ISO 27001:2022 Control 5.11 von Anhang A legt fest, dass Mitarbeiter und andere interessierte Parteien bei einem Wechsel des Beschäftigungsverhältnisses, Vertrags oder einer Vereinbarung alle Vermögenswerte zurückgeben müssen, die der Organisation gehören.
Bei Beendigung des Arbeitsverhältnisses, Vertrags oder der Vereinbarung wird von Mitarbeitern und externen Nutzern erwartet, dass sie alle Informationen und organisatorischen Vermögenswerte zurückgeben.
Mitarbeiter, Auftragnehmer und andere müssen verpflichtet werden, alle Vermögenswerte zu ersetzen. Diese Verpflichtung würde in die entsprechenden Vereinbarungen mit Mitarbeitern, Auftragnehmern und anderen aufgenommen.
Ein solider, dokumentierter Prozess sollte die Rückgabe von Vermögenswerten verwalten. Dieser Prozess kann für jede Person oder jeden Lieferanten, der ihn durchläuft, dokumentiert werden. Anhang A.6.5 für die Sicherheit der Humanressourcen, Anhang 6.6 für Vertraulichkeitsvereinbarungen und Anhang A.5.20 für Lieferantenaktivitäten stimmen dies mit Ausgangskontrollen überein.
Organisationen müssen über schriftliche Richtlinien verfügen, die festlegen, welche Vermögenswerte bei Beendigung zurückgegeben werden müssen, und über Personal, das den Empfang bestätigt und die Inventarisierung und Buchführung der Vermögenswerte sicherstellt.
Die folgenden sind Beispiele für Informationsressourcen für eine Organisation:
Die Informationsbestände eines Unternehmens können in vielerlei Hinsicht wertvoll sein. Dazu gehört auch die Speicherung sensibler Informationen über Kunden, Mitarbeiter oder andere Stakeholder, die von Kriminellen für finanziellen Gewinn oder Identitätsdiebstahl ausgenutzt werden können. Zusätzlich zu Finanz-, Forschungs- und Betriebsinformationen könnten sie Ihren Konkurrenten einen Wettbewerbsvorteil verschaffen, wenn sie Zugriff darauf hätten.
Aus diesem Grund müssen alle Vermögenswerte und Vermögenswerte von Mitarbeitern und Auftragnehmern zurückgegeben werden, die ihr Arbeitsverhältnis bei einer Organisation beenden.
Im Rahmen des Ausstiegsprozesses müssen Vermögenswerte gemäß dem Prozess zurückgegeben werden, sofern nicht anders vereinbart und dokumentiert:
Buchen Sie ein 30-minütiges Gespräch mit uns und wir zeigen Ihnen wie
Im Rahmen der Änderung oder Beendigung von Arbeitsverhältnissen, Verträgen oder Vereinbarungen schützt die Kontrolle 5.11 die Vermögenswerte der Organisation. Unbefugten Personen ist es untersagt, Vermögenswerte der Organisation (einschließlich Ausrüstung, Informationen, Software usw.) im Rahmen dieser Anhang-A-Kontrolle zurückzubehalten.
Sie müssen sicherstellen, dass Ihre Mitarbeiter und Auftragnehmer keine sensiblen Daten mitnehmen, indem Sie potenzielle Bedrohungen identifizieren und die Aktivitäten des Benutzers überwachen, bevor er das Unternehmen verlässt.
Wenn einer Person gekündigt wird, verhindert diese Kontrolle in Anhang A, dass sie auf IT-Systeme und Netzwerke zugreifen kann. Organisationen sollten einen formellen Kündigungsprozess einrichten, damit Einzelpersonen keinen Zugriff mehr auf IT-Systeme haben. Sie können dies erreichen, indem Sie alle Berechtigungen widerrufen, Konten deaktivieren und den Zugang zum Gebäudegelände entziehen.
Es müssen Verfahren eingerichtet werden, um sicherzustellen, dass alle Mitarbeiter, Auftragnehmer und andere relevante Parteien alle Vermögenswerte zurückgeben, die nicht mehr für Geschäftszwecke benötigt werden. Diese Vermögenswerte sollten so schnell wie möglich ersetzt werden.
Außerdem sollten Organisationen den Arbeitsbereich der Person überprüfen, um sicherzustellen, dass alle vertraulichen Informationen zurückgegeben wurden.
Bedenken Sie zum Beispiel:
Eine Organisation muss ihren Änderungs- oder Kündigungsprozess formalisieren, einschließlich der Rückgabe aller zuvor ausgegebenen physischen und elektronischen Vermögenswerte, die ihr gehören oder ihr anvertraut wurden.
Dabei sollten auch alle Zugriffsrechte, Konten, digitalen Zertifikate und Passwörter entfernt werden. Diese Formalisierung ist besonders wichtig, wenn eine Änderung oder Beendigung unerwartet eintritt, beispielsweise durch Tod oder Rücktritt. Unbefugter Zugriff auf Unternehmensressourcen kann zu a führen Datenmissbrauch wenn nicht verhindert.
Ein sicherer Entsorgungs-/Rückgabeprozess sollte sicherstellen, dass alle Vermögenswerte erfasst werden.
ISO 27001:2022 verlangt von der Organisation, alle Informationen und zugehörigen Vermögenswerte, die zurückgegeben werden sollen, zu identifizieren und zu dokumentieren, einschließlich:
Nach der Kündigung sollte der Benutzer eine formelle Checkliste mit allen Artikeln ausfüllen, die zurückgegeben oder entsorgt werden müssen. Diese Checkliste sollte alle erforderlichen Unterschriften enthalten, um zu bestätigen, dass die Vermögenswerte ordnungsgemäß zurückgegeben oder entsorgt wurden.
ISO 27001:2013 wurde im Oktober 2022 aktualisiert nach ISO 27001:2022.
Annex A Control 5.11 ist nicht neu, sondern eine Modifikation von Annex A Control 8.1.4 – die Rückgabe von Vermögenswerten.
In den Umsetzungsrichtlinien sind die Kontrollen in Anhang A im Wesentlichen gleich, mit ähnlicher Sprache und Ausdrucksweise. Jedoch, Anhang A der ISO 27001:2022 Control 5.11 verfügt über eine Attributtabelle, mit der Benutzer sie mit dem abgleichen können, was sie implementieren. Kontrolle 5.11 in ISO 27001:2022 legt fest, welche Vermögenswerte bei Beendigung des Arbeitsverhältnisses oder Vertragsbeendigung zurückgegeben werden können.
Beispiele hierfür sind:
In der Version ISO 27001:2013 ist diese Liste nicht verfügbar.
In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A-Kontrolle.
Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
---|---|---|---|
Organisatorische Kontrollen | Anhang A 5.1 | Anhang A 5.1.1 Anhang A 5.1.2 | Richtlinien zur Informationssicherheit |
Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
Organisatorische Kontrollen | Anhang A 5.7 | NEU! | Threat Intelligence |
Organisatorische Kontrollen | Anhang A 5.8 | Anhang A 6.1.5 Anhang A 14.1.1 | Informationssicherheit im Projektmanagement |
Organisatorische Kontrollen | Anhang A 5.9 | Anhang A 8.1.1 Anhang A 8.1.2 | Inventar der Informationen und anderer damit verbundener Vermögenswerte |
Organisatorische Kontrollen | Anhang A 5.10 | Anhang A 8.1.3 Anhang A 8.2.3 | Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
Organisatorische Kontrollen | Anhang A 5.14 | Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 | Informationsübertragung |
Organisatorische Kontrollen | Anhang A 5.15 | Anhang A 9.1.1 Anhang A 9.1.2 | Access Control |
Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
Organisatorische Kontrollen | Anhang A 5.17 | Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 | Authentifizierungsinformationen |
Organisatorische Kontrollen | Anhang A 5.18 | Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 | Zugangsrechte |
Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
Organisatorische Kontrollen | Anhang A 5.22 | Anhang A 15.2.1 Anhang A 15.2.2 | Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
Organisatorische Kontrollen | Anhang A 5.23 | NEU! | Informationssicherheit für die Nutzung von Cloud-Diensten |
Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
Organisatorische Kontrollen | Anhang A 5.29 | Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 | Informationssicherheit bei Störungen |
Organisatorische Kontrollen | Anhang A 5.30 | NEU! | IKT-Bereitschaft für Geschäftskontinuität |
Organisatorische Kontrollen | Anhang A 5.31 | Anhang A 18.1.1 Anhang A 18.1.5 | Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
Organisatorische Kontrollen | Anhang A 5.36 | Anhang A 18.2.2 Anhang A 18.2.3 | Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
---|---|---|---|
Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Untersuchungen |
Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
Menschenkontrollen | Anhang A 6.8 | Anhang A 16.1.2 Anhang A 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
---|---|---|---|
Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
Physikalische Kontrollen | Anhang A 7.2 | Anhang A 11.1.2 Anhang A 11.1.6 | Physischer Eintritt |
Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
Physikalische Kontrollen | Anhang A 7.4 | NEU! | Physische Sicherheitsüberwachung |
Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
Physikalische Kontrollen | Anhang A 7.10 | Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 | Speichermedien |
Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
---|---|---|---|
Technologische Kontrollen | Anhang A 8.1 | Anhang A 6.2.1 Anhang A 11.2.8 | Benutzer-Endpunktgeräte |
Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
Technologische Kontrollen | Anhang A 8.8 | Anhang A 12.6.1 Anhang A 18.2.3 | Management technischer Schwachstellen |
Technologische Kontrollen | Anhang A 8.9 | NEU! | Configuration Management |
Technologische Kontrollen | Anhang A 8.10 | NEU! | Löschen von Informationen |
Technologische Kontrollen | Anhang A 8.11 | NEU! | Datenmaskierung |
Technologische Kontrollen | Anhang A 8.12 | NEU! | Verhinderung von Datenlecks |
Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
Technologische Kontrollen | Anhang A 8.15 | Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 | Protokollierung |
Technologische Kontrollen | Anhang A 8.16 | NEU! | Überwachungsaktivitäten |
Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Verwendung von Privileged Utility-Programmen |
Technologische Kontrollen | Anhang A 8.19 | Anhang A 12.5.1 Anhang A 12.6.2 | Installation von Software auf Betriebssystemen |
Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
Technologische Kontrollen | Anhang A 8.23 | NEU! | Web-Filter |
Technologische Kontrollen | Anhang A 8.24 | Anhang A 10.1.1 Anhang A 10.1.2 | Verwendung von Kryptographie |
Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
Technologische Kontrollen | Anhang A 8.26 | Anhang A 14.1.2 Anhang A 14.1.3 | Anforderungen an die Anwendungssicherheit |
Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien |
Technologische Kontrollen | Anhang A 8.28 | NEU! | Sichere Codierung |
Technologische Kontrollen | Anhang A 8.29 | Anhang A 14.2.8 Anhang A 14.2.9 | Sicherheitstests in Entwicklung und Akzeptanz |
Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
Technologische Kontrollen | Anhang A 8.31 | Anhang A 12.1.4 Anhang A 14.2.6 | Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
Technologische Kontrollen | Anhang A 8.32 | Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 | Änderungsmanagement |
Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
ISO 27001:2022 ist eine Aktualisierung des Standards von 2013. Das Gremium, das den Standard überwacht, hat keine wesentlichen Änderungen vorgenommen.
Sie können und implementieren Verwalten eines ISO 27001/27001-Informationssicherheitsmanagementsystems mit ISMS.online, unabhängig von Ihrer Erfahrung mit dem Standard.
Die perfekte Kombination aus Wissen und Technologie für einen frühen ISO 27001-Erfolg. ISMS.online enthält eine Richtlinie und ein Tool für Vermögensverwaltung.
Mit unserem System werden Sie Schritt für Schritt durch den Aufbau und die Verwaltung eines ISMS geführt:
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo