ISO 27001:2022 Anhang A Kontrolle 6.7

Was ist der Zweck von ISO 27001:2022 Anhang A 6.7?

Das Ziel von ISO 27001:2022 Anhang A 6.7 besteht darin, sicherzustellen, dass Remote-Mitarbeiter über die erforderlichen Zugangskontrollen verfügen, um die Vertraulichkeit, Integrität und Verfügbarkeit vertraulicher oder geschützter Informationen, Verfahren und Systeme vor unbefugtem Zugriff oder Offenlegung durch unbefugte Personen zu schützen.

Organisationen müssen die Informationssicherheit gewährleisten, wenn Mitarbeiter aus der Ferne arbeiten. Daher sollten sie eine maßgeschneiderte Richtlinie zum Thema Fernarbeit herausgeben, die die geltenden Bedingungen und Grenzen für die Datensicherheit festlegt. Diese Richtlinie sollte an alle Mitarbeiter weitergegeben werden, einschließlich Anweisungen zum sicheren Einsatz von Fernzugriffstechnologien.

Diese Richtlinie wird sich wahrscheinlich mit Folgendem befassen:

• Die Bedingungen, unter denen Fernarbeit erlaubt ist.
• Prozesse, um sicherzustellen, dass Remote-Mitarbeiter Zugriff auf vertrauliche Informationen haben.
• Um sicherzustellen, dass Informationen bei der Übertragung zwischen verschiedenen physischen Standorten geschützt sind, müssen bestimmte Verfahren eingehalten werden.

Es ist wichtig, ein klares Bild zu erstellen System zur Meldung von Vorfällen, einschließlich der richtigen Kontaktinformationen. Dies kann dazu beitragen, Sicherheitsverletzungen oder andere Vorfälle zu verhindern.

Die Richtlinie sollte auch Verschlüsselung, Firewalls, Antiviren-Software-Updates und Anweisungen für Mitarbeiter zur sicheren Nutzung von Remote-Verbindungen umfassen.

Was dazugehört und wie man die Anforderungen erfüllt

Um Anhang A 6.7 einzuhalten, sollten Organisationen, die Fernarbeit anbieten, eine Richtlinie für Fernarbeit herausgeben, in der die entsprechenden Vorschriften und Grenzen festgelegt sind.

Die Richtlinie sollte regelmäßig überprüft werden, insbesondere wenn sich Technologie oder Gesetzgebung ändern.

Alle Mitarbeiter, Auftragnehmer und Einrichtungen, die an Remote-Arbeitsaktivitäten beteiligt sind, sollten über die Richtlinie informiert werden.

Die Richtlinie sollte dokumentiert, Interessengruppen wie Aufsichtsbehörden und Prüfern zugänglich gemacht und auf dem neuesten Stand gehalten werden.

Organisationen müssen sicherstellen, dass sie über die erforderlichen Sicherheitsvorkehrungen verfügen, um sensible oder vertrauliche Informationen zu schützen, die bei Remote-Operationen elektronisch übertragen oder gespeichert werden.

Gemäß Anhang A 6.7 ist Folgendes zu berücksichtigen:

• Berücksichtigen Sie die physische Sicherheit des Remote-Arbeitsplatzes, sowohl bestehend als auch geplant, einschließlich der Sicherheit des Standorts, der Umgebung und der Rechtssysteme der Regionen, in denen die Mitarbeiter ansässig sind.
• Regeln für sichere physische Umgebungen, wie z. B. abschließbare Aktenschränke, sicherer Transport zwischen Standorten, Fernzugriffsvorschriften, übersichtlicher Schreibtisch, Drucken und Entsorgen von Daten und zugehörigen Vermögenswerten usw Berichterstattung über Sicherheitsereignisse, muss umgesetzt werden.
• Die erwarteten physischen Umgebungen für Remote-Arbeit.
• Unter Berücksichtigung der Fernzugriffsanforderungen der Organisation, der Sensibilität der übertragenen Daten und der Anfälligkeit der Systeme und Anwendungen muss eine sichere Kommunikation gewährleistet werden.
• Der Fernzugriff, beispielsweise der Zugriff auf einen virtuellen Desktop, ermöglicht die Verarbeitung und Speicherung von Informationen auf persönlichen Geräten.
• Die Gefahr des unbefugten Zugriffs auf Daten oder Vermögenswerte durch Personen außerhalb des Remote-Arbeitsbereichs – wie Verwandte und Freunde – ist real.
• Das Risiko eines unbefugten Zugriffs auf Daten oder Vermögenswerte durch Personen in öffentlichen Bereichen gibt Anlass zur Sorge.
• Der Einsatz von Heim- und öffentlichen Netzwerken sowie Regeln oder Verbote im Zusammenhang mit der Einrichtung drahtloser Netzwerkdienste sind erforderlich.
• Der Einsatz von Sicherheitsmaßnahmen wie Firewalls und Anti-Malware-Schutz ist unerlässlich.
• Stellen Sie sicher, dass Systeme mit sicheren Protokollen aus der Ferne bereitgestellt und initiiert werden können.
• Zur Gewährung von Zugriffsrechten müssen sichere Authentifizierungsmechanismen aktiviert werden, wobei die Anfälligkeit von Ein-Faktor-Authentifizierungsmechanismen bei der Autorisierung des Fernzugriffs auf das Netzwerk der Organisation zu berücksichtigen ist.

Zu den zu berücksichtigenden Richtlinien und Maßnahmen sollten gehören:

• Die Organisation muss geeignete Geräte und Lagermöbel für Remote-Arbeitsaktivitäten bereitstellen und die Verwendung privater Geräte, die nicht unter ihrer Kontrolle stehen, verbieten.
• Diese Aufgabe umfasst Folgendes: Definieren der zulässigen Arbeit, Klassifizieren der Informationen, die gespeichert werden können, und Autorisieren von Remote-Mitarbeitern für den Zugriff auf interne Systeme und Dienste.
• Für diejenigen, die aus der Ferne arbeiten und diejenigen, die Unterstützung anbieten, sollten Schulungen angeboten werden. Dies sollte die sichere Abwicklung von Geschäften außerhalb des Büros abdecken.
• Es ist wichtig sicherzustellen, dass geeignete Kommunikationsgeräte bereitgestellt werden, z. B. die Anforderung von Bildschirmsperren und Inaktivitätstimern für den Fernzugriff.
• Die Aktivierung der Gerätestandortverfolgung ist möglich.
• Die Installation von Remote-Wipe-Funktionen ist ein Muss.
• Physische Sicherheit.
• Richtlinien und Regeln bezüglich des Zugangs von Familien und Besuchern zu Geräten und Daten müssen befolgt werden.
• Das Unternehmen bietet Support und Wartung für Hardware und Software.
• Die Bereitstellung von Versicherungen.
• Das Protokoll zur Datensicherung und Betriebskontinuität.
• Audit- und Sicherheitsüberwachung.
• Bei Beendigung der Remote-Arbeitstätigkeit müssen die Befugnisse und Zugriffsrechte widerrufen und die gesamte Ausrüstung zurückgegeben werden.

Änderungen und Unterschiede zu ISO 27001:2013

ISO 27001:2022 Anhang A 6.7 ist eine Adaption von Anhang A 6.2.2 von ISO 27001:2013 und kein neues Element.

ISO 27001:2022 Anhang A 6.7 und 6.2.2 weisen viele Gemeinsamkeiten auf, obwohl sich die Nomenklatur und der Wortlaut unterscheiden. In ISO 27001:2013 wird 6.2.2 als Telearbeit bezeichnet, während 6.7 als Fernarbeit bezeichnet wird. Diese Änderung spiegelt sich in der neuen Version des Standards wider, die Telearbeit durch Fernarbeit ersetzt.

In Anhang A 6.7 von ISO 27001:2022 beschreibt die Norm, was als Fernarbeit gilt, einschließlich Telearbeit – der ursprüngliche Kontrollname in der Version ISO 27001:2013.

Die Umsetzungsrichtlinien in der Version 2022 sind weitgehend ähnlich, unterscheiden sich jedoch in Sprache und Begrifflichkeit. Um sicherzustellen, dass Benutzer den Standard verstehen, wird eine benutzerfreundliche Sprache verwendet.

In Anhang A 6.7 wurden einige Ergänzungen vorgenommen, in 6.2.2 wurden einige Streichungen vorgenommen.

Hinzugefügt zu ISO 27001:2022 Anhang A 6.7 Fernarbeit

• Sorgen Sie mit abschließbaren Aktenschränken für physische Sicherheit, stellen Sie sichere Transport- und Zugangsanweisungen bereit, schreiben Sie klare Schreibtischrichtlinien vor, entwerfen Sie Druck-/Entsorgungsprotokolle für Informationen/Vermögenswerte und implementieren Sie ein System zur Reaktion auf Vorfälle.
• Es wird erwartet, dass die Menschen aus der Ferne arbeiten werden. Körperliche Umstände sind zu erwarten.
• Das Risiko des unbefugten Zugriffs von Fremden auf Informationen oder Ressourcen in öffentlichen Bereichen.
• Sichere Methoden für die Remote-Bereitstellung und Einrichtung von Systemen.
• Zur Authentifizierung und Zulassung sind sichere Mechanismen vorhanden Zugriffsrechte, unter Berücksichtigung der Anfälligkeit von Ein-Faktor-Authentifizierungsmechanismen, wenn der Fernzugriff auf das Netzwerk der Organisation aktiviert ist.

