- Weitere Informationen finden Sie auch in den ISO 27002:2022 Kontrolle 8.19 .
- Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 12.5.1 .
- Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 12.6.2 .
Zweck von ISO 27001:2022 Anhang A 8.19
Betriebssoftware kann als jede Software kategorisiert werden, die das Unternehmen zur Durchführung seiner Aktivitäten einsetzt, im Gegensatz zu Programmen, die zu Test- oder Entwicklungszwecken verwendet werden.
Es ist wichtig, dass Software in einem Netzwerk gemäß strengen Vorschriften installiert und verwaltet wird, um Risiken zu minimieren, die Effizienz zu steigern und interne und externe Netzwerke und Dienste zu sichern.
Eigentum an Anlage A 8.19
ISO 27001:2022 Anhang A 8.19 befasst sich mit technischen Konzepten im Zusammenhang mit der Wartung und Verwaltung betriebsbereiter Computersysteme. Daher sollte die Verantwortung bei der liegen Head of IT, oder gleichwertig.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Allgemeine Leitlinien zur Einhaltung von ISO 27001:2022 Anhang A 8.19
Um die Sicherheit von Änderungen und Installationen in ihrem Netzwerk zu gewährleisten, sollten Unternehmen:
- Stellen Sie sicher, dass nur Personal mit der erforderlichen Schulung und Kompetenz Software-Updates durchführt (gemäß ISO 27001:2022 Anhang A 8.5).
- Stellen Sie sicher, dass nur ausführbarer Code von hoher Qualität installiert wird; Dieser Code sollte fehlerfrei sein und den Entwicklungsprozess erfolgreich abgeschlossen haben.
- Installieren und aktualisieren Sie Software erst, nachdem der Patch oder das Update erfolgreich getestet wurde und die Organisation sicher ist, dass keine Konflikte oder Probleme auftreten.
- Halten Sie das Bibliothekssystem auf dem neuesten Stand.
- Nutzen Sie eine Konfiguration „Kontrollsystem“ zur Überwachung der gesamten Betriebssoftware inklusive Programmdokumentation.
- Vereinbaren Sie vor allen Updates oder Installationen eine „Rollback-Strategie“, um dies zu gewährleisten Geschäftskontinuität im Falle eines unerwarteten Fehlers oder Konflikts.
- Führen Sie Aufzeichnungen über alle an der Betriebssoftware vorgenommenen Änderungen und geben Sie einen kurzen Überblick über das Update, die beteiligten Personen und einen Zeitstempel.
- Stellen Sie sicher, dass ungenutzte Software sicher gespeichert und zusammen mit allen erforderlichen Dokumentationen, Konfigurationsdateien, Systemprotokollen und unterstützenden Verfahren aufbewahrt wird, für den Fall, dass sie in Zukunft benötigt wird.
- Setzen Sie strenge Vorschriften für die Softwarepakete durch, die Benutzer installieren können, basierend auf den Grundsätzen der „geringsten Rechte“ und im Einklang mit den geltenden Rollen und Verantwortlichkeiten.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Anleitung zur Anbietersoftware
Wenn es um vom Anbieter bereitgestellte Software geht (z. B. Software, die zum Betrieb von Maschinen oder für einen bestimmten Geschäftszweck verwendet wird), ist es wichtig, die Richtlinien des Anbieters einzuhalten, um sicherzustellen, dass sie in einwandfreiem Zustand bleibt.
Es ist unbedingt zu beachten, dass auch bei extern bereitgestellter und verwalteter Software oder Softwaremodulen (dh die Organisation ist nicht für Aktualisierungen verantwortlich) Maßnahmen ergriffen werden sollten, um sicherzustellen, dass Aktualisierungen Dritter die Netzwerkintegrität der Organisation nicht beeinträchtigen.
Unternehmen sollten davon absehen, Software ungeprüfter Anbieter zu verwenden, sofern dies nicht unbedingt erforderlich ist, und die Sicherheitsauswirkungen berücksichtigen, die der Betrieb veralteter Programme mit sich bringt, anstatt auf neuere, sicherere Systeme zu aktualisieren.
Wenn ein Anbieter Zugriff auf das Netzwerk einer Organisation benötigt, um etwas zu installieren oder zu aktualisieren, sollte die Aktivität gemäß ISO 27001:2022 Anhang A 5.22 überwacht und autorisiert werden.
Ergänzende Hinweise zu Anhang A 8.19
Software sollte im Einklang mit den Änderungsmanagementverfahren der Organisation aktualisiert, installiert und gepatcht werden, um Konsistenz mit dem Rest des Unternehmens zu gewährleisten.
Immer wenn ein Patch identifiziert wird, der eine Schwachstelle (oder eine Gruppe von Schwachstellen) vollständig beseitigt oder auf irgendeine Weise dazu beiträgt, die Schwachstellen der Organisation zu verbessern Informationssicherheit Bei Prozessen sollten solche Änderungen in der Regel vorgenommen werden (obwohl es immer noch notwendig ist, solche Änderungen auf individueller Basis zu prüfen).
Organisationen sollten bei Bedarf die neueste, aktiv gepflegte Version von Open-Source-Software verwenden. Sie sollten auch alle Risiken berücksichtigen, die mit der Verwendung nicht gewarteter Software in ihrem Betrieb verbunden sind.
Begleitende Anhang-A-Kontrollen
- ISO 27001:2022 Anhang A 5.22
- ISO 27001:2022 Anhang A 8.5
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Änderungen und Unterschiede zu ISO 27001:2013
ISO 27001:2022 Anhang A 8.19 ersetzt ISO 27001:2013 Anhang A 12.5.1 (Softwareinstallation auf Betriebssystemen) und 12.6.2 (Einschränkungen bei der Softwareinstallation). der überarbeitete Standard 2022.
ISO 27001:2022 Anhang A 8.19 kombiniert die meisten Richtlinien in ISO 27001:2013 Anhang A 12.5.1 und 12.6.2, wobei einige Schlüsselkonzepte ausgearbeitet und neue Leitprinzipien hinzugefügt wurden:
- Pflege und Verwaltung eines Bibliothekssystems.
- Regeln, die die Verwendung von Open-Source-Software regeln.
- Stellen Sie eine strenge logische Überwachung der Installation und Wartung der Software des Anbieters sicher.
Tabelle aller ISO 27001:2022 Anhang A-Kontrollen
In der Tabelle unten finden Sie weitere Informationen zu den einzelnen Personen ISO 27001:2022 Anhang A Steuern.
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Organisatorische Kontrollen | Anhang A 5.1 |
Anhang A 5.1.1 Anhang A 5.1.2 |
Richtlinien zur Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
| Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
| Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
| Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
| Organisatorische Kontrollen | Anhang A 5.7 | NEU | Threat Intelligence |
| Organisatorische Kontrollen | Anhang A 5.8 |
Anhang A 6.1.5 Anhang A 14.1.1 |
Informationssicherheit im Projektmanagement |
| Organisatorische Kontrollen | Anhang A 5.9 |
Anhang A 8.1.1 Anhang A 8.1.2 |
Inventar der Informationen und anderer damit verbundener Vermögenswerte |
| Organisatorische Kontrollen | Anhang A 5.10 |
Anhang A 8.1.3 Anhang A 8.2.3 |
Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.14 |
Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 |
Informationsübertragung |
| Organisatorische Kontrollen | Anhang A 5.15 |
Anhang A 9.1.1 Anhang A 9.1.2 |
Zugangskontrolle |
| Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
| Organisatorische Kontrollen | Anhang A 5.17 |
Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 |
Authentifizierungsinformationen |
| Organisatorische Kontrollen | Anhang A 5.18 |
Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 |
Zugangsrechte |
| Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
| Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
| Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
| Organisatorische Kontrollen | Anhang A 5.22 |
Anhang A 15.2.1 Anhang A 15.2.2 |
Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
| Organisatorische Kontrollen | Anhang A 5.23 | NEU | Informationssicherheit für die Nutzung von Cloud-Diensten |
| Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
| Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
| Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
| Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
| Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
| Organisatorische Kontrollen | Anhang A 5.29 |
Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 |
Informationssicherheit bei Störungen |
| Organisatorische Kontrollen | Anhang A 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| Organisatorische Kontrollen | Anhang A 5.31 |
Anhang A 18.1.1 Anhang A 18.1.5 |
Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
| Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
| Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
| Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
| Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.36 |
Anhang A 18.2.2 Anhang A 18.2.3 |
Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Rekrutierung |
| Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
| Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
| Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
| Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
| Menschenkontrollen | Anhang A 6.8 |
Anhang A 16.1.2 Anhang A 16.1.3 |
Berichterstattung über Informationssicherheitsereignisse |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
| Physikalische Kontrollen | Anhang A 7.2 |
Anhang A 11.1.2 Anhang A 11.1.6 |
Physischer Eintritt |
| Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
| Physikalische Kontrollen | Anhang A 7.4 | NEU | Physische Sicherheitsüberwachung |
| Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
| Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| Physikalische Kontrollen | Anhang A 7.10 |
Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 |
Speichermedien |
| Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
| Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
| Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Technologische Kontrollen | Anhang A 8.1 |
Anhang A 6.2.1 Anhang A 11.2.8 |
Benutzer-Endpunktgeräte |
| Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
| Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
| Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
| Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
| Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
| Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
| Technologische Kontrollen | Anhang A 8.8 |
Anhang A 12.6.1 Anhang A 18.2.3 |
Management technischer Schwachstellen |
| Technologische Kontrollen | Anhang A 8.9 | NEU | Configuration Management |
| Technologische Kontrollen | Anhang A 8.10 | NEU | Löschen von Informationen |
| Technologische Kontrollen | Anhang A 8.11 | NEU | Datenmaskierung |
| Technologische Kontrollen | Anhang A 8.12 | NEU | Verhinderung von Datenlecks |
| Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
| Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
| Technologische Kontrollen | Anhang A 8.15 |
Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 |
Protokollierung |
| Technologische Kontrollen | Anhang A 8.16 | NEU | Überwachungsaktivitäten |
| Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
| Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Nutzung privilegierter DienstprogrammeZugriffsrechte |
| Technologische Kontrollen | Anhang A 8.19 |
Anhang A 12.5.1 Anhang A 12.6.2 |
Installation von Software auf Betriebssystemen |
| Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
| Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
| Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
| Technologische Kontrollen | Anhang A 8.23 | NEU | Web-Filter |
| Technologische Kontrollen | Anhang A 8.24 |
Anhang A 10.1.1 Anhang A 10.1.2 |
Verwendung von Kryptographie |
| Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
| Technologische Kontrollen | Anhang A 8.26 |
Anhang A 14.1.2 Anhang A 14.1.3 |
Anforderungen an die Anwendungssicherheit |
| Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien. Lernen aus Informationssicherheitsvorfällen. |
| Technologische Kontrollen | Anhang A 8.28 | NEU | Sichere Codierung |
| Technologische Kontrollen | Anhang A 8.29 |
Anhang A 14.2.8 Anhang A 14.2.9 |
Sicherheitstests in Entwicklung und Akzeptanz |
| Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
| Technologische Kontrollen | Anhang A 8.31 |
Anhang A 12.1.4 Anhang A 14.2.6 |
Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
| Technologische Kontrollen | Anhang A 8.32 |
Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 |
Change Control |
| Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
| Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
Wie ISMS.online hilft
ISMS.online bietet eine umfassende Lösung für die Implementierung der ISO 27001:2022. Dieses webbasierte System erleichtert den Nachweis, dass Ihre Informationssicherheits-Managementsystem erfüllt die anerkannten Standards durch den Einsatz optimierter Prozesse, Verfahren und Checklisten.
Dieser Die Plattform macht nicht nur die ISO 27001-Implementierung unkompliziert Es dient aber auch als hervorragende Ressource für die Schulung des Personals zu Best Practices und Prozessen im Zusammenhang mit der Informationssicherheit sowie für die Aufzeichnung aller Bemühungen.
Die Vorteile der Nutzung von ISMS.online sind zahlreich:
- Diese Plattform ist benutzerfreundlich und kann von jedem Gerät aus aufgerufen werden.
- Es lässt sich leicht an Ihre Anforderungen anpassen.
- Passen Sie Arbeitsabläufe und Prozesse an Ihre Geschäftsanforderungen an.
- Tools, die es neuen Mitarbeitern ermöglichen, schneller kompetent zu werden.
- Es steht eine Bibliothek mit Vorlagendokumenten zur Verfügung, darunter Richtlinien, Verfahren, Pläne und Checklisten.
Kontaktieren Sie uns jetzt, um Vereinbaren Sie eine Vorführung.