Der ultimative Leitfaden zu ISO 27002

Was ist ISO 27002?

ISO/IEC 27002:2022 ist ein Informationssicherheitsstandard, der von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) veröffentlicht wurde. ISO 27002 steht in engem Zusammenhang mit ISO 27001. Im Großen und Ganzen gibt es Leitlinien für die Implementierung eines ISO 27001-ISMS.

ISO/IEC 27002 bietet einen Referenzsatz von Informationssicherheits-, Cybersicherheits- und Datenschutzkontrollen, einschließlich Implementierungsleitfäden auf der Grundlage international anerkannter Best Practices.

Obwohl ISO 27002 an sich kein zertifizierbarer Standard ist, bringt die Einhaltung der Richtlinien für Informationssicherheit, physische Sicherheit, Cybersicherheit und Datenschutzmanagement Ihr Unternehmen der Erfüllung der ISO 27001-Zertifizierungsanforderungen einen Schritt näher.

Warum ist ISO 27002 wichtig?

Wenn Ihre Organisation Daten erhebt, nutzt oder verarbeitet, gibt es immer Risiken und Bedrohungen für die Informationssicherheit, vor denen Sie achten müssen.

Um diesen Risiken vorzubeugen, sollten Sie über ein Informationssicherheits-Managementsystem (ISMS) verfügen, um die Vertraulichkeit, Verfügbarkeit und Integrität aller Informationen und Informationsressourcen sicherzustellen.

Die größte Herausforderung für Unternehmen, die neu in der Informationssicherheitsmanagementszene sind, ist der breite Anwendungsbereich. Die Implementierung und Aufrechterhaltung eines ISMS deckt ein so breites Spektrum ab, dass die meisten Manager nicht wissen, wo sie anfangen sollen.

Wenn das nach Ihnen klingt oder Sie einfach nur den Überblick über Ihre Informationssicherheit behalten möchten, dann ist die Implementierung der in ISO/IEC 27002 vorgeschlagenen Kontrollen ein guter Ausgangspunkt.

Was sind die Vorteile?

Durch die Implementierung von Informationssicherheitskontrollen gemäß ISO 27002 können Unternehmen sicher sein, dass ihre Informationsbestände durch international anerkannte und anerkannte Best Practices geschützt sind.

Unternehmen aller Größen und Sicherheitsreifegrade können durch die Einhaltung des ISO 27002-Verhaltenskodex die folgenden Vorteile erzielen:

• Es bietet einen Arbeitsrahmen für die Lösung von Problemen in den Bereichen Informationssicherheit, Cybersicherheit, physische Sicherheit und Datenschutz.
• Kunden und Geschäftspartner werden zuversichtlicher sein und eine positive Einstellung zu einer Organisation haben, die die empfohlenen Standards und Informationssicherheitskontrollen umsetzt.
• Da die bereitgestellten Richtlinien und Verfahren an international anerkannten Sicherheitsanforderungen ausgerichtet sind, ist die Zusammenarbeit mit internationalen Partnern einfacher.
• Die Einhaltung des Standards trägt dazu bei, Best Practices einer Organisation zu entwickeln, die die Gesamtproduktivität steigern.
• Es bietet eine definierte Implementierung, Verwaltung, Wartung und Bewertung von Informationssicherheitsmanagementsystemen.
• Eine ISO-konforme Organisation wird bei Vertragsverhandlungen und der Teilnahme an globalen Geschäftsmöglichkeiten im Vorteil sein.
• Durch die Einhaltung der Informationssicherheitskontrollen nach ISO 27002 können Anbieter von niedrigeren Versicherungsprämien profitieren.

In der ISO 27001-Standardfamilie, einschließlich ISO 27000, wird häufig auf Implementierungsleitfäden für die Einhaltung des ISO 27701-Standards verwiesen. ISO 27002-Informationssicherheitskontrollen können auf ähnliche Standards abgebildet werden, z. B. NIST, SOC2, CIS, TISAX® und viele mehr.

Die Überarbeitung der ISO 27002:2022 erklärt

ISO/IEC 27002 wurde überarbeitet, um die Informationssicherheitskontrollen so zu aktualisieren, dass sie Entwicklungen und aktuelle Informationssicherheitspraktiken in verschiedenen Unternehmensbereichen und Regierungen widerspiegeln.

Die neue Überarbeitung von ISO 27002 2022 wurde am 15. Februar 2022 veröffentlicht. Viele Standards und Sicherheitsrahmenwerke beziehen sich auf die Informationssicherheitskontrollen von ISO 27002:2013 oder nutzen diese, sodass diese neue Überarbeitung auch Auswirkungen auf sie haben wird.

Geltungsbereich der ISO 27002:2013

ISO 27002:2013 ist/war ein Verhaltenskodex für ein Informationssicherheitsmanagementsystem (ISMS) und befasst sich mit einem viel höheren Detaillierungsgrad als die Anhang-A-Kontrollen von ISO 27001 und enthält Sicherheitstechniken, Kontrollziele, Sicherheitsanforderungen und Zugangskontrolle , Kontrollen zur Behandlung von Informationssicherheitsrisiken, Kontrollen persönlicher und geschützter Informationen sowie allgemeine Kontrollen der Informationssicherheit.

Der Hauptzweck von ISO 27002:2013 bestand darin, umfassende Informationssicherheitstechniken und Asset-Management-Kontrollen für alle Organisationen bereitzustellen, die entweder ein neues Informationssicherheits-Managementprogramm benötigen oder ihre bestehenden Informationssicherheitsrichtlinien und -praktiken verbessern möchten.

Was hat sich in ISO 27002:2022 geändert?

Die erste wesentliche Änderung des Standards ist die Abkehr von einem „Verhaltenskodex“ und seine Positionierung als eine Reihe eigenständiger Informationssicherheitskontrollen.

Der überarbeitete Standard bietet eine einfachere Struktur, die im gesamten Unternehmen angewendet werden kann. Mit der überarbeiteten Fassung der ISO 27002 kann nun auch ein breiteres Risikoprofil gemanagt werden. Dazu gehören die Informationssicherheit und die eher technischen Aspekte der physischen Sicherheit, der Vermögensverwaltung, der Cybersicherheit sowie die mit dem Schutz der Privatsphäre einhergehenden Elemente der Personalsicherheit.

ISO 27002:2022 Erweiterter Anwendungsbereich

Die erste unmittelbare Änderung ist der Name des Standards.

Zuvor trug ISO 27002:2013 den Titel „Informationstechnologie – Sicherheitstechniken – Verhaltenskodex für Informationssicherheitskontrollen“.

In der Überarbeitung 2022 heißt der Standard nun „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitskontrollen“.

Warum hat es sich geändert?

Angesichts der modernen Compliance-Landschaft, Vorschriften wie DSGVO, POPIA und APPS und der sich entwickelnden Geschäftskontinuitäts- und Cyberrisikoschwierigkeiten, mit denen Unternehmen konfrontiert sind, war die Notwendigkeit, dass ISO 27002 den Umfang seiner Informationssicherheitskontrollen erweitert, überfällig.

Das Ziel der letzten Überarbeitung (2022) bestand darin, die Absicht des Standards durch die Bereitstellung eines Referenzsatzes für Kontrollziele der Informationssicherheit zu verbessern und seinen Anwendungsbereich für den Einsatz im kontextspezifischen Informationssicherheits-, Datenschutz- und Cybersicherheitsrisikomanagement zu erweitern.

Wie sich ISO 27002:2022 von ISO 27002:2013 unterscheidet

Im Großen und Ganzen ist die Anzahl der Sicherheitskontrollen in der neuen Version von ISO 27002:2022 von 114 Kontrollen in 14 Abschnitten in der Ausgabe 2013 auf 93 Kontrollen in der Ausgabe 2022 gesunken. Diese Sicherheitskontrollen sind nun in vier Kontroll-„Themen“ kategorisiert.

Kontrollen erklärt

Eine „Kontrolle“ ist definiert als eine Maßnahme, die das Risiko verändert oder aufrechterhält. Eine Informationssicherheitsrichtlinie kann beispielsweise nur das Risiko aufrechterhalten, während die Einhaltung der Informationssicherheitsrichtlinie das Risiko modifizieren kann. Darüber hinaus beschreiben einige Kontrollen dieselbe generische Maßnahme in unterschiedlichen Risikokontexten.

Spezifische Änderungen im Detail

Die Kontrollsätze sind jetzt in vier (4) Sicherheitskategorien oder -themen statt in vierzehn (14) Kontrolldomänen organisiert. (bisher A5. bis A.18)

Die vier Kategorien umfassen:

• Organisatorisch
• Personen
• Physik
• Filter, Parameter, Zeitachsen, Sparklines, Zellprozentsatz und Fortschritte
• 93 Steuerungen in der neuen Version von 27002
• 11 Bedienelemente sind neu
• Insgesamt wurden 24 Kontrollen aus zwei, drei oder mehr Sicherheitskontrollen der Version 2013 zusammengeführt; und die 58 Kontrollen der ISO 27002:2013 wurden überprüft und überarbeitet, um sie an die aktuelle Cybersicherheits- und Informationssicherheitsumgebung anzupassen.
• Anhang A, der Anleitungen für die Anwendung von Attributen enthält.
• Anhang B, der ISO/IEC 27001 2013 entspricht. Es handelt sich im Grunde um eine Tabelle mit zwei Tabellen, die Kontrollnummern/Kennungen miteinander vergleicht, um die Referenz zu erleichtern und detailliert zu beschreiben, was neu ist und was zusammengeführt wurde.

• A.5.7 Bedrohungsinformationen
• A.5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten
• A.5.30 IKT-Bereitschaft für Geschäftskontinuität
• A.7.4 Überwachung der physischen Sicherheit
• A.8.9 Konfigurationsmanagement
• A.8.10 Löschung von Informationen
• A.8.11 Datenmaskierung
• A.8.12 Verhinderung von Datenlecks
• A.8.16 Überwachungsaktivitäten
• A.8.23 Webfilterung
• A.8.28 Sichere Codierung

Überprüfungen und Aktualisierungen der Kontrollleitfäden

Der Abschnitt „Leitlinien“ für jede Kontrolle wurde überprüft und (wo erforderlich) aktualisiert, um aktuelle Entwicklungen und Praktiken widerzuspiegeln.

Die in den Leitlinien verwendete Sprache ist robuster als in der Vorgängerversion. Mittlerweile besteht eine erhöhte Erwartung an verbindliche Kontrollen und an Organisationen, die deren Einhaltung besser nachweisen können. Darüber hinaus ist jedes Steuerelement jetzt mit einer „Purpose“-Anweisung ausgestattet und führt für jedes Steuerelement eine Reihe von „Attributen“ (siehe 4.2) ein.

Ein Unternehmen, das Kontrollen implementiert, kann basierend auf dem Risiko auswählen, welche für es gelten, und seine eigenen in ein ISO 27001-konformes ISMS einfügen (kontextabhängige Nutzung).

ISO 27002-Themen und -Attribute

Attribute sind ein Mittel zur Kategorisierung von Steuerelementen. Dadurch können Sie Ihre Steuerungsauswahl schnell an die gängigen Branchensprachen und -standards anpassen.

Diese Attribute identifizieren Schlüsselpunkte:

• Steuerungsart
• InfoSec-Eigenschaften
• Cyber-Sicherheitskonzepte
• Operative Fähigkeiten
• Sicherheitsdomänen

Die Verwendung von Attributen unterstützt Arbeiten, die viele Unternehmen bereits im Rahmen ihrer Risikobewertung und ihrer Erklärung zur Anwendbarkeit (Statement of Applicability, SOA) durchführen. Beispielsweise können Cybersicherheitskonzepte ähnlich den NIST- und CIS-Kontrollen unterschieden und die Einsatzfähigkeiten in Bezug auf andere Standards erkannt werden.

Jede Steuerung verfügt jetzt über eine Tabelle mit einer Reihe empfohlener Attribute und Anhang A von ISO 27002:2022 enthält eine Reihe empfohlener Zuordnungen.

Eigenschaften der Informationssicherheit

Bei der Informationssicherheit geht es um den Schutz verschiedener Aspekte der Informationen, die durch das CIA-Modell dargestellt werden können. Zu diesen Aspekten gehören Vertraulichkeit, Integrität und Verfügbarkeit der Informationen. Wenn Sie dies verstehen, können Sie wirksame Informationssicherheitskontrollen formulieren und implementieren. Diese werden jetzt als Attribute pro Steuerelement definiert.

Cybersicherheitskonzepte

Attribute für Cybersicherheitskonzepte werden im Rahmen der Überarbeitung des Standards 2022 eingeführt. Diese Attributwerte bestehen aus Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Dadurch wird ISO 27002 mit ISO/IEC TS 27110, dem NIST Cyber ​​Security Framework (CSF) und anderen in Einklang gebracht andere Normen.

1. Identifikation – Entwickeln Sie das Verständnis der Organisation dazu Verwalten Sie Cybersicherheitsrisiken für Systeme, Vermögenswerte, Daten und Funktionen.
2. Schützen – Entwickeln und implementieren Sie Schutzmaßnahmen zur Bereitstellung kritischer Infrastrukturdienste.
3. Entdecken – Entwickeln und implementieren Sie geeignete Aktivitäten, um das Auftreten eines Cybersicherheitsereignisses zu erkennen.
4. Reagieren – Erstellen und implementieren Sie geeignete Aktivitäten, um als Reaktion auf erkannte Cyber-Sicherheitsereignisse zu reagieren.
5. Entspannung – Entwickeln und implementieren Sie geeignete Aktivitäten, um Pläne für die Ausfallsicherheit aufrechtzuerhalten und alle Funktionen oder Dienste wiederherzustellen, die aufgrund eines Cybersicherheitsereignisses beeinträchtigt wurden.

Operative Fähigkeiten

Betriebsfähigkeit ist ein Attribut, um Kontrollen aus der Sicht des Praktikers in Bezug auf Informationssicherheitsfähigkeiten zu betrachten. 

Diese umfassen:
Governance Asset Management, Informationsschutz, Personalsicherheit, physische Sicherheit, System- und Netzwerksicherheit, Anwendungssicherheit, sichere Konfiguration, Identitäts- und Zugriffsmanagement, Bedrohungs- und Schwachstellenmanagement, Kontinuität, Lieferantenbeziehungen Sicherheit, Recht und Compliance, Management von Informationssicherheitsereignissen und Gewährleistung der Informationssicherheit.

Sicherheitsdomänen

„Sicherheitsdomänen“ ist ein Attribut zur Betrachtung von Kontrollen aus der Perspektive von vier Informationssicherheitsdomänen: „Governance und Ökosystem“ umfasst „Informationssystemsicherheits-Governance und Risikomanagement“ und „Ökosystem-Cybersicherheitsmanagement“ (einschließlich interner und externer Stakeholder);

• Eine Kontrolle kann verschiedene Anwendungen haben (z. B. Backups helfen beim Schutz vor Malware, Hacks, Bugs, Unfällen, mechanischen Ausfällen, Bränden usw. und können Stellvertreter und vielseitig qualifizierte Vertretungen für kritische Personen sowie alternative Lieferanten/Quellen notwendiger Informationsdienste umfassen).
• In der Regel sind für jede Anwendung oder Situation mehrere Kontrollen erforderlich (z. B. kann Malware mithilfe von Backups entschärft werden, Bewusstsein, Antivirus, Netzwerkzugriffskontrollen plus IDS/IPS und mehr bei gleichzeitiger Vermeidung von Infektionen ist ein wirksamer Ansatz, wenn er durch Richtlinien und Verfahren unterstützt wird.
• Die von uns häufig verwendeten Kontrollen (z. B. Backups) sind nicht alles oder nichts, sondern bestehen aus einer Reihe kleinerer Elemente (z. B. umfasst Backup Strategien, Richtlinien und Verfahren, Software-, Hardwaretests, Wiederherstellung nach Vorfällen, physischen Schutz usw.).

Anhang A erklärt

Die Tabelle in Anhang A demonstriert die Verwendung von Attributen und bietet Beispiele für die Zuweisung von Attributen zu Steuerelementen, wodurch verschiedene Ansichten erstellt werden (gemäß 4.2).

Es wird darauf hingewiesen, dass das Filtern oder Sortieren der Matrix durch die Verwendung eines Tools wie einer einfachen Tabellenkalkulation oder einer Datenbank erreicht werden kann, die weitere Informationen wie Kontrolltext, Anleitung, organisationsspezifische Implementierungsanleitung oder Attribute enthalten kann. ISMS.online erleichtert diese Verknüpfungen automatisch und macht den gesamten Prozess mühelos.

Anhang B erklärt

Die Tabellen in Anhang B.1 und B.2 bieten leicht zu navigierende Referenzpunkte, die eine Abwärtskompatibilität mit ISO/IEC 27002:2013 gewährleisten. Dies erleichtert Organisationen, die den alten Managementstandard verwenden und auf ISO 27002:2020 umsteigen müssen, oder erleichtert die Referenzierung zwischen Standards, die ISO 27002 verwenden, z. B. ISO 27001, ISO 27701 ähnlich. Auch hier ordnet ISMS.online automatisch die alten den neuen Kontrollkennungen innerhalb unserer Plattform zu, wodurch der Übergang und die Implementierung einfacher werden.

ISO 27001 vs. ISO 27002

Organisationen, die sich mit Informationssicherheitsmanagementsystemen befassen möchten, sind möglicherweise auf die Standards ISO 27001 und 27002 gestoßen.

ISO 27001 ist der primäre Standard in der 27000-Familie. Unternehmen können sich nach ISO 27001 zertifizieren lassen, jedoch nicht nach ISO 27002:2022, da es sich dabei um einen unterstützenden Standard/Verhaltenskodex handelt.

Anhang A von ISO 27001 enthält beispielsweise eine Liste von Sicherheitskontrollen, sagt jedoch nicht, wie diese zu implementieren sind, sondern verweist vielmehr auf ISO 27002.

Im Gegensatz dazu bietet ISO 27002 Leitlinien zur Implementierung der in ISO 27001 verwendeten Kontrollen. Das Tolle an ISO 27002 ist, dass die Kontrollen nicht obligatorisch sind; Unternehmen können entscheiden, ob sie sie nutzen möchten oder nicht, je nachdem, ob sie überhaupt anwendbar sind.

Wie wirkt es sich auf Sie aus?

Es wird eine gewisse Zeit dauern, bis Organisationen die überarbeitete Version von ISO 27001 für ihre Zertifizierungsaudits übernehmen müssen (mindestens ein Jahr nach der Veröffentlichung und normalerweise in Verbindung mit ihrem nächsten Rezertifizierungszyklus), sodass sie ausreichend Zeit haben, sich mit dem Problem zu befassen Änderungen.

Letztendlich sollten die Änderungen keine wesentlichen Auswirkungen auf das Informationssicherheits-Managementsystem (ISMS) und die Fähigkeit einer Organisation zur Aufrechterhaltung der Compliance haben.

Es kann jedoch Auswirkungen auf den gesamten Kontrollrahmen der Organisation, spezifische Kontrollen und die Art und Weise geben, wie eine Organisation die laufende Compliance überwacht.

Bei der Umstellung auf den neuen Standard müssen Unternehmen neu bewerten, wie ihre Rahmenwerke, Kontrollen und Richtlinien mit der neuen Struktur und den aktualisierten ISO 27001/27002-Kontrollen übereinstimmen.

Die Überarbeitung der ISO 27002 2022 wird sich wie folgt auf eine Organisation auswirken:

• Wenn Sie bereits ISO 27001 2013 zertifiziert sind
• Befinden Sie sich in der Mitte der Zertifizierung?
• Wenn Sie im Begriff sind, sich erneut zu zertifizieren
• Wenn Sie bereits ISO 27001:2013 zertifiziert sind

Wenn Ihre Organisation bereits zertifiziert ist, müssen Sie jetzt nichts unternehmen; Die überarbeitete Norm ISO 27002 2022 wird bei Erneuerung/Rezertifizierung anwendbar sein. Es liegt daher nahe, dass sich alle zertifizierten Organisationen bei der Rezertifizierung oder bei der Einführung neuer Kontrollsätze oder Standards, z. B. ISO 27701 oder ähnliches, auf den überarbeiteten Standard vorbereiten müssen.

Wie wirkt es sich auf Ihre (Re-)Zertifizierung aus?

Angenommen, eine Organisation befindet sich derzeit im Zertifizierungs- oder Rezertifizierungsprozess nach ISO 27001 2013. In diesem Fall wird von ihnen erwartet, dass sie ihre Risikobewertung noch einmal überprüfen und die neuen Kontrollen als anwendbar identifizieren und ihre „Anwendbarkeitserklärung“ durch einen Vergleich mit den überarbeiteten Kontrollen in Anhang A überarbeiten.

Da es neue Kontrollen, zusammengeführte Kontrollen und geänderte oder zusätzliche Leitlinien für andere Kontrollen gibt, müssen Organisationen die überarbeitete Norm ISO 27002:2022 auf etwaige Implementierungsänderungen überprüfen.

Auch wenn die ISO 27001 Revision 2022 noch nicht veröffentlicht wurde, regelt Anhang B der ISO 27002-Karten die Versionen 2013 und 2022 des Standards.

Ihre Anwendbarkeitserklärung (SOA) sollte sich weiterhin auf Anhang A von ISO 27001 beziehen, während die Kontrollen auf die überarbeitete Norm ISO 27002:2022 verweisen müssen, bei der es sich um einen alternativen Kontrollsatz handelt.

Müssen Sie Ihre Dokumentation ändern?

Die Einhaltung dieser Änderungen sollte Folgendes umfassen:

• Eine Aktualisierung Ihres Risikobehandlungsprozesses mit aktualisierten Kontrollen
• Eine Aktualisierung Ihrer Anwendbarkeitserklärung
• Aktualisieren Sie Ihre aktuellen Richtlinien und Verfahren mit Anleitungen zu jeder Kontrolle, sofern erforderlich

Welche Auswirkungen hat es auf Ihre ISO 27001:2013?

Bis zur Veröffentlichung einer neuen ISO 27001-2022-Norm werden die aktuellen ISO-Zertifizierungsschemata weitergeführt, obwohl eine Zuordnung zu den neuen ISO 27002-2022-Kontrollen über Anhang B1.1 und B1.2 erforderlich sein wird. ISO-erfahrene Auditoren werden jedoch die Struktur der Kontrollen erkennen , daher wird es mehr zu tun geben. Die Einführung von ISO 27002:2022 könnte für eine reibungslosere Prüfung sorgen.

Bevorstehende Änderungen an ISO 27001

Die meisten Informationssicherheitsexperten gehen davon aus, dass es sich bei den ISO 27001-Änderungen um geringfügige Textänderungen mit einer geringfügigen Aktualisierung von Anhang A zur Anpassung an die ISO 27002 2022-Revision handelt.

Der Hauptteil der ISO 27001, der die Abschnitte 4-10 umfasst, wird sich nicht ändern. Diese Klauseln umfassen Umfang und Kontext, Informationssicherheitsrichtlinien, Risikomanagement für Ressourcen wie Schulung und Sensibilisierung für Kommunikation und Dokumentenkontrolle bis hin zur Überwachung und Messung betrieblicher Aktivitäten durch eine interne Revisionsabteilung und Korrekturmaßnahmen.

Es werden nur die in ISO 27001 Anhang A und ISO 27002 aufgeführten Kontrollen aktualisiert.

Änderungen in ISO 27001:2022 Anhang A werden vollständig an Änderungen in ISO 27002:2022 angepasst

Sind weitere 27000-Standards betroffen?

Managementsystemstandards und Frameworks, die sich auf die Version ISO/IEC 27002:2013 beziehen und darauf basieren, werden die Veränderung spüren.

Die Änderungen werden zusätzliche Auswirkungen haben, wenn sie auf verwandte Standards wie ISO 27017 Cloud-Sicherheit, ISO 27701 Datenschutz und verschiedene nationale Standards übertragen werden, die die aktuellen Anforderungen und Leitlinien übernommen oder integriert haben.

Dies dürfte geschehen, wenn die Überprüfungs- und Aktualisierungszyklen für diese Standards in den nächsten Jahren stattfinden und weitere Auswirkungen auf lokale Standards und Rahmenwerke zu erwarten sind.

Demonstration bewährter Verfahren für ISO 27002

Physisch und umweltfreundlich

Die physischen und Umgebungsaspekte einer Organisation sind entscheidend für die Informationssicherheit. Die richtigen Kontrollen und Verfahren gewährleisten die physische Sicherheit der Informationen einer Organisation, indem sie den Zugriff auf unbefugte Parteien beschränken und sie vor Schäden wie Bränden und anderen Katastrophen schützen.

Zu den Informationssicherheitstechniken gehören:

• Es müssen Maßnahmen ergriffen werden, um den physischen Zugang zu den Räumlichkeiten der Organisation und den unterstützenden Infrastrukturen wie Klimaanlage und Strom zu überwachen und einzuschränken. Dies verhindert und gewährleistet die Erkennung und Korrektur von unbefugtem Zugriff, Vandalismus, Sachbeschädigung und anderen Manipulationen, die auftreten könnten.
• Sensible Bereiche müssen teilweisen Zugang erhalten und die Liste der autorisierten Personen muss regelmäßig (mindestens einmal im Jahr) von der Abteilung für physische Sicherheit oder der Verwaltung überprüft und genehmigt werden.
• Videoaufzeichnungen, Fotografien oder jede andere Form der digitalen Aufzeichnung sollten in Sperrgebieten ohne Genehmigung der zuständigen Behörde verboten sein.
• Das Gelände sollte an Stellen wie Eingängen, Ausgängen und Sperrbereichen überwacht werden. Diese Aufzeichnungen sollten rund um die Uhr von geschultem Personal überwacht und für den Fall einer Überprüfung mindestens einen Monat lang gespeichert werden.
• Es sollte ein eingeschränkter Zugang in Form von Zugangskarten bereitgestellt werden, um Lieferanten, Auszubildenden, Dritten, Beratern und anderem Personal, das für den Zugang zu den Bereichen authentifiziert ist, einen zeitlich begrenzten Zugang zu ermöglichen.
• Besucher der Organisationen sollten jederzeit von einem Mitarbeiter begleitet werden, außer wenn sie offene Bereiche wie das Empfangsfoyer und die Toiletten nutzen.

Human Resources

Diese Maßnahmen zielen darauf ab, sicherzustellen, dass die Informationen der Organisation für die Mitarbeiter der Organisation sicher sind.

Zu den Sicherheitsstandards für Personalinformationen gehören:

• Jeder Mitarbeiter sollte vor der Einstellung überprüft werden, um seine Identität, seine beruflichen Referenzen und sein allgemeines Verhalten zu überprüfen. Diese sollten besonders streng sein, wenn sie vertrauenswürdige Positionen im Bereich Informationssicherheit in der Organisation einnehmen sollen.
• Die Mitarbeiter sollten alle einer verbindlichen Geheimhaltungs- oder Vertraulichkeitsvereinbarung zustimmen. Dies bestimmt den Grad der Diskretion, mit der sie mit den persönlichen und geschützten Informationen umgehen, mit denen sie im Laufe ihrer Beschäftigung in Kontakt kommen.
• Die Personalabteilung muss die Finanzabteilung, die Verwaltung und andere relevante Abteilungen informieren, wenn ein Mitarbeiter eingestellt, suspendiert, entlassen, versetzt wird, langfristig beurlaubt ist oder andere Umstände vorliegen, die eine Änderung seiner Berechtigungen erforderlich machen könnten.
• Sobald die Personalabteilung die anderen Abteilungen über die Änderung des Status eines Mitarbeiters informiert, sollte die Anpassung der entsprechenden physischen und logischen Zugriffsrechte erfolgen.
• Die Vorgesetzten der Mitarbeiter sollten sicherstellen, dass alle Schlüssel, Zugangskarten, IT-Geräte, Speichergeräte und alle anderen Vermögenswerte des Unternehmens vor der Beendigung ihres Arbeitsverhältnisses zurückgegeben werden.

Access Control

Bei der Zugriffskontrolle handelt es sich um Passwörter, Schlüsselkarten oder andere Sicherheitsbeschränkungen, die den Zugriff auf die Informationen und Systeme des Unternehmens einschränken sollen.

Einige von ihnen umfassen:

• Der Zugriff auf Unternehmensnetzwerke, IT-Systeme, Informationen und Anwendungen sollte auf der Grundlage der Rolle der Benutzer oder gemäß den Vorgaben der jeweiligen Informationsressourceneigentümer oder Organisationsverfahren kontrolliert werden.
• Es müssen Einschränkungen festgelegt werden, um das System zu benachrichtigen und/oder Benutzerkonten nach einer vordefinierten Anzahl fehlgeschlagener Anmeldeversuche zu sperren. Diese sollten weiterverfolgt werden, um das Risiko eines versuchten Verstoßes auszuschließen.
• Alle Workstations/PCs des Unternehmens sollten über passwortgeschützte Bildschirmschoner mit Zeitüberschreitungen von weniger als 10 Minuten Inaktivität verfügen.
• Die privilegierten Zugriffsrechte, beispielsweise für diejenigen, die mit der Verwaltung, Konfiguration, Verwaltung, Sicherheit und Überwachung der IT-Systeme beauftragt sind, sollten ebenfalls regelmäßig von der zuständigen Informationssicherheitsbehörde überprüft werden.
• Die Passphrasen und Passwörter müssen komplex und lang sein und aus einer Kombination aus Ziffern, Buchstaben und Sonderzeichen bestehen, damit sie nicht erraten werden können. Diese sollten nicht in einem geschriebenen oder lesbaren Format gespeichert werden.
• Die Organisation sollte den gesamten Schreibzugriff auf Wechselmedien wie CD-/DVD-Brenner auf allen Unternehmenscomputern deaktivieren, sofern dies nicht aus bestimmten geschäftlichen Gründen genehmigt wurde.

Nächste Schritte

Im Hinblick auf die nächsten Schritte umfassen die wichtigsten durchzuführenden Aktivitäten Folgendes:

• Kauf des aktualisierten Standards.
• Sehen Sie sich den neuen ISO 27002-Standard und seine Kontrolländerungen an.
• Führen Sie eine Risikobewertung/-analyse durch.
• Um alle identifizierten Risiken zu mindern, wählen Sie die am besten geeigneten Kontrollen aus und aktualisieren Sie Ihre ISMS-Richtlinien, -Standards usw. entsprechend.
• Aktualisieren Sie Ihre Anwendbarkeitserklärung (SoA).

Dies wird Ihnen dabei helfen, im Hinblick auf eine erneute Zertifizierung oder Einführung zusätzlicher Standards/Frameworks der ISO 27000-Familie einen Vorsprung zu haben, z. B. ISO 27018, 27017, 27032, von denen allgemein erwartet wird, dass sie kurz nach der Überarbeitung von ISO 27001:2022 aktualisiert werden.