Aus ISO 27001:2013 Anhang A 6.2.2 Telearbeit entfernt

• Die Implementierung von Heimnetzwerken und die Vorschriften oder Einschränkungen bei der Konfiguration drahtloser Netzwerkdienste sind erforderlich.
• Es sollten Richtlinien und Verfahren zur Beilegung von Streitigkeiten über Rechte an geistigem Eigentum, die auf privater Ausrüstung entwickelt wurden, eingeführt werden.
• Der Zugang zu privaten Maschinen (um deren Sicherheit zu gewährleisten oder zu Ermittlungszwecken) kann gesetzlich verboten sein.
• Organisationen können für die Softwarelizenzierung auf Workstations verantwortlich sein, die sich im Privatbesitz ihrer Mitarbeiter oder externer Benutzer befinden.

ISO 27001:2022 enthält Zweckerklärungen und Attributtabellen für jede Kontrolle und hilft Benutzern, die Kontrollen besser zu verstehen und in die Praxis umzusetzen.

In der Version ISO 27001:2013 fehlen diese beiden Komponenten.

Tabelle aller ISO 27001:2022 Anhang A-Kontrollen

In der Tabelle unten finden Sie weitere Informationen zu den einzelnen Personen ISO 27001:2022 Anhang A Steuern.

Wer ist für diesen Prozess verantwortlich?

Die Hauptaufgabe der Entwicklung eines Informationssicherheitspolitik für Remote-Mitarbeiter liegt beim Informationssicherheitsbeauftragten der Organisation. Dennoch sollten auch andere Stakeholder in den Prozess einbezogen werden.

IT- und HR-Verantwortliche sind gemeinsam dafür verantwortlich, dass die Richtlinie umgesetzt und eingehalten wird und dass die Mitarbeiter sie verstehen und einhalten.

Wenn Sie über ein Lieferantenverwaltungsprogramm verfügen, ist wahrscheinlich die Person, die für die Verwaltung von Auftragnehmern und Lieferanten verantwortlich ist, für die Erstellung einer Sicherheitsrichtlinie für externe Mitarbeiter in dieser Abteilung verantwortlich.

Was bedeuten diese Veränderungen für Sie?

ISO 27001:2022 bleibt weitgehend unverändert; Daher müssen Sie lediglich sicherstellen, dass Ihre Informationssicherheitsprozesse der neuen Version entsprechen.

Die wichtigsten Änderungen waren die Änderung einiger Kontrollen und die Klarstellung bestimmter Anforderungen. Anhang A 6.7 hatte den größten Effekt: Wenn Sie den Betrieb auslagern oder Mitarbeiter remote beschäftigen, müssen Sie sicherstellen, dass diese über geeignete Sicherheitsmaßnahmen verfügen.

Wenn Ihre Organisation bereits über eine verfügt ISO Zertifizierung 27001, wird der Prozess, den Sie zur Verwaltung der Informationssicherheit einsetzen, den neuen Vorschriften entsprechen.

Wenn Sie Ihr Konto erneuern möchten ISO 27001 Nach der Zertifizierung müssen Sie nichts unternehmen. Stellen Sie lediglich sicher, dass Ihre Verfahren weiterhin der neuen Norm entsprechen.

Wenn Sie ganz von vorne beginnen, müssen Sie darüber nachdenken, wie Sie die Daten und Informationen Ihres Unternehmens vor Cyberangriffen und anderen Risiken schützen können.

Es ist wichtig, Cyber-Risiken ernst zu nehmen und sie als Teil des gesamten Geschäftsplans zu verwalten, anstatt sie nur als Problem für die IT- oder Sicherheitsabteilungen zu betrachten.

Wie ISMS.online hilft

Das ISMS.online-Plattform unterstützt Sie bei allen Aspekten der ISO 27001:2022-Implementierung, von der Durchführung von Risikobewertungsaktivitäten bis hin zur Gestaltung von Richtlinien, Verfahren und Richtlinien zur Erfüllung der Spezifikationen der Norm.

ISMS.online bietet eine Plattform zur Dokumentation und zum Austausch von Erkenntnissen mit Kollegen. Darüber hinaus ermöglicht es Ihnen, Checklisten aller erforderlichen Aufgaben für die ISO 27001-Implementierung zu erstellen und zu speichern, sodass Sie die Sicherheitsmaßnahmen Ihres Unternehmens bequem überwachen können.

Wir stellen Unternehmen eine Reihe automatisierter Tools zur Verfügung, um den Nachweis der Einhaltung von ISO 27001 unkompliziert zu machen.

Kontaktieren Sie uns jetzt, um Buchen Sie eine Vorführung.