- Weitere Informationen finden Sie auch in den ISO 27002:2022 Kontrolle 8.32 .
- Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 12.1.2 .
- Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 14.2.2 .
- Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 14.2.3 .
- Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 14.2.4 .
ISO 27001 Anhang A 8.32: Veränderungskontrolle für Informationssicherheit
Änderungen an InformationssystemeB. der Austausch eines Netzwerkgeräts, die Erstellung einer neuen Datenbankinstanz oder die Aktualisierung der Software, sind häufig erforderlich, um die Leistung zu verbessern, Kosten zu senken und die Effizienz zu steigern.
Bei unsachgemäßer Durchführung können Änderungen an Informationsverarbeitungseinrichtungen und -systemen die darin gespeicherten oder verarbeiteten Daten gefährden.
ISO 27001:2022 In Anhang A 8.32 wird untersucht, wie Organisationen Änderungsmanagementverfahren einrichten und durchführen können, um Änderungen an den Informationsverarbeitungseinrichtungen und -systemen zu überwachen, zu untersuchen und zu verwalten.
Zweck von ISO 27001:2022 Anhang A 8.32
ISO 27001:2022 Annex A Control 8.32 ermöglicht es Organisationen, Informationsbestände zu schützen und gleichzeitig Änderungen an Informationsverarbeitungssystemen und -einrichtungen vorzunehmen. Dies geschieht durch die Einrichtung, Durchführung und Verwaltung von Regeln und Verfahren für das Änderungsmanagement.
Eigentum an Anlage A 8.32
Chief Information Security Officers sollten mit dem Fachwissen von Fachexperten für die Gestaltung und Durchsetzung von Änderungskontrollverfahren verantwortlich sein, die für alle Phasen des Lebenszyklus des Informationssystems gelten, gemäß ISO 27001:2022 Annex A Control 8.32.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Allgemeine Leitlinien zur Einhaltung von ISO 27001:2022 Anhang A 8.32
Alle Änderungen an Informationssystemen sowie die Implementierung neuer Systeme sollten einer Reihe festgelegter Vorschriften und Verfahren entsprechen. Die Einzelheiten dieser Änderungen müssen explizit angegeben und dokumentiert werden. Darüber hinaus müssen sie Bewertungs- und Qualitätssicherungsprozesse durchlaufen.
Organisationen sollten Managementaufgaben dem am besten geeigneten Management zuweisen und die erforderlichen Verfahren festlegen, um sicherzustellen, dass alle Änderungen den Änderungskontrollvorschriften und -standards entsprechen.
ISO 27001:2022 Annex A Control 8.32 zählt neun Komponenten auf, die im Änderungsmanagementverfahren berücksichtigt werden müssen:
- Organisationen sollten die potenziellen Auswirkungen der vorgeschlagenen Änderungen unter Berücksichtigung aller Abhängigkeiten ermitteln und bewerten.
- Implementieren Sie Berechtigungskontrollen für Änderungen. Stellen Sie sicher, dass alle Änderungen vom zuständigen Personal genehmigt wurden. Stellen Sie sicher, dass nur autorisiertes Personal Zugriff auf das System hat und dass alle Änderungen ordnungsgemäß dokumentiert werden.
- Benachrichtigen Sie relevante interne und externe Gruppen über die vorgeschlagenen Änderungen.
- Stellen Sie die Einhaltung von ISO 27001:2022 Anhang A 8.29 sicher, indem Sie Tests und Abnahmetests für Änderungen entwickeln und durchführen.
- Für die Umsetzung der Änderungen und deren praktische Umsetzung wird gesorgt.
- Erstellen Sie Notfall- und Notfallpläne und -verfahren, einschließlich eines Ausweichverfahrens.
- Führung von Aufzeichnungen über alle Änderungen und damit verbundenen Aktivitäten, einschließlich der oben genannten 1–6.
- Um die Einhaltung von Anhang A 5.37 der ISO 27001:2022 sicherzustellen, werden die Betriebsdokumentation und Benutzerverfahren regelmäßig überprüft und bei Bedarf geändert.
- IKT-Kontinuitätspläne sowie Wiederherstellungs- und Reaktionsverfahren müssen bewertet und aktualisiert werden, um den Änderungen Rechnung zu tragen.
Organisationen sollten sich bemühen, so weit wie möglich Änderungskontrollverfahren für Software und IKT-Infrastruktur zu integrieren.
Ergänzende Hinweise zu Anhang A 8.32
Änderungen in der Produktionsumgebung, z. B. Betriebssysteme und Datenbanken, können die Integrität und Verfügbarkeit von Anwendungen gefährden, insbesondere die Übertragung von Software von der Entwicklung in die Produktion.
Unternehmen sollten sich über die möglichen Folgen einer Softwareänderung in ihrer Produktionsumgebung im Klaren sein. Da es zu unvorhergesehenen Auswirkungen kommen kann, ist Vorsicht geboten.
Unternehmen sollten Tests an IKT-Komponenten in einer sicheren, separaten Umgebung, fernab von Entwicklung und Produktion, durchführen.
Mit Patches und Service Packs können Unternehmen mehr Kontrolle über neue Software erlangen und die zum Testen verwendeten realen Daten schützen, was eine zusätzliche Schutzebene bietet.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Änderungen und Unterschiede zu ISO 27001:2013
ISO 27001:2022 Anhang A 8.32 ersetzt die vier Abschnitte von ISO 27001:2013 Anhang A 12.1.2, 14.2.2, 14.2.3 und 14.2.4.
In ISO 27001:2013 wurden die Änderungskontrollverfahren genauer spezifiziert als im Jahr 2022.
Zwischen den beiden Versionen lassen sich drei wesentliche Unterschiede feststellen.
Die Version ISO 27001:2013 enthielt detailliertere Angaben dazu, was ein „Änderungsverfahren“ beinhalten sollte
In den Versionen ISO 27001:2022 und ISO 27001:2013 wird jeweils in nicht erschöpfender Weise dargelegt, was in einem Änderungsverfahren enthalten sein sollte.
Die Ausgabe 2013 enthielt Komponenten, die in der Variante 2022 nicht erwähnt wurden:
- Identifizieren und überprüfen Sie sicherheitskritischen Code, um etwaige Schwachstellen zu beheben.
- Unternehmen sollten die Versionskontrolle für alle Softwareänderungen beibehalten.
- Organisationen sollten eine Liste der Hardware- und Softwarekomponenten erstellen und aufzeichnen, die geändert und aktualisiert werden müssen.
Die ISO 27001:2013-Version befasst sich mit „Änderungen an Betriebsplattformen“
Anhang A 14.2.3 von ISO 27001:2013 beschreibt Möglichkeiten, wie Organisationen die negativen Auswirkungen und Störungen auf den Geschäftsbetrieb reduzieren können, die durch Änderungen an Betriebssystemen entstehen können.
Im Vergleich dazu sieht die ISO 27001:2022 keine Anforderungen für Änderungen vor.
ISO 27001:2013 befasst sich mit „Änderungen an Softwarepaketen“
Anhang A 14.2.4, der sich auf „Änderungen an Softwarepaketen“ in ISO 27001:2013 bezieht, ist in der Version ISO 27001:2022 nicht enthalten.
Tabelle aller ISO 27001:2022 Anhang A-Kontrollen
In der Tabelle unten finden Sie weitere Informationen zu den einzelnen Personen ISO 27001:2022 Anhang A Steuern.
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Organisatorische Kontrollen | Anhang A 5.1 |
Anhang A 5.1.1 Anhang A 5.1.2 |
Richtlinien zur Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
| Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
| Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
| Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
| Organisatorische Kontrollen | Anhang A 5.7 | NEU | Threat Intelligence |
| Organisatorische Kontrollen | Anhang A 5.8 |
Anhang A 6.1.5 Anhang A 14.1.1 |
Informationssicherheit im Projektmanagement |
| Organisatorische Kontrollen | Anhang A 5.9 |
Anhang A 8.1.1 Anhang A 8.1.2 |
Inventar der Informationen und anderer damit verbundener Vermögenswerte |
| Organisatorische Kontrollen | Anhang A 5.10 |
Anhang A 8.1.3 Anhang A 8.2.3 |
Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.14 |
Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 |
Informationsübertragung |
| Organisatorische Kontrollen | Anhang A 5.15 |
Anhang A 9.1.1 Anhang A 9.1.2 |
Zugangskontrolle |
| Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
| Organisatorische Kontrollen | Anhang A 5.17 |
Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 |
Authentifizierungsinformationen |
| Organisatorische Kontrollen | Anhang A 5.18 |
Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 |
Zugangsrechte |
| Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
| Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
| Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
| Organisatorische Kontrollen | Anhang A 5.22 |
Anhang A 15.2.1 Anhang A 15.2.2 |
Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
| Organisatorische Kontrollen | Anhang A 5.23 | NEU | Informationssicherheit für die Nutzung von Cloud-Diensten |
| Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
| Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
| Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
| Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
| Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
| Organisatorische Kontrollen | Anhang A 5.29 |
Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 |
Informationssicherheit bei Störungen |
| Organisatorische Kontrollen | Anhang A 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| Organisatorische Kontrollen | Anhang A 5.31 |
Anhang A 18.1.1 Anhang A 18.1.5 |
Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
| Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
| Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
| Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
| Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.36 |
Anhang A 18.2.2 Anhang A 18.2.3 |
Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Rekrutierung |
| Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
| Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
| Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
| Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
| Menschenkontrollen | Anhang A 6.8 |
Anhang A 16.1.2 Anhang A 16.1.3 |
Berichterstattung über Informationssicherheitsereignisse |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
| Physikalische Kontrollen | Anhang A 7.2 |
Anhang A 11.1.2 Anhang A 11.1.6 |
Physischer Eintritt |
| Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
| Physikalische Kontrollen | Anhang A 7.4 | NEU | Physische Sicherheitsüberwachung |
| Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
| Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| Physikalische Kontrollen | Anhang A 7.10 |
Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 |
Speichermedien |
| Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
| Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
| Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Technologische Kontrollen | Anhang A 8.1 |
Anhang A 6.2.1 Anhang A 11.2.8 |
Benutzer-Endpunktgeräte |
| Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
| Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
| Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
| Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
| Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
| Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
| Technologische Kontrollen | Anhang A 8.8 |
Anhang A 12.6.1 Anhang A 18.2.3 |
Management technischer Schwachstellen |
| Technologische Kontrollen | Anhang A 8.9 | NEU | Configuration Management |
| Technologische Kontrollen | Anhang A 8.10 | NEU | Löschen von Informationen |
| Technologische Kontrollen | Anhang A 8.11 | NEU | Datenmaskierung |
| Technologische Kontrollen | Anhang A 8.12 | NEU | Verhinderung von Datenlecks |
| Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
| Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
| Technologische Kontrollen | Anhang A 8.15 |
Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 |
Protokollierung |
| Technologische Kontrollen | Anhang A 8.16 | NEU | Überwachungsaktivitäten |
| Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
| Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Nutzung privilegierter DienstprogrammeZugriffsrechte |
| Technologische Kontrollen | Anhang A 8.19 |
Anhang A 12.5.1 Anhang A 12.6.2 |
Installation von Software auf Betriebssystemen |
| Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
| Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
| Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
| Technologische Kontrollen | Anhang A 8.23 | NEU | Web-Filter |
| Technologische Kontrollen | Anhang A 8.24 |
Anhang A 10.1.1 Anhang A 10.1.2 |
Verwendung von Kryptographie |
| Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
| Technologische Kontrollen | Anhang A 8.26 |
Anhang A 14.1.2 Anhang A 14.1.3 |
Anforderungen an die Anwendungssicherheit |
| Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien. Lernen aus Informationssicherheitsvorfällen. |
| Technologische Kontrollen | Anhang A 8.28 | NEU | Sichere Codierung |
| Technologische Kontrollen | Anhang A 8.29 |
Anhang A 14.2.8 Anhang A 14.2.9 |
Sicherheitstests in Entwicklung und Akzeptanz |
| Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
| Technologische Kontrollen | Anhang A 8.31 |
Anhang A 12.1.4 Anhang A 14.2.6 |
Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
| Technologische Kontrollen | Anhang A 8.32 |
Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 |
Change Control |
| Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
| Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
Wie ISMS.online hilft
Unsere Cloud-Plattform bietet eine starke Struktur von Informationssicherheitsmaßnahmen, die es Ihnen ermöglicht, Ihren ISMS-Prozess im weiteren Verlauf abzuhaken und sicherzustellen, dass er die ISO 27000k-Kriterien erfüllt.
ISMS.online kann Ihnen dabei helfen, effizient und mit minimalen Ressourcen eine Zertifizierung zu erlangen. Bei richtiger Anwendung kann es einen großen Beitrag zur Erreichung dieses Ziels leisten.
Kontaktieren Sie uns jetzt, um Vereinbaren Sie eine Vorführung.