Die Kontrolle 5.1 von ISO 27002:2022 deckt die Notwendigkeit von Organisationen ab, über ein Informationssicherheitsrichtliniendokument zu verfügen, um sich vor Informationssicherheitsproblemen zu schützen.
Eine Informationssicherheitsrichtlinie bietet Mitarbeitern, Management und externen Parteien (z. B. Kunden und Lieferanten) einen Rahmen für die Verwaltung elektronischer Informationen, einschließlich Computernetzwerken.
Der Zweck einer Informationssicherheitsrichtlinie besteht darin, das Risiko von Datenverlust oder -diebstahl durch interne und externe Bedrohungen zu verringern. Eine Informationssicherheitsrichtlinie stellt außerdem sicher, dass sich alle Mitarbeiter ihrer Verantwortung für den Schutz der in ihrer Organisation gespeicherten Daten bewusst sind.
Eine Informationssicherheitsrichtlinie kann auch zum Nachweis der Einhaltung von Gesetzen und Vorschriften dienen und hilft, Standards wie ISO 27001 einzuhalten.
Cyber-Sicherheitsbedrohungen sind alle möglichen böswilligen Angriffe, die darauf abzielen, unrechtmäßig auf Daten zuzugreifen, digitale Abläufe zu stören oder Informationen zu beschädigen. Cyber-Bedrohungen können von verschiedenen Akteuren ausgehen, darunter Unternehmensspione und Hacktivisten, Terroristengruppen, feindliche Nationalstaaten und kriminelle Organisationen.
Einige der bekannteren Bedrohungen für Cybersicherheit und Informationssicherheit sind:
Der Zweck der Informationssicherheitsrichtlinie besteht darin, die Unterstützung des Managements beim Schutz der sensiblen Informationen Ihres Unternehmens vor Diebstahl und unbefugtem Zugriff sicherzustellen.
Kontrolle 5.1 umfasst die Kontroll-, Zweck- und Implementierungsrichtlinien für die Einrichtung einer Informationssicherheitsrichtlinie in einer Organisation gemäß dem in ISO 27001 definierten Rahmenwerk.
Control 5.1 besagt, dass Unternehmen über Richtlinien auf hoher und niedriger Ebene für die Verwaltung ihrer Informationssicherheit verfügen müssen. Die Geschäftsleitung der Organisation muss die Richtlinien genehmigen, die regelmäßig und auch bei Änderungen in der Informationssicherheitsumgebung überprüft werden sollten.
Der beste Ansatz besteht darin, sich regelmäßig mindestens einmal im Monat zu treffen und bei Bedarf weitere Treffen zu vereinbaren. Wenn Änderungen an den Richtlinien vorgenommen werden, muss das Management diese genehmigen, bevor sie umgesetzt werden. Die Richtlinien sollten auch mit internen und externen Stakeholdern geteilt werden.
Attribute sind ein Mittel zur Kategorisierung von Steuerelementen. Dadurch können Sie Ihre Steuerungsauswahl schnell an die gängigen Branchensprachen und -standards anpassen. In Steuerung 5.1 sind dies.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Identifizieren | #Führung | #Governance und Ökosystem #Elastizität |
Die Informationssicherheitsrichtlinie sollte die Grundlage für detaillierte Betriebsanweisungen bilden und durch diese unterstützt werden, die beschreiben, wie die Informationssicherheit in der Praxis verwaltet wird.
Die Richtlinie sollte von der obersten Leitung genehmigt werden, die dafür sorgen sollte, dass sie den Mitarbeitern kommuniziert und interessierten Parteien zur Verfügung gestellt wird.
Die Richtlinie gibt Orientierung für den Ansatz der Organisation zur Verwaltung der Informationssicherheit und kann als Rahmen für die Entwicklung detaillierterer Betriebsabläufe verwendet werden.
Die Richtlinie ist ein wesentliches Element bei der Einrichtung und Aufrechterhaltung eines Informationssicherheitsmanagementsystems (ISMS), wie es in der Normenfamilie ISO/IEC 27000 gefordert wird, aber auch dann, wenn die Organisation nicht beabsichtigt, eine formelle Zertifizierung nach ISO 27001 oder einem anderen Standard einzuführen , eine klar definierte Politik ist immer noch wichtig.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
In ISO 27002:2022 ist die Kontrolle 5.1 Informationssicherheitsrichtlinien keine neue Kontrolle, sondern das Ergebnis der Zusammenführung von Kontrollen 5.1.1 Richtlinien zur Informationssicherheit und 5.1.2 Überprüfung der Richtlinien zur Informationssicherheit aus ISO 27002 Revision 2013.
In ISO 27002:2022 wurde die Kontrolle 5.1 aktualisiert und enthält nun eine Beschreibung ihres Zwecks und erweiterte Umsetzungsleitlinien. Es verfügt außerdem über eine Attributtabelle, die es Benutzern ermöglicht, Steuerelemente mit Branchenterminologien abzugleichen.
In ISO 27002:2022 besagt Kontrolle 5.1, dass Informationssicherheit und themenspezifische Richtlinien definiert, vom Management genehmigt, veröffentlicht, an relevante Mitarbeiter und relevante interessierte Parteien kommuniziert und von diesen anerkannt werden sollten.
Die Informationssicherheitsrichtlinie einer Organisation sollte die Größe, Art und Sensibilität der Informationsressourcen der Organisation widerspiegeln. Es sollte auch mit Industriestandards und geltenden staatlichen Vorschriften im Einklang stehen.
Während die Kontrolle selbst im Wesentlichen der 5.1.1 von ISO 27002:2013 ähnelt, heißt es in der Version 2022 ausdrücklich, dass diese Informationssicherheitsrichtlinien regelmäßig überprüft werden sollten, und zwar auch dann, wenn Änderungen in der Informationssicherheitsumgebung auftreten. Dieser Reiter wird in Abschnitt 5.1.2 von ISO 27002:2013 behandelt.
ISO 27002: 2013 und ISO 27002: 2022 legen fest, dass die höchste Ebene der Organisation eine Sicherheitsrichtlinie definieren sollte, die von der obersten Leitung genehmigt wird und die festlegt, wie sie den Schutz ihrer Informationen überwacht. Die in den Richtlinien für beide Versionen abgedeckten Anforderungen sind jedoch unterschiedlich.
In ISO 27002:2013 sollten Informationssicherheitsrichtlinien Anforderungen berücksichtigen, die durch Folgendes erstellt wurden:
Die Informationssicherheitsrichtlinie sollte Aussagen zu Folgendem enthalten:
Allerdings sind die Anforderungen der ISO 27002:2022 etwas umfassender.
Die Informationssicherheitsrichtlinie sollte Anforderungen berücksichtigen, die sich aus Folgendem ergeben:
Die Informationssicherheitsrichtlinie sollte Aussagen zu Folgendem enthalten:
Gleichzeitig wurden themenspezifische Richtlinien in ISO 27002:2022 überarbeitet und umfassen: Management von Informationssicherheitsvorfällen, Asset Management, Netzwerksicherheit, Management von Informationssicherheitsvorfällen und sichere Entwicklung. Einige davon in ISO 27002:2013 wurden entweder entfernt oder zusammengeführt, um einen ganzheitlicheren Rahmen zu bilden.
Bei ISMS.online bietet Ihnen unser benutzerfreundliches und dennoch leistungsstarkes Cloud-System einen vollständigen Satz an Tools und Ressourcen, die Sie bei der Verwaltung Ihres eigenen ISO 27001/27002-Informationssicherheits-Managementsystems (ISMS) unterstützen, unabhängig davon, ob Sie neu sind nach ISO 27001/27002 oder bereits zertifiziert.
Unser intuitiver Schritt-für-Schritt-Workflow, unsere Tools, Frameworks, Richtlinien und Kontrollen, umsetzbare Dokumentation und Anleitung führen Sie durch den Prozess der Implementierung von ISO 27002 und machen es Ihnen einfach, den Umfang des ISMS zu definieren, Risiken zu identifizieren und Kontrollen zu implementieren unsere Algorithmen – entweder von Grund auf oder aus Best-Practice-Vorlagen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
