ISO 27001:2022 Anhang A 5.14 – Informationsübertragung

Eigentum an ISO 27001:2022 Anhang A Kontrolle 5.14

Die Unterstützung und Akzeptanz der Geschäftsleitung ist für die Gestaltung und Umsetzung von Vorschriften, Protokollen und Verträgen von entscheidender Bedeutung.

Allerdings ist die Zusammenarbeit und das Fachwissen verschiedener Akteure innerhalb der Organisation, etwa der Rechtsabteilung, des IT-Personals und der obersten Führungsebene, unerlässlich.

Das Rechtsteam sollte sicherstellen, dass die Organisation Übertragungsvereinbarungen abschließt, die ISO 27001:2022 Anhang A Kontrolle 5.14 entsprechen. Darüber hinaus sollte das IT-Team aktiv an der Festlegung und Durchführung von Kontrollen zum Schutz der Daten beteiligt sein, wie in 5.14 angegeben.

Allgemeine Leitlinien zu ISO 27001:2022 Anhang A 5.14

Um die Einhaltung von 5.14 sicherzustellen, müssen Regeln, Verfahren und Vereinbarungen erstellt werden, einschließlich einer Datenübertragungsrichtlinie, die speziell auf das Thema zugeschnitten ist und den übertragenen Daten entsprechend der ihnen zugewiesenen Klassifizierung ein angemessenes Schutzniveau verleiht.

Das Sicherheitsniveau sollte im Verhältnis zur Wichtigkeit und Sensibilität der gesendeten Daten stehen. ISO 27001:2022 Anhang A 5.14 verlangt von Organisationen außerdem, Übertragungsvereinbarungen mit Empfänger-Drittparteien abzuschließen, um eine sichere Datenübertragung zu gewährleisten.

ISO 27001:2022 Annex A Control 5.14 kategorisiert Übertragungsarten in drei Gruppen:

• Elektronische Übertragung.
• Physik Speichermedium Übertragung.
• Mündliche Übertragung.

Bevor wir mit der detaillierten Beschreibung der spezifischen Anforderungen der einzelnen Übertragungsarten fortfahren, ISO 27001:2022 Anhang A Control 5.14 beschreibt die Elemente, die in allen Vorschriften, Verfahren und Verträgen im Zusammenhang mit allen drei Übertragungen im Allgemeinen vorhanden sein müssen:

• Organisationen müssen auf der Grundlage der Geheimhaltungsstufe der Informationen geeignete Kontrollen festlegen, um diese während der Übertragung vor unbefugtem Zugriff, Änderung, Abfangen, Vervielfältigung, Zerstörung und Denial-of-Service-Angriffen zu schützen.
• Organisationen müssen die Lieferkette während des Transports im Auge behalten und Kontrollen einrichten und durchführen, um die Rückverfolgbarkeit der Daten zu gewährleisten.
• Geben Sie an, wer an der Datenübertragung beteiligt ist, und geben Sie deren Kontaktinformationen an, z. B. die Dateneigentümer und das Sicherheitspersonal.
• Im Falle einer Datenschutzverletzung erfolgt eine Haftungsverteilung.
• Implementieren Sie ein Etikettierungssystem, um den Überblick über Artikel zu behalten.
• Sicherstellen, dass der Transferservice verfügbar ist.
• Richtlinien zu den Methoden von Informationsübertragung sollten themenspezifisch entwickelt werden.
• Richtlinien zum Speichern und Entsorgen aller Geschäftsdokumente, einschließlich Nachrichten, müssen befolgt werden.
• Untersuchen Sie die Auswirkungen geltender Gesetze, Vorschriften oder anderer Verpflichtungen auf die Übertragung.

Ergänzende Anleitung zur elektronischen Übertragung

ISO 27001:2022 Annex A Control 5.14 beschreibt die spezifischen Inhaltsanforderungen für Regeln, Verfahren und Vereinbarungen im Zusammenhang mit den drei Arten von Übertragungen. Die inhaltlichen Mindestanforderungen müssen bei allen dreien eingehalten werden.

Regeln, Vereinbarungen und Verfahren sollten bei der elektronischen Übermittlung von Informationen die folgenden Überlegungen berücksichtigen:

• Die Identifizierung und Abwehr von Malware-Angriffen ist von größter Bedeutung. Es ist wichtig, dass Sie die neueste Technologie verwenden, um Angriffe durch Schadsoftware zu erkennen und zu verhindern.
• Gewährleistung der Sicherheit vertraulicher Informationen finden Sie in den gesendeten Anhängen.
• Stellen Sie sicher, dass Mitteilungen an die richtigen Empfänger gesendet werden, indem Sie das Risiko vermeiden, an eine falsche E-Mail-Adresse, Adresse oder Telefonnummer zu senden.
• Holen Sie die Erlaubnis ein, bevor Sie mit der Nutzung öffentlicher Kommunikationsdienste beginnen.
• Beim Senden von Daten über öffentliche Netzwerke sollten strengere Authentifizierungsmethoden eingesetzt werden.
• Einschränkung der Nutzung elektronischer Kommunikationsdienste, z. B. Verbot der automatisierten Weiterleitung.
• Weisen Sie das Personal an, die Nutzung von Kurznachrichten- oder Instant-Message-Diensten zur Weitergabe vertraulicher Daten zu vermeiden, da der Inhalt von Unbefugten in öffentlichen Bereichen eingesehen werden könnte.
• Informieren Sie Mitarbeiter und andere interessierte Parteien über die Schutzrisiken, die Faxgeräte mit sich bringen können, wie z. B. unbefugten Zugriff oder die Fehlleitung von Nachrichten an bestimmte Nummern.

Ergänzende Anleitung zur Übertragung physischer Speichermedien

Wenn Informationen physisch weitergegeben werden, sollten Regeln, Verfahren und Vereinbarungen Folgendes umfassen:

• Die Parteien sind dafür verantwortlich, sich gegenseitig über die Übermittlung, den Versand und den Empfang von Informationen zu informieren.
• Sicherstellen, dass die Nachricht richtig adressiert und ordnungsgemäß gesendet wird.
• Eine gute Verpackung verhindert, dass der Inhalt während des Transports beschädigt wird. Beispielsweise sollte die Verpackung hitze- und feuchtigkeitsbeständig sein.
• Die Geschäftsführung hat sich auf eine zuverlässige, autorisierte Kurierliste geeinigt.
• Ein Überblick über die Standards zur Kurieridentifizierung.
• Für sensible und kritische Informationen sollten manipulationssichere Beutel verwendet werden.
• Die Überprüfung der Identität von Kurieren ist wichtig.
• Diese Liste von Drittanbietern, geordnet nach ihrem Serviceniveau, bietet Transport- oder Kurierdienste an und wurde genehmigt.
• Notieren Sie in einem Protokoll den Zeitpunkt der Lieferung, den autorisierten Empfänger, die getroffenen Sicherheitsmaßnahmen und die Empfangsbestätigung am Bestimmungsort.

Ergänzende Anleitung zur mündlichen Übertragung

Das Personal muss gemäß ISO 27001:2022 Anhang A Kontrolle 5.14 auf die Risiken aufmerksam gemacht werden, die mit dem Austausch von Informationen innerhalb der Organisation oder der Übermittlung von Daten an externe Parteien verbunden sind. Zu diesen Risiken gehören:

• Sie sollten davon absehen, vertrauliche Angelegenheiten in unsicheren öffentlichen Kanälen oder in öffentlichen Bereichen zu besprechen.
• Man sollte keine Voicemails mit vertraulichen Informationen hinterlassen, da die Gefahr einer Wiedergabe durch Unbefugte besteht und das Risiko einer Weiterleitung an Dritte besteht.
• Einzelpersonen, sowohl Mitarbeiter als auch andere relevante Dritte, sollten überprüft werden, bevor ihnen Zutritt zu Gesprächen gewährt wird.
• Räume, die für vertrauliche Gespräche genutzt werden, sollten mit der erforderlichen Schalldämmung ausgestattet sein.
• Vor der Aufnahme eines sensiblen Dialogs sollte ein Haftungsausschluss abgegeben werden.

Änderungen und Unterschiede zur ISO 27001:2013?

ISO 27001:2022 Anhang A 5.14 ersetzt ISO 27001:2013 Anhang A 13.2.1, 13.2.2 und 13.2.3.

Die beiden Kontrollen weisen eine gewisse Ähnlichkeit auf, zwei wesentliche Unterschiede machen die Anforderungen von 2022 jedoch anspruchsvoller.

Spezifische Anforderungen für elektrische, physische und verbale Übertragungen

Abschnitt 13.2.3 in der Fassung von 2013 regelt die besonderen Anforderungen an die Übermittlung von Daten im elektronischen Nachrichtenverkehr.

Es wurde jedoch nicht speziell auf die Übermittlung von Informationen durch verbale oder physische Mittel eingegangen.

Im Vergleich dazu identifiziert die Version 2022 präzise drei Arten der Informationsübermittlung und beschreibt die erforderlichen Inhalte für jede davon einzeln.

ISO 27001:2022 legt strengere Anforderungen für die elektronische Übertragung fest

Abschnitt 13.2.3 der Version 2022 legt strengere Anforderungen an den Inhalt von Vereinbarungen zur elektronischen Nachrichtenübermittlung fest.

Organisationen müssen neue Vorschriften für digitale Übertragungen in Form von Regeln, Verfahren und Verträgen für ISO 27001:2022 konkretisieren und umsetzen.

Beispielsweise sollten Organisationen ihre Mitarbeiter davor warnen, SMS-Dienste bei der Übermittlung sensibler Informationen zu nutzen.

Detaillierte Anforderungen für physische Übertragungen

Die Version 2022 sieht strengere Vorschriften für die physische Übertragung von Speichermedien vor. Es ist beispielsweise gründlicher bei der Authentifizierung von Kurieren und schützt vor verschiedenen Formen von Schäden.

Strukturelle Veränderungen

In der Fassung von 2013 wurde ausdrücklich auf die notwendigen Anforderungen von Informationsübermittlungsverträgen hingewiesen. Die „Regeln“ und „Verfahren“ wurden jedoch nicht im Detail beschrieben.

Für ISO 27001:2022 werden für jeden der drei Ansätze spezifische Kriterien dargelegt.

Tabelle aller ISO 27001:2022 Anhang A-Kontrollen

In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A-Kontrolle.

Wie ISMS.online hilft

Implementierung von ISO 27001:2022 kann mit unserer Schritt-für-Schritt-Checkliste einfacher gestaltet werden. Es wird Sie durch den gesamten Prozess führen, von der Definition des Umfangs Ihres ISMS bis hin zu Risiken erkennen und Implementierung von Kontrollen.

Buchen Sie noch heute Ihre Vorführung. Termine sind an sieben Tagen in der Woche möglich. Vereinbaren Sie also Ihren Termin unter eine Zeit, die zu Ihnen passt.