen.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Was bedeuten diese Veränderungen für Sie?
Der ISO 27001-Standard bleibt weitgehend unverändert. Um die Benutzerfreundlichkeit zu verbessern, wurde es einfach aktualisiert. Organisationen, die sich an diesen Standard halten, müssen daher keine zusätzlichen Schritte unternehmen, um konform zu bleiben.
Um den Änderungen in ISO 27001:2022 gerecht zu werden, muss die Organisation möglicherweise geringfügige Änderungen an ihren aktuellen Prozessen und Verfahren vornehmen, insbesondere wenn eine erneute Zertifizierung erforderlich ist.
Um weitere Einblicke in die Auswirkungen der Änderung von ISO 27001:2022 auf Ihr Unternehmen zu erhalten, konsultieren Sie bitte unseren ISO 27001-Leitfaden.
Wie ISMS.Online hilft
ISMS.Online erleichtert Organisationen und Unternehmen die Einhaltung der Standards von ISO 27001:2022 durch die Bereitstellung von a Plattform, die die Verwaltung vereinfacht von Vertraulichkeits- oder Geheimhaltungsprotokollen, sodass diese bei Bedarf aktualisiert, getestet und auf Wirksamkeit überprüft werden können.
Wir bieten eine cloudbasierte Lösung Plattform zur Verwaltung von Vertraulichkeit und Informationssicherheit Managementsysteme, einschließlich Geheimhaltungsklauseln, Risikomanagement, Richtlinien, Pläne und Verfahren, alles an einem zentralen Ort. Die Plattform ist benutzerfreundlich und verfügt über eine intuitive Benutzeroberfläche, die das Erlernen erleichtert.
ISMS.Online ermöglicht:
- Erfassen Sie Ihre Prozesse komfortabel mit dieser benutzerfreundlichen Oberfläche. Sie müssen keine Software auf Ihrem Computer oder Netzwerk installieren!
- Optimieren Sie Ihren Risikobewertungsprozess, indem Sie ihn automatisieren.
- Stellen Sie die Einhaltung von Vorschriften mit Online-Berichten und Checklisten sicher.
- Führen Sie ein Fortschrittsregister, während Sie eine Zertifizierung anstreben.
ISMS.Online bietet eine umfassende Auswahl an Tools, die Unternehmen und Organisationen dabei helfen, die Anforderungen der ISO 27001 bzw. zu erfüllen ISO 27001 ISMS. Wir machen es Ihnen leicht, den Industriestandard einzuhalten und geben Ihnen Sicherheit.
Nehmen Sie jetzt Kontakt mit uns auf Vereinbaren Sie eine Vorführung.