Als Teil der ISO 27001:2022 legt Anhang A 5.1 fest, dass Organisationen über eine verfügen müssen Informationssicherheit Richtliniendokument vorhanden. Dies ist zum sich vor Bedrohungen der Informationssicherheit schützen.
Bei der Entwicklung von Richtlinien müssen Geschäftsanforderungen sowie geltende Vorschriften und Gesetze berücksichtigt werden.
Ein Informationssicherheitsrichtliniendokument ist im Wesentlichen ein Kompendium der Anhang-A-Kontrollen, das die wichtigsten Aussagen der Organisation zur Sicherheit untermauert und sie den Interessengruppen zur Verfügung stellt.
In der Version 2022 des Standards sollten Richtlinien auch in das Bildungs-, Schulungs- und Sensibilisierungsprogramm aufgenommen werden, wie in People Controls A.6.3 beschrieben.
Organisationsrichtlinien legen die Grundsätze fest, die Mitglieder und wichtige Parteien wie Lieferanten einhalten müssen. Diese Richtlinien sollten regelmäßig überprüft und bei Bedarf aktualisiert werden.
An Informationssicherheitspolitik zielt darauf ab, Mitarbeitern, Management und externen Parteien (z. B. Kunden und Lieferanten) einen Rahmen für die Verwaltung elektronischer Informationen, einschließlich Computernetzwerke, bereitzustellen.
Eine Sicherheitsrichtlinie muss definiert, vom Management genehmigt, veröffentlicht und den Mitarbeitern und relevanten externen Parteien kommuniziert werden.
Neben der Reduzierung des Risikos von Datenverlusten aufgrund interner und externer Bedrohungen, Informationssicherheitsrichtlinien gewährleisten dass alle Mitarbeiter ihre Rolle beim Schutz der Daten der Organisation verstehen.
Neben der Erfüllung von Standards wie z ISO 27001 Eine Informationssicherheitsrichtlinie kann auch die Einhaltung von Gesetzen und Vorschriften nachweisen.
Internet-Sicherheit Zu den Bedrohungen zählen Unternehmensspione und Hacktivisten, Terroristengruppen, feindliche Nationalstaaten und kriminelle Organisationen. Diese Bedrohungen zielen darauf ab, unrechtmäßig auf Daten zuzugreifen, digitale Abläufe zu stören oder Informationen zu beschädigen.
Zu den Bedrohungen für die Cybersicherheit und Informationssicherheit gehören:
Richtlinien zur Informationssicherheit sollen die sensiblen Informationen Ihres Unternehmens vor Diebstahl und unbefugtem Zugriff schützen.
In gemäß ISO 27001, Anhang Kontrolle A 5.1 leitet den Zweck und die Umsetzung der Einrichtung einer Informationssicherheitsrichtlinie in einer Organisation.
Eine umfassende Informationssicherheitsrichtlinie ist erforderlich Anhang A Control 5.1 für Unternehmen zur Verwaltung ihrer Informationssicherheit. Die Geschäftsleitung muss die Richtlinien genehmigen, die regelmäßig überprüft werden müssen, wenn sich Änderungen im Informationssicherheitsumfeld ergeben.
Der geeignete Ansatz besteht darin, sich regelmäßig, mindestens einmal im Monat, zu treffen und bei Bedarf weitere Treffen durchzuführen. Zusätzlich zur Weitergabe von Richtlinien an interne und externe Stakeholder muss das Management alle Änderungen genehmigen, bevor sie umgesetzt werden.
A detaillierte Betriebsanweisung Das beschreibt, wie die Informationssicherheitsrichtlinie umgesetzt wird, sollte auf einer Informationssicherheitsrichtlinie basieren und von dieser unterstützt werden.
Die Richtlinie sollte von oben genehmigt werden Management informiert und an Mitarbeiter und Interessenten kommuniziert.
Neben dem Geben Orientierung für den Ansatz der Organisation Zur Verwaltung der Informationssicherheit kann die Richtlinie zur Entwicklung detaillierterer Betriebsabläufe genutzt werden.
Wie benötigt von ISO/IEC 27000-StandardsEine Richtlinie ist für die Einrichtung und Aufrechterhaltung eines Informationssicherheits-Managementsystems (ISMS) von wesentlicher Bedeutung. Eine klar definierte Richtlinie bleibt auch dann von entscheidender Bedeutung, wenn die Organisation dies nicht beabsichtigt ISO 27001 umsetzen oder eine andere formelle Zertifizierung.
Richtlinien zur Informationssicherheit sollten regelmäßig überprüft werden, um sicherzustellen, dass sie weiterhin geeignet, angemessen und wirksam sind.
Wenn Änderungen am Unternehmen, seinen Risiken, der Technologie, der Gesetzgebung oder den Vorschriften vorgenommen werden oder wenn Sicherheitslücken, Ereignisse oder Vorfälle darauf hinweisen, dass Richtlinienänderungen erforderlich sind.
Als Teil der ISO 27001-Revision 2013 führt diese Kontrolle die Anhang-A-Kontrollen 5.1.1 Richtlinien zur Informationssicherheit und 5.1.2 Überprüfung der Richtlinien zur Informationssicherheit zusammen.
Anhang A-Steuerung 5.1 Zoll ISO 27001:2022 wurde aktualisiert mit einer Beschreibung seines Zwecks und erweiterten Implementierungsanleitungen sowie einer Attributtabelle, die es Benutzern ermöglicht, die Kontrollen von Anhang A mit der Branchenterminologie in Einklang zu bringen.
Gemäß Anhang A 5.1 sollen Informationssicherheits- und themenspezifische Richtlinien definiert, vom Management genehmigt, veröffentlicht, an die zuständigen Mitarbeiter kommuniziert und von diesen anerkannt werden.
Die Informationssicherheitsrichtlinie einer Organisation sollte die Größe, Art und Sensibilität der Informationsressourcen, Industriestandards und geltende behördliche Anforderungen berücksichtigen.
Gemäß Abschnitt 5.1.2 von ISO 27001:2013 besteht der Zweck von Anhang A darin, sicherzustellen, dass Informationssicherheitsrichtlinien regelmäßig bewertet werden, wenn sich Änderungen in der Informationssicherheitsumgebung ergeben.
Gemäß ISO 27001:2013 und ISO 27001:2022 sollte das Top-Management eine Sicherheitsrichtlinie entwickeln, die vom Top-Management genehmigt wird und beschreibt, wie die Organisation ihre Daten schützt. Dennoch decken beide Fassungen der Policen unterschiedliche Anforderungen ab.
Gemäß ISO 27001:2013 sollten Informationssicherheitsrichtlinien die folgenden Anforderungen berücksichtigen:
Informationssicherheitsrichtlinien sollten die folgenden Aussagen enthalten:
Im Gegensatz dazu stellt ISO 27001:2022 umfassendere Anforderungen.
Im Rahmen der Informationssicherheitspolitik sollten folgende Anforderungen berücksichtigt werden:
In die Informationssicherheitsrichtlinie sollten Aussagen zu Folgendem aufgenommen werden:
Darüber hinaus wurde ISO 27001:2022 überarbeitet, um themenspezifische Richtlinien für das Management von Informationssicherheitsvorfällen, Asset Management, Netzwerksicherheit, Vorfallmanagement und sichere Entwicklung als themenspezifische Richtlinien aufzunehmen. Um ein ganzheitlicheres Rahmenwerk zu schaffen, wurden einige Anforderungen der ISO 27001:2013 entfernt oder zusammengeführt.
In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A-Kontrolle.
Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
---|---|---|---|
Organisatorische Kontrollen | Anhang A 5.1 | Anhang A 5.1.1 Anhang A 5.1.2 | Richtlinien zur Informationssicherheit |
Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
Organisatorische Kontrollen | Anhang A 5.7 | NEUEN! | Threat Intelligence |
Organisatorische Kontrollen | Anhang A 5.8 | Anhang A 6.1.5 Anhang A 14.1.1 | Informationssicherheit im Projektmanagement |
Organisatorische Kontrollen | Anhang A 5.9 | Anhang A 8.1.1 Anhang A 8.1.2 | Inventar der Informationen und anderer damit verbundener Vermögenswerte |
Organisatorische Kontrollen | Anhang A 5.10 | Anhang A 8.1.3 Anhang A 8.2.3 | Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
Organisatorische Kontrollen | Anhang A 5.14 | Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 | Informationsübertragung |
Organisatorische Kontrollen | Anhang A 5.15 | Anhang A 9.1.1 Anhang A 9.1.2 | Zugangskontrolle |
Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
Organisatorische Kontrollen | Anhang A 5.17 | Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 | Authentifizierungsinformationen |
Organisatorische Kontrollen | Anhang A 5.18 | Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 | Zugangsrechte |
Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
Organisatorische Kontrollen | Anhang A 5.22 | Anhang A 15.2.1 Anhang A 15.2.2 | Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
Organisatorische Kontrollen | Anhang A 5.23 | NEUEN! | Informationssicherheit für die Nutzung von Cloud-Diensten |
Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
Organisatorische Kontrollen | Anhang A 5.29 | Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 | Informationssicherheit bei Störungen |
Organisatorische Kontrollen | Anhang A 5.30 | NEUEN! | IKT-Bereitschaft für Geschäftskontinuität |
Organisatorische Kontrollen | Anhang A 5.31 | Anhang A 18.1.1 Anhang A 18.1.5 | Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
Organisatorische Kontrollen | Anhang A 5.36 | Anhang A 18.2.2 Anhang A 18.2.3 | Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
---|---|---|---|
Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Schirmungsmaß |
Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
Menschenkontrollen | Anhang A 6.8 | Anhang A 16.1.2 Anhang A 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
---|---|---|---|
Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
Physikalische Kontrollen | Anhang A 7.2 | Anhang A 11.1.2 Anhang A 11.1.6 | Physischer Eintritt |
Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
Physikalische Kontrollen | Anhang A 7.4 | NEUEN! | Physische Sicherheitsüberwachung |
Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
Physikalische Kontrollen | Anhang A 7.10 | Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 | Speichermedien |
Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
---|---|---|---|
Technologische Kontrollen | Anhang A 8.1 | Anhang A 6.2.1 Anhang A 11.2.8 | Benutzer-Endpunktgeräte |
Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
Technologische Kontrollen | Anhang A 8.8 | Anhang A 12.6.1 Anhang A 18.2.3 | Management technischer Schwachstellen |
Technologische Kontrollen | Anhang A 8.9 | NEUEN! | Configuration Management |
Technologische Kontrollen | Anhang A 8.10 | NEUEN! | Löschen von Informationen |
Technologische Kontrollen | Anhang A 8.11 | NEUEN! | Datenmaskierung |
Technologische Kontrollen | Anhang A 8.12 | NEUEN! | Verhinderung von Datenlecks |
Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
Technologische Kontrollen | Anhang A 8.15 | Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 | Protokollierung |
Technologische Kontrollen | Anhang A 8.16 | NEUEN! | Überwachungsaktivitäten |
Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Verwendung von Privileged Utility-Programmen |
Technologische Kontrollen | Anhang A 8.19 | Anhang A 12.5.1 Anhang A 12.6.2 | Installation von Software auf Betriebssystemen |
Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
Technologische Kontrollen | Anhang A 8.23 | NEUEN! | Web-Filter |
Technologische Kontrollen | Anhang A 8.24 | Anhang A 10.1.1 Anhang A 10.1.2 | Verwendung von Kryptographie |
Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
Technologische Kontrollen | Anhang A 8.26 | Anhang A 14.1.2 Anhang A 14.1.3 | Anforderungen an die Anwendungssicherheit |
Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien |
Technologische Kontrollen | Anhang A 8.28 | NEUEN! | Sichere Codierung |
Technologische Kontrollen | Anhang A 8.29 | Anhang A 14.2.8 Anhang A 14.2.9 | Sicherheitstests in Entwicklung und Akzeptanz |
Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
Technologische Kontrollen | Anhang A 8.31 | Anhang A 12.1.4 Anhang A 14.2.6 | Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
Technologische Kontrollen | Anhang A 8.32 | Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 | Änderungsmanagement |
Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
Mit ISMS.onlinehaben Sie Zugriff auf einen vollständigen Satz an Tools und Ressourcen, die Sie bei der Verwaltung Ihres eigenen ISO 27001-Informationssicherheits-Managementsystems (ISMS) unterstützen, unabhängig davon, ob Sie ein Neuling sind oder bereits zertifiziert sind.
Darüber hinaus bietet ISMS.online automatisierte Prozesse, die den gesamten Prüfprozess vereinfachen. Diese Prozesse sparen im Vergleich zu anderen Arbeitsmethoden erheblich Verwaltungszeit ein.
Mit den ISO 27001-Richtlinien und -Kontrollen von ISMS.online verschaffen Sie sich einen Vorsprung.
Intuitive Arbeitsabläufe, Tools, Frameworks, Richtlinien und Kontrollen, umsetzbare Dokumentation und Anleitung sowie umsetzbare Anleitungen erleichtern die Implementierung von ISO 27001 durch die Definition des Geltungsbereichs, die Identifizierung von Risiken und die Implementierung von Kontrollen auf der Grundlage unserer Algorithmen – unabhängig davon, ob diese von Grund auf neu erstellt wurden oder basierend auf Best-Practice-Vorlagen der Branche.
Kontaktieren Sie uns noch heute zu Demo anfordern.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo