ISO 27001:2022 Anhang A Kontrolle 5.1

Informationssicherheitsrichtlinien

Demo buchen

geschäft,mann,verwenden,mobil,smart,telefon,,beschäftigt,arbeiten,auf,laptop

Als Teil der ISO 27001:2022 legt Anhang A 5.1 fest, dass Organisationen über eine verfügen müssen Informationssicherheit Richtliniendokument vorhanden. Dies ist zum sich vor Bedrohungen der Informationssicherheit schützen.

Bei der Entwicklung von Richtlinien müssen Geschäftsanforderungen sowie geltende Vorschriften und Gesetze berücksichtigt werden.

Ein Informationssicherheitsrichtliniendokument ist im Wesentlichen ein Kompendium der Anhang-A-Kontrollen, das die wichtigsten Aussagen der Organisation zur Sicherheit untermauert und sie den Interessengruppen zur Verfügung stellt.

In der Version 2022 des Standards sollten Richtlinien auch in das Bildungs-, Schulungs- und Sensibilisierungsprogramm aufgenommen werden, wie in People Controls A.6.3 beschrieben.

Organisationsrichtlinien legen die Grundsätze fest, die Mitglieder und wichtige Parteien wie Lieferanten einhalten müssen. Diese Richtlinien sollten regelmäßig überprüft und bei Bedarf aktualisiert werden.

Was sind Informationssicherheitsrichtlinien?

An Informationssicherheitspolitik zielt darauf ab, Mitarbeitern, Management und externen Parteien (z. B. Kunden und Lieferanten) einen Rahmen für die Verwaltung elektronischer Informationen, einschließlich Computernetzwerke, bereitzustellen.

Eine Sicherheitsrichtlinie muss definiert, vom Management genehmigt, veröffentlicht und den Mitarbeitern und relevanten externen Parteien kommuniziert werden.

Neben der Reduzierung des Risikos von Datenverlusten aufgrund interner und externer Bedrohungen, Informationssicherheitsrichtlinien gewährleisten dass alle Mitarbeiter ihre Rolle beim Schutz der Daten der Organisation verstehen.

Neben der Erfüllung von Standards wie z ISO 27001 Eine Informationssicherheitsrichtlinie kann auch die Einhaltung von Gesetzen und Vorschriften nachweisen.

Bedrohungen der Informationssicherheit und Cybersicherheit erklärt

Internet-Sicherheit Zu den Bedrohungen zählen Unternehmensspione und Hacktivisten, Terroristengruppen, feindliche Nationalstaaten und kriminelle Organisationen. Diese Bedrohungen zielen darauf ab, unrechtmäßig auf Daten zuzugreifen, digitale Abläufe zu stören oder Informationen zu beschädigen.

Zu den Bedrohungen für die Cybersicherheit und Informationssicherheit gehören:

  • Viren, Spyware und andere Schadprogramme gelten als Malware.

  • Eine E-Mail, die scheinbar von einer vertrauenswürdigen Quelle stammt, aber Links und Anhänge enthält, die Malware auf Ihrem Computer installieren.

  • Viren verhindern, dass Benutzer auf ihre Daten zugreifen, bis sie ein Lösegeld zahlen.

  • Der Prozess, Menschen dazu zu manipulieren, sensible Informationen preiszugeben, wird als Social Engineering bezeichnet.

  • Phishing-E-Mails, die scheinbar von prominenten Personen einer Organisation stammen, werden als Walangriffe bezeichnet.
Zum Thema springen
Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Wie funktioniert ISO 27001:2022 Anhang A 5.1?

Richtlinien zur Informationssicherheit sollen die sensiblen Informationen Ihres Unternehmens vor Diebstahl und unbefugtem Zugriff schützen.

In gemäß ISO 27001, Anhang Kontrolle A 5.1 leitet den Zweck und die Umsetzung der Einrichtung einer Informationssicherheitsrichtlinie in einer Organisation.

Eine umfassende Informationssicherheitsrichtlinie ist erforderlich Anhang A Control 5.1 für Unternehmen zur Verwaltung ihrer Informationssicherheit. Die Geschäftsleitung muss die Richtlinien genehmigen, die regelmäßig überprüft werden müssen, wenn sich Änderungen im Informationssicherheitsumfeld ergeben.

Der geeignete Ansatz besteht darin, sich regelmäßig, mindestens einmal im Monat, zu treffen und bei Bedarf weitere Treffen durchzuführen. Zusätzlich zur Weitergabe von Richtlinien an interne und externe Stakeholder muss das Management alle Änderungen genehmigen, bevor sie umgesetzt werden.

Erste Schritte und Erfüllung der Anforderungen von Anhang A 5.1

A detaillierte Betriebsanweisung Das beschreibt, wie die Informationssicherheitsrichtlinie umgesetzt wird, sollte auf einer Informationssicherheitsrichtlinie basieren und von dieser unterstützt werden.

Die Richtlinie sollte von oben genehmigt werden Management informiert und an Mitarbeiter und Interessenten kommuniziert.

Neben dem Geben Orientierung für den Ansatz der Organisation Zur Verwaltung der Informationssicherheit kann die Richtlinie zur Entwicklung detaillierterer Betriebsabläufe genutzt werden.

Wie benötigt von ISO/IEC 27000-StandardsEine Richtlinie ist für die Einrichtung und Aufrechterhaltung eines Informationssicherheits-Managementsystems (ISMS) von wesentlicher Bedeutung. Eine klar definierte Richtlinie bleibt auch dann von entscheidender Bedeutung, wenn die Organisation dies nicht beabsichtigt ISO 27001 umsetzen oder eine andere formelle Zertifizierung.

Richtlinien zur Informationssicherheit sollten regelmäßig überprüft werden, um sicherzustellen, dass sie weiterhin geeignet, angemessen und wirksam sind.

Wenn Änderungen am Unternehmen, seinen Risiken, der Technologie, der Gesetzgebung oder den Vorschriften vorgenommen werden oder wenn Sicherheitslücken, Ereignisse oder Vorfälle darauf hinweisen, dass Richtlinienänderungen erforderlich sind.

Was sind die Änderungen und Unterschiede zur ISO 27001:2013?

Als Teil der ISO 27001-Revision 2013 führt diese Kontrolle die Anhang-A-Kontrollen 5.1.1 Richtlinien zur Informationssicherheit und 5.1.2 Überprüfung der Richtlinien zur Informationssicherheit zusammen.

Anhang A-Steuerung 5.1 Zoll ISO 27001:2022 wurde aktualisiert mit einer Beschreibung seines Zwecks und erweiterten Implementierungsanleitungen sowie einer Attributtabelle, die es Benutzern ermöglicht, die Kontrollen von Anhang A mit der Branchenterminologie in Einklang zu bringen.

Gemäß Anhang A 5.1 sollen Informationssicherheits- und themenspezifische Richtlinien definiert, vom Management genehmigt, veröffentlicht, an die zuständigen Mitarbeiter kommuniziert und von diesen anerkannt werden.

Die Informationssicherheitsrichtlinie einer Organisation sollte die Größe, Art und Sensibilität der Informationsressourcen, Industriestandards und geltende behördliche Anforderungen berücksichtigen.

Gemäß Abschnitt 5.1.2 von ISO 27001:2013 besteht der Zweck von Anhang A darin, sicherzustellen, dass Informationssicherheitsrichtlinien regelmäßig bewertet werden, wenn sich Änderungen in der Informationssicherheitsumgebung ergeben.

Gemäß ISO 27001:2013 und ISO 27001:2022 sollte das Top-Management eine Sicherheitsrichtlinie entwickeln, die vom Top-Management genehmigt wird und beschreibt, wie die Organisation ihre Daten schützt. Dennoch decken beide Fassungen der Policen unterschiedliche Anforderungen ab.

