ISO 27001:2022 Anhang A 6.7, Remote-Arbeiten, bietet Leitlinien dazu, wie Organisationen über eine Richtlinie verfügen sollten, um den sicheren Zugriff auf Informationssysteme und Netzwerke bei Remote-Arbeit zu gewährleisten. Darüber hinaus wird die Implementierung eines empfohlen Informationssicherheits-Managementsystem Dazu gehören Verfahren zum Schutz des Fernzugriffs.
Remote-Arbeit hat sich zu einem immer weiter verbreiteten Trend entwickelt, da sich die Technologie weiterentwickelt hat und es Mitarbeitern ermöglicht, aus der Ferne zu arbeiten, ohne die Produktivität und Effizienz zu beeinträchtigen. Dennoch birgt dies möglicherweise Bedenken hinsichtlich der Datensicherheit.
Als Unternehmer ist es notwendig, geistiges Eigentum vor Cyberkriminellen zu schützen und die Sicherheit der Daten vor Hackern zu gewährleisten. Durch entsprechende Maßnahmen kann man sich vor Cyberkriminalität schützen und die Sicherheit von Informationen gewährleisten.
Remote-Arbeit kann eine Reihe von Sicherheitsrisiken mit sich bringen, die angegangen werden müssen, wie zum Beispiel:
Remote-Arbeit kann von Vorteil sein und einen besseren Zugriff auf vertrauliche Daten und Systeme ermöglichen. Dennoch gibt es einige Sicherheitsaspekte.
Fernarbeit kann, wenn sie nicht richtig überwacht wird, anfällig für Sicherheitsprobleme wie Hacking, Malware, unbefugten Zugriff und mehr sein. Dies ist insbesondere dann der Fall, wenn sich Mitarbeiter nicht in einem sicheren Umfeld aufhalten.
Remote-Arbeit kann sich auch auf die Geschäftsentwicklung eines Unternehmens auswirken physische Sicherheit. Da sich die Mitarbeiter nicht mehr im Büro oder Gebäude aufhalten, können sie möglicherweise keine verdächtigen Aktivitäten feststellen.
Remote-Arbeit kann ein Risiko für die Vertraulichkeit darstellen. Beispielsweise können Mitarbeiter ohne Erlaubnis des Unternehmens auf vertrauliche Informationen zugreifen.
Mitarbeiter können problemlos über das öffentliche Internet auf vertrauliche Unternehmensdaten zugreifen. Darüber hinaus gibt es sogar Websites, auf denen Mitarbeiter vertrauliche Daten zur öffentlichen Einsichtnahme hochladen können.
Remote-Arbeit kann Auswirkungen auf die Privatsphäre einer Organisation haben. Wenn Mitarbeiter beispielsweise von zu Hause aus arbeiten, neigen sie möglicherweise eher dazu, ihre persönlichen Gegenstände nicht wegzuräumen.
Dieses Eigentum könnte vertrauliche Daten enthalten, die die Privatsphäre eines Unternehmens gefährden könnten.
Remote-Arbeit kann eine Gefahr für die Daten eines Unternehmens darstellen. Mitarbeiter können beispielsweise aus der Ferne auf Unternehmensinformationen zugreifen und diese Daten können an mehreren Orten gespeichert werden.
Im Falle des Verlassens des Arbeitsplatzes durch Mitarbeiter und der Mitnahme ihres Geräts erfolgt der Abruf von auf Computern, Servern usw. gespeicherten Daten mobile Geräte könnte sich als schwieriger erweisen.
Der Mitarbeiter kann beim Umgang mit dem Gerät einen Fehler machen oder bösgläubig handeln, wodurch die Sicherheit der Daten gefährdet wird.
Das Ziel von ISO 27001:2022 Anhang A 6.7 besteht darin, sicherzustellen, dass Remote-Mitarbeiter über die erforderlichen Zugangskontrollen verfügen, um die Vertraulichkeit, Integrität und Verfügbarkeit vertraulicher oder geschützter Informationen, Verfahren und Systeme vor unbefugtem Zugriff oder Offenlegung durch unbefugte Personen zu schützen.
Organisationen müssen die Informationssicherheit gewährleisten, wenn Mitarbeiter aus der Ferne arbeiten. Daher sollten sie eine maßgeschneiderte Richtlinie zum Thema Fernarbeit herausgeben, die die geltenden Bedingungen und Grenzen für die Datensicherheit festlegt. Diese Richtlinie sollte an alle Mitarbeiter weitergegeben werden, einschließlich Anweisungen zum sicheren Einsatz von Fernzugriffstechnologien.
Diese Richtlinie wird sich wahrscheinlich mit Folgendem befassen:
Es ist wichtig, ein klares Bild zu erstellen System zur Meldung von Vorfällen, einschließlich der richtigen Kontaktinformationen. Dies kann dazu beitragen, Sicherheitsverletzungen oder andere Vorfälle zu verhindern.
Die Richtlinie sollte auch Verschlüsselung, Firewalls, Antiviren-Software-Updates und Anweisungen für Mitarbeiter zur sicheren Nutzung von Remote-Verbindungen umfassen.
Um Anhang A 6.7 einzuhalten, sollten Organisationen, die Fernarbeit anbieten, eine Richtlinie für Fernarbeit herausgeben, in der die entsprechenden Vorschriften und Grenzen festgelegt sind.
Die Richtlinie sollte regelmäßig überprüft werden, insbesondere wenn sich Technologie oder Gesetzgebung ändern.
Alle Mitarbeiter, Auftragnehmer und Einrichtungen, die an Remote-Arbeitsaktivitäten beteiligt sind, sollten über die Richtlinie informiert werden.
Die Richtlinie sollte dokumentiert, Interessengruppen wie Aufsichtsbehörden und Prüfern zugänglich gemacht und auf dem neuesten Stand gehalten werden.
Organisationen müssen sicherstellen, dass sie über die erforderlichen Sicherheitsvorkehrungen verfügen, um sensible oder vertrauliche Informationen zu schützen, die bei Remote-Operationen elektronisch übertragen oder gespeichert werden.
Gemäß Anhang A 6.7 ist Folgendes zu berücksichtigen:
Zu den zu berücksichtigenden Richtlinien und Maßnahmen sollten gehören:
ISO 27001:2022 Anhang A 6.7 ist eine Adaption von Anhang A 6.2.2 von ISO 27001:2013 und kein neues Element.
ISO 27001:2022 Anhang A 6.7 und 6.2.2 weisen viele Gemeinsamkeiten auf, obwohl sich die Nomenklatur und der Wortlaut unterscheiden. In ISO 27001:2013 wird 6.2.2 als Telearbeit bezeichnet, während 6.7 als Fernarbeit bezeichnet wird. Diese Änderung spiegelt sich in der neuen Version des Standards wider, die Telearbeit durch Fernarbeit ersetzt.
In Anhang A 6.7 von ISO 27001:2022 beschreibt die Norm, was als Fernarbeit gilt, einschließlich Telearbeit – der ursprüngliche Kontrollname in der Version ISO 27001:2013.
Die Umsetzungsrichtlinien in der Version 2022 sind weitgehend ähnlich, unterscheiden sich jedoch in Sprache und Begrifflichkeit. Um sicherzustellen, dass Benutzer den Standard verstehen, wird eine benutzerfreundliche Sprache verwendet.
In Anhang A 6.7 wurden einige Ergänzungen vorgenommen, in 6.2.2 wurden einige Streichungen vorgenommen.
ISO 27001:2022 enthält Zweckerklärungen und Attributtabellen für jede Kontrolle und hilft Benutzern, die Kontrollen besser zu verstehen und in die Praxis umzusetzen.
In der Version ISO 27001:2013 fehlen diese beiden Komponenten.
In der Tabelle unten finden Sie weitere Informationen zu den einzelnen Personen ISO 27001:2022 Anhang A Steuern.
Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
---|---|---|---|
Organisatorische Kontrollen | Anhang A 5.1 | Anhang A 5.1.1 Anhang A 5.1.2 | Richtlinien zur Informationssicherheit |
Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
Organisatorische Kontrollen | Anhang A 5.7 | NEU! | Threat Intelligence |
Organisatorische Kontrollen | Anhang A 5.8 | Anhang A 6.1.5 Anhang A 14.1.1 | Informationssicherheit im Projektmanagement |
Organisatorische Kontrollen | Anhang A 5.9 | Anhang A 8.1.1 Anhang A 8.1.2 | Inventar der Informationen und anderer damit verbundener Vermögenswerte |
Organisatorische Kontrollen | Anhang A 5.10 | Anhang A 8.1.3 Anhang A 8.2.3 | Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
Organisatorische Kontrollen | Anhang A 5.14 | Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 | Informationsübertragung |
Organisatorische Kontrollen | Anhang A 5.15 | Anhang A 9.1.1 Anhang A 9.1.2 | Access Control |
Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
Organisatorische Kontrollen | Anhang A 5.17 | Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 | Authentifizierungsinformationen |
Organisatorische Kontrollen | Anhang A 5.18 | Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 | Zugangsrechte |
Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
Organisatorische Kontrollen | Anhang A 5.22 | Anhang A 15.2.1 Anhang A 15.2.2 | Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
Organisatorische Kontrollen | Anhang A 5.23 | NEU! | Informationssicherheit für die Nutzung von Cloud-Diensten |
Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
Organisatorische Kontrollen | Anhang A 5.29 | Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 | Informationssicherheit bei Störungen |
Organisatorische Kontrollen | Anhang A 5.30 | NEU! | IKT-Bereitschaft für Geschäftskontinuität |
Organisatorische Kontrollen | Anhang A 5.31 | Anhang A 18.1.1 Anhang A 18.1.5 | Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
Organisatorische Kontrollen | Anhang A 5.36 | Anhang A 18.2.2 Anhang A 18.2.3 | Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
---|---|---|---|
Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Untersuchungen |
Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
Menschenkontrollen | Anhang A 6.8 | Anhang A 16.1.2 Anhang A 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
---|---|---|---|
Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
Physikalische Kontrollen | Anhang A 7.2 | Anhang A 11.1.2 Anhang A 11.1.6 | Physischer Eintritt |
Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
Physikalische Kontrollen | Anhang A 7.4 | NEU! | Physische Sicherheitsüberwachung |
Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
Physikalische Kontrollen | Anhang A 7.10 | Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 | Speichermedien |
Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
---|---|---|---|
Technologische Kontrollen | Anhang A 8.1 | Anhang A 6.2.1 Anhang A 11.2.8 | Benutzer-Endpunktgeräte |
Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
Technologische Kontrollen | Anhang A 8.8 | Anhang A 12.6.1 Anhang A 18.2.3 | Management technischer Schwachstellen |
Technologische Kontrollen | Anhang A 8.9 | NEU! | Configuration Management |
Technologische Kontrollen | Anhang A 8.10 | NEU! | Löschen von Informationen |
Technologische Kontrollen | Anhang A 8.11 | NEU! | Datenmaskierung |
Technologische Kontrollen | Anhang A 8.12 | NEU! | Verhinderung von Datenlecks |
Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
Technologische Kontrollen | Anhang A 8.15 | Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 | Protokollierung |
Technologische Kontrollen | Anhang A 8.16 | NEU! | Überwachungsaktivitäten |
Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Verwendung von Privileged Utility-Programmen |
Technologische Kontrollen | Anhang A 8.19 | Anhang A 12.5.1 Anhang A 12.6.2 | Installation von Software auf Betriebssystemen |
Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
Technologische Kontrollen | Anhang A 8.23 | NEU! | Web-Filter |
Technologische Kontrollen | Anhang A 8.24 | Anhang A 10.1.1 Anhang A 10.1.2 | Verwendung von Kryptographie |
Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
Technologische Kontrollen | Anhang A 8.26 | Anhang A 14.1.2 Anhang A 14.1.3 | Anforderungen an die Anwendungssicherheit |
Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien |
Technologische Kontrollen | Anhang A 8.28 | NEU! | Sichere Codierung |
Technologische Kontrollen | Anhang A 8.29 | Anhang A 14.2.8 Anhang A 14.2.9 | Sicherheitstests in Entwicklung und Akzeptanz |
Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
Technologische Kontrollen | Anhang A 8.31 | Anhang A 12.1.4 Anhang A 14.2.6 | Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
Technologische Kontrollen | Anhang A 8.32 | Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 | Änderungsmanagement |
Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
Die Hauptaufgabe der Entwicklung eines Informationssicherheitspolitik für Remote-Mitarbeiter liegt beim Informationssicherheitsbeauftragten der Organisation. Dennoch sollten auch andere Stakeholder in den Prozess einbezogen werden.
IT- und HR-Verantwortliche sind gemeinsam dafür verantwortlich, dass die Richtlinie umgesetzt und eingehalten wird und dass die Mitarbeiter sie verstehen und einhalten.
Wenn Sie über ein Lieferantenverwaltungsprogramm verfügen, ist wahrscheinlich die Person, die für die Verwaltung von Auftragnehmern und Lieferanten verantwortlich ist, für die Erstellung einer Sicherheitsrichtlinie für externe Mitarbeiter in dieser Abteilung verantwortlich.
ISO 27001:2022 bleibt weitgehend unverändert; Daher müssen Sie lediglich sicherstellen, dass Ihre Informationssicherheitsprozesse der neuen Version entsprechen.
Die wichtigsten Änderungen waren die Änderung einiger Kontrollen und die Klarstellung bestimmter Anforderungen. Anhang A 6.7 hatte den größten Effekt: Wenn Sie den Betrieb auslagern oder Mitarbeiter remote beschäftigen, müssen Sie sicherstellen, dass diese über geeignete Sicherheitsmaßnahmen verfügen.
Wenn Ihre Organisation bereits über eine verfügt ISO Zertifizierung 27001, wird der Prozess, den Sie zur Verwaltung der Informationssicherheit einsetzen, den neuen Vorschriften entsprechen.
Wenn Sie Ihr Konto erneuern möchten ISO 27001 Nach der Zertifizierung müssen Sie nichts unternehmen. Stellen Sie lediglich sicher, dass Ihre Verfahren weiterhin der neuen Norm entsprechen.
Wenn Sie ganz von vorne beginnen, müssen Sie darüber nachdenken, wie Sie die Daten und Informationen Ihres Unternehmens vor Cyberangriffen und anderen Risiken schützen können.
Es ist wichtig, Cyber-Risiken ernst zu nehmen und sie als Teil des gesamten Geschäftsplans zu verwalten, anstatt sie nur als Problem für die IT- oder Sicherheitsabteilungen zu betrachten.
Das ISMS.online-Plattform unterstützt Sie bei allen Aspekten der ISO 27001:2022-Implementierung, von der Durchführung von Risikobewertungsaktivitäten bis hin zur Gestaltung von Richtlinien, Verfahren und Richtlinien zur Erfüllung der Spezifikationen der Norm.
ISMS.online bietet eine Plattform zur Dokumentation und zum Austausch von Erkenntnissen mit Kollegen. Darüber hinaus ermöglicht es Ihnen, Checklisten aller erforderlichen Aufgaben für die ISO 27001-Implementierung zu erstellen und zu speichern, sodass Sie die Sicherheitsmaßnahmen Ihres Unternehmens bequem überwachen können.
Wir stellen Unternehmen eine Reihe automatisierter Tools zur Verfügung, um den Nachweis der Einhaltung von ISO 27001 unkompliziert zu machen.
Kontaktieren Sie uns jetzt, um Buchen Sie eine Vorführung.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo