- Weitere Informationen finden Sie auch in den ISO 27002:2022 Kontrolle 6.7 .
- Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 6.2.2 .
Was ist ISO 27001:2022 Anhang A 6.7?
ISO 27001:2022 Anhang A 6.7, Remote-Arbeiten, bietet Leitlinien dazu, wie Organisationen über eine Richtlinie verfügen sollten, um den sicheren Zugriff auf Informationssysteme und Netzwerke bei Remote-Arbeit zu gewährleisten. Darüber hinaus wird die Implementierung eines empfohlen Informationssicherheits-Managementsystem Dazu gehören Verfahren zum Schutz des Fernzugriffs.
Auswirkungen der Fernarbeit auf die Informationssicherheit
Remote-Arbeit hat sich zu einem immer weiter verbreiteten Trend entwickelt, da sich die Technologie weiterentwickelt hat und es Mitarbeitern ermöglicht, aus der Ferne zu arbeiten, ohne die Produktivität und Effizienz zu beeinträchtigen. Dennoch birgt dies möglicherweise Bedenken hinsichtlich der Datensicherheit.
Als Unternehmer ist es notwendig, geistiges Eigentum vor Cyberkriminellen zu schützen und die Sicherheit der Daten vor Hackern zu gewährleisten. Durch entsprechende Maßnahmen kann man sich vor Cyberkriminalität schützen und die Sicherheit von Informationen gewährleisten.
Remote-Arbeit kann eine Reihe von Sicherheitsrisiken mit sich bringen, die angegangen werden müssen, wie zum Beispiel:
Zugangskontrolle
Remote-Arbeit kann von Vorteil sein und einen besseren Zugriff auf vertrauliche Daten und Systeme ermöglichen. Dennoch gibt es einige Sicherheitsaspekte.
Fernarbeit kann, wenn sie nicht richtig überwacht wird, anfällig für Sicherheitsprobleme wie Hacking, Malware, unbefugten Zugriff und mehr sein. Dies ist insbesondere dann der Fall, wenn sich Mitarbeiter nicht in einem sicheren Umfeld aufhalten.
Verlust der physischen Sicherheit
Remote-Arbeit kann sich auch auf die Geschäftsentwicklung eines Unternehmens auswirken physische Sicherheit. Da sich die Mitarbeiter nicht mehr im Büro oder Gebäude aufhalten, können sie möglicherweise keine verdächtigen Aktivitäten feststellen.
Vertraulichkeit
Remote-Arbeit kann ein Risiko für die Vertraulichkeit darstellen. Beispielsweise können Mitarbeiter ohne Erlaubnis des Unternehmens auf vertrauliche Informationen zugreifen.
Mitarbeiter können problemlos über das öffentliche Internet auf vertrauliche Unternehmensdaten zugreifen. Darüber hinaus gibt es sogar Websites, auf denen Mitarbeiter vertrauliche Daten zur öffentlichen Einsichtnahme hochladen können.
Datenschutz
Remote-Arbeit kann Auswirkungen auf die Privatsphäre einer Organisation haben. Wenn Mitarbeiter beispielsweise von zu Hause aus arbeiten, neigen sie möglicherweise eher dazu, ihre persönlichen Gegenstände nicht wegzuräumen.
Dieses Eigentum könnte vertrauliche Daten enthalten, die die Privatsphäre eines Unternehmens gefährden könnten.
Datenschutz
Remote-Arbeit kann eine Gefahr für die Daten eines Unternehmens darstellen. Mitarbeiter können beispielsweise aus der Ferne auf Unternehmensinformationen zugreifen und diese Daten können an mehreren Orten gespeichert werden.
Im Falle des Verlassens des Arbeitsplatzes durch Mitarbeiter und der Mitnahme ihres Geräts erfolgt der Abruf von auf Computern, Servern usw. gespeicherten Daten mobile Geräte könnte sich als schwieriger erweisen.
