ISO 27001:2022 Anhang A Kontrolle 8.8

Management technischer Schwachstellen

Demo buchen

Gruppe, von, glücklich, Kollegen, diskutieren, in, Konferenz, Raum

Zweck von ISO 27001:2022 Anhang A 8.8

Kein Computernetzwerk, kein System, keine Software und kein Gerät ist vollkommen sicher. Der Betrieb eines modernen LANs oder WANs bringt als Teil des Prozesses Schwachstellen mit sich, daher ist es für Unternehmen wichtig, deren Vorhandensein zu akzeptieren und sich darum zu bemühen, die potenziellen Risiken zu reduzieren.

ISO 27001:2022 Anhang A 8.8 bietet eine Fülle von Ratschlägen, die Organisationen dabei helfen, ihre Netzwerke vor der internen und externen Ausnutzung von Schwachstellen zu schützen. Es nutzt Verfahren und Richtlinien mehrerer anderer ISO 27001:2022 Anhang A-Kontrollen, insbesondere solche für Änderungsmanagement (siehe Anhang A 8.32) und Access Control .

Eigentum an Anlage A 8.8

ISO 27001:2022 Anhang A 8.8 befasst sich mit der technischen und administrativen Verwaltung von Software, Systemen und IKT-Assets. Es schreibt einen umfassenden Ansatz für das Softwaremanagement vor, Vermögensverwaltungund Netzwerksicherheitsprüfung.

Die Person, die die letztendliche Verantwortung für die Aufrechterhaltung der IKT-Infrastruktur der Organisation trägt, z. B. der IT-Leiter oder eine gleichwertige Person, sollte Eigentümer von ISO 27001:2022 Anhang A 8.8 sein.

Zum Thema springen

Leitfaden zur Identifizierung von Schwachstellen

Vor der Durchführung von Schwachstellenkontrollen ist es unbedingt erforderlich, eine umfassende und aktuelle Liste der physischen und digitalen Vermögenswerte (siehe Anhang A 5.9 und 5.14) zu erhalten, die sich im Besitz der Organisation befinden und von ihr betrieben werden.

Software-Asset-Daten sollten Folgendes umfassen:

  • Derzeit in Betrieb befindliche Versionsnummern.

  • Wo die Software im gesamten Anwesen bereitgestellt wird.

  • Herstellername.

  • Anwendungsname.

Organisationen sollten danach streben, technische Schwachstellen zu identifizieren, indem sie:

  • Es ist wichtig, klar zu definieren, wer in der Organisation verantwortlich ist Schwachstellenmanagement aus technischer Sicht Gesichtspunkt erfüllt seine verschiedenen Funktionen, zu denen unter anderem Folgendes gehört (ohne darauf beschränkt zu sein):

  • Wer ist innerhalb der Organisation für die Software verantwortlich?

  • Führen Sie Aufzeichnungen über Anwendungen und Tools, um technische Schwachstellen zu identifizieren.

  • Fordern Sie Lieferanten und Anbieter auf, etwaige Anfälligkeiten im Zusammenhang mit neuen Systemen und Hardware bei deren Bereitstellung offenzulegen (gemäß Anhang A 5.20 der ISO 27001:2022) und geben Sie dies in allen geltenden Verträgen und Servicevereinbarungen klar an.

  • Setzen Sie Tools zum Scannen von Schwachstellen und Patching-Funktionen ein.

  • Führen Sie regelmäßige, dokumentierte Penetrationstests durch, entweder durch interne Mitarbeiter oder durch einen authentifizierten Dritten.

  • Seien Sie sich des Potenzials zugrunde liegender programmatischer Schwachstellen bewusst, wenn Sie Codebibliotheken oder Quellcode von Drittanbietern verwenden (siehe ISO 27001:2022 Anhang A 8.28).

Leitlinien für öffentliche Aktivitäten

Organisationen sollten Richtlinien und Verfahren erstellen, die Schwachstellen in allen ihren Produkten und Dienstleistungen erkennen und Bewertungen dieser Schwachstellen in Bezug auf ihr Angebot erhalten.

ISO empfiehlt Organisationen, Maßnahmen zu ergreifen, um etwaige Schwachstellen zu identifizieren, und Dritte zur Teilnahme an Schwachstellenmanagement-Aktivitäten zu motivieren, indem sie Prämienprogramme anbieten (bei denen potenzielle Exploits gesucht und der Organisation gegen eine Belohnung gemeldet werden).

Organisationen sollten sich über Foren, öffentliche E-Mail-Adressen und Recherchen für die Öffentlichkeit zugänglich machen, damit sie das kollektive Wissen der Öffentlichkeit nutzen können, um ihre Produkte und Dienstleistungen zu schützen.

Organisationen sollten alle ergriffenen Abhilfemaßnahmen überprüfen und erwägen, relevante Informationen an betroffene Personen oder Organisationen weiterzugeben. Darüber hinaus sollten sie mit spezialisierten Sicherheitsorganisationen zusammenarbeiten, um Wissen über Schwachstellen und Angriffsvektoren zu verbreiten.

Unternehmen sollten über die Bereitstellung eines optionalen automatisierten Aktualisierungssystems nachdenken, das Kunden je nach ihren Geschäftsanforderungen nutzen können oder nicht.

Leitfaden zur Bewertung von Schwachstellen

Eine genaue Berichterstattung ist unerlässlich, um bei erkannten Sicherheitsrisiken schnelle und wirksame Korrekturmaßnahmen sicherzustellen.

Organisationen sollten Schwachstellen bewerten, indem sie:

  • Untersuchen Sie die Berichte gründlich und bestimmen Sie, welche Maßnahmen erforderlich sind, z. B. die Änderung, Aktualisierung oder Beseitigung betroffener Systeme und/oder Geräte.

  • Erreichen Sie eine Lösung, die andere ISO-Kontrollen (insbesondere solche im Zusammenhang mit ISO 27001:2022) berücksichtigt und das Ausmaß der Risiken anerkennt.

Leitfaden zur Bekämpfung von Software-Schwachstellen

Software-Schwachstellen können durch einen proaktiven Ansatz bei Software-Updates und Patch-Management effektiv angegangen werden. Die Gewährleistung regelmäßiger Updates und Patches kann dazu beitragen, Ihr System vor potenziellen Bedrohungen zu schützen.

Unternehmen sollten darauf achten, bestehende Softwareversionen beizubehalten, bevor sie Änderungen vornehmen, alle Änderungen gründlich testen und diese auf eine bestimmte Kopie der Software anwenden.

Sobald Schwachstellen identifiziert werden, sollten Organisationen Maßnahmen ergreifen, um diese zu beheben:

  • Ziel ist es, alle Sicherheitslücken schnell und effektiv zu beheben.

  • Beachten Sie, soweit möglich, die Organisationsprotokolle zum Änderungsmanagement (siehe ISO 27001:2022 Anhang A 8.32) und zum Umgang mit Vorfällen (siehe ISO 27001:2022 Anhang A 5.26).

  • Wenden Sie Patches und Updates nur aus zuverlässigen, zertifizierten Quellen an, insbesondere für Software und Geräte von Drittanbietern:

    • Unternehmen sollten die vorliegenden Daten auswerten, um zu entscheiden, ob es unbedingt erforderlich ist, automatische Updates (oder Teile davon) auf gekaufte Software und Hardware anzuwenden.

  • Testen Sie vor der Installation alle Updates, um unerwartete Probleme in einer Live-Umgebung zu vermeiden.

  • Geben Sie der Bekämpfung risikoreicher und lebenswichtiger Geschäftssysteme höchste Priorität.

  • Stellen Sie sicher, dass Abhilfemaßnahmen erfolgreich und authentisch sind.

Für den Fall, dass kein Update verfügbar ist oder es Hindernisse bei der Installation gibt (z. B. aus Kostengründen), sollten Unternehmen andere Methoden in Betracht ziehen, wie zum Beispiel:

  • Bitten Sie den Anbieter um Rat für eine vorübergehende Lösung, während die Abhilfemaßnahmen intensiviert werden.

  • Schalten Sie alle Netzwerkdienste aus, die von der Sicherheitslücke betroffen sind.

  • Implementierung von Sicherheitskontrollen an wichtigen Gateways, wie z. B. Verkehrsregeln und Filter, um das Netzwerk zu schützen.

  • Verstärken Sie die Überwachung im Verhältnis zum damit verbundenen Risiko.

  • Stellen Sie sicher, dass alle betroffenen Parteien, einschließlich Verkäufer und Käufer, über den Fehler informiert sind.

  • Verzögern Sie die Aktualisierung und bewerten Sie die Risiken, insbesondere unter Berücksichtigung möglicher Betriebskosten.

Begleitende Anhang-A-Kontrollen

  • ISO 27001:2022 Anhang A 5.14

  • ISO 27001:2022 Anhang A 5.20

  • ISO 27001:2022 Anhang A 5.9

  • ISO 27001:2022 Anhang A 8.20

  • ISO 27001:2022 Anhang A 8.22

  • ISO 27001:2022 Anhang A 8.28

Ergänzende Hinweise zu Anhang A 8.8

Organisationen sollten eine Prüfpfad aller relevanten Schwachstellenmanagementaktivitäten, um Korrekturmaßnahmen zu unterstützen und Protokolle im Falle einer Sicherheitsverletzung voranzutreiben.

Die regelmäßige Bewertung und Überprüfung des gesamten Schwachstellenmanagementprozesses ist eine hervorragende Möglichkeit, die Leistung zu verbessern und Schwachstellen proaktiv zu identifizieren.

Wenn die Organisation einen Cloud-Service-Anbieter einsetzt, sollte sie sicherstellen, dass der Ansatz des Anbieters zum Schwachstellenmanagement mit ihrem eigenen kompatibel ist und in die verbindliche Servicevereinbarung zwischen beiden Parteien aufgenommen werden sollte, einschließlich etwaiger Berichtsverfahren (siehe ISO 27001:2022 Anhang A 5.32). .

Änderungen und Unterschiede zu ISO 27001:2013

ISO 27001:2022 Anhang A 8.8 ersetzt zwei Anhang-A-Kontrollen aus ISO 27001:2013, diese sind:

  • 12.6.1 – Management technischer Schwachstellen

  • 18.2.3 – Überprüfung der technischen Konformität

ISO 27001:2022 Anhang A 8.8 führt einen neuen, anderen Ansatz für das Schwachstellenmanagement ein als der in ISO 27001:2013. Es handelt sich um eine bemerkenswerte Abweichung vom vorherigen Standard.

ISO 27001:2013 Anhang A 12.6.1 konzentrierte sich hauptsächlich auf die Einführung von Korrekturmaßnahmen, sobald eine Schwachstelle erkannt wurde, während Anhang A 18.2.3 nur technische Mittel betrifft (hauptsächlich Penetrationstests).

ISO 27001:2022 Anhang A 8.8 führt neue Abschnitte ein, die sich mit den öffentlichen Verantwortlichkeiten einer Organisation, Methoden zur Erkennung von Schwachstellen und der Rolle von Cloud-Anbietern bei der Minimierung von Schwachstellen befassen.

ISO 27001:2022 legt großen Wert auf die Rolle des Schwachstellenmanagements in anderen Bereichen (z. B. Änderungsmanagement) und ermutigt zu einem ganzheitlichen Ansatz, der mehrere andere Kontrollen und Informationssicherheitsprozesse einbezieht.

Tabelle aller ISO 27001:2022 Anhang A-Kontrollen

In der Tabelle unten finden Sie weitere Informationen zu den einzelnen Personen ISO 27001:2022 Anhang A Steuern.

ISO 27001:2022 Organisationskontrollen

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
Organisatorische KontrollenAnhang A 5.1Anhang A 5.1.1
Anhang A 5.1.2		Richtlinien zur Informationssicherheit
Organisatorische KontrollenAnhang A 5.2Anhang A 6.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
Organisatorische KontrollenAnhang A 5.3Anhang A 6.1.2Aufgabentrennung
Organisatorische KontrollenAnhang A 5.4Anhang A 7.2.1Führungsaufgaben
Organisatorische KontrollenAnhang A 5.5Anhang A 6.1.3Kontakt mit Behörden
Organisatorische KontrollenAnhang A 5.6Anhang A 6.1.4Kontakt mit speziellen Interessengruppen
Organisatorische KontrollenAnhang A 5.7NEU!Threat Intelligence
Organisatorische KontrollenAnhang A 5.8Anhang A 6.1.5
Anhang A 14.1.1		Informationssicherheit im Projektmanagement
Organisatorische KontrollenAnhang A 5.9Anhang A 8.1.1
Anhang A 8.1.2		Inventar der Informationen und anderer damit verbundener Vermögenswerte
Organisatorische KontrollenAnhang A 5.10Anhang A 8.1.3
Anhang A 8.2.3		Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
Organisatorische KontrollenAnhang A 5.11Anhang A 8.1.4Rückgabe von Vermögenswerten
Organisatorische KontrollenAnhang A 5.12Anhang A 8.2.1Klassifizierung von Informationen
Organisatorische KontrollenAnhang A 5.13Anhang A 8.2.2Kennzeichnung von Informationen
Organisatorische KontrollenAnhang A 5.14Anhang A 13.2.1
Anhang A 13.2.2
Anhang A 13.2.3		Informationsübertragung
Organisatorische KontrollenAnhang A 5.15Anhang A 9.1.1
Anhang A 9.1.2		Access Control
Organisatorische KontrollenAnhang A 5.16Anhang A 9.2.1Identitätsmanagement
Organisatorische KontrollenAnhang A 5.17Anhang A 9.2.4
Anhang A 9.3.1
Anhang A 9.4.3		Authentifizierungsinformationen
Organisatorische KontrollenAnhang A 5.18Anhang A 9.2.2
Anhang A 9.2.5
Anhang A 9.2.6		Zugangsrechte
Organisatorische KontrollenAnhang A 5.19Anhang A 15.1.1Informationssicherheit in Lieferantenbeziehungen
Organisatorische KontrollenAnhang A 5.20Anhang A 15.1.2Adressierung der Informationssicherheit in Lieferantenvereinbarungen
Organisatorische KontrollenAnhang A 5.21Anhang A 15.1.3Management der Informationssicherheit in der IKT-Lieferkette
Organisatorische KontrollenAnhang A 5.22Anhang A 15.2.1
Anhang A 15.2.2		Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
Organisatorische KontrollenAnhang A 5.23NEU!Informationssicherheit für die Nutzung von Cloud-Diensten
Organisatorische KontrollenAnhang A 5.24Anhang A 16.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
Organisatorische KontrollenAnhang A 5.25Anhang A 16.1.4Bewertung und Entscheidung zu Informationssicherheitsereignissen
Organisatorische KontrollenAnhang A 5.26Anhang A 16.1.5Reaktion auf Informationssicherheitsvorfälle
Organisatorische KontrollenAnhang A 5.27Anhang A 16.1.6Aus Informationssicherheitsvorfällen lernen
Organisatorische KontrollenAnhang A 5.28Anhang A 16.1.7Beweissammlung
Organisatorische KontrollenAnhang A 5.29Anhang A 17.1.1
Anhang A 17.1.2
Anhang A 17.1.3		Informationssicherheit bei Störungen
Organisatorische KontrollenAnhang A 5.30NEU!IKT-Bereitschaft für Geschäftskontinuität
Organisatorische KontrollenAnhang A 5.31Anhang A 18.1.1
Anhang A 18.1.5		Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen
Organisatorische KontrollenAnhang A 5.32Anhang A 18.1.2Rechte an geistigem Eigentum
Organisatorische KontrollenAnhang A 5.33Anhang A 18.1.3Schutz von Aufzeichnungen
Organisatorische KontrollenAnhang A 5.34 Anhang A 18.1.4Datenschutz und Schutz personenbezogener Daten
Organisatorische KontrollenAnhang A 5.35Anhang A 18.2.1Unabhängige Überprüfung der Informationssicherheit
Organisatorische KontrollenAnhang A 5.36Anhang A 18.2.2
Anhang A 18.2.3		Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit
Organisatorische KontrollenAnhang A 5.37Anhang A 12.1.1Dokumentierte Betriebsabläufe

