ISO 27001:2022 Anhang A Kontrolle 5.23

Leitfaden zu ISO 27001:2022 Anhang A Kontrolle 5.23 – Organisatorische Verpflichtungen

Zur Einhaltung von Control 5.23 gehört die Einhaltung dessen, was als a bezeichnet wird „themenspezifischer“ Ansatz zu Cloud-Diensten und Informationssicherheit.

Angesichts der Vielfalt der angebotenen Cloud-Dienste ermutigen themenspezifische Ansätze Unternehmen dazu, Richtlinien für Cloud-Dienste zu erstellen, die auf einzelne Geschäftsfunktionen zugeschnitten sind, anstatt sich an eine pauschale Richtlinie zu halten, die für Folgendes gilt Informationssicherheit und Cloud-Dienste über die Grenze.

Es ist zu beachten, dass ISO die Einhaltung von Annex A Control 5.23 als eine gemeinsame Anstrengung zwischen der Organisation und ihrem Cloud-Service-Partner betrachtet. Annex A Control 5.23 sollte auch eng an die Controls 5.21 und 5.22 angepasst werden, die sich mit dem Informationsmanagement in der Lieferkette bzw. dem Management von Lieferantendienstleistungen befassen.

Ganz gleich, für welche Vorgehensweise sich eine Organisation entscheidet, Annex A Control 5.23 sollte nicht isoliert betrachtet werden und bestehende Bemühungen zur Verwaltung von Lieferantenbeziehungen ergänzen.

Da die Informationssicherheit an erster Stelle steht, sollte die Organisation Folgendes definieren:

1. Alle relevanten Sicherheitsanforderungen oder Bedenken im Zusammenhang mit der Nutzung einer Cloud-Plattform.
2. Welche Kriterien es bei der Auswahl eines Cloud-Dienstleisters zu berücksichtigen gilt und wie dessen Dienste genutzt werden sollen.
3. Detaillierte Beschreibung der Rollen und relevanten Verantwortlichkeiten, die regeln, wie Cloud-Dienste im gesamten Unternehmen genutzt werden sollen.
4. Welche Informationssicherheitsbereiche genau vom Cloud-Dienstleister kontrolliert werden und welche in den Zuständigkeitsbereich der Organisation selbst fallen.
5. Die besten Möglichkeiten, alle von der Cloud-Service-Plattform bereitgestellten informationssicherheitsbezogenen Servicekomponenten zunächst zu sammeln und dann zu nutzen.
6. So erhalten Sie kategorische Zusicherungen für alle vom Cloud-Dienstanbieter eingeführten Kontrollen im Zusammenhang mit der Informationssicherheit.
7. Die Schritte, die unternommen werden müssen, um Änderungen, Kommunikation und Kontrollen über mehrere unterschiedliche Cloud-Plattformen hinweg und nicht immer vom selben Anbieter zu verwalten.
8. Incident Management Verfahren, die sich ausschließlich mit der Bereitstellung von Cloud-Diensten befassen.
9. Wie erwartet die Organisation, ihre laufende Nutzung und/oder umfassende Einführung von Cloud-Plattformen im Einklang mit ihren umfassenderen Informationssicherheitsverpflichtungen zu verwalten?
10. Eine Strategie für die Einstellung oder Änderung von Cloud-Diensten, entweder auf Anbieterbasis oder durch den Prozess der Cloud-zu-On-Premise-Migration.

Leitlinien zu Annex A Control 5.23 – Cloud-Services-Vereinbarungen

Annex A Control 5.23 erkennt an, dass es sich bei Cloud-Service-Vereinbarungen im Gegensatz zu anderen Lieferantenbeziehungen um starre Dokumente handelt, die in den allermeisten Fällen nicht geändert werden können.

Vor diesem Hintergrund sollten Unternehmen Cloud-Service-Vereinbarungen genau unter die Lupe nehmen und sicherstellen, dass vier wesentliche betriebliche Anforderungen erfüllt sind:

1. Vertraulichkeit.
2. Sicherheit/Datenintegrität.
3. Serviceverfügbarkeit.
4. Umgang mit Informationen.

Wie bei anderen Lieferantenverträgen sollten Cloud-Service-Verträge vor der Annahme einer gründlichen Risikobewertung unterzogen werden, die potenzielle Probleme an der Quelle aufzeigt.

Als absolutes Minimum sollte die Organisation nur dann einen Cloud-Services-Vertrag abschließen, wenn sie davon überzeugt ist, dass die folgenden zehn Bestimmungen erfüllt sind:

• Cloud-Dienste werden auf der Grundlage der individuellen Anforderungen der Organisation in Bezug auf ihren Tätigkeitsbereich bereitgestellt und implementiert, einschließlich branchenweit anerkannter Standards und Praktiken für cloudbasierte Architektur und gehostete Infrastruktur.
• Der Zugriff auf beliebige Cloud-Plattformen erfüllt die grenzüberschreitenden Informationssicherheitsanforderungen der Organisation.
• Antimalware- und Antivirendienste, einschließlich proaktiver Überwachung und Bedrohungsschutz, werden angemessen berücksichtigt.
• Der Cloud-Anbieter hält sich an einen vordefinierten Satz von Datenspeicherungs- und -verarbeitungsbestimmungen, die sich auf eine oder mehrere verschiedene globale Regionen und regulatorische Umgebungen beziehen.
• Bei einem katastrophalen Ausfall der Cloud-Plattform oder einem Vorfall im Zusammenhang mit der Informationssicherheit wird der Organisation proaktiver Support geboten.
• Wenn die Notwendigkeit besteht, Elemente der Cloud-Plattform an Subunternehmer zu vergeben oder anderweitig auszulagern, bleiben die Anforderungen des Lieferanten an die Informationssicherheit eine ständige Überlegung.
• Sollte die Organisation Unterstützung bei der Zusammenstellung digitaler Informationen für einen relevanten Zweck (Strafverfolgung, Regulierungsanpassung, kommerzielle Zwecke) benötigen, wird der Cloud-Dienstleister die Organisation so weit wie möglich unterstützen.
• Am Ende der Beziehung sollte der Cloud-Dienstanbieter während des Übergangs- oder Stilllegungszeitraums angemessenen Support und angemessene Verfügbarkeit bieten.
• Der Cloud-Dienstanbieter sollte mit einem robusten BUDR-Plan arbeiten, der sich auf die Durchführung angemessener Backups der Daten der Organisation konzentriert.
• Die Übertragung aller relevanten Zusatzdaten vom Cloud-Services-Anbieter an die Organisation, einschließlich Konfigurationsinformationen und Code, auf den die Organisation Anspruch hat.

Ergänzende Informationen zu Anhang A Kontrolle 5.23

Zusätzlich zu den oben genannten Leitlinien empfiehlt Annex A Control 5.23, dass Organisationen eine enge Zusammenarbeit mit Cloud-Service-Anbietern eingehen, entsprechend dem wichtigen Service, den sie nicht nur im Hinblick auf die Informationssicherheit, sondern für den gesamten kommerziellen Betrieb einer Organisation bereitstellen.

Organisationen sollten nach Möglichkeit die folgenden Bestimmungen von Cloud-Dienstanbietern einholen, um die betriebliche Belastbarkeit zu verbessern und ein höheres Maß an Informationssicherheit zu genießen:

1. Alle Infrastrukturänderungen sollten im Voraus kommuniziert werden, um die eigenen Informationssicherheitsstandards der Organisation zu berücksichtigen.
2. Die Organisation muss über alle Änderungen der Datenspeicherungsverfahren informiert werden, die eine Migration von Daten in eine andere Gerichtsbarkeit oder globale Region erfordern.
3. Jegliche Absicht seitens des Cloud-Dienstanbieters, „Peer-Cloud“-Anbieter zu nutzen oder Bereiche ihres Betriebs an Subunternehmer auszulagern, die Auswirkungen auf die Informationssicherheit für die Organisation haben könnten.

Unterstützende Anhang-A-Kontrollen

• ISO 27001:2022 Anhang A 5.21
• ISO 27001:2022 Anhang A 5.22

Was sind die Änderungen und Unterschiede zur ISO 27001:2013?

Annex A Control 5.23 ist a neue Steuerung das kommt in der ISO 27001:2013 in keiner Weise vor.

Tabelle aller ISO 27001:2022 Anhang A-Kontrollen

In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A-Kontrolle.

Wie ISMS.online hilft

ISMS.online rationalisiert den ISO 27001-Implementierungsprozess, indem es ein ausgefeiltes cloudbasiertes Framework zur Dokumentation von Verfahren und Checklisten des Informationssicherheitsmanagementsystems bereitstellt, um die Einhaltung anerkannter Standards sicherzustellen.

Wenn Sie ISMS.online nutzen, können Sie:

• Erstellen Sie ein ISMS, das mit den ISO 27001-Standards kompatibel ist.
• Führen Sie Aufgaben aus und legen Sie Nachweise vor, um nachzuweisen, dass sie die Anforderungen der Norm erfüllt haben.
• Weisen Sie Aufgaben zu und verfolgen Sie den Fortschritt bei der Einhaltung der Gesetze.
• Erhalten Sie Zugang zu einem spezialisierten Beraterteam, das Sie auf Ihrem Weg zur Compliance unterstützt.

Nehmen Sie Kontakt auf und Demo buchen.