Der Mitarbeiter kann beim Umgang mit dem Gerät einen Fehler machen oder bösgläubig handeln, wodurch die Sicherheit der Daten gefährdet wird.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Was ist der Zweck von ISO 27001:2022 Anhang A 6.7?
Das Ziel von ISO 27001:2022 Anhang A 6.7 besteht darin, sicherzustellen, dass Remote-Mitarbeiter über die erforderlichen Zugangskontrollen verfügen, um die Vertraulichkeit, Integrität und Verfügbarkeit vertraulicher oder geschützter Informationen, Verfahren und Systeme vor unbefugtem Zugriff oder Offenlegung durch unbefugte Personen zu schützen.
Organisationen müssen die Informationssicherheit gewährleisten, wenn Mitarbeiter aus der Ferne arbeiten. Daher sollten sie eine maßgeschneiderte Richtlinie zum Thema Fernarbeit herausgeben, die die geltenden Bedingungen und Grenzen für die Datensicherheit festlegt. Diese Richtlinie sollte an alle Mitarbeiter weitergegeben werden, einschließlich Anweisungen zum sicheren Einsatz von Fernzugriffstechnologien.
Diese Richtlinie wird sich wahrscheinlich mit Folgendem befassen:
- Die Bedingungen, unter denen Fernarbeit erlaubt ist.
- Prozesse, um sicherzustellen, dass Remote-Mitarbeiter Zugriff auf vertrauliche Informationen haben.
- Um sicherzustellen, dass Informationen bei der Übertragung zwischen verschiedenen physischen Standorten geschützt sind, müssen bestimmte Verfahren eingehalten werden.
Es ist wichtig, ein klares Bild zu erstellen System zur Meldung von Vorfällen, einschließlich der richtigen Kontaktinformationen. Dies kann dazu beitragen, Sicherheitsverletzungen oder andere Vorfälle zu verhindern.
Die Richtlinie sollte auch Verschlüsselung, Firewalls, Antiviren-Software-Updates und Anweisungen für Mitarbeiter zur sicheren Nutzung von Remote-Verbindungen umfassen.
Was dazugehört und wie man die Anforderungen erfüllt
Um Anhang A 6.7 einzuhalten, sollten Organisationen, die Fernarbeit anbieten, eine Richtlinie für Fernarbeit herausgeben, in der die entsprechenden Vorschriften und Grenzen festgelegt sind.
Die Richtlinie sollte regelmäßig überprüft werden, insbesondere wenn sich Technologie oder Gesetzgebung ändern.
Alle Mitarbeiter, Auftragnehmer und Einrichtungen, die an Remote-Arbeitsaktivitäten beteiligt sind, sollten über die Richtlinie informiert werden.
Die Richtlinie sollte dokumentiert, Interessengruppen wie Aufsichtsbehörden und Prüfern zugänglich gemacht und auf dem neuesten Stand gehalten werden.
Organisationen müssen sicherstellen, dass sie über die erforderlichen Sicherheitsvorkehrungen verfügen, um sensible oder vertrauliche Informationen zu schützen, die bei Remote-Operationen elektronisch übertragen oder gespeichert werden.
Gemäß Anhang A 6.7 ist Folgendes zu berücksichtigen:
- Berücksichtigen Sie die physische Sicherheit des Remote-Arbeitsplatzes, sowohl bestehend als auch geplant, einschließlich der Sicherheit des Standorts, der Umgebung und der Rechtssysteme der Regionen, in denen die Mitarbeiter ansässig sind.
- Regeln für sichere physische Umgebungen, wie z. B. abschließbare Aktenschränke, sicherer Transport zwischen Standorten, Fernzugriffsvorschriften, übersichtlicher Schreibtisch, Drucken und Entsorgen von Daten und zugehörigen Vermögenswerten usw Berichterstattung über Sicherheitsereignisse, muss umgesetzt werden.
- Die erwarteten physischen Umgebungen für Remote-Arbeit.
- Unter Berücksichtigung der Fernzugriffsanforderungen der Organisation, der Sensibilität der übertragenen Daten und der Anfälligkeit der Systeme und Anwendungen muss eine sichere Kommunikation gewährleistet werden.
- Der Fernzugriff, beispielsweise der Zugriff auf einen virtuellen Desktop, ermöglicht die Verarbeitung und Speicherung von Informationen auf persönlichen Geräten.
- Die Gefahr des unbefugten Zugriffs auf Daten oder Vermögenswerte durch Personen außerhalb des Remote-Arbeitsbereichs – wie Verwandte und Freunde – ist real.
- Das Risiko eines unbefugten Zugriffs auf Daten oder Vermögenswerte durch Personen in öffentlichen Bereichen gibt Anlass zur Sorge.
- Der Einsatz von Heim- und öffentlichen Netzwerken sowie Regeln oder Verbote im Zusammenhang mit der Einrichtung drahtloser Netzwerkdienste sind erforderlich.
- Der Einsatz von Sicherheitsmaßnahmen wie Firewalls und Anti-Malware-Schutz ist unerlässlich.
- Stellen Sie sicher, dass Systeme mit sicheren Protokollen aus der Ferne bereitgestellt und initiiert werden können.
- Zur Gewährung von Zugriffsrechten müssen sichere Authentifizierungsmechanismen aktiviert werden, wobei die Anfälligkeit von Ein-Faktor-Authentifizierungsmechanismen bei der Autorisierung des Fernzugriffs auf das Netzwerk der Organisation zu berücksichtigen ist.
Zu den zu berücksichtigenden Richtlinien und Maßnahmen sollten gehören:
- Die Organisation muss geeignete Geräte und Lagermöbel für Remote-Arbeitsaktivitäten bereitstellen und die Verwendung privater Geräte, die nicht unter ihrer Kontrolle stehen, verbieten.
- Diese Aufgabe umfasst Folgendes: Definieren der zulässigen Arbeit, Klassifizieren der Informationen, die gespeichert werden können, und Autorisieren von Remote-Mitarbeitern für den Zugriff auf interne Systeme und Dienste.
- Für diejenigen, die aus der Ferne arbeiten und diejenigen, die Unterstützung anbieten, sollten Schulungen angeboten werden. Dies sollte die sichere Abwicklung von Geschäften außerhalb des Büros abdecken.
- Es ist wichtig sicherzustellen, dass geeignete Kommunikationsgeräte bereitgestellt werden, z. B. die Anforderung von Bildschirmsperren und Inaktivitätstimern für den Fernzugriff.
- Die Aktivierung der Gerätestandortverfolgung ist möglich.
- Die Installation von Remote-Wipe-Funktionen ist ein Muss.
- Physische Sicherheit.
- Richtlinien und Regeln bezüglich des Zugangs von Familien und Besuchern zu Geräten und Daten müssen befolgt werden.
- Das Unternehmen bietet Support und Wartung für Hardware und Software.
- Die Bereitstellung von Versicherungen.
- Das Protokoll zur Datensicherung und Betriebskontinuität.
- Audit- und Sicherheitsüberwachung.
- Bei Beendigung der Remote-Arbeitstätigkeit müssen die Befugnisse und Zugriffsrechte widerrufen und die gesamte Ausrüstung zurückgegeben werden.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Änderungen und Unterschiede zu ISO 27001:2013
ISO 27001:2022 Anhang A 6.7 ist eine Adaption von Anhang A 6.2.2 von ISO 27001:2013 und kein neues Element.
ISO 27001:2022 Anhang A 6.7 und 6.2.2 weisen viele Gemeinsamkeiten auf, obwohl sich die Nomenklatur und der Wortlaut unterscheiden. In ISO 27001:2013 wird 6.2.2 als Telearbeit bezeichnet, während 6.7 als Fernarbeit bezeichnet wird. Diese Änderung spiegelt sich in der neuen Version des Standards wider, die Telearbeit durch Fernarbeit ersetzt.
In Anhang A 6.7 von ISO 27001:2022 beschreibt die Norm, was als Fernarbeit gilt, einschließlich Telearbeit – der ursprüngliche Kontrollname in der Version ISO 27001:2013.
Die Umsetzungsrichtlinien in der Version 2022 sind weitgehend ähnlich, unterscheiden sich jedoch in Sprache und Begrifflichkeit. Um sicherzustellen, dass Benutzer den Standard verstehen, wird eine benutzerfreundliche Sprache verwendet.
In Anhang A 6.7 wurden einige Ergänzungen vorgenommen, in 6.2.2 wurden einige Streichungen vorgenommen.
Hinzugefügt zu ISO 27001:2022 Anhang A 6.7 Fernarbeit
- Sorgen Sie mit abschließbaren Aktenschränken für physische Sicherheit, stellen Sie sichere Transport- und Zugangsanweisungen bereit, schreiben Sie klare Schreibtischrichtlinien vor, entwerfen Sie Druck-/Entsorgungsprotokolle für Informationen/Vermögenswerte und implementieren Sie ein System zur Reaktion auf Vorfälle.
- Es wird erwartet, dass die Menschen aus der Ferne arbeiten werden. Körperliche Umstände sind zu erwarten.
- Das Risiko des unbefugten Zugriffs von Fremden auf Informationen oder Ressourcen in öffentlichen Bereichen.
- Sichere Methoden für die Remote-Bereitstellung und Einrichtung von Systemen.
- Zur Authentifizierung und Zulassung sind sichere Mechanismen vorhanden Zugriffsrechte, unter Berücksichtigung der Anfälligkeit von Ein-Faktor-Authentifizierungsmechanismen, wenn der Fernzugriff auf das Netzwerk der Organisation aktiviert ist.
Aus ISO 27001:2013 Anhang A 6.2.2 Telearbeit entfernt
- Die Implementierung von Heimnetzwerken und die Vorschriften oder Einschränkungen bei der Konfiguration drahtloser Netzwerkdienste sind erforderlich.
- Es sollten Richtlinien und Verfahren zur Beilegung von Streitigkeiten über Rechte an geistigem Eigentum, die auf privater Ausrüstung entwickelt wurden, eingeführt werden.
- Der Zugang zu privaten Maschinen (um deren Sicherheit zu gewährleisten oder zu Ermittlungszwecken) kann gesetzlich verboten sein.
- Organisationen können für die Softwarelizenzierung auf Workstations verantwortlich sein, die sich im Privatbesitz ihrer Mitarbeiter oder externer Benutzer befinden.
ISO 27001:2022 enthält Zweckerklärungen und Attributtabellen für jede Kontrolle und hilft Benutzern, die Kontrollen besser zu verstehen und in die Praxis umzusetzen.
In der Version ISO 27001:2013 fehlen diese beiden Komponenten.
Tabelle aller ISO 27001:2022 Anhang A-Kontrollen
In der Tabelle unten finden Sie weitere Informationen zu den einzelnen Personen ISO 27001:2022 Anhang A Steuern.
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Organisatorische Kontrollen | Anhang A 5.1 |
Anhang A 5.1.1 Anhang A 5.1.2 |
Richtlinien zur Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
| Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
| Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
| Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
| Organisatorische Kontrollen | Anhang A 5.7 | NEU | Threat Intelligence |
| Organisatorische Kontrollen | Anhang A 5.8 |
Anhang A 6.1.5 Anhang A 14.1.1 |
Informationssicherheit im Projektmanagement |
| Organisatorische Kontrollen | Anhang A 5.9 |
Anhang A 8.1.1 Anhang A 8.1.2 |
Inventar der Informationen und anderer damit verbundener Vermögenswerte |
| Organisatorische Kontrollen | Anhang A 5.10 |
Anhang A 8.1.3 Anhang A 8.2.3 |
Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.14 |
Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 |
Informationsübertragung |
| Organisatorische Kontrollen | Anhang A 5.15 |
Anhang A 9.1.1 Anhang A 9.1.2 |
Zugangskontrolle |
| Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
| Organisatorische Kontrollen | Anhang A 5.17 |
Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 |
Authentifizierungsinformationen |
| Organisatorische Kontrollen | Anhang A 5.18 |
Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 |
Zugangsrechte |
| Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
| Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
| Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
| Organisatorische Kontrollen | Anhang A 5.22 |
Anhang A 15.2.1 Anhang A 15.2.2 |
Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
| Organisatorische Kontrollen | Anhang A 5.23 | NEU | Informationssicherheit für die Nutzung von Cloud-Diensten |
| Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
| Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
| Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
| Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
| Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
| Organisatorische Kontrollen | Anhang A 5.29 |
Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 |
Informationssicherheit bei Störungen |
| Organisatorische Kontrollen | Anhang A 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| Organisatorische Kontrollen | Anhang A 5.31 |
Anhang A 18.1.1 Anhang A 18.1.5 |
Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
| Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
| Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
| Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
| Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.36 |
Anhang A 18.2.2 Anhang A 18.2.3 |
Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Rekrutierung |
| Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
| Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
| Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
| Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
| Menschenkontrollen | Anhang A 6.8 |
Anhang A 16.1.2 Anhang A 16.1.3 |
Berichterstattung über Informationssicherheitsereignisse |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
| Physikalische Kontrollen | Anhang A 7.2 |
Anhang A 11.1.2 Anhang A 11.1.6 |
Physischer Eintritt |
| Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
| Physikalische Kontrollen | Anhang A 7.4 | NEU | Physische Sicherheitsüberwachung |
| Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
| Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| Physikalische Kontrollen | Anhang A 7.10 |
Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 |
Speichermedien |
| Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
| Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
| Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Technologische Kontrollen | Anhang A 8.1 |
Anhang A 6.2.1 Anhang A 11.2.8 |
Benutzer-Endpunktgeräte |
| Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
| Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
| Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
| Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
| Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
| Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
| Technologische Kontrollen | Anhang A 8.8 |
Anhang A 12.6.1 Anhang A 18.2.3 |
Management technischer Schwachstellen |
| Technologische Kontrollen | Anhang A 8.9 | NEU | Configuration Management |
| Technologische Kontrollen | Anhang A 8.10 | NEU | Löschen von Informationen |
| Technologische Kontrollen | Anhang A 8.11 | NEU | Datenmaskierung |
| Technologische Kontrollen | Anhang A 8.12 | NEU | Verhinderung von Datenlecks |
| Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
| Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
| Technologische Kontrollen | Anhang A 8.15 |
Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 |
Protokollierung |
| Technologische Kontrollen | Anhang A 8.16 | NEU | Überwachungsaktivitäten |
| Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
| Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Nutzung privilegierter DienstprogrammeZugriffsrechte |
| Technologische Kontrollen | Anhang A 8.19 |
Anhang A 12.5.1 Anhang A 12.6.2 |
Installation von Software auf Betriebssystemen |
| Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
| Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
| Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
| Technologische Kontrollen | Anhang A 8.23 | NEU | Web-Filter |
| Technologische Kontrollen | Anhang A 8.24 |
Anhang A 10.1.1 Anhang A 10.1.2 |
Verwendung von Kryptographie |
| Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
| Technologische Kontrollen | Anhang A 8.26 |
Anhang A 14.1.2 Anhang A 14.1.3 |
Anforderungen an die Anwendungssicherheit |
| Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien. Lernen aus Informationssicherheitsvorfällen. |
| Technologische Kontrollen | Anhang A 8.28 | NEU | Sichere Codierung |
| Technologische Kontrollen | Anhang A 8.29 |
Anhang A 14.2.8 Anhang A 14.2.9 |
Sicherheitstests in Entwicklung und Akzeptanz |
| Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
| Technologische Kontrollen | Anhang A 8.31 |
Anhang A 12.1.4 Anhang A 14.2.6 |
Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
| Technologische Kontrollen | Anhang A 8.32 |
Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 |
Change Control |
| Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
| Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
Wer ist für diesen Prozess verantwortlich?
Die Hauptaufgabe der Entwicklung eines Informationssicherheitspolitik für Remote-Mitarbeiter liegt beim Informationssicherheitsbeauftragten der Organisation. Dennoch sollten auch andere Stakeholder in den Prozess einbezogen werden.
IT- und HR-Verantwortliche sind gemeinsam dafür verantwortlich, dass die Richtlinie umgesetzt und eingehalten wird und dass die Mitarbeiter sie verstehen und einhalten.
Wenn Sie über ein Lieferantenverwaltungsprogramm verfügen, ist wahrscheinlich die Person, die für die Verwaltung von Auftragnehmern und Lieferanten verantwortlich ist, für die Erstellung einer Sicherheitsrichtlinie für externe Mitarbeiter in dieser Abteilung verantwortlich.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Was bedeuten diese Veränderungen für Sie?
ISO 27001:2022 bleibt weitgehend unverändert; Daher müssen Sie lediglich sicherstellen, dass Ihre Informationssicherheitsprozesse der neuen Version entsprechen.
Die wichtigsten Änderungen waren die Änderung einiger Kontrollen und die Klarstellung bestimmter Anforderungen. Anhang A 6.7 hatte den größten Effekt: Wenn Sie den Betrieb auslagern oder Mitarbeiter remote beschäftigen, müssen Sie sicherstellen, dass diese über geeignete Sicherheitsmaßnahmen verfügen.
Wenn Ihre Organisation bereits über eine verfügt ISO Zertifizierung 27001, wird der Prozess, den Sie zur Verwaltung der Informationssicherheit einsetzen, den neuen Vorschriften entsprechen.
Wenn Sie Ihr Konto erneuern möchten ISO 27001 Nach der Zertifizierung müssen Sie nichts unternehmen. Stellen Sie lediglich sicher, dass Ihre Verfahren weiterhin der neuen Norm entsprechen.
Wenn Sie ganz von vorne beginnen, müssen Sie darüber nachdenken, wie Sie die Daten und Informationen Ihres Unternehmens vor Cyberangriffen und anderen Risiken schützen können.
Es ist wichtig, Cyber-Risiken ernst zu nehmen und sie als Teil des gesamten Geschäftsplans zu verwalten, anstatt sie nur als Problem für die IT- oder Sicherheitsabteilungen zu betrachten.
Wie ISMS.online hilft
Die ISMS.online-Plattform unterstützt Sie bei allen Aspekten der ISO 27001:2022-Implementierung, von der Durchführung von Risikobewertungsaktivitäten bis hin zur Gestaltung von Richtlinien, Verfahren und Richtlinien zur Erfüllung der Spezifikationen der Norm.
ISMS.online bietet eine Plattform zur Dokumentation und zum Austausch von Erkenntnissen mit Kollegen. Darüber hinaus ermöglicht es Ihnen, Checklisten aller erforderlichen Aufgaben für die ISO 27001-Implementierung zu erstellen und zu speichern, sodass Sie die Sicherheitsmaßnahmen Ihres Unternehmens bequem überwachen können.
Wir stellen Unternehmen eine Reihe automatisierter Tools zur Verfügung, um den Nachweis der Einhaltung von ISO 27001 unkompliziert zu machen.
Kontaktieren Sie uns jetzt, um Buchen Sie eine Vorführung.