- Weitere Informationen finden Sie auch in den ISO 27002:2022 Kontrolle 8.8 .
- Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 12.6.1 .
- Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 18.2.3 .
Zweck von ISO 27001:2022 Anhang A 8.8
Kein Computernetzwerk, kein System, keine Software und kein Gerät ist vollkommen sicher. Der Betrieb eines modernen LANs oder WANs bringt als Teil des Prozesses Schwachstellen mit sich, daher ist es für Unternehmen wichtig, deren Vorhandensein zu akzeptieren und sich darum zu bemühen, die potenziellen Risiken zu reduzieren.
ISO 27001:2022 Anhang A 8.8 bietet eine Fülle von Ratschlägen, die Organisationen dabei helfen, ihre Netzwerke vor der internen und externen Ausnutzung von Schwachstellen zu schützen. Es nutzt Verfahren und Richtlinien mehrerer anderer ISO 27001:2022 Anhang A-Kontrollen, insbesondere solche für Change Control (siehe Anhang A 8.32) und Zugangskontrolle .
Eigentum an Anlage A 8.8
ISO 27001:2022 Anhang A 8.8 befasst sich mit der technischen und administrativen Verwaltung von Software, Systemen und IKT-Assets. Es schreibt einen umfassenden Ansatz für das Softwaremanagement vor, Vermögensverwaltungund Netzwerksicherheitsprüfung.
Die Person, die die letztendliche Verantwortung für die Aufrechterhaltung der IKT-Infrastruktur der Organisation trägt, z. B. der IT-Leiter oder eine gleichwertige Person, sollte Eigentümer von ISO 27001:2022 Anhang A 8.8 sein.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Leitfaden zur Identifizierung von Schwachstellen
Vor der Durchführung von Schwachstellenkontrollen ist es unbedingt erforderlich, eine umfassende und aktuelle Liste der physischen und digitalen Vermögenswerte (siehe Anhang A 5.9 und 5.14) zu erhalten, die sich im Besitz der Organisation befinden und von ihr betrieben werden.
Software-Asset-Daten sollten Folgendes umfassen:
- Derzeit in Betrieb befindliche Versionsnummern.
- Wo die Software im gesamten Anwesen bereitgestellt wird.
- Herstellername.
- Anwendungsname.
Organisationen sollten danach streben, technische Schwachstellen zu identifizieren, indem sie:
- Es ist wichtig, klar zu definieren, wer in der Organisation verantwortlich ist Schwachstellenmanagement aus technischer Sicht Gesichtspunkt erfüllt seine verschiedenen Funktionen, zu denen unter anderem Folgendes gehört (ohne darauf beschränkt zu sein):
- Monitoring.
- Aktualisierung.
- Anlagenmanagement.
- Risikobewertung.
- Wer ist innerhalb der Organisation für die Software verantwortlich?
- Führen Sie Aufzeichnungen über Anwendungen und Tools, um technische Schwachstellen zu identifizieren.
- Fordern Sie Lieferanten und Anbieter auf, etwaige Anfälligkeiten im Zusammenhang mit neuen Systemen und Hardware bei deren Bereitstellung offenzulegen (gemäß Anhang A 5.20 der ISO 27001:2022) und geben Sie dies in allen geltenden Verträgen und Servicevereinbarungen klar an.
- Setzen Sie Tools zum Scannen von Schwachstellen und Patching-Funktionen ein.
- Führen Sie regelmäßige, dokumentierte Penetrationstests durch, entweder durch interne Mitarbeiter oder durch einen authentifizierten Dritten.
- Seien Sie sich des Potenzials zugrunde liegender programmatischer Schwachstellen bewusst, wenn Sie Codebibliotheken oder Quellcode von Drittanbietern verwenden (siehe ISO 27001:2022 Anhang A 8.28).
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Leitlinien für öffentliche Aktivitäten
Organisationen sollten Richtlinien und Verfahren erstellen, die Schwachstellen in allen ihren Produkten und Dienstleistungen erkennen und Bewertungen dieser Schwachstellen in Bezug auf ihr Angebot erhalten.
ISO empfiehlt Organisationen, Maßnahmen zu ergreifen, um etwaige Schwachstellen zu identifizieren, und Dritte zur Teilnahme an Schwachstellenmanagement-Aktivitäten zu motivieren, indem sie Prämienprogramme anbieten (bei denen potenzielle Exploits gesucht und der Organisation gegen eine Belohnung gemeldet werden).
Organisationen sollten sich über Foren, öffentliche E-Mail-Adressen und Recherchen für die Öffentlichkeit zugänglich machen, damit sie das kollektive Wissen der Öffentlichkeit nutzen können, um ihre Produkte und Dienstleistungen zu schützen.
Organisationen sollten alle ergriffenen Abhilfemaßnahmen überprüfen und erwägen, relevante Informationen an betroffene Personen oder Organisationen weiterzugeben. Darüber hinaus sollten sie mit spezialisierten Sicherheitsorganisationen zusammenarbeiten, um Wissen über Schwachstellen und Angriffsvektoren zu verbreiten.
Unternehmen sollten über die Bereitstellung eines optionalen automatisierten Aktualisierungssystems nachdenken, das Kunden je nach ihren Geschäftsanforderungen nutzen können oder nicht.
Leitfaden zur Bewertung von Schwachstellen
Eine genaue Berichterstattung ist unerlässlich, um bei erkannten Sicherheitsrisiken schnelle und wirksame Korrekturmaßnahmen sicherzustellen.
Organisationen sollten Schwachstellen bewerten, indem sie:
- Untersuchen Sie die Berichte gründlich und bestimmen Sie, welche Maßnahmen erforderlich sind, z. B. die Änderung, Aktualisierung oder Beseitigung betroffener Systeme und/oder Geräte.
- Erreichen Sie eine Lösung, die andere ISO-Kontrollen (insbesondere solche im Zusammenhang mit ISO 27001:2022) berücksichtigt und das Ausmaß der Risiken anerkennt.
Leitfaden zur Bekämpfung von Software-Schwachstellen
Software-Schwachstellen können durch einen proaktiven Ansatz bei Software-Updates und Patch-Management effektiv angegangen werden. Die Gewährleistung regelmäßiger Updates und Patches kann dazu beitragen, Ihr System vor potenziellen Bedrohungen zu schützen.
Unternehmen sollten darauf achten, bestehende Softwareversionen beizubehalten, bevor sie Änderungen vornehmen, alle Änderungen gründlich testen und diese auf eine bestimmte Kopie der Software anwenden.
Sobald Schwachstellen identifiziert werden, sollten Organisationen Maßnahmen ergreifen, um diese zu beheben:
- Ziel ist es, alle Sicherheitslücken schnell und effektiv zu beheben.
- Beachten Sie, soweit möglich, die Organisationsprotokolle zum Änderungsmanagement (siehe ISO 27001:2022 Anhang A 8.32) und zum Umgang mit Vorfällen (siehe ISO 27001:2022 Anhang A 5.26).
- Wenden Sie Patches und Updates nur aus zuverlässigen, zertifizierten Quellen an, insbesondere für Software und Geräte von Drittanbietern:
- Unternehmen sollten die vorliegenden Daten auswerten, um zu entscheiden, ob es unbedingt erforderlich ist, automatische Updates (oder Teile davon) auf gekaufte Software und Hardware anzuwenden.
- Testen Sie vor der Installation alle Updates, um unerwartete Probleme in einer Live-Umgebung zu vermeiden.
- Geben Sie der Bekämpfung risikoreicher und lebenswichtiger Geschäftssysteme höchste Priorität.
- Stellen Sie sicher, dass Abhilfemaßnahmen erfolgreich und authentisch sind.
Für den Fall, dass kein Update verfügbar ist oder es Hindernisse bei der Installation gibt (z. B. aus Kostengründen), sollten Unternehmen andere Methoden in Betracht ziehen, wie zum Beispiel:
- Bitten Sie den Anbieter um Rat für eine vorübergehende Lösung, während die Abhilfemaßnahmen intensiviert werden.
- Schalten Sie alle Netzwerkdienste aus, die von der Sicherheitslücke betroffen sind.
- Implementierung von Sicherheitskontrollen an wichtigen Gateways, wie z. B. Verkehrsregeln und Filter, um das Netzwerk zu schützen.
- Verstärken Sie die Überwachung im Verhältnis zum damit verbundenen Risiko.
- Stellen Sie sicher, dass alle betroffenen Parteien, einschließlich Verkäufer und Käufer, über den Fehler informiert sind.
- Verzögern Sie die Aktualisierung und bewerten Sie die Risiken, insbesondere unter Berücksichtigung möglicher Betriebskosten.
Begleitende Anhang-A-Kontrollen
- ISO 27001:2022 Anhang A 5.14
- ISO 27001:2022 Anhang A 5.20
- ISO 27001:2022 Anhang A 5.9
- ISO 27001:2022 Anhang A 8.20
- ISO 27001:2022 Anhang A 8.22
- ISO 27001:2022 Anhang A 8.28
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Ergänzende Hinweise zu Anhang A 8.8
Organisationen sollten eine Prüfpfad aller relevanten Schwachstellenmanagementaktivitäten, um Korrekturmaßnahmen zu unterstützen und Protokolle im Falle einer Sicherheitsverletzung voranzutreiben.
Die regelmäßige Bewertung und Überprüfung des gesamten Schwachstellenmanagementprozesses ist eine hervorragende Möglichkeit, die Leistung zu verbessern und Schwachstellen proaktiv zu identifizieren.
Wenn die Organisation einen Cloud-Service-Anbieter einsetzt, sollte sie sicherstellen, dass der Ansatz des Anbieters zum Schwachstellenmanagement mit ihrem eigenen kompatibel ist und in die verbindliche Servicevereinbarung zwischen beiden Parteien aufgenommen werden sollte, einschließlich etwaiger Berichtsverfahren (siehe ISO 27001:2022 Anhang A 5.32). .
Änderungen und Unterschiede zu ISO 27001:2013
ISO 27001:2022 Anhang A 8.8 ersetzt zwei Anhang-A-Kontrollen aus ISO 27001:2013, diese sind:
- 12.6.1 – Management technischer Schwachstellen
- 18.2.3 – Überprüfung der technischen Konformität
ISO 27001:2022 Anhang A 8.8 führt einen neuen, anderen Ansatz für das Schwachstellenmanagement ein als der in ISO 27001:2013. Es handelt sich um eine bemerkenswerte Abweichung vom vorherigen Standard.
ISO 27001:2013 Anhang A 12.6.1 konzentrierte sich hauptsächlich auf die Einführung von Korrekturmaßnahmen, sobald eine Schwachstelle erkannt wurde, während Anhang A 18.2.3 nur technische Mittel betrifft (hauptsächlich Penetrationstests).
ISO 27001:2022 Anhang A 8.8 führt neue Abschnitte ein, die sich mit den öffentlichen Verantwortlichkeiten einer Organisation, Methoden zur Erkennung von Schwachstellen und der Rolle von Cloud-Anbietern bei der Minimierung von Schwachstellen befassen.
ISO 27001:2022 legt großen Wert auf die Rolle des Schwachstellenmanagements in anderen Bereichen (z. B. Änderungsmanagement) und ermutigt zu einem ganzheitlichen Ansatz, der mehrere andere Kontrollen und Informationssicherheitsprozesse einbezieht.
Tabelle aller ISO 27001:2022 Anhang A-Kontrollen
In der Tabelle unten finden Sie weitere Informationen zu den einzelnen Personen ISO 27001:2022 Anhang A Steuern.
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Organisatorische Kontrollen | Anhang A 5.1 |
Anhang A 5.1.1 Anhang A 5.1.2 |
Richtlinien zur Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
| Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
| Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
| Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
| Organisatorische Kontrollen | Anhang A 5.7 | NEU | Threat Intelligence |
| Organisatorische Kontrollen | Anhang A 5.8 |
Anhang A 6.1.5 Anhang A 14.1.1 |
Informationssicherheit im Projektmanagement |
| Organisatorische Kontrollen | Anhang A 5.9 |
Anhang A 8.1.1 Anhang A 8.1.2 |
Inventar der Informationen und anderer damit verbundener Vermögenswerte |
| Organisatorische Kontrollen | Anhang A 5.10 |
Anhang A 8.1.3 Anhang A 8.2.3 |
Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.14 |
Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 |
Informationsübertragung |
| Organisatorische Kontrollen | Anhang A 5.15 |
Anhang A 9.1.1 Anhang A 9.1.2 |
Zugangskontrolle |
| Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
| Organisatorische Kontrollen | Anhang A 5.17 |
Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 |
Authentifizierungsinformationen |
| Organisatorische Kontrollen | Anhang A 5.18 |
Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 |
Zugangsrechte |
| Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
| Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
| Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
| Organisatorische Kontrollen | Anhang A 5.22 |
Anhang A 15.2.1 Anhang A 15.2.2 |
Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
| Organisatorische Kontrollen | Anhang A 5.23 | NEU | Informationssicherheit für die Nutzung von Cloud-Diensten |
| Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
| Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
| Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
| Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
| Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
| Organisatorische Kontrollen | Anhang A 5.29 |
Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 |
Informationssicherheit bei Störungen |
| Organisatorische Kontrollen | Anhang A 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| Organisatorische Kontrollen | Anhang A 5.31 |
Anhang A 18.1.1 Anhang A 18.1.5 |
Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
| Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
| Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
| Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
| Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.36 |
Anhang A 18.2.2 Anhang A 18.2.3 |
Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Rekrutierung |
| Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
| Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
| Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
| Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
| Menschenkontrollen | Anhang A 6.8 |
Anhang A 16.1.2 Anhang A 16.1.3 |
Berichterstattung über Informationssicherheitsereignisse |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
| Physikalische Kontrollen | Anhang A 7.2 |
Anhang A 11.1.2 Anhang A 11.1.6 |
Physischer Eintritt |
| Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
| Physikalische Kontrollen | Anhang A 7.4 | NEU | Physische Sicherheitsüberwachung |
| Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
| Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| Physikalische Kontrollen | Anhang A 7.10 |
Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 |
Speichermedien |
| Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
| Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
| Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Technologische Kontrollen | Anhang A 8.1 |
Anhang A 6.2.1 Anhang A 11.2.8 |
Benutzer-Endpunktgeräte |
| Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
| Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
| Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
| Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
| Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
| Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
| Technologische Kontrollen | Anhang A 8.8 |
Anhang A 12.6.1 Anhang A 18.2.3 |
Management technischer Schwachstellen |
| Technologische Kontrollen | Anhang A 8.9 | NEU | Configuration Management |
| Technologische Kontrollen | Anhang A 8.10 | NEU | Löschen von Informationen |
| Technologische Kontrollen | Anhang A 8.11 | NEU | Datenmaskierung |
| Technologische Kontrollen | Anhang A 8.12 | NEU | Verhinderung von Datenlecks |
| Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
| Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
| Technologische Kontrollen | Anhang A 8.15 |
Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 |
Protokollierung |
| Technologische Kontrollen | Anhang A 8.16 | NEU | Überwachungsaktivitäten |
| Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
| Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Nutzung privilegierter DienstprogrammeZugriffsrechte |
| Technologische Kontrollen | Anhang A 8.19 |
Anhang A 12.5.1 Anhang A 12.6.2 |
Installation von Software auf Betriebssystemen |
| Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
| Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
| Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
| Technologische Kontrollen | Anhang A 8.23 | NEU | Web-Filter |
| Technologische Kontrollen | Anhang A 8.24 |
Anhang A 10.1.1 Anhang A 10.1.2 |
Verwendung von Kryptographie |
| Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
| Technologische Kontrollen | Anhang A 8.26 |
Anhang A 14.1.2 Anhang A 14.1.3 |
Anforderungen an die Anwendungssicherheit |
| Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien. Lernen aus Informationssicherheitsvorfällen. |
| Technologische Kontrollen | Anhang A 8.28 | NEU | Sichere Codierung |
| Technologische Kontrollen | Anhang A 8.29 |
Anhang A 14.2.8 Anhang A 14.2.9 |
Sicherheitstests in Entwicklung und Akzeptanz |
| Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
| Technologische Kontrollen | Anhang A 8.31 |
Anhang A 12.1.4 Anhang A 14.2.6 |
Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
| Technologische Kontrollen | Anhang A 8.32 |
Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 |
Change Control |
| Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
| Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
Wie ISMS.online hilft
Unsere Die Plattform ist benutzerfreundlich und unkompliziert. Es richtet sich an alle in der Organisation, nicht nur an technisch versierte Personen. Wir empfehlen, Mitarbeiter aus allen Unternehmensebenen einzubeziehen Aufbau Ihres ISMS denn dies trägt dazu bei, ein System zu schaffen, das lange hält.
Nehmen Sie jetzt Kontakt auf Vereinbaren Sie eine Vorführung.