ISO 27001 – Anhang A.6: Organisation der Informationssicherheit

Was ist das Ziel von Anhang A.6.1?

Im Anhang A.6.1 geht es um die interne Organisation. Das Ziel in diesem Anhang A-Bereich besteht darin, einen Managementrahmen zu etablieren, um die Implementierung und den Betrieb der Informationssicherheit innerhalb der Organisation zu initiieren und zu steuern.

Es ist ein wichtiger Bestandteil des Informationssicherheits-Managementsystems (ISMS), insbesondere wenn Sie eine ISO 27001-Zertifizierung erreichen möchten. Lassen Sie uns diese Anforderungen und ihre Bedeutung nun etwas genauer verstehen.

A.6.1.1 Rollen und Verantwortlichkeiten im Bereich Informationssicherheit

Sämtliche Verantwortlichkeiten für die Informationssicherheit müssen definiert und zugewiesen werden. Die Verantwortlichkeiten für die Informationssicherheit können allgemeiner Natur sein (z. B. Schutz von Informationen) und/oder spezifisch sein (z. B. die Verantwortung für die Erteilung einer bestimmten Erlaubnis).

Bei der Festlegung der Verantwortlichkeiten sollte das Eigentum an Informationsressourcen oder Gruppen von Ressourcen berücksichtigt werden. Einige Beispiele für Geschäftsrollen, die wahrscheinlich eine gewisse Relevanz für die Informationssicherheit haben, sind: Abteilungsleiter; Eigentümer von Geschäftsprozessen; Hausmeister; HR Manager; und Interner Auditor.

Der Prüfer möchte sich vergewissern, dass die Organisation klar dargelegt hat, wer für was verantwortlich ist, und zwar in angemessener und verhältnismäßiger Weise entsprechend der Größe und Art der Organisation. Für kleinere Organisationen ist es im Allgemeinen unrealistisch, Vollzeitstellen zu haben, die mit diesen Rollen und Verantwortlichkeiten verbunden sind.

Daher ist es wichtig, spezifische Verantwortlichkeiten für die Informationssicherheit innerhalb bestehender Jobrollen zu klären, z. B. könnte der Operations Director oder CEO auch das Äquivalent des CISO, des Chief Information Security Officer, mit übergreifender Verantwortung für das gesamte ISMS sein. Der CTO könnte Eigentümer aller technologiebezogenen Informationsressourcen usw. sein.

A.6.1.2 Aufgabentrennung

Widersprüchliche Pflichten und Verantwortungsbereiche müssen getrennt werden, um die Möglichkeiten einer unbefugten oder unbeabsichtigten Änderung oder eines Missbrauchs von Vermögenswerten der Organisation zu verringern.

Die Organisation muss sich fragen, ob die Aufgabentrennung in Betracht gezogen und gegebenenfalls umgesetzt wurde. Kleinere Organisationen mögen damit Schwierigkeiten haben, aber das Prinzip sollte so weit wie möglich angewendet werden und eine gute Governance und Kontrollen für die risikoreicheren/höheren Informationsressourcen eingerichtet werden, die im Rahmen der Risikobewertung und -behandlung erfasst werden.

A.6.1.3 Kontakt mit Behörden

Es müssen entsprechende Kontakte zu den zuständigen Behörden gepflegt werden. Denken Sie bei der Anpassung dieser Kontrolle daran, die rechtlichen Verantwortlichkeiten für die Kontaktaufnahme mit Behörden wie der Polizei, dem Büro des Datenschutzbeauftragten oder anderen Regulierungsbehörden, z. B. im Zusammenhang mit der DSGVO, zu berücksichtigen.

Überlegen Sie, wie dieser Kontakt hergestellt werden soll, durch wen, unter welchen Umständen und welche Art von Informationen bereitgestellt werden sollen.

A.6.1.4 Kontakt zu speziellen Interessengruppen

Darüber hinaus müssen entsprechende Kontakte zu Interessengruppen oder anderen sicherheitstechnischen Fachforen und Berufsverbänden gepflegt werden. Wenn Sie diese Kontrolle an Ihre spezifischen Bedürfnisse anpassen, denken Sie daran, dass Mitgliedschaften in Berufsverbänden, Branchenorganisationen, Foren und Diskussionsgruppen alle für diese Kontrolle angerechnet werden.

Es ist wichtig, die Natur jeder dieser Gruppen zu verstehen und zu verstehen, zu welchem ​​Zweck sie gegründet wurden (z. B. ob dahinter ein kommerzieller Zweck steckt).

A.6.1.5 Informationssicherheit im Projektmanagement

Unabhängig von der Art des Projekts muss die Informationssicherheit im Projektmanagement berücksichtigt werden. Informationssicherheit sollte in der Struktur der Organisation verankert sein, und Projektmanagement ist hierfür ein Schlüsselbereich. Wir empfehlen die Verwendung von Vorlagen-Frameworks für Projekte, die eine einfache wiederholbare Checkliste enthalten, um zu zeigen, dass die Informationssicherheit berücksichtigt wird.

Der Prüfer wird darauf achten, dass alle an Projekten beteiligten Personen die Aufgabe haben, die Informationssicherheit in allen Phasen des Projektlebenszyklus zu berücksichtigen. Daher sollte dies auch im Rahmen der Schulung und Sensibilisierung im Einklang mit HR-Sicherheit für A.7.2.2 abgedeckt werden .

Intelligente Organisationen werden A.6.1.5 auch mit den damit verbundenen Verpflichtungen für personenbezogene Daten verknüpfen und „Security by Design“ zusammen mit Datenschutz-Folgenabschätzungen (DPIA) und ähnlichen Prozessen berücksichtigen, um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) und des Datenschutzgesetzes nachzuweisen 2018.

ISMS.online umfasst einfache, praktische Frameworks und Vorlagen für die Informationssicherheit im Projektmanagement sowie für DPIA und andere damit verbundene Bewertungen personenbezogener Daten, z. B. Legitimate Interest Assessments (LIAs).

Was ist das Ziel von Anhang A.6.2?

Im Anhang A.6.2 geht es um mobile Geräte und Telearbeit. Das Ziel in diesem Anhang A-Bereich besteht darin, einen Managementrahmen zu schaffen, um die Sicherheit der Telearbeit und der Nutzung mobiler Geräte zu gewährleisten.

A.6 scheint ein seltsamer Ort zu sein, um Richtlinien zu Mobilgeräten und Telearbeit abzudecken, aber das ist der Fall, und fast alles in A.6.2 hängt mit anderen Kontrollen in Anhang A zusammen, da ein großer Teil des Arbeitslebens Mobil- und Telearbeit umfasst.

Telearbeit umfasst in diesem Fall auch Heimarbeiter und Mitarbeiter an Satellitenstandorten, die möglicherweise nicht die gleichen physischen Infrastrukturkontrollen wie beispielsweise die Zentrale benötigen, aber dennoch mit wertvollen Informationen und zugehörigen Vermögenswerten in Berührung kommen.

A.6.2.1 Richtlinie für mobile Geräte

Es müssen eine Richtlinie und unterstützende Sicherheitsmaßnahmen verabschiedet werden, um die Risiken zu bewältigen, die durch die Verwendung von Mobiltelefonen und anderen mobilen Geräten wie Laptops, Tablets usw. entstehen. Da mobile Geräte immer intelligenter werden, gewinnt dieser Politikbereich weit über die herkömmliche Nutzung eines Mobiltelefons hinaus an Bedeutung Telefon. Der Einsatz mobiler Geräte und Telearbeit sind zugleich eine hervorragende Möglichkeit für flexibles Arbeiten und eine potenzielle Sicherheitslücke.

BYOD oder Bring Your Own Device ist ebenfalls ein wichtiger Teil der Überlegungen. Es bringt zwar enorme Vorteile mit sich, den Mitarbeitern die Nutzung ihrer eigenen Geräte zu ermöglichen, ohne angemessene Kontrollen bei der Nutzung im Alltag und insbesondere beim Ausstieg, aber auch die Risiken können beträchtlich sein.