ISO 27001:2022 Personenkontrollen

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
MenschenkontrollenAnhang A 6.1Anhang A 7.1.1Untersuchungen
MenschenkontrollenAnhang A 6.2Anhang A 7.1.2Allgemeine Geschäftsbedingungen
MenschenkontrollenAnhang A 6.3Anhang A 7.2.2Informationssicherheitsbewusstsein, Bildung und Schulung
MenschenkontrollenAnhang A 6.4Anhang A 7.2.3Disziplinarverfahren
MenschenkontrollenAnhang A 6.5Anhang A 7.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
MenschenkontrollenAnhang A 6.6Anhang A 13.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
MenschenkontrollenAnhang A 6.7Anhang A 6.2.2Fernarbeit
MenschenkontrollenAnhang A 6.8Anhang A 16.1.2
Anhang A 16.1.3		Berichterstattung über Informationssicherheitsereignisse

Physische Kontrollen nach ISO 27001:2022

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
Physikalische KontrollenAnhang A 7.1Anhang A 11.1.1Physische Sicherheitsbereiche
Physikalische KontrollenAnhang A 7.2Anhang A 11.1.2
Anhang A 11.1.6		Physischer Eintritt
Physikalische KontrollenAnhang A 7.3Anhang A 11.1.3Sicherung von Büros, Räumen und Einrichtungen
Physikalische KontrollenAnhang A 7.4NEU!Physische Sicherheitsüberwachung
Physikalische KontrollenAnhang A 7.5Anhang A 11.1.4Schutz vor physischen und umweltbedingten Bedrohungen
Physikalische KontrollenAnhang A 7.6Anhang A 11.1.5Arbeiten in sicheren Bereichen
Physikalische KontrollenAnhang A 7.7Anhang A 11.2.9Klarer Schreibtisch und klarer Bildschirm
Physikalische KontrollenAnhang A 7.8Anhang A 11.2.1Standort und Schutz der Ausrüstung
Physikalische KontrollenAnhang A 7.9Anhang A 11.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
Physikalische KontrollenAnhang A 7.10Anhang A 8.3.1
Anhang A 8.3.2
Anhang A 8.3.3
 Anhang A 11.2.5		Speichermedien
Physikalische KontrollenAnhang A 7.11Anhang A 11.2.2Unterstützende Dienstprogramme
Physikalische KontrollenAnhang A 7.12Anhang A 11.2.3Verkabelungssicherheit
Physikalische KontrollenAnhang A 7.13Anhang A 11.2.4Wartung der Ausrüstung
Physikalische KontrollenAnhang A 7.14Anhang A 11.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

ISO 27001:2022 Technologische Kontrollen

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
Technologische KontrollenAnhang A 8.1Anhang A 6.2.1
Anhang A 11.2.8		Benutzer-Endpunktgeräte
Technologische KontrollenAnhang A 8.2Anhang A 9.2.3Privilegierte Zugriffsrechte
Technologische KontrollenAnhang A 8.3Anhang A 9.4.1Beschränkung des Informationszugriffs
Technologische KontrollenAnhang A 8.4Anhang A 9.4.5Zugang zum Quellcode
Technologische KontrollenAnhang A 8.5Anhang A 9.4.2Sichere Authentifizierung
Technologische KontrollenAnhang A 8.6Anhang A 12.1.3Kapazitätsmanagement
Technologische KontrollenAnhang A 8.7Anhang A 12.2.1Schutz vor Malware
Technologische KontrollenAnhang A 8.8Anhang A 12.6.1
Anhang A 18.2.3		Management technischer Schwachstellen
Technologische KontrollenAnhang A 8.9NEU!Configuration Management
Technologische KontrollenAnhang A 8.10NEU!Löschen von Informationen
Technologische KontrollenAnhang A 8.11NEU!Datenmaskierung
Technologische KontrollenAnhang A 8.12NEU!Verhinderung von Datenlecks
Technologische KontrollenAnhang A 8.13Anhang A 12.3.1Informationssicherung
Technologische KontrollenAnhang A 8.14Anhang A 17.2.1Redundanz von Informationsverarbeitungseinrichtungen
Technologische KontrollenAnhang A 8.15Anhang A 12.4.1
Anhang A 12.4.2
Anhang A 12.4.3		Protokollierung
Technologische KontrollenAnhang A 8.16NEU!Überwachungsaktivitäten
Technologische KontrollenAnhang A 8.17Anhang A 12.4.4Uhrensynchronisation
Technologische KontrollenAnhang A 8.18Anhang A 9.4.4Verwendung von Privileged Utility-Programmen
Technologische KontrollenAnhang A 8.19Anhang A 12.5.1
Anhang A 12.6.2		Installation von Software auf Betriebssystemen
Technologische KontrollenAnhang A 8.20Anhang A 13.1.1Netzwerksicherheit
Technologische KontrollenAnhang A 8.21Anhang A 13.1.2Sicherheit von Netzwerkdiensten
Technologische KontrollenAnhang A 8.22Anhang A 13.1.3Trennung von Netzwerken
Technologische KontrollenAnhang A 8.23NEU!Web-Filter
Technologische KontrollenAnhang A 8.24Anhang A 10.1.1
Anhang A 10.1.2		Verwendung von Kryptographie
Technologische KontrollenAnhang A 8.25Anhang A 14.2.1Sicherer Entwicklungslebenszyklus
Technologische KontrollenAnhang A 8.26Anhang A 14.1.2
Anhang A 14.1.3		Anforderungen an die Anwendungssicherheit
Technologische KontrollenAnhang A 8.27Anhang A 14.2.5Sichere Systemarchitektur und technische Prinzipien
Technologische KontrollenAnhang A 8.28NEU!Sichere Codierung
Technologische KontrollenAnhang A 8.29Anhang A 14.2.8
Anhang A 14.2.9		Sicherheitstests in Entwicklung und Akzeptanz
Technologische KontrollenAnhang A 8.30Anhang A 14.2.7Ausgelagerte Entwicklung
Technologische KontrollenAnhang A 8.31Anhang A 12.1.4
Anhang A 14.2.6		Trennung von Entwicklungs-, Test- und Produktionsumgebungen
Technologische KontrollenAnhang A 8.32Anhang A 12.1.2
Anhang A 14.2.2
Anhang A 14.2.3
Anhang A 14.2.4		Änderungsmanagement
Technologische KontrollenAnhang A 8.33Anhang A 14.3.1Testinformationen
Technologische KontrollenAnhang A 8.34Anhang A 12.7.1Schutz von Informationssystemen während Audittests

Wie ISMS.online hilft

Unsere Die Plattform ist benutzerfreundlich und unkompliziert. Es richtet sich an alle in der Organisation, nicht nur an technisch versierte Personen. Wir empfehlen, Mitarbeiter aus allen Unternehmensebenen einzubeziehen Aufbau Ihres ISMS denn dies trägt dazu bei, ein System zu schaffen, das lange hält.

Nehmen Sie jetzt Kontakt auf Vereinbaren Sie eine Vorführung.

Siehe ISMS.online
in Aktion

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Begrüßen Sie den Erfolg von ISO 27001

Erledigen Sie 81 % der Arbeit für sich und lassen Sie sich mit ISMS.online schneller zertifizieren

Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren