ISO 27001:2022 Anhang A Kontrolle 5.14

Informationsübertragung

Live-Demo buchen

Gruppe, von, glücklich, Kollegen, diskutieren, in, Konferenz, Raum

Der Zweck von ISO 27001:2022 Anhang A 5.14 besteht darin, die Sicherheit aller Benutzergeräte zu gewährleisten.

Das bedeutet, dass Maßnahmen zum Schutz der Geräte vor Schadsoftware und anderen Bedrohungen sowie zur Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit der darauf gespeicherten Daten getroffen werden müssen.

ISO 27001:2022 Anhang A Control 5.14 verpflichtet Organisationen, die notwendigen Regeln, Verfahren oder Verträge zu installieren, um die Datensicherheit zu gewährleisten, wenn sie intern weitergegeben oder an externe Parteien gesendet werden.

Eigentum an ISO 27001:2022 Anhang A Kontrolle 5.14

Die Unterstützung und Akzeptanz der Geschäftsleitung ist für die Gestaltung und Umsetzung von Vorschriften, Protokollen und Verträgen von entscheidender Bedeutung.

Allerdings ist die Zusammenarbeit und das Fachwissen verschiedener Akteure innerhalb der Organisation, etwa der Rechtsabteilung, des IT-Personals und der obersten Führungsebene, unerlässlich.

Das Rechtsteam sollte sicherstellen, dass die Organisation Übertragungsvereinbarungen abschließt, die ISO 27001:2022 Anhang A Kontrolle 5.14 entsprechen. Darüber hinaus sollte das IT-Team aktiv an der Festlegung und Durchführung von Kontrollen zum Schutz der Daten beteiligt sein, wie in 5.14 angegeben.

100 % unserer Benutzer erreichen beim ersten Mal die ISO 27001-Zertifizierung

Beginnen Sie Ihre Reise noch heute
Buchen Sie Ihre Demo

Allgemeine Leitlinien zu ISO 27001:2022 Anhang A 5.14

Um die Einhaltung von 5.14 sicherzustellen, müssen Regeln, Verfahren und Vereinbarungen erstellt werden, einschließlich einer Datenübertragungsrichtlinie, die speziell auf das Thema zugeschnitten ist und den übertragenen Daten entsprechend der ihnen zugewiesenen Klassifizierung ein angemessenes Schutzniveau verleiht.

Das Sicherheitsniveau sollte im Verhältnis zur Wichtigkeit und Sensibilität der gesendeten Daten stehen. ISO 27001:2022 Anhang A 5.14 verlangt von Organisationen außerdem, Übertragungsvereinbarungen mit Empfänger-Drittparteien abzuschließen, um eine sichere Datenübertragung zu gewährleisten.

ISO 27001:2022 Annex A Control 5.14 kategorisiert Übertragungsarten in drei Gruppen:

  • Elektronische Übertragung.
  • Physik Speichermedium Übertragung.
  • Mündliche Übertragung.

Bevor wir mit der detaillierten Beschreibung der spezifischen Anforderungen der einzelnen Übertragungsarten fortfahren, ISO 27001:2022 Anhang A Control 5.14 beschreibt die Elemente, die in allen Vorschriften, Verfahren und Verträgen im Zusammenhang mit allen drei Übertragungen im Allgemeinen vorhanden sein müssen:

  • Organisationen müssen auf der Grundlage der Geheimhaltungsstufe der Informationen geeignete Kontrollen festlegen, um diese während der Übertragung vor unbefugtem Zugriff, Änderung, Abfangen, Vervielfältigung, Zerstörung und Denial-of-Service-Angriffen zu schützen.
  • Organisationen müssen die Lieferkette während des Transports im Auge behalten und Kontrollen einrichten und durchführen, um die Rückverfolgbarkeit der Daten zu gewährleisten.
  • Geben Sie an, wer an der Datenübertragung beteiligt ist, und geben Sie deren Kontaktinformationen an, z. B. die Dateneigentümer und das Sicherheitspersonal.
  • Im Falle einer Datenschutzverletzung erfolgt eine Haftungsverteilung.
  • Implementieren Sie ein Etikettierungssystem, um den Überblick über Artikel zu behalten.
  • Sicherstellen, dass der Transferservice verfügbar ist.
  • Richtlinien zu den Methoden von Informationsübertragung sollten themenspezifisch entwickelt werden.
  • Richtlinien zum Speichern und Entsorgen aller Geschäftsdokumente, einschließlich Nachrichten, müssen befolgt werden.
  • Untersuchen Sie die Auswirkungen geltender Gesetze, Vorschriften oder anderer Verpflichtungen auf die Übertragung.

Ergänzende Anleitung zur elektronischen Übertragung

ISO 27001:2022 Annex A Control 5.14 beschreibt die spezifischen Inhaltsanforderungen für Regeln, Verfahren und Vereinbarungen im Zusammenhang mit den drei Arten von Übertragungen. Die inhaltlichen Mindestanforderungen müssen bei allen dreien eingehalten werden.

Regeln, Vereinbarungen und Verfahren sollten bei der elektronischen Übermittlung von Informationen die folgenden Überlegungen berücksichtigen:

  • Die Identifizierung und Abwehr von Malware-Angriffen ist von größter Bedeutung. Es ist wichtig, dass Sie die neueste Technologie verwenden, um Angriffe durch Schadsoftware zu erkennen und zu verhindern.
  • Gewährleistung der Sicherheit vertraulicher Informationen finden Sie in den gesendeten Anhängen.
  • Stellen Sie sicher, dass Mitteilungen an die richtigen Empfänger gesendet werden, indem Sie das Risiko vermeiden, an eine falsche E-Mail-Adresse, Adresse oder Telefonnummer zu senden.
  • Holen Sie die Erlaubnis ein, bevor Sie mit der Nutzung öffentlicher Kommunikationsdienste beginnen.
  • Beim Senden von Daten über öffentliche Netzwerke sollten strengere Authentifizierungsmethoden eingesetzt werden.
  • Einschränkung der Nutzung elektronischer Kommunikationsdienste, z. B. Verbot der automatisierten Weiterleitung.
  • Weisen Sie das Personal an, die Nutzung von Kurznachrichten- oder Instant-Message-Diensten zur Weitergabe vertraulicher Daten zu vermeiden, da der Inhalt von Unbefugten in öffentlichen Bereichen eingesehen werden könnte.
  • Informieren Sie Mitarbeiter und andere interessierte Parteien über die Schutzrisiken, die Faxgeräte mit sich bringen können, wie z. B. unbefugten Zugriff oder die Fehlleitung von Nachrichten an bestimmte Nummern.

Ergänzende Anleitung zur Übertragung physischer Speichermedien

Wenn Informationen physisch weitergegeben werden, sollten Regeln, Verfahren und Vereinbarungen Folgendes umfassen:

  • Die Parteien sind dafür verantwortlich, sich gegenseitig über die Übermittlung, den Versand und den Empfang von Informationen zu informieren.
  • Sicherstellen, dass die Nachricht richtig adressiert und ordnungsgemäß gesendet wird.
  • Eine gute Verpackung verhindert, dass der Inhalt während des Transports beschädigt wird. Beispielsweise sollte die Verpackung hitze- und feuchtigkeitsbeständig sein.
  • Die Geschäftsführung hat sich auf eine zuverlässige, autorisierte Kurierliste geeinigt.
  • Ein Überblick über die Standards zur Kurieridentifizierung.
  • Für sensible und kritische Informationen sollten manipulationssichere Beutel verwendet werden.
  • Die Überprüfung der Identität von Kurieren ist wichtig.
  • Diese Liste von Drittanbietern, geordnet nach ihrem Serviceniveau, bietet Transport- oder Kurierdienste an und wurde genehmigt.
  • Notieren Sie in einem Protokoll den Zeitpunkt der Lieferung, den autorisierten Empfänger, die getroffenen Sicherheitsmaßnahmen und die Empfangsbestätigung am Bestimmungsort.

Ergänzende Anleitung zur mündlichen Übertragung

Das Personal muss gemäß ISO 27001:2022 Anhang A Kontrolle 5.14 auf die Risiken aufmerksam gemacht werden, die mit dem Austausch von Informationen innerhalb der Organisation oder der Übermittlung von Daten an externe Parteien verbunden sind. Zu diesen Risiken gehören:

  • Sie sollten davon absehen, vertrauliche Angelegenheiten in unsicheren öffentlichen Kanälen oder in öffentlichen Bereichen zu besprechen.
  • Man sollte keine Voicemails mit vertraulichen Informationen hinterlassen, da die Gefahr einer Wiedergabe durch Unbefugte besteht und das Risiko einer Weiterleitung an Dritte besteht.
  • Einzelpersonen, sowohl Mitarbeiter als auch andere relevante Dritte, sollten überprüft werden, bevor ihnen Zutritt zu Gesprächen gewährt wird.
  • Räume, die für vertrauliche Gespräche genutzt werden, sollten mit der erforderlichen Schalldämmung ausgestattet sein.
  • Vor der Aufnahme eines sensiblen Dialogs sollte ein Haftungsausschluss abgegeben werden.

Änderungen und Unterschiede zur ISO 27001:2013?

ISO 27001:2022 Anhang A 5.14 ersetzt ISO 27001:2013 Anhang A 13.2.1, 13.2.2 und 13.2.3.

Die beiden Kontrollen weisen eine gewisse Ähnlichkeit auf, zwei wesentliche Unterschiede machen die Anforderungen von 2022 jedoch anspruchsvoller.

Spezifische Anforderungen für elektrische, physische und verbale Übertragungen

Abschnitt 13.2.3 in der Fassung von 2013 regelt die besonderen Anforderungen an die Übermittlung von Daten im elektronischen Nachrichtenverkehr.

Es wurde jedoch nicht speziell auf die Übermittlung von Informationen durch verbale oder physische Mittel eingegangen.

Im Vergleich dazu identifiziert die Version 2022 präzise drei Arten der Informationsübermittlung und beschreibt die erforderlichen Inhalte für jede davon einzeln.

ISO 27001:2022 legt strengere Anforderungen für die elektronische Übertragung fest

Abschnitt 13.2.3 der Version 2022 legt strengere Anforderungen an den Inhalt von Vereinbarungen zur elektronischen Nachrichtenübermittlung fest.

Organisationen müssen neue Vorschriften für digitale Übertragungen in Form von Regeln, Verfahren und Verträgen für ISO 27001:2022 konkretisieren und umsetzen.

Beispielsweise sollten Organisationen ihre Mitarbeiter davor warnen, SMS-Dienste bei der Übermittlung sensibler Informationen zu nutzen.

Detaillierte Anforderungen für physische Übertragungen

Die Version 2022 sieht strengere Vorschriften für die physische Übertragung von Speichermedien vor. Es ist beispielsweise gründlicher bei der Authentifizierung von Kurieren und schützt vor verschiedenen Formen von Schäden.

Strukturelle Veränderungen

In der Fassung von 2013 wurde ausdrücklich auf die notwendigen Anforderungen von Informationsübermittlungsverträgen hingewiesen. Die „Regeln“ und „Verfahren“ wurden jedoch nicht im Detail beschrieben.

Für ISO 27001:2022 werden für jeden der drei Ansätze spezifische Kriterien dargelegt.

Tabelle aller ISO 27001:2022 Anhang A-Kontrollen

In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A-Kontrolle.

ISO 27001:2022 Organisationskontrollen

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
Organisatorische KontrollenAnhang A 5.1Anhang A 5.1.1
Anhang A 5.1.2
Richtlinien zur Informationssicherheit
Organisatorische KontrollenAnhang A 5.2Anhang A 6.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
Organisatorische KontrollenAnhang A 5.3Anhang A 6.1.2Aufgabentrennung
Organisatorische KontrollenAnhang A 5.4Anhang A 7.2.1Führungsaufgaben
Organisatorische KontrollenAnhang A 5.5Anhang A 6.1.3Kontakt mit Behörden
Organisatorische KontrollenAnhang A 5.6Anhang A 6.1.4Kontakt mit speziellen Interessengruppen
Organisatorische KontrollenAnhang A 5.7NEUEN!Threat Intelligence
Organisatorische KontrollenAnhang A 5.8Anhang A 6.1.5
Anhang A 14.1.1
Informationssicherheit im Projektmanagement
Organisatorische KontrollenAnhang A 5.9Anhang A 8.1.1
Anhang A 8.1.2
Inventar der Informationen und anderer damit verbundener Vermögenswerte
Organisatorische KontrollenAnhang A 5.10Anhang A 8.1.3
Anhang A 8.2.3
Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
Organisatorische KontrollenAnhang A 5.11Anhang A 8.1.4Rückgabe von Vermögenswerten
Organisatorische KontrollenAnhang A 5.12Anhang A 8.2.1Klassifizierung von Informationen
Organisatorische KontrollenAnhang A 5.13Anhang A 8.2.2Kennzeichnung von Informationen
Organisatorische KontrollenAnhang A 5.14Anhang A 13.2.1
Anhang A 13.2.2
Anhang A 13.2.3
Informationsübertragung
Organisatorische KontrollenAnhang A 5.15Anhang A 9.1.1
Anhang A 9.1.2
Zugangskontrolle
Organisatorische KontrollenAnhang A 5.16Anhang A 9.2.1Identitätsmanagement
Organisatorische KontrollenAnhang A 5.17Anhang A 9.2.4
Anhang A 9.3.1
Anhang A 9.4.3
Authentifizierungsinformationen
Organisatorische KontrollenAnhang A 5.18Anhang A 9.2.2
Anhang A 9.2.5
Anhang A 9.2.6
Zugangsrechte
Organisatorische KontrollenAnhang A 5.19Anhang A 15.1.1Informationssicherheit in Lieferantenbeziehungen
Organisatorische KontrollenAnhang A 5.20Anhang A 15.1.2Adressierung der Informationssicherheit in Lieferantenvereinbarungen
Organisatorische KontrollenAnhang A 5.21Anhang A 15.1.3Management der Informationssicherheit in der IKT-Lieferkette
Organisatorische KontrollenAnhang A 5.22Anhang A 15.2.1
Anhang A 15.2.2
Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
Organisatorische KontrollenAnhang A 5.23NEUEN!Informationssicherheit für die Nutzung von Cloud-Diensten
Organisatorische KontrollenAnhang A 5.24Anhang A 16.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
Organisatorische KontrollenAnhang A 5.25Anhang A 16.1.4Bewertung und Entscheidung zu Informationssicherheitsereignissen
Organisatorische KontrollenAnhang A 5.26Anhang A 16.1.5Reaktion auf Informationssicherheitsvorfälle
Organisatorische KontrollenAnhang A 5.27Anhang A 16.1.6Aus Informationssicherheitsvorfällen lernen
Organisatorische KontrollenAnhang A 5.28Anhang A 16.1.7Beweissammlung
Organisatorische KontrollenAnhang A 5.29Anhang A 17.1.1
Anhang A 17.1.2
Anhang A 17.1.3
Informationssicherheit bei Störungen
Organisatorische KontrollenAnhang A 5.30NEUEN!IKT-Bereitschaft für Geschäftskontinuität
Organisatorische KontrollenAnhang A 5.31Anhang A 18.1.1
Anhang A 18.1.5
Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen
Organisatorische KontrollenAnhang A 5.32Anhang A 18.1.2Rechte an geistigem Eigentum
Organisatorische KontrollenAnhang A 5.33Anhang A 18.1.3Schutz von Aufzeichnungen
Organisatorische KontrollenAnhang A 5.34 Anhang A 18.1.4Datenschutz und Schutz personenbezogener Daten
Organisatorische KontrollenAnhang A 5.35Anhang A 18.2.1Unabhängige Überprüfung der Informationssicherheit
Organisatorische KontrollenAnhang A 5.36Anhang A 18.2.2
Anhang A 18.2.3
Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit
Organisatorische KontrollenAnhang A 5.37Anhang A 12.1.1Dokumentierte Betriebsabläufe

ISO 27001:2022 Personenkontrollen

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
MenschenkontrollenAnhang A 6.1Anhang A 7.1.1Schirmungsmaß
MenschenkontrollenAnhang A 6.2Anhang A 7.1.2Allgemeine Geschäftsbedingungen
MenschenkontrollenAnhang A 6.3Anhang A 7.2.2Informationssicherheitsbewusstsein, Bildung und Schulung
MenschenkontrollenAnhang A 6.4Anhang A 7.2.3Disziplinarverfahren
MenschenkontrollenAnhang A 6.5Anhang A 7.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
MenschenkontrollenAnhang A 6.6Anhang A 13.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
MenschenkontrollenAnhang A 6.7Anhang A 6.2.2Fernarbeit
MenschenkontrollenAnhang A 6.8Anhang A 16.1.2
Anhang A 16.1.3
Berichterstattung über Informationssicherheitsereignisse

Physische Kontrollen nach ISO 27001:2022

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
Physikalische KontrollenAnhang A 7.1Anhang A 11.1.1Physische Sicherheitsbereiche
Physikalische KontrollenAnhang A 7.2Anhang A 11.1.2
Anhang A 11.1.6
Physischer Eintritt
Physikalische KontrollenAnhang A 7.3Anhang A 11.1.3Sicherung von Büros, Räumen und Einrichtungen
Physikalische KontrollenAnhang A 7.4NEUEN!Physische Sicherheitsüberwachung
Physikalische KontrollenAnhang A 7.5Anhang A 11.1.4Schutz vor physischen und umweltbedingten Bedrohungen
Physikalische KontrollenAnhang A 7.6Anhang A 11.1.5Arbeiten in sicheren Bereichen
Physikalische KontrollenAnhang A 7.7Anhang A 11.2.9Klarer Schreibtisch und klarer Bildschirm
Physikalische KontrollenAnhang A 7.8Anhang A 11.2.1Standort und Schutz der Ausrüstung
Physikalische KontrollenAnhang A 7.9Anhang A 11.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
Physikalische KontrollenAnhang A 7.10Anhang A 8.3.1
Anhang A 8.3.2
Anhang A 8.3.3
Anhang A 11.2.5
Speichermedien
Physikalische KontrollenAnhang A 7.11Anhang A 11.2.2Unterstützende Dienstprogramme
Physikalische KontrollenAnhang A 7.12Anhang A 11.2.3Verkabelungssicherheit
Physikalische KontrollenAnhang A 7.13Anhang A 11.2.4Wartung der Ausrüstung
Physikalische KontrollenAnhang A 7.14Anhang A 11.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

ISO 27001:2022 Technologische Kontrollen

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
Technologische KontrollenAnhang A 8.1Anhang A 6.2.1
Anhang A 11.2.8
Benutzer-Endpunktgeräte
Technologische KontrollenAnhang A 8.2Anhang A 9.2.3Privilegierte Zugriffsrechte
Technologische KontrollenAnhang A 8.3Anhang A 9.4.1Beschränkung des Informationszugriffs
Technologische KontrollenAnhang A 8.4Anhang A 9.4.5Zugang zum Quellcode
Technologische KontrollenAnhang A 8.5Anhang A 9.4.2Sichere Authentifizierung
Technologische KontrollenAnhang A 8.6Anhang A 12.1.3Kapazitätsmanagement
Technologische KontrollenAnhang A 8.7Anhang A 12.2.1Schutz vor Malware
Technologische KontrollenAnhang A 8.8Anhang A 12.6.1
Anhang A 18.2.3
Management technischer Schwachstellen
Technologische KontrollenAnhang A 8.9NEUEN!Configuration Management
Technologische KontrollenAnhang A 8.10NEUEN!Löschen von Informationen
Technologische KontrollenAnhang A 8.11NEUEN!Datenmaskierung
Technologische KontrollenAnhang A 8.12NEUEN!Verhinderung von Datenlecks
Technologische KontrollenAnhang A 8.13Anhang A 12.3.1Informationssicherung
Technologische KontrollenAnhang A 8.14Anhang A 17.2.1Redundanz von Informationsverarbeitungseinrichtungen
Technologische KontrollenAnhang A 8.15Anhang A 12.4.1
Anhang A 12.4.2
Anhang A 12.4.3
Protokollierung
Technologische KontrollenAnhang A 8.16NEUEN!Überwachungsaktivitäten
Technologische KontrollenAnhang A 8.17Anhang A 12.4.4Uhrensynchronisation
Technologische KontrollenAnhang A 8.18Anhang A 9.4.4Verwendung von Privileged Utility-Programmen
Technologische KontrollenAnhang A 8.19Anhang A 12.5.1
Anhang A 12.6.2
Installation von Software auf Betriebssystemen
Technologische KontrollenAnhang A 8.20Anhang A 13.1.1Netzwerksicherheit
Technologische KontrollenAnhang A 8.21Anhang A 13.1.2Sicherheit von Netzwerkdiensten
Technologische KontrollenAnhang A 8.22Anhang A 13.1.3Trennung von Netzwerken
Technologische KontrollenAnhang A 8.23NEUEN!Web-Filter
Technologische KontrollenAnhang A 8.24Anhang A 10.1.1
Anhang A 10.1.2
Verwendung von Kryptographie
Technologische KontrollenAnhang A 8.25Anhang A 14.2.1Sicherer Entwicklungslebenszyklus
Technologische KontrollenAnhang A 8.26Anhang A 14.1.2
Anhang A 14.1.3
Anforderungen an die Anwendungssicherheit
Technologische KontrollenAnhang A 8.27Anhang A 14.2.5Sichere Systemarchitektur und technische Prinzipien
Technologische KontrollenAnhang A 8.28NEUEN!Sichere Codierung
Technologische KontrollenAnhang A 8.29Anhang A 14.2.8
Anhang A 14.2.9
Sicherheitstests in Entwicklung und Akzeptanz
Technologische KontrollenAnhang A 8.30Anhang A 14.2.7Ausgelagerte Entwicklung
Technologische KontrollenAnhang A 8.31Anhang A 12.1.4
Anhang A 14.2.6
Trennung von Entwicklungs-, Test- und Produktionsumgebungen
Technologische KontrollenAnhang A 8.32Anhang A 12.1.2
Anhang A 14.2.2
Anhang A 14.2.3
Anhang A 14.2.4
Änderungsmanagement
Technologische KontrollenAnhang A 8.33Anhang A 14.3.1Testinformationen
Technologische KontrollenAnhang A 8.34Anhang A 12.7.1Schutz von Informationssystemen während Audittests

Wie ISMS.online hilft

Implementierung von ISO 27001:2022 kann mit unserer Schritt-für-Schritt-Checkliste einfacher gestaltet werden. Es wird Sie durch den gesamten Prozess führen, von der Definition des Umfangs Ihres ISMS bis hin zu Risiken erkennen und Implementierung von Kontrollen.

Buchen Sie noch heute Ihre Vorführung. Termine sind an sieben Tagen in der Woche möglich. Vereinbaren Sie also Ihren Termin unter eine Zeit, die zu Ihnen passt.

Siehe ISMS.online
in Aktion

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Optimieren Sie Ihren Workflow mit unserer neuen Jira-Integration! Hier erfahren Sie mehr.