Was ist Control 5.1?
Eine Informationssicherheitsrichtlinie bietet Mitarbeitern, Management und externen Parteien (z. B. Kunden und Lieferanten) einen Rahmen für die Verwaltung elektronischer Informationen, einschließlich Computernetzwerken.
Der Zweck einer Informationssicherheitsrichtlinie besteht darin, das Risiko von Datenverlust oder -diebstahl durch interne und externe Bedrohungen zu verringern. Eine Informationssicherheitsrichtlinie stellt außerdem sicher, dass sich alle Mitarbeiter ihrer Verantwortung für den Schutz der in ihrer Organisation gespeicherten Daten bewusst sind.
Eine Informationssicherheitsrichtlinie kann auch zum Nachweis der Einhaltung von Gesetzen und Vorschriften dienen und hilft, Standards wie ISO 27001 einzuhalten.
Erklärte Bedrohungen der Cyber- und Informationssicherheit
Cyber-Sicherheitsbedrohungen sind alle möglichen böswilligen Angriffe, die darauf abzielen, unrechtmäßig auf Daten zuzugreifen, digitale Abläufe zu stören oder Informationen zu beschädigen. Cyber-Bedrohungen können von verschiedenen Akteuren ausgehen, darunter Unternehmensspione und Hacktivisten, Terroristengruppen, feindliche Nationalstaaten und kriminelle Organisationen.
Einige der bekannteren Bedrohungen für Cybersicherheit und Informationssicherheit sind:
- Malware: Viren, Spyware und andere Schadprogramme.
- Phishing-E-Mails: Nachrichten, die scheinbar von vertrauenswürdigen Quellen stammen, aber Links und Anhänge enthalten, die Malware installieren.
- Ransomware: Malware, die Benutzer daran hindert, auf ihre eigenen Daten zuzugreifen, bis sie ein Lösegeld zahlen.
- Soziale Entwicklung: Angreifer manipulieren Menschen dazu, vertrauliche Informationen preiszugeben, meist indem sie den Eindruck erwecken, vertrauenswürdig zu sein.
- Walfangangriffe: Phishing-E-Mails, die so gestaltet sind, als kämen sie von hochrangigen Personen innerhalb einer Organisation.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Was ist der Zweck von Kontrolle 5.1?
Der Zweck der Informationssicherheitsrichtlinie besteht darin, die Unterstützung des Managements beim Schutz der sensiblen Informationen Ihres Unternehmens vor Diebstahl und unbefugtem Zugriff sicherzustellen.
Kontrolle 5.1 umfasst die Kontroll-, Zweck- und Implementierungsrichtlinien für die Einrichtung einer Informationssicherheitsrichtlinie in einer Organisation gemäß dem in ISO 27001 definierten Rahmenwerk.
Control 5.1 besagt, dass Unternehmen über Richtlinien auf hoher und niedriger Ebene für die Verwaltung ihrer Informationssicherheit verfügen müssen. Die Geschäftsleitung der Organisation muss die Richtlinien genehmigen, die regelmäßig und auch bei Änderungen in der Informationssicherheitsumgebung überprüft werden sollten.
Der beste Ansatz besteht darin, sich regelmäßig mindestens einmal im Monat zu treffen und bei Bedarf weitere Treffen zu vereinbaren. Wenn Änderungen an den Richtlinien vorgenommen werden, muss das Management diese genehmigen, bevor sie umgesetzt werden. Die Richtlinien sollten auch mit internen und externen Stakeholdern geteilt werden.
Kontrollattribute 5.1
Attribute sind ein Mittel zur Kategorisierung von Steuerelementen. Dadurch können Sie Ihre Steuerungsauswahl schnell an die gängigen Branchensprachen und -standards anpassen. In Steuerung 5.1 sind dies.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Identifizieren | #Führung | #Governance und Ökosystem |
| #Integrität | #Elastizität | |||
| #Verfügbarkeit |
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Was dazugehört und wie man die Anforderungen erfüllt
Die Informationssicherheitsrichtlinie sollte die Grundlage für detaillierte Betriebsanweisungen bilden und durch diese unterstützt werden, die beschreiben, wie die Informationssicherheit in der Praxis verwaltet wird.
Die Richtlinie sollte von der obersten Leitung genehmigt werden, die dafür sorgen sollte, dass sie den Mitarbeitern kommuniziert und interessierten Parteien zur Verfügung gestellt wird.
Die Richtlinie gibt Orientierung für den Ansatz der Organisation zur Verwaltung der Informationssicherheit und kann als Rahmen für die Entwicklung detaillierterer Betriebsabläufe verwendet werden.
Die Richtlinie ist ein wesentliches Element bei der Einrichtung und Aufrechterhaltung eines Informationssicherheitsmanagementsystems (ISMS), wie es in der Normenfamilie ISO/IEC 27000 gefordert wird, aber auch dann, wenn die Organisation nicht beabsichtigt, eine formelle Zertifizierung nach ISO 27001 oder einem anderen Standard einzuführen , eine klar definierte Politik ist immer noch wichtig.
Änderungen und Unterschiede zu ISO 27002:2013
In ISO 27002:2022 ist die Kontrolle 5.1 Informationssicherheitsrichtlinien keine neue Kontrolle, sondern das Ergebnis der Zusammenführung von Kontrollen 5.1.1 Richtlinien zur Informationssicherheit mit einem 5.1.2 Überprüfung der Richtlinien zur Informationssicherheit aus ISO 27002 Revision 2013.
In ISO 27002:2022 wurde die Kontrolle 5.1 aktualisiert und enthält nun eine Beschreibung ihres Zwecks und erweiterte Umsetzungsleitlinien. Es verfügt außerdem über eine Attributtabelle, die es Benutzern ermöglicht, Steuerelemente mit Branchenterminologien abzugleichen.
In ISO 27002:2022 besagt Kontrolle 5.1, dass Informationssicherheit und themenspezifische Richtlinien definiert, vom Management genehmigt, veröffentlicht, an relevante Mitarbeiter und relevante interessierte Parteien kommuniziert und von diesen anerkannt werden sollten.
Die Informationssicherheitsrichtlinie einer Organisation sollte die Größe, Art und Sensibilität der Informationsressourcen der Organisation widerspiegeln. Es sollte auch mit Industriestandards und geltenden staatlichen Vorschriften im Einklang stehen.
Während die Kontrolle selbst im Wesentlichen der 5.1.1 von ISO 27002:2013 ähnelt, heißt es in der Version 2022 ausdrücklich, dass diese Informationssicherheitsrichtlinien regelmäßig überprüft werden sollten, und zwar auch dann, wenn Änderungen in der Informationssicherheitsumgebung auftreten. Dieser Reiter wird in Abschnitt 5.1.2 von ISO 27002:2013 behandelt.
ISO 27002: 2013 und ISO 27002: 2022 legen fest, dass die höchste Ebene der Organisation eine Sicherheitsrichtlinie definieren sollte, die von der obersten Leitung genehmigt wird und die festlegt, wie sie den Schutz ihrer Informationen überwacht. Die in den Richtlinien für beide Versionen abgedeckten Anforderungen sind jedoch unterschiedlich.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Control 5.1 2013 – 2022 Umsetzungsrichtlinien im Vergleich
In ISO 27002:2013 sollten Informationssicherheitsrichtlinien Anforderungen berücksichtigen, die durch Folgendes erstellt wurden:
- Geschäftsstrategie.
- Vorschriften, Gesetze und Verträge.
- Die aktuelle und prognostizierte Bedrohungsumgebung für die Informationssicherheit.
Die Informationssicherheitsrichtlinie sollte Aussagen zu Folgendem enthalten:
- Definition von Informationssicherheit, Zielen und Grundsätzen als Leitfaden für alle damit verbundenen Aktivitäten
Informationssicherheit. - Zuweisung allgemeiner und spezifischer Verantwortlichkeiten für das Informationssicherheitsmanagement an
definierte Rollen. - Prozesse zur Behandlung von Abweichungen und Ausnahmen.
Allerdings sind die Anforderungen der ISO 27002:2022 etwas umfassender.
Die Informationssicherheitsrichtlinie sollte Anforderungen berücksichtigen, die sich aus Folgendem ergeben:
- Geschäftsstrategie und Anforderungen.
- Vorschriften, Gesetze und Verträge.
- Die aktuellen und prognostizierten Risiken und Bedrohungen für die Informationssicherheit.
Die Informationssicherheitsrichtlinie sollte Aussagen zu Folgendem enthalten:
- Definition von Informationssicherheit.
- Informationssicherheitsziele oder der Rahmen für die Festlegung von Informationssicherheitszielen.
- Grundsätze als Leitfaden für alle Aktivitäten im Zusammenhang mit der Informationssicherheit.
- Verpflichtung zur Erfüllung der geltenden Anforderungen im Zusammenhang mit der Informationssicherheit.
- Verpflichtung zur kontinuierlichen Verbesserung des