ISO 27001:2022, Anhang A 6.3, Informationssicherheitsbewusstsein, Bildung und Schulung, betont die Notwendigkeit, dass die Mitarbeiter eine angemessene Unterweisung in Informationssicherheit erhalten, einschließlich regelmäßiger Auffrischungen der Richtlinien, die für ihre Rollen relevant sind.
Das Bewusstsein für Informationssicherheit, die Aufklärung und Schulung (IT-Sicherheitsbewusstsein) besteht darin, Benutzer über die Bedeutung der Informationssicherheit zu informieren und sie zu inspirieren, ihre Computersicherheitspraktiken zu verbessern.
Benutzer müssen über die potenziellen Sicherheitsrisiken informiert werden, die mit ihren Aktivitäten verbunden sind, und darüber aufgeklärt werden, wie sie sich davor schützen können.
Das Bewusstsein für Informationssicherheit sowie Bildung und Schulung sind für den Erfolg jeder Organisation von entscheidender Bedeutung. Alle Mitarbeiter müssen die Bedeutung der Informationssicherheit und die Konsequenzen, die sie für alle hat, verstehen.
Je besser die Mitarbeiter wissen, wie sie sich vor Cybergefahren schützen können, desto sicherer wird Ihr Unternehmen sein.
Fordern Sie ein Angebot an
Das Ziel von ISO 27001:2022 Anhang A 6.3 besteht darin, sicherzustellen, dass Mitarbeiter und relevante Interessengruppen über ihre Informationssicherheitspflichten informiert und entsprechend geschult werden.
ISO 27001:2022 Anhang A 6.3 beschreibt detailliert die Bandbreite der Aktivitäten, die erforderlich sind, um sicherzustellen, dass das Personal über die Kenntnisse und Fähigkeiten verfügt, die für den Betrieb im Informationssicherheitsrahmen der Organisation erforderlich sind. Diese Anhang-A-Kontrolle konzentriert sich in erster Linie darauf, das Bewusstsein für die Bedeutung der Informationssicherheit zu schärfen, bewährte Verfahren zu fördern und die Einhaltung relevanter Richtlinien und Vorschriften zu fördern.
Aufklärung, Sensibilisierung und Schulung im Bereich Informationssicherheit sind wesentliche Bestandteile der Risikomanagementstrategie einer Organisation und sollten in die Sicherheitsrichtlinie integriert werden. Indem Unternehmen ihren Mitarbeitern das Wissen und die Tools zur Verfügung stellen, die sie benötigen, können sie sicherstellen, dass ihre Sicherheitsmaßnahmen wirksam sind.
ISO 27001:2022 Anhang A 6.3 beschreibt die Notwendigkeit, dass Unternehmen über ein Programm zur Sensibilisierung für Informationssicherheit verfügen, um allen Mitarbeitern die entsprechenden Kenntnisse und Fähigkeiten zum Schutz von Informationsressourcen zu vermitteln. Es gibt Ratschläge dazu, was in einem produktiven Sensibilisierungsprogramm enthalten sein sollte.
Die Organisation muss möglicherweise mindestens einmal im Jahr oder je nach Risikobewertung eine Sicherheitsschulung für alle Mitarbeiter durchführen, die Zugang zu sensiblen Informationsbeständen oder Informationssystemen haben, die sensible Daten speichern, verarbeiten oder übertragen.
Unternehmen müssen einen Prozess implementieren, der sicherstellt, dass Mitarbeiter ausreichend geschult sind, um ihre Arbeitsaufgaben sicher und geschützt auszuführen, ohne die Informationssicherheit zu beeinträchtigen. Die Schulung kann in Sitzungen oder über Online-Ressourcen wie Videos oder Webinare durchgeführt werden. Anhang A 6.3 schreibt dies vor.
Sensibilisierungs-, Schulungs- und Schulungsprogramme für Informationssicherheit sollten im Einklang mit den Richtlinien der Organisation, themenspezifischen Richtlinien und relevanten Sicherheitsverfahren entwickelt werden. Dabei sollten die zu schützenden Informationen und die zu ihrem Schutz bestehenden Sicherheitskontrollen berücksichtigt und regelmäßig durchgeführt werden.
Es ist von Vorteil, sowohl neue Mitarbeiter als auch diejenigen, die in Rollen wechseln, die unterschiedliche Sicherheitsniveaus erfordern, zu sensibilisieren, zu schulen und zu schulen.
Eine Sensibilisierungskampagne sollte mehrere Aktivitäten umfassen, um das Verständnis zu steigern. Dies kann Kampagnen, Broschüren, Poster, Newsletter, Websites, Informationsveranstaltungen, Briefings, E-Learning-Module und E-Mails umfassen.
Gemäß Anhang A 6.3 sollte dieses Programm Folgendes umfassen:
ISO 27001:2022 ist keine völlig neuartige Kontrolle. Diese im Oktober 27001 veröffentlichte Version von ISO 2022, aktualisiert die Vorgängerversion ISO 27001:2013.
In ISO 27001:2013 Anhang A Kontrolle 7.2.2 fehlen die Attributtabelle und die Zweckerklärung, die in ISO 27001:2022 Anhang A Kontrolle 6.3 bereitgestellt werden.
Trotz der unterschiedlichen Kontrollzahlen scheint es keine weiteren Unterschiede zwischen den beiden Anhang-A-Kontrollen zu geben. Auch wenn der Wortlaut der beiden Anhang-A-Kontrollen unterschiedlich ist, bleiben ihre Bedeutung und ihr Zweck gleich.
Annex A Control 6.3 wurde benutzerfreundlicher gestaltet, damit Benutzer den Inhalt besser verstehen können.
In der Tabelle unten finden Sie weitere Informationen zu den einzelnen Personen ISO 27001:2022 Anhang A Steuern.
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Organisatorische Kontrollen | Anhang A 5.1 | Anhang A 5.1.1 Anhang A 5.1.2 | Richtlinien zur Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
| Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
| Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
| Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
| Organisatorische Kontrollen | Anhang A 5.7 | NEU! | Threat Intelligence |
| Organisatorische Kontrollen | Anhang A 5.8 | Anhang A 6.1.5 Anhang A 14.1.1 | Informationssicherheit im Projektmanagement |
| Organisatorische Kontrollen | Anhang A 5.9 | Anhang A 8.1.1 Anhang A 8.1.2 | Inventar der Informationen und anderer damit verbundener Vermögenswerte |
| Organisatorische Kontrollen | Anhang A 5.10 | Anhang A 8.1.3 Anhang A 8.2.3 | Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.14 | Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 | Informationsübertragung |
| Organisatorische Kontrollen | Anhang A 5.15 | Anhang A 9.1.1 Anhang A 9.1.2 | Access Control |
| Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
| Organisatorische Kontrollen | Anhang A 5.17 | Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 | Authentifizierungsinformationen |
| Organisatorische Kontrollen | Anhang A 5.18 | Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 | Zugangsrechte |
| Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
| Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
| Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
| Organisatorische Kontrollen | Anhang A 5.22 | Anhang A 15.2.1 Anhang A 15.2.2 | Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
| Organisatorische Kontrollen | Anhang A 5.23 | NEU! | Informationssicherheit für die Nutzung von Cloud-Diensten |
| Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
| Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
| Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
| Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
| Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
| Organisatorische Kontrollen | Anhang A 5.29 | Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 | Informationssicherheit bei Störungen |
| Organisatorische Kontrollen | Anhang A 5.30 | NEU! | IKT-Bereitschaft für Geschäftskontinuität |
| Organisatorische Kontrollen | Anhang A 5.31 | Anhang A 18.1.1 Anhang A 18.1.5 | Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
| Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
| Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
| Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
| Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.36 | Anhang A 18.2.2 Anhang A 18.2.3 | Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Untersuchungen |
| Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
| Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
| Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
| Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
| Menschenkontrollen | Anhang A 6.8 | Anhang A 16.1.2 Anhang A 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
| Physikalische Kontrollen | Anhang A 7.2 | Anhang A 11.1.2 Anhang A 11.1.6 | Physischer Eintritt |
| Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
| Physikalische Kontrollen | Anhang A 7.4 | NEU! | Physische Sicherheitsüberwachung |
| Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
| Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| Physikalische Kontrollen | Anhang A 7.10 | Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 | Speichermedien |
| Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
| Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
| Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Technologische Kontrollen | Anhang A 8.1 | Anhang A 6.2.1 Anhang A 11.2.8 | Benutzer-Endpunktgeräte |
| Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
| Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
| Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
| Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
| Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
| Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
| Technologische Kontrollen | Anhang A 8.8 | Anhang A 12.6.1 Anhang A 18.2.3 | Management technischer Schwachstellen |
| Technologische Kontrollen | Anhang A 8.9 | NEU! | Configuration Management |
| Technologische Kontrollen | Anhang A 8.10 | NEU! | Löschen von Informationen |
| Technologische Kontrollen | Anhang A 8.11 | NEU! | Datenmaskierung |
| Technologische Kontrollen | Anhang A 8.12 | NEU! | Verhinderung von Datenlecks |
| Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
| Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
| Technologische Kontrollen | Anhang A 8.15 | Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 | Protokollierung |
| Technologische Kontrollen | Anhang A 8.16 | NEU! | Überwachungsaktivitäten |
| Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
| Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Verwendung von Privileged Utility-Programmen |
| Technologische Kontrollen | Anhang A 8.19 | Anhang A 12.5.1 Anhang A 12.6.2 | Installation von Software auf Betriebssystemen |
| Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
| Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
| Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
| Technologische Kontrollen | Anhang A 8.23 | NEU! | Web-Filter |
| Technologische Kontrollen | Anhang A 8.24 | Anhang A 10.1.1 Anhang A 10.1.2 | Verwendung von Kryptographie |
| Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
| Technologische Kontrollen | Anhang A 8.26 | Anhang A 14.1.2 Anhang A 14.1.3 | Anforderungen an die Anwendungssicherheit |
| Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien |
| Technologische Kontrollen | Anhang A 8.28 | NEU! | Sichere Codierung |
| Technologische Kontrollen | Anhang A 8.29 | Anhang A 14.2.8 Anhang A 14.2.9 | Sicherheitstests in Entwicklung und Akzeptanz |
| Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
| Technologische Kontrollen | Anhang A 8.31 | Anhang A 12.1.4 Anhang A 14.2.6 | Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
| Technologische Kontrollen | Anhang A 8.32 | Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 | Änderungsmanagement |
| Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
| Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
Diese Reaktion hängt von Ihrer Organisation ab. Die Sicherheitsteams vieler Organisationen verwalten ihr Informationssicherheitsbewusstsein sowie ihre Lehr- und Schulungsprogramme. Einige Organisationen betrauen jedoch die Personalabteilung oder eine andere Zweigstelle mit der Abwicklung.
Es ist von entscheidender Bedeutung, dass jemand die Verantwortung für die Formulierung und Umsetzung des Sicherheitsbewusstseinsprogramms Ihrer Organisation übernimmt. Der Informationssicherheitsmanager sollte diese Person/Abteilung beaufsichtigen (falls sie von ihr selbst abweicht).
Diese Person sollte über fundierte Kenntnisse der Informationssicherheit verfügen und in der Lage sein, sich mit den Mitarbeitern über verschiedene Sicherheitsprotokolle zu unterhalten. Darüber hinaus sollten sie in der Lage sein, Inhalte für Ihre Schulungsprogramme zu erstellen und wiederkehrende Schulungen für das Personal durchzuführen.
Es ist wichtig zu verstehen, dass Informationssicherheit nicht nur die Pflicht der IT ist. Alle Mitarbeiter sollten zur Rechenschaft gezogen werden. Unternehmen sollten ein Team aufbauen, das sich der Sicherheit widmet, aber sie müssen auch sicherstellen, dass jeder die Bedeutung von Vertraulichkeit und Zuverlässigkeit versteht.
ISO 27001:2022 Anhang A 6.3 ist eine Überarbeitung von ISO 27001:2013 Anhang A 7.2.2 und keine neue Anhang-A-Kontrolle. Folglich müssen die meisten Organisationen nichts ändern.
Wenn Sie die Version 2013 von ISO 27001 bereits implementiert haben, müssen Sie bewerten, ob diese Änderungen für Ihr Unternehmen relevant sind. Ebenso, wenn Sie planen ISMS Nach der Zertifizierung müssen Sie Ihre Sicherheitsprozesse überprüfen, um sicherzustellen, dass sie dem überarbeiteten Standard entsprechen.
ISMS.online bietet eine umfassende Lösung für die Implementierung der ISO 27001:2022. Es handelt sich um eine webbasierte Plattform, die es Unternehmen ermöglicht, ihre Einhaltung der ISO 27001-Standards durch optimierte Prozesse, Verfahren und Checklisten nachzuweisen.
Diese Plattform erleichtert nicht nur die Implementierung von ISO 27001, sondern bietet auch eine hervorragende Ressource für die Schulung des Personals zu Best Practices für die Informationssicherheit und die Dokumentation aller Bemühungen.
Die Vorteile der Nutzung von ISMS.Online sind zahlreich:
ISMS.online rationalisiert die Umsetzung von ISO 27001und bietet alle Ressourcen, Informationen und Tools, die Sie benötigen, an einem Ort. Nur wenige Mausklicks genügen, um sicherzustellen, dass Ihr ISMS dem Standard entspricht.
Kontaktieren Sie uns jetzt, um Vereinbaren Sie eine Vorführung.
Ich habe ISO 27001 auf die harte Tour gemacht und schätze daher sehr, wie viel Zeit wir dadurch bei der Erlangung der ISO 27001-Zertifizierung gespart haben.
