ISO 27001:2022 Anhang A Kontrolle 5.9

Was ist der Zweck von ISO 27001:2022 Annex A Control 5.9?

Ziel der Kontrolle ist die Anerkennung der Organisation Informationen und zugehörige Vermögenswerte, um die Informationssicherheit zu gewährleisten und benennen Sie das ordnungsgemäße Eigentum.

Anhang A von ISO 27001:2022 beschreibt die Kontrolle 5.9, die den Zweck und die Umsetzungsanleitungen zur Erstellung eines Inventars von Informationen und anderen Vermögenswerten in Bezug auf das ISMS-Framework beschreibt.

Führen Sie eine Bestandsaufnahme aller Informationen und zugehörigen Vermögenswerte durch, klassifizieren Sie sie in Kategorien, identifizieren Sie Eigentümer und dokumentieren Sie vorhandene/erforderliche Kontrollen.

Dies ist ein wichtiger Schritt, um sicherzustellen, dass alle Datenbestände angemessen geschützt sind.

Was dazugehört und wie man die Anforderungen erfüllt

Um die Kriterien für ISO 27001:2022 zu erfüllen, müssen Sie die Informationen und andere damit verbundene Vermögenswerte innerhalb Ihrer Organisation identifizieren. Anschließend sollten Sie die Bedeutung dieser Punkte im Hinblick auf die Informationssicherheit beurteilen. Bewahren Sie Aufzeichnungen bei Bedarf in speziellen oder vorhandenen Beständen auf.

Die Größe und Komplexität einer Organisation, bestehende Kontrollen und Richtlinien sowie die Arten von Informationen und Vermögenswerten, die sie verwendet, wirken sich alle auf die Entwicklung eines Inventars aus.

Gemäß Kontrollpunkt 5.9 ist es von entscheidender Bedeutung, sicherzustellen, dass der Bestand an Informationen und anderen zugehörigen Vermögenswerten korrekt, aktuell, konsistent und im Einklang mit anderen Beständen ist. Um die Genauigkeit zu gewährleisten, kann man Folgendes berücksichtigen:

• Führen Sie systematische Bewertungen der aufgeführten Informationen und zugehörigen Vermögenswerte gemäß dem Vermögenskatalog durch.
• Während der Installation, Änderung oder Entfernung eines Assets wird automatisch eine Bestandsaktualisierung erzwungen.
• Nehmen Sie bei Bedarf den Verbleib eines Vermögenswerts in das Inventar auf.

Einige Organisationen müssen möglicherweise mehrere Bestände für unterschiedliche Zwecke führen. Beispielsweise verfügen sie möglicherweise über spezielle Lagerbestände für Softwarelizenzen oder physische Geräte wie Laptops und Tablets.

Es ist wichtig, den gesamten physischen Bestand, einschließlich Netzwerkgeräten wie Routern und Switches, regelmäßig zu überprüfen, um die Genauigkeit des Bestands aufrechtzuerhalten Zwecken des Risikomanagements.

Weitere Informationen zur Erfüllung der Kontrolle 5.9 finden Sie im Dokument ISO 27001:2022.

Unterschiede zwischen ISO 27001:2013 und ISO 27001:2022

In der ISO 27001:2022 wurden 58 Kontrollen aus ISO 27001:2013 überarbeitet und weitere 24 Kontrollen zusammengeführt. Es wurden 11 neue Steuerelemente hinzugefügt und einige gelöscht.

Daher werden Sie es nicht finden Anhang A Kontrolle 5.9 – Inventar der Informationen und anderer damit verbundener Vermögenswerte – in der Version 2013, da es sich nun um eine Kombination aus handelt ISO 27001:2013 Anhang A 8.1.1 – Inventar der Vermögenswerte - und ISO 27001:2013 Anhang A 8.1.2 – Eigentum an Vermögenswerten – in der Version 2022.

Anhang A von ISO 27001:2022 beschreibt Kontrolle 8.1.2, Eigentum an Vermögenswerten. Dadurch wird sichergestellt, dass alle Informationsbestände eindeutig identifiziert und im Besitz sind. Wenn Sie wissen, wem was gehört, können Sie feststellen, welche Vermögenswerte geschützt werden müssen und wer Rechenschaftspflicht hat.

ISO 27001:2013 und ISO 27001:2022 verfügen beide über ähnliche KontrollenAnhang A Control 5.9 des letzteren wurde jedoch erweitert, um eine einfachere Interpretation zu ermöglichen. Die Implementierungsleitlinien zum Asset-Eigentum in Kontrolle 8.1.2 schreiben beispielsweise vor, dass der Asset-Eigentümer Folgendes tun sollte:

• Stellen Sie sicher, dass alle Vermögenswerte im Inventar korrekt erfasst werden.
• Stellen Sie sicher, dass Vermögenswerte angemessen klassifiziert und geschützt werden.
• Überprüfen Sie regelmäßig und Zugangsbeschränkungen definieren und Klassifizierungen für wichtige Vermögenswerte unter Berücksichtigung der geltenden Zugangskontrollrichtlinien.
• Stellen Sie sicher, dass bei der Veräußerung oder Zerstörung des Vermögenswerts geeignete Maßnahmen ergriffen werden.

Der Eigentumsabschnitt von Control 5.9 wurde um neun Punkte statt der ursprünglichen vier erweitert. Es wurden Korrekturen an Rechtschreibung und Grammatik vorgenommen und der Ton wurde in einen professionellen, freundlichen Stil geändert. Redundanzen und Wiederholungen wurden beseitigt und der Schreibstil ist jetzt in einem aktiven Stil gehalten.

Der Vermögenseigentümer sollte die Verantwortung für die angemessene Überwachung eines Vermögenswerts während seines gesamten Lebenszyklus übernehmen und sicherstellen, dass:

• Alle Daten und zugehörigen Ressourcen werden aufgelistet und dokumentiert.
• Stellen Sie sicher, dass alle Daten, zugehörigen Vermögenswerte und anderen zugehörigen Ressourcen genau klassifiziert und geschützt sind.
• Die Klassifizierung wird regelmäßig überprüft, um ihre Richtigkeit sicherzustellen.
• Komponenten, die Technologieressourcen unterstützen, werden erfasst und miteinander verknüpft, einschließlich Datenbanken, Speicher, Softwarekomponenten und Unterkomponenten.
• Anforderungen für die akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten sind in 5.10 festgelegt.
• Zugangsbeschränkungen entsprechen der Klassifizierung und erweisen sich als wirksam. Sie werden regelmäßig überprüft, um einen kontinuierlichen Schutz zu gewährleisten.
• Informationen und andere damit verbundene Vermögenswerte werden beim Löschen oder Entsorgen sicher behandelt und aus dem Inventar entfernt.
• Sie sind dafür verantwortlich, die mit ihren Vermögenswerten verbundenen Risiken zu identifizieren und zu bewältigen.
• Sie unterstützen das Personal bei der Verwaltung ihrer Informationen und übernehmen die damit verbundenen Rollen und Verantwortlichkeiten.

Das Zusammenführen dieser beiden Steuerelemente zu einem erleichtert dem Benutzer das Verständnis.

Tabelle aller ISO 27001:2022 Anhang A-Kontrollen

In der Tabelle unten finden Sie weitere Informationen zu den einzelnen Personen ISO 27001:2022 Anhang A Steuern.

Was bedeuten diese Veränderungen für Sie?

Die neuesten ISO 27001-Änderungen haben keine Auswirkungen auf Ihre aktuelle Zertifizierung gemäß ISO 27001-Standards. Nur Upgrades auf ISO 27001 kann Auswirkungen auf bestehende Zertifizierungen haben. Die Akkreditierungsstellen werden mit den Zertifizierungsstellen zusammenarbeiten, um eine Übergangsfrist zu entwickeln, die den Organisationen Zeit gibt ISO 27001-Zertifikate bieten genügend Zeit, um von einer Version zur nächsten zu wechseln.

Diese Schritte müssen unternommen werden, um die überarbeitete Version zu erfüllen:

• Stellen Sie sicher, dass Ihr Unternehmen die neuesten Vorschriften einhält, indem Sie das Risikoregister und die Risikomanagementverfahren prüfen.
• Der Anhang A sollte geändert werden, um etwaige Änderungen an der Anwendbarkeitserklärung widerzuspiegeln.
• Stellen Sie sicher, dass Ihre Richtlinien und Verfahren auf dem neuesten Stand sind, um den neuen Vorschriften gerecht zu werden.

Während der Umstellung auf den neuen Standard haben wir Zugriff auf neue Best Practices und Qualitäten für die Kontrollauswahl, was einen effektiveren und effizienteren Auswahlprozess ermöglicht.

Sie sollten an einem risikobasierten Ansatz festhalten, um sicherzustellen, dass nur die relevantesten und effizientesten Kontrollen für Ihr Unternehmen ausgewählt werden.

Wie ISMS.online hilft

ISMS.online ist ideal für die Implementierung Ihres ISO 27001 Informationssicherheits-Managementsystems. Es wurde speziell entwickelt, um Unternehmen dabei zu helfen, die Anforderungen des Standards zu erfüllen.

Das Die Plattform wendet eine risikoorientierte Methode an In Verbindung mit führenden Best Practices und Vorlagen der Branche können Sie die Risiken, denen Ihr Unternehmen ausgesetzt ist, und die zu deren Bewältigung erforderlichen Kontrollen ermitteln. Dadurch können Sie sowohl Ihre Risikoexposition als auch Ihren Compliance-Aufwand systematisch reduzieren.

ISMS.online ermöglicht Ihnen:

1. Entwickle ein Informationssicherheits-Managementsystem (ISMS).
2. Erstellen Sie maßgeschneiderte Richtlinien und Verfahren.
3. Implementieren Sie ein ISMS, um die ISO 27001-Standards zu erfüllen.
4. Erhalten Sie Unterstützung von erfahrenen Beratern.

Sie können ISMS.online nutzen, um ein ISMS aufzubauen, individuelle Richtlinien und Prozesse zu erstellen, die ISO 27001-Kriterien einzuhalten und Hilfe von erfahrenen Beratern zu erhalten.

Die ISMS.online-Plattform basiert auf Plan-Do-Check-Act (PDCA), einem iterativen vierstufigen Verfahren zur kontinuierlichen Verbesserung, das alle Anforderungen der ISO 27001:2022 erfüllt. Es ist unkompliziert. Kontaktieren Sie uns jetzt, um Vereinbaren Sie Ihre Vorführung.