Eine Organisation muss sicherstellen, dass ihre Informationen sowie die von Kunden und anderen interessierten Parteien geschützt bleiben und idealerweise unter ihrer Kontrolle bleiben, wenn mobile Geräte verwendet werden oder Mitarbeiter außerhalb des Unternehmens arbeiten. Mit Cloud-Speicher für Privatanwender, automatisierten Backups und privaten Geräten, die von Familienmitgliedern gemeinsam genutzt werden, wird dies immer schwieriger.

Eine Organisation sollte die Umsetzung einer „Defence-in-Depth“-Strategie mit einer Kombination aus ergänzenden physischen, technischen und politischen Kontrollen in Betracht ziehen. Einer der wichtigsten Aspekte ist Aufklärung, Schulung und Sensibilisierung für die Nutzung mobiler Geräte auch an öffentlichen Orten, um das Risiko von „kostenlosem“ WLAN zu vermeiden, das Informationen schnell gefährden könnte oder ungebetene Beobachter während der Zugfahrt daran hindert, auf den Bildschirm zu schauen heim.

Der Prüfer möchte sicherstellen, dass klare Richtlinien und Kontrollen eingeführt werden, die gewährleisten, dass die Informationen auch bei der Arbeit außerhalb der physischen Standorte der Organisation sicher bleiben. Richtlinien sollten die folgenden Bereiche abdecken:

• Registrierung und Verwaltung
• physischer Schutz
• Einschränkungen hinsichtlich der Software, die installiert werden kann, der Dienste und Apps, die hinzugefügt und aufgerufen werden können, sowie der Verwendung autorisierter und nicht autorisierter Entwickler
• Betreiben von Geräteaktualisierungen und Patchen von Anwendungen
• die Klassifizierung der zugänglichen Informationen und alle anderen Einschränkungen beim Zugriff auf Assets (z. B. kein Zugriff auf infrastrukturkritische Assets)
• Erwartungen an Kryptografie, Malware und Antivirenprogramme
• Anmelde-, Ferndeaktivierungs-, Lösch-, Sperr- und „Mein Gerät finden“-Anforderungen
• Backup und Speicherung
• Familie und andere Benutzerzugriffsbedingungen (bei BYOD), z. B. Trennung von Konten
• Verwendung an öffentlichen Orten
• Konnektivität und vertrauenswürdige Netzwerke

A.6.2.2 Telearbeit

Außerdem müssen eine Richtlinie und unterstützende Sicherheitsmaßnahmen implementiert werden, um die an Telearbeitsstandorten abgerufenen, verarbeiteten oder gespeicherten Informationen zu schützen. Telearbeit bezieht sich auf Heimarbeit und andere Arbeiten außerhalb des Standorts, beispielsweise vor Ort bei Lieferanten oder Kunden. Für Telearbeiter sind Aufklärung, Schulung und Sensibilisierung für potenzielle Risiken von entscheidender Bedeutung.

Der Prüfer geht davon aus, dass Entscheidungen in Bezug auf die Nutzung mobiler Geräte und Telearbeit sowie Sicherheitsmaßnahmen auf einer angemessenen Risikobewertung basieren und die Notwendigkeit einer flexiblen Arbeitsweise gegen die potenziellen Bedrohungen und Schwachstellen, die eine solche Nutzung mit sich bringen würde, abwägen.

Telearbeit ist auch eng mit vielen anderen Kontrollbereichen des Anhangs A in A.6, A.8, A.9, A.10, A.11, A.12 und A.13 verbunden, also schließen Sie diese als Teil des zusammen Büro- und Telearbeitsansatz, um Doppelarbeit und Lücken zu vermeiden. A.7 ist auch wichtig, um bei der Überprüfung und Einstellung von Telearbeitern richtig zu sein, und das Management über den gesamten Lebenszyklus hinweg ist von entscheidender Bedeutung, um es in Audits einzubeziehen und den Prüfern zu zeigen, dass Telearbeiter keine schlecht gemanagte Bedrohung darstellen.