Vergleichende Analyse von Anhang A 5.1 Umsetzungsrichtlinien

Gemäß ISO 27001:2013 sollten Informationssicherheitsrichtlinien die folgenden Anforderungen berücksichtigen:

  • Die Geschäftsstrategie.

  • Verträge, Vorschriften und Gesetze.

  • Eine Beschreibung der aktuellen und prognostizierten Bedrohungsumgebung für die Informationssicherheit.

Informationssicherheitsrichtlinien sollten die folgenden Aussagen enthalten:

  • Alle Aktivitäten im Zusammenhang mit Informationssicherheit sollte geleitet werden durch eine Definition von Informationssicherheit, Zielen und Grundsätzen.

  • Verantwortlichkeiten für das Informationssicherheitsmanagement werden definierten Rollen in allgemeiner und spezifischer Weise zugewiesen.

  • Der Prozess zur Behandlung von Abweichungen und Ausnahmen.

Im Gegensatz dazu stellt ISO 27001:2022 umfassendere Anforderungen.

Im Rahmen der Informationssicherheitspolitik sollten folgende Anforderungen berücksichtigt werden:

  • Strategie und Anforderungen des Unternehmens.

  • Gesetze, Vorschriften und Verträge.

  • Informationssicherheitsrisiken und -bedrohungen, die heute und in der Zukunft bestehen.

In die Informationssicherheitsrichtlinie sollten Aussagen zu Folgendem aufgenommen werden:

  • Definition der Informationssicherheit.

  • Ein Rahmen zur Festlegung von Informationssicherheitszielen.

  • Grundsätze der Informationssicherheit sollten alle Aktivitäten leiten.

  • Eine Verpflichtung zur Einhaltung aller geltenden Informationssicherheitsanforderungen.

  • Ein kontinuierliches Engagement für die Verbesserung der Informationssicherheits-Managementsystem.

  • Rollenbasierte Zuweisung von Verantwortlichkeiten für das Informationssicherheitsmanagement.

  • Ausnahmen und Befreiungen werden gemäß diesen Verfahren gehandhabt.

Darüber hinaus wurde ISO 27001:2022 überarbeitet, um themenspezifische Richtlinien für das Management von Informationssicherheitsvorfällen, Asset Management, Netzwerksicherheit, Vorfallmanagement und sichere Entwicklung als themenspezifische Richtlinien aufzunehmen. Um ein ganzheitlicheres Rahmenwerk zu schaffen, wurden einige Anforderungen der ISO 27001:2013 entfernt oder zusammengeführt.

Tabelle aller ISO 27001:2022 Anhang A-Kontrollen

In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A-Kontrolle.

ISO 27001:2022 Organisationskontrollen

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
Organisatorische KontrollenAnhang A 5.1Anhang A 5.1.1
Anhang A 5.1.2		Richtlinien zur Informationssicherheit
Organisatorische KontrollenAnhang A 5.2Anhang A 6.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
Organisatorische KontrollenAnhang A 5.3Anhang A 6.1.2Aufgabentrennung
Organisatorische KontrollenAnhang A 5.4Anhang A 7.2.1Führungsaufgaben
Organisatorische KontrollenAnhang A 5.5Anhang A 6.1.3Kontakt mit Behörden
Organisatorische KontrollenAnhang A 5.6Anhang A 6.1.4Kontakt mit speziellen Interessengruppen
Organisatorische KontrollenAnhang A 5.7NEU!Threat Intelligence
Organisatorische KontrollenAnhang A 5.8Anhang A 6.1.5
Anhang A 14.1.1		Informationssicherheit im Projektmanagement
Organisatorische KontrollenAnhang A 5.9Anhang A 8.1.1
Anhang A 8.1.2		Inventar der Informationen und anderer damit verbundener Vermögenswerte
Organisatorische KontrollenAnhang A 5.10Anhang A 8.1.3
Anhang A 8.2.3		Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
Organisatorische KontrollenAnhang A 5.11Anhang A 8.1.4Rückgabe von Vermögenswerten
Organisatorische KontrollenAnhang A 5.12Anhang A 8.2.1Klassifizierung von Informationen
Organisatorische KontrollenAnhang A 5.13Anhang A 8.2.2Kennzeichnung von Informationen
Organisatorische KontrollenAnhang A 5.14Anhang A 13.2.1
Anhang A 13.2.2
Anhang A 13.2.3		Informationsübertragung
Organisatorische KontrollenAnhang A 5.15Anhang A 9.1.1
Anhang A 9.1.2		Access Control
Organisatorische KontrollenAnhang A 5.16Anhang A 9.2.1Identitätsmanagement
Organisatorische KontrollenAnhang A 5.17Anhang A 9.2.4
Anhang A 9.3.1
Anhang A 9.4.3		Authentifizierungsinformationen
Organisatorische KontrollenAnhang A 5.18Anhang A 9.2.2
Anhang A 9.2.5
Anhang A 9.2.6		Zugangsrechte
Organisatorische KontrollenAnhang A 5.19Anhang A 15.1.1Informationssicherheit in Lieferantenbeziehungen
Organisatorische KontrollenAnhang A 5.20Anhang A 15.1.2Adressierung der Informationssicherheit in Lieferantenvereinbarungen
Organisatorische KontrollenAnhang A 5.21Anhang A 15.1.3Management der Informationssicherheit in der IKT-Lieferkette
Organisatorische KontrollenAnhang A 5.22Anhang A 15.2.1
Anhang A 15.2.2		Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
Organisatorische KontrollenAnhang A 5.23NEU!Informationssicherheit für die Nutzung von Cloud-Diensten
Organisatorische KontrollenAnhang A 5.24Anhang A 16.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
Organisatorische KontrollenAnhang A 5.25Anhang A 16.1.4Bewertung und Entscheidung zu Informationssicherheitsereignissen
Organisatorische KontrollenAnhang A 5.26Anhang A 16.1.5Reaktion auf Informationssicherheitsvorfälle
Organisatorische KontrollenAnhang A 5.27Anhang A 16.1.6Aus Informationssicherheitsvorfällen lernen
Organisatorische KontrollenAnhang A 5.28Anhang A 16.1.7Beweissammlung
Organisatorische KontrollenAnhang A 5.29Anhang A 17.1.1
Anhang A 17.1.2
Anhang A 17.1.3		Informationssicherheit bei Störungen
Organisatorische KontrollenAnhang A 5.30NEU!IKT-Bereitschaft für Geschäftskontinuität
Organisatorische KontrollenAnhang A 5.31Anhang A 18.1.1
Anhang A 18.1.5		Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen
Organisatorische KontrollenAnhang A 5.32Anhang A 18.1.2Rechte an geistigem Eigentum
Organisatorische KontrollenAnhang A 5.33Anhang A 18.1.3Schutz von Aufzeichnungen
Organisatorische KontrollenAnhang A 5.34 Anhang A 18.1.4Datenschutz und Schutz personenbezogener Daten
Organisatorische KontrollenAnhang A 5.35Anhang A 18.2.1Unabhängige Überprüfung der Informationssicherheit
Organisatorische KontrollenAnhang A 5.36Anhang A 18.2.2
Anhang A 18.2.3		Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit
Organisatorische KontrollenAnhang A 5.37Anhang A 12.1.1Dokumentierte Betriebsabläufe

ISO 27001:2022 Personenkontrollen

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
MenschenkontrollenAnhang A 6.1Anhang A 7.1.1Untersuchungen
MenschenkontrollenAnhang A 6.2Anhang A 7.1.2Allgemeine Geschäftsbedingungen
MenschenkontrollenAnhang A 6.3Anhang A 7.2.2Informationssicherheitsbewusstsein, Bildung und Schulung
MenschenkontrollenAnhang A 6.4Anhang A 7.2.3Disziplinarverfahren
MenschenkontrollenAnhang A 6.5Anhang A 7.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
MenschenkontrollenAnhang A 6.6Anhang A 13.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
MenschenkontrollenAnhang A 6.7Anhang A 6.2.2Fernarbeit
MenschenkontrollenAnhang A 6.8Anhang A 16.1.2
Anhang A 16.1.3		Berichterstattung über Informationssicherheitsereignisse

Physische Kontrollen nach ISO 27001:2022

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
Physikalische KontrollenAnhang A 7.1Anhang A 11.1.1Physische Sicherheitsbereiche
Physikalische KontrollenAnhang A 7.2Anhang A 11.1.2
Anhang A 11.1.6		Physischer Eintritt
Physikalische KontrollenAnhang A 7.3Anhang A 11.1.3Sicherung von Büros, Räumen und Einrichtungen
Physikalische KontrollenAnhang A 7.4NEU!Physische Sicherheitsüberwachung
Physikalische KontrollenAnhang A 7.5Anhang A 11.1.4Schutz vor physischen und umweltbedingten Bedrohungen
Physikalische KontrollenAnhang A 7.6Anhang A 11.1.5Arbeiten in sicheren Bereichen
Physikalische KontrollenAnhang A 7.7Anhang A 11.2.9Klarer Schreibtisch und klarer Bildschirm
Physikalische KontrollenAnhang A 7.8Anhang A 11.2.1Standort und Schutz der Ausrüstung
Physikalische KontrollenAnhang A 7.9Anhang A 11.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
Physikalische KontrollenAnhang A 7.10Anhang A 8.3.1
Anhang A 8.3.2
Anhang A 8.3.3
 Anhang A 11.2.5		Speichermedien
Physikalische KontrollenAnhang A 7.11Anhang A 11.2.2Unterstützende Dienstprogramme
Physikalische KontrollenAnhang A 7.12Anhang A 11.2.3Verkabelungssicherheit
Physikalische KontrollenAnhang A 7.13Anhang A 11.2.4Wartung der Ausrüstung
Physikalische KontrollenAnhang A 7.14Anhang A 11.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

ISO 27001:2022 Technologische Kontrollen

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
Technologische KontrollenAnhang A 8.1Anhang A 6.2.1
Anhang A 11.2.8		Benutzer-Endpunktgeräte
Technologische KontrollenAnhang A 8.2Anhang A 9.2.3Privilegierte Zugriffsrechte
Technologische KontrollenAnhang A 8.3Anhang A 9.4.1Beschränkung des Informationszugriffs
Technologische KontrollenAnhang A 8.4Anhang A 9.4.5Zugang zum Quellcode
Technologische KontrollenAnhang A 8.5Anhang A 9.4.2Sichere Authentifizierung
Technologische KontrollenAnhang A 8.6Anhang A 12.1.3Kapazitätsmanagement
Technologische KontrollenAnhang A 8.7Anhang A 12.2.1Schutz vor Malware
Technologische KontrollenAnhang A 8.8Anhang A 12.6.1
Anhang A 18.2.3		Management technischer Schwachstellen
Technologische KontrollenAnhang A 8.9NEU!Configuration Management
Technologische KontrollenAnhang A 8.10NEU!Löschen von Informationen
Technologische KontrollenAnhang A 8.11NEU!Datenmaskierung
Technologische KontrollenAnhang A 8.12NEU!Verhinderung von Datenlecks
Technologische KontrollenAnhang A 8.13Anhang A 12.3.1Informationssicherung
Technologische KontrollenAnhang A 8.14Anhang A 17.2.1Redundanz von Informationsverarbeitungseinrichtungen
Technologische KontrollenAnhang A 8.15Anhang A 12.4.1
Anhang A 12.4.2
Anhang A 12.4.3		Protokollierung
Technologische KontrollenAnhang A 8.16NEU!Überwachungsaktivitäten
Technologische KontrollenAnhang A 8.17Anhang A 12.4.4Uhrensynchronisation
Technologische KontrollenAnhang A 8.18Anhang A 9.4.4Verwendung von Privileged Utility-Programmen
Technologische KontrollenAnhang A 8.19Anhang A 12.5.1
Anhang A 12.6.2		Installation von Software auf Betriebssystemen
Technologische KontrollenAnhang A 8.20Anhang A 13.1.1Netzwerksicherheit
Technologische KontrollenAnhang A 8.21Anhang A 13.1.2Sicherheit von Netzwerkdiensten
Technologische KontrollenAnhang A 8.22Anhang A 13.1.3Trennung von Netzwerken
Technologische KontrollenAnhang A 8.23NEU!Web-Filter
Technologische KontrollenAnhang A 8.24Anhang A 10.1.1
Anhang A 10.1.2		Verwendung von Kryptographie
Technologische KontrollenAnhang A 8.25Anhang A 14.2.1Sicherer Entwicklungslebenszyklus
Technologische KontrollenAnhang A 8.26Anhang A 14.1.2
Anhang A 14.1.3		Anforderungen an die Anwendungssicherheit
Technologische KontrollenAnhang A 8.27Anhang A 14.2.5Sichere Systemarchitektur und technische Prinzipien
Technologische KontrollenAnhang A 8.28NEU!Sichere Codierung
Technologische KontrollenAnhang A 8.29Anhang A 14.2.8
Anhang A 14.2.9		Sicherheitstests in Entwicklung und Akzeptanz
Technologische KontrollenAnhang A 8.30Anhang A 14.2.7Ausgelagerte Entwicklung
Technologische KontrollenAnhang A 8.31Anhang A 12.1.4
Anhang A 14.2.6		Trennung von Entwicklungs-, Test- und Produktionsumgebungen
Technologische KontrollenAnhang A 8.32Anhang A 12.1.2
Anhang A 14.2.2
Anhang A 14.2.3
Anhang A 14.2.4		Änderungsmanagement
Technologische KontrollenAnhang A 8.33Anhang A 14.3.1Testinformationen
Technologische KontrollenAnhang A 8.34Anhang A 12.7.1Schutz von Informationssystemen während Audittests

Wie ISMS.Online hilft

Mit der ISMS.onlinehaben Sie Zugriff auf einen vollständigen Satz an Tools und Ressourcen, die Sie bei der Verwaltung Ihres eigenen ISO 27001-Informationssicherheits-Managementsystems (ISMS) unterstützen, unabhängig davon, ob Sie ein Neuling sind oder bereits zertifiziert sind.

Darüber hinaus bietet ISMS.online automatisierte Prozesse, die den gesamten Prüfprozess vereinfachen. Diese Prozesse sparen im Vergleich zu anderen Arbeitsmethoden erheblich Verwaltungszeit ein.

Mit den ISO 27001-Richtlinien und -Kontrollen von ISMS.online verschaffen Sie sich einen Vorsprung.

Intuitive Arbeitsabläufe, Tools, Frameworks, Richtlinien und Kontrollen, umsetzbare Dokumentation und Anleitung sowie umsetzbare Anleitungen erleichtern die Implementierung von ISO 27001 durch die Definition des Geltungsbereichs, die Identifizierung von Risiken und die Implementierung von Kontrollen auf der Grundlage unserer Algorithmen – unabhängig davon, ob diese von Grund auf neu erstellt wurden oder basierend auf Best-Practice-Vorlagen der Branche.

Kontaktieren Sie uns noch heute zu planen eine Demo.

Siehe ISMS.online
in Aktion

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Methode mit gesicherten Ergebnissen
100 % ISO 27001-Erfolg

Ihr einfacher, praktischer und zeitsparender Weg zur erstmaligen ISO 27001-Konformität oder -Zertifizierung

Buchen Sie Ihre Demo

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren