- Weitere Informationen finden Sie auch in den ISO 27002:2022 Kontrolle 8.6 .
- Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 12.1.3 .
Zweck von ISO 27001:2022 Anhang A 8.6
Beim Kapazitätsmanagement in der IKT geht es um mehr als nur darum, sicherzustellen, dass Unternehmen über ausreichend Platz für Datenzugriff und Backup und Disaster Recovery (BUDR) verfügen. Es muss sichergestellt werden, dass ausreichend Rechenleistung und Ressourcen vorhanden sind, um den Benutzeranforderungen gerecht zu werden. Dazu gehört auch die Gestaltung und Verwaltung von Netzwerken, Rechenzentren und anderer IKT-Infrastruktur, um den Anforderungen der Organisation gerecht zu werden.
Unternehmen müssen sicherstellen, dass sie mit einer Reihe von Ressourcen, die eine Vielzahl von Geschäftsanforderungen erfüllen, effektiv arbeiten können, darunter: Personalwesen, Datenverarbeitung, Verwaltung physischer Büros und damit verbundener Annehmlichkeiten.
Diese Funktionen können die Kontrolle einer Organisation über ihre Informationen beeinträchtigen.
ISO 27001:2022 Anhang A 8.6 ist eine Kombination aus präventiv und Detektivkontrollen zu Risiko aufrechterhalten Ebenen. Diese Kontrolle stellt sicher, dass die Organisation über ausreichende Kapazitäten zur Verarbeitung von Informationen verfügt.
Eigentum an Anlage A 8.6
ISO 27001:2022 Anhang A 8.6 befasst sich mit der Fähigkeit einer Organisation, langfristig ein rentables Unternehmen zu bleiben.
Das Eigentum sollte bei dem liegen Chief Operating Officer oder eine gleichwertige Person, die täglich die Verantwortung dafür übernimmt, die Integrität und Effektivität des Geschäftsbetriebs aufrechtzuerhalten.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Allgemeine Leitlinien zu ISO 27001:2022 Anhang A 8.6
ISO 27001:2022 Anhang A Control 8.6 bietet sieben allgemeine Ratschläge:
- Organisationen sollten die Geschäftskontinuität als oberstes Anliegen betrachten, wenn sie Kapazitätsmanagementkontrollen einführen, beispielsweise die vollständige Implementierung detektivischer Kontrollen, die mögliche Probleme erkennen, bevor sie auftreten.
- Das Kapazitätsmanagement sollte auf den proaktiven Funktionen der Abstimmung und Überwachung basieren und gemeinsam sicherstellen, dass Systeme und Geschäftsabläufe nicht beeinträchtigt werden.
- Organisationen sollten regelmäßige Maßnahmen ergreifen Stresstests um festzustellen, ob sie in der Lage sind, ihre allgemeinen Geschäftsanforderungen zu erfüllen. Diese Tests sollten für jeden Fall maßgeschneidert sein und sich auf den Einsatzbereich beziehen, für den sie vorgesehen sind.
- Das Kapazitätsmanagement sollte nicht nur die vorhandenen Daten und betrieblichen Anforderungen einer Organisation berücksichtigen. Sie sollten auch potenzielles kommerzielles und technisches Wachstum (sowohl physisch als auch digital) einplanen, um so weit wie möglich zukunftssicher zu sein.
- Organisationen müssen bei der Erweiterung ihrer Ressourcen die unterschiedlichen Vorlaufzeiten und Kosten berücksichtigen. Ressourcen, die teuer und schwer zu erhöhen sind, sollten einer gründlicheren Bewertung unterzogen werden, um die Fortführung des Geschäftsbetriebs sicherzustellen.
- Die Geschäftsleitung sollte sich des Risikos einer Abhängigkeit von Schlüsselpersonen oder einzelnen Ressourcen bewusst sein, da alle daraus resultierenden Probleme zu komplexen Problemen führen können.
- Erstellen Sie eine Kapazitätsplanungsstrategie, die speziell auf wichtige Geschäftssysteme und -prozesse abzielt.
Leitfaden zur Nachfragesteuerung
ISO 27001:2022 Anhang A 8.6 fördert eine zweigleisige Strategie für das Kapazitätsmanagement – entweder die Kapazitätserweiterung oder die Reduzierung der Nachfrage nach einem bestimmten Ressourcensatz.
Wenn Unternehmen ihre Kapazität steigern möchten, sollten sie Folgendes tun:
- Denken Sie darüber nach, neues Personal für die Erfüllung einer Arbeitsaufgabe einzustellen.
- Erwerben Sie neue Räumlichkeiten oder Büroflächen durch Kauf, Leasing oder Miete.
- Erhalten Sie zusätzliche Verarbeitung, Datenspeicher und RAM (vor Ort oder cloudbasiert) entweder durch Kauf, Leasing oder Miete.
- Denken Sie darüber nach, „elastische“ und „skalierbare“ Cloud-Ressourcen zu nutzen, die entsprechend den Rechenanforderungen des Unternehmens erweitert werden, ohne dass dafür ein gewisser Aufwand erforderlich ist.
Organisationen sollten danach streben, die Nachfrage zu reduzieren, indem sie:
- Eliminieren Sie veraltete Informationen, um Speicherkapazität auf Servern und zugehörigen Medien freizugeben.
- Entsorgen Sie sicher alle Papierkopien von Informationen, die die Organisation nicht benötigt und zu deren Aufbewahrung sie nicht durch Gesetze oder Vorschriften verpflichtet ist.
- Entfernen Sie alle IKT-Ressourcen, Anwendungen oder virtuellen Einstellungen, die nicht mehr benötigt werden.
- Untersuchen Sie geplante IKT-Aktivitäten (einschließlich Konten, automatische Pflege und Batch-Aktivitäten), um die Speicherkapazität zu maximieren und den von den erstellten Daten eingenommenen Platz zu verringern.
- Maximieren Sie Anwendungscode- und Datenbankabfragen, die häufig genug auftreten, um die Betriebsfähigkeit des Unternehmens zu beeinträchtigen.
- Begrenzen Sie die Bandbreite, die für nicht unbedingt notwendige Aktivitäten im Unternehmensnetzwerk vorgesehen ist. Dazu kann die Einschränkung des Internetzugangs und die Blockierung des Video-/Audio-Streamings von Arbeitsgeräten gehören.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Änderungen und Unterschiede zu ISO 27001:2013
ISO 27001:2022 Anhang A 8.6 ersetzt ISO 27001:2013 Anhang A 12.1.3 (Kapazitätsmanagement).
ISO 27001:2022 Anhang A 8.6 enthält ausführliche Anweisungen für Organisationen, wie sie ihre Kapazität erweitern oder ihren Bedarf verringern können.
Im Gegensatz zur ISO 27001:2013 Anhang A 12.1.3 gibt es keine konkrete Anleitung zur Kapazitätserhöhung. Allerdings liefert ISO 27001:2022 Anhang A 8.6 konkrete Schritte, um mehr betrieblichen Handlungsspielraum zu schaffen.
ISO 27001:2013 Anhang A 12.1.3 enthält keine Anweisungen zur Bewertung der Betriebskapazität oder zur Prüfung der Fähigkeit einer Organisation, langfristig mit Kapazitäten umzugehen, abgesehen von der Empfehlung, einen Kapazitätsmanagementplan zu erstellen.
Im Einklang mit der dramatischen Zunahme des Cloud Computing in den letzten zehn Jahren legt ISO 27001:2022 Anhang A 8.6 klar fest, dass Unternehmen cloudbasierte Ressourcen nutzen sollten, die sich an ihre Geschäftsanforderungen anpassen.
ISO 27001:2013 Anhang A 12.1.3 bezieht sich nicht auf externe Speicher- oder Computereinrichtungen.
Tabelle aller ISO 27001:2022 Anhang A-Kontrollen
In der Tabelle unten finden Sie weitere Informationen zu den einzelnen Personen ISO 27001:2022 Anhang A Kontrolle.
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Organisatorische Kontrollen | Anhang A 5.1 |
Anhang A 5.1.1 Anhang A 5.1.2 |
Richtlinien zur Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
| Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
| Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
| Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
| Organisatorische Kontrollen | Anhang A 5.7 | NEU | Threat Intelligence |
| Organisatorische Kontrollen | Anhang A 5.8 |
Anhang A 6.1.5 Anhang A 14.1.1 |
Informationssicherheit im Projektmanagement |
| Organisatorische Kontrollen | Anhang A 5.9 |
Anhang A 8.1.1 Anhang A 8.1.2 |
Inventar der Informationen und anderer damit verbundener Vermögenswerte |
| Organisatorische Kontrollen | Anhang A 5.10 |
Anhang A 8.1.3 Anhang A 8.2.3 |
Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.14 |
Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 |
Informationsübertragung |
| Organisatorische Kontrollen | Anhang A 5.15 |
Anhang A 9.1.1 Anhang A 9.1.2 |
Zugangskontrolle |
| Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
| Organisatorische Kontrollen | Anhang A 5.17 |
Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 |
Authentifizierungsinformationen |
| Organisatorische Kontrollen | Anhang A 5.18 |
Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 |
Zugangsrechte |
| Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
| Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
| Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
| Organisatorische Kontrollen | Anhang A 5.22 |
Anhang A 15.2.1 Anhang A 15.2.2 |
Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
| Organisatorische Kontrollen | Anhang A 5.23 | NEU | Informationssicherheit für die Nutzung von Cloud-Diensten |
| Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
| Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
| Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
| Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
| Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
| Organisatorische Kontrollen | Anhang A 5.29 |
Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 |
Informationssicherheit bei Störungen |
| Organisatorische Kontrollen | Anhang A 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| Organisatorische Kontrollen | Anhang A 5.31 |
Anhang A 18.1.1 Anhang A 18.1.5 |
Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
| Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
| Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
| Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
| Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.36 |
Anhang A 18.2.2 Anhang A 18.2.3 |
Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Rekrutierung |
| Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
| Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
| Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
| Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
| Menschenkontrollen | Anhang A 6.8 |
Anhang A 16.1.2 Anhang A 16.1.3 |
Berichterstattung über Informationssicherheitsereignisse |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
| Physikalische Kontrollen | Anhang A 7.2 |
Anhang A 11.1.2 Anhang A 11.1.6 |
Physischer Eintritt |
| Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
| Physikalische Kontrollen | Anhang A 7.4 | NEU | Physische Sicherheitsüberwachung |
| Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
| Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| Physikalische Kontrollen | Anhang A 7.10 |
Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 |
Speichermedien |
| Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
| Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
| Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Technologische Kontrollen | Anhang A 8.1 |
Anhang A 6.2.1 Anhang A 11.2.8 |
Benutzer-Endpunktgeräte |
| Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
| Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
| Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
| Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
| Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
| Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
| Technologische Kontrollen | Anhang A 8.8 |
Anhang A 12.6.1 Anhang A 18.2.3 |
Management technischer Schwachstellen |
| Technologische Kontrollen | Anhang A 8.9 | NEU | Configuration Management |
| Technologische Kontrollen | Anhang A 8.10 | NEU | Löschen von Informationen |
| Technologische Kontrollen | Anhang A 8.11 | NEU | Datenmaskierung |
| Technologische Kontrollen | Anhang A 8.12 | NEU | Verhinderung von Datenlecks |
| Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
| Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
| Technologische Kontrollen | Anhang A 8.15 |
Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 |
Protokollierung |
| Technologische Kontrollen | Anhang A 8.16 | NEU | Überwachungsaktivitäten |
| Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
| Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Nutzung privilegierter DienstprogrammeZugriffsrechte |
| Technologische Kontrollen | Anhang A 8.19 |
Anhang A 12.5.1 Anhang A 12.6.2 |
Installation von Software auf Betriebssystemen |
| Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
| Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
| Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
| Technologische Kontrollen | Anhang A 8.23 | NEU | Web-Filter |
| Technologische Kontrollen | Anhang A 8.24 |
Anhang A 10.1.1 Anhang A 10.1.2 |
Verwendung von Kryptographie |
| Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
| Technologische Kontrollen | Anhang A 8.26 |
Anhang A 14.1.2 Anhang A 14.1.3 |
Anforderungen an die Anwendungssicherheit |
| Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien. Lernen aus Informationssicherheitsvorfällen. |
| Technologische Kontrollen | Anhang A 8.28 | NEU | Sichere Codierung |
| Technologische Kontrollen | Anhang A 8.29 |
Anhang A 14.2.8 Anhang A 14.2.9 |
Sicherheitstests in Entwicklung und Akzeptanz |
| Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
| Technologische Kontrollen | Anhang A 8.31 |
Anhang A 12.1.4 Anhang A 14.2.6 |
Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
| Technologische Kontrollen | Anhang A 8.32 |
Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 |
Change Control |
| Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
| Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
Wie ISMS.online hilft
Unsere Checkliste hilft dabei vereinfachen die Implementierung der ISO 27001:2022 und führt Sie durch den gesamten Prozess. Unser umfassende Lösung stellt Ihre Konformität mit ISO/IEC 27001:2022 sicher.
Sobald Sie sich angemeldet haben, machen Sie bis zu 81 % Fortschritte.
Es wird eine umfassende, unkomplizierte Lösung für die vollständige Einhaltung bereitgestellt.
Kontaktieren Sie uns jetzt, um Vereinbaren Sie eine Vorführung.