Der Zweck von ISO 27001:2022 Anhang A 5.3 – Aufgabentrennung in Form einer Funktionstrennung besteht darin, einen Managementrahmen zu etablieren, der zur Initiierung und Steuerung der Implementierung und des Betriebs der Informationssicherheit innerhalb eines Unternehmens verwendet wird.
Gemäß ISO 27001:2022 Anhang A In Control 5.3, früher bekannt als 6.1.2 in ISO 27001:2013, werden widersprüchliche Pflichten und widersprüchliche Verantwortungsbereiche getrennt.
Eine Organisation sollte im Rahmen des Risikobewertungs- und -behandlungsprozesses eine angemessene Aufgabentrennung in Betracht ziehen und umsetzen. Während kleinere Organisationen damit möglicherweise Schwierigkeiten haben, sollte das Prinzip so weit wie möglich angewendet und eine angemessene Governance und Kontrollen eingeführt werden Informationsvermögen mit höherem Risiko/höherem Wert.
Um die Wahrscheinlichkeit einer unbefugten oder unbeabsichtigten Änderung oder eines Missbrauchs der Vermögenswerte der Organisation zu verringern, müssen widersprüchliche Pflichten und Verantwortungsbereiche getrennt werden.
Fast jede Organisation verfügt über eine Reihe von Richtlinien und Verfahren, die seine internen Abläufe regeln. Diese Richtlinien und Verfahren sollten dokumentiert werden, aber das ist nicht immer der Fall.
Es besteht die Gefahr, dass Mitarbeiter über ihre Verantwortungsbereiche verwirrt werden, wenn die P&Ps nicht transparent sind oder gut kommuniziert werden. Noch problematischer wird es, wenn Mitarbeiter sich überschneidende oder widersprüchliche Verantwortungsbereiche haben.
Gelegentlich kann es zu Konflikten kommen, wenn Mitarbeiter im Zusammenhang mit einer bestimmten Aufgabe ähnliche oder unterschiedliche Verantwortlichkeiten haben. Infolgedessen kann es sein, dass Mitarbeiter zweimal dasselbe tun oder unterschiedliche Funktionen ausführen, wodurch die Bemühungen anderer zunichte gemacht werden. Dadurch werden Unternehmensressourcen verschwendet und die Produktivität verringert, was sich negativ auf das Endergebnis und die Moral des Unternehmens auswirkt.
Dieses Problem kann durch Sicherstellung vermieden werden dass in Ihrer Organisation keine Verantwortungskonflikte auftreten und Sie wissen, warum und was Sie tun können, um diese zu verhindern. In den meisten Fällen bedeutet dies, Aufgaben zu trennen, sodass verschiedene Personen unterschiedliche organisatorische Rollen übernehmen.
In ISO 27001 zielt Control 5.3 Segregation of Duties darauf ab, widersprüchliche Pflichten zu trennen. Dies verringert das Risiko von Betrug und Fehlern und umgeht die Informationssicherheit Kontrollen.
Anhang A Control 27001 beschreibt gemäß ISO 5.3 die Umsetzungsrichtlinien zur Trennung organisatorischer Aufgaben und Pflichten.
Durch die Delegation von Teilaufgaben an verschiedene Personen schafft dieses Prinzip ein System von Kontrollen und Gegenmaßnahmen, das die Wahrscheinlichkeit von Fehlern und Betrug verringern kann.
Durch die Kontrolle soll verhindert werden, dass eine einzelne Person unzulässige Handlungen begeht, verheimlicht und rechtfertigt, wodurch das Risiko von Betrug und Fehlern verringert wird. Es verhindert auch, dass eine einzelne Person außer Kraft setzt Informationssicherheitskontrollen.
In Fällen, in denen ein Mitarbeiter über alle für die Aufgabe erforderlichen Rechte verfügt, ist die Wahrscheinlichkeit von Betrug und Fehlern höher. Dies liegt daran, dass eine Person alles ohne Kontrollen und Abwägungen erledigen kann. Das Risiko erheblicher Schäden oder finanzieller Verluste für einen Mitarbeiter ist jedoch geringer, wenn keine einzelne Person über alle für eine bestimmte Aufgabe erforderlichen Zugriffsrechte verfügt.
Ohne eine ordnungsgemäße Trennung von Pflichten und Verantwortlichkeiten kann es zu Betrug, Missbrauch, unbefugtem Zugriff und anderen Sicherheitsproblemen kommen.
Darüber hinaus ist eine Aufgabentrennung erforderlich, um die Risiken der Zusammenarbeit zwischen Einzelpersonen zu mindern. Diese Risiken erhöhen sich, wenn unzureichende Kontrollen Absprachen verhindern oder aufdecken.
Im Rahmen der ISO 27001:2022 ist die Die Organisation sollte festlegen, welche Pflichten und Verantwortlichkeiten erforderlich sind getrennt zu werden und umsetzbare Trennungskontrollen umzusetzen.
Wenn solche Kontrollen nicht möglich sind, insbesondere bei kleinen Organisationen mit einer begrenzten Anzahl von Mitarbeitern, ist eine Aktivitätsüberwachung erforderlich. Buchungsprotokolleund Managementüberwachung können genutzt werden. Mit automatisierten Tools können größere Organisationen Rollen identifizieren und trennen, um zu verhindern, dass widersprüchliche Rollen zugewiesen werden.
ISO 27001:2022 Anhang A Kontrolle 5.3 Aufgabentrennung ist eine überarbeitete Version von ISO 27001:2013 Anhang A Kontrolle 6.1.2 Aufgabentrennung.
Anhang A 5.3 ISO 27001:2022 und Anhang A 6.1.2 ISO 27001:2013 beschreiben die gleichen Grundmerkmale der Steuerung „Aufgabentrennung“. Die neueste Version definiert jedoch eine Reihe von Aktivitäten, die bei der Implementierung getrennt werden müssen.
Zu diesen Aktivitäten gehören:
a) eine Änderung einleiten, genehmigen und ausführen;
b) Beantragung, Genehmigung und Umsetzung von Zugriffsrechten;
c) Entwerfen, Implementieren und Überprüfen von Code;
d) Entwicklung von Software und Verwaltung von Produktionssystemen;
e) Nutzung und Verwaltung von Anwendungen;
f) Nutzung von Anwendungen und Verwaltung von Datenbanken;
g) Entwerfen, Prüfen und Sicherstellen von Informationssicherheitskontrollen.
In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A-Kontrolle.
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Organisatorische Kontrollen | Anhang A 5.1 | Anhang A 5.1.1 Anhang A 5.1.2 | Richtlinien zur Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
| Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
| Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
| Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
| Organisatorische Kontrollen | Anhang A 5.7 | NEU! | Threat Intelligence |
| Organisatorische Kontrollen | Anhang A 5.8 | Anhang A 6.1.5 Anhang A 14.1.1 | Informationssicherheit im Projektmanagement |
| Organisatorische Kontrollen | Anhang A 5.9 | Anhang A 8.1.1 Anhang A 8.1.2 | Inventar der Informationen und anderer damit verbundener Vermögenswerte |
| Organisatorische Kontrollen | Anhang A 5.10 | Anhang A 8.1.3 Anhang A 8.2.3 | Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.14 | Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 | Informationsübertragung |
| Organisatorische Kontrollen | Anhang A 5.15 | Anhang A 9.1.1 Anhang A 9.1.2 | Access Control |
| Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
| Organisatorische Kontrollen | Anhang A 5.17 | Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 | Authentifizierungsinformationen |
| Organisatorische Kontrollen | Anhang A 5.18 | Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 | Zugangsrechte |
| Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
| Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
| Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
| Organisatorische Kontrollen | Anhang A 5.22 | Anhang A 15.2.1 Anhang A 15.2.2 | Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
| Organisatorische Kontrollen | Anhang A 5.23 | NEU! | Informationssicherheit für die Nutzung von Cloud-Diensten |
| Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
| Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
| Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
| Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
| Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
| Organisatorische Kontrollen | Anhang A 5.29 | Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 | Informationssicherheit bei Störungen |
| Organisatorische Kontrollen | Anhang A 5.30 | NEU! | IKT-Bereitschaft für Geschäftskontinuität |
| Organisatorische Kontrollen | Anhang A 5.31 | Anhang A 18.1.1 Anhang A 18.1.5 | Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
| Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
| Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
| Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
| Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.36 | Anhang A 18.2.2 Anhang A 18.2.3 | Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Untersuchungen |
| Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
| Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
| Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
| Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
| Menschenkontrollen | Anhang A 6.8 | Anhang A 16.1.2 Anhang A 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
| Physikalische Kontrollen | Anhang A 7.2 | Anhang A 11.1.2 Anhang A 11.1.6 | Physischer Eintritt |
| Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
| Physikalische Kontrollen | Anhang A 7.4 | NEU! | Physische Sicherheitsüberwachung |
| Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
| Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| Physikalische Kontrollen | Anhang A 7.10 | Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 | Speichermedien |
| Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
| Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
| Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Technologische Kontrollen | Anhang A 8.1 | Anhang A 6.2.1 Anhang A 11.2.8 | Benutzer-Endpunktgeräte |
| Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
| Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
| Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
| Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
| Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
| Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
| Technologische Kontrollen | Anhang A 8.8 | Anhang A 12.6.1 Anhang A 18.2.3 | Management technischer Schwachstellen |
| Technologische Kontrollen | Anhang A 8.9 | NEU! | Configuration Management |
| Technologische Kontrollen | Anhang A 8.10 | NEU! | Löschen von Informationen |
| Technologische Kontrollen | Anhang A 8.11 | NEU! | Datenmaskierung |
| Technologische Kontrollen | Anhang A 8.12 | NEU! | Verhinderung von Datenlecks |
| Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
| Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
| Technologische Kontrollen | Anhang A 8.15 | Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 | Protokollierung |
| Technologische Kontrollen | Anhang A 8.16 | NEU! | Überwachungsaktivitäten |
| Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
| Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Verwendung von Privileged Utility-Programmen |
| Technologische Kontrollen | Anhang A 8.19 | Anhang A 12.5.1 Anhang A 12.6.2 | Installation von Software auf Betriebssystemen |
| Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
| Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
| Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
| Technologische Kontrollen | Anhang A 8.23 | NEU! | Web-Filter |
| Technologische Kontrollen | Anhang A 8.24 | Anhang A 10.1.1 Anhang A 10.1.2 | Verwendung von Kryptographie |
| Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
| Technologische Kontrollen | Anhang A 8.26 | Anhang A 14.1.2 Anhang A 14.1.3 | Anforderungen an die Anwendungssicherheit |
| Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien |
| Technologische Kontrollen | Anhang A 8.28 | NEU! | Sichere Codierung |
| Technologische Kontrollen | Anhang A 8.29 | Anhang A 14.2.8 Anhang A 14.2.9 | Sicherheitstests in Entwicklung und Akzeptanz |
| Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
| Technologische Kontrollen | Anhang A 8.31 | Anhang A 12.1.4 Anhang A 14.2.6 | Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
| Technologische Kontrollen | Anhang A 8.32 | Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 | Änderungsmanagement |
| Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
| Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
Für die Aufgabentrennung in ISO 27001 sind mehrere Personen verantwortlich, beginnend mit einem Mitglied des leitenden Managementteams. Diese Person ist dafür verantwortlich, dass die Initiale sichergestellt wird Risikobewertung hat stattgefunden.
Daher sollten auch anderen Gruppen qualifizierter Mitarbeiter Prozesse zugewiesen werden, die für andere Teile der Organisation gelten. Um zu verhindern, dass betrügerische Mitarbeiter die Unternehmenssicherheit gefährden, werden in der Regel Aufgaben anderen Arbeitseinheiten zugewiesen und IT-bezogene Betriebs- und Wartungsaktivitäten in Abteilungen aufgeteilt.
Die Aufgabentrennung kann ohne ein nicht korrekt hergestellt werden effektives Risikomanagement Strategie, ein geeignetes Kontrollumfeld und ein geeignetes IT-Prüfprogramm.
ISO 27001:2022 erfordert lediglich, dass Sie Ihre ISMS-Prozesse aktualisieren, um die verbesserten Annex-A-Kontrollen widerzuspiegeln, und wenn Ihr Team dies nicht bewältigen kann, kann ISMS.online dies tun.
Zusätzlich zu den Modi DPIA und andere damit verbundene Bewertungen personenbezogener DatenWie LIAs bietet ISMS.online einfache, praktische Frameworks und Vorlagen für die Informationssicherheit.
Mit der ISMS.onlineSie können Verfahren und Checklisten des Informationssicherheitsmanagementsystems dokumentieren, um die Einhaltung von ISO 27001 sicherzustellen und den Implementierungsprozess zu automatisieren.
Mit ISMS.online können Sie:
Durch die Nutzung unserer cloudbasierten Plattform können Sie Checklisten zentral verwalten, mit Kollegen interagieren und eine umfassende Reihe von Tools nutzen, um Ihr Unternehmen bei der Erstellung und Pflege von Checklisten zu unterstützen ISMS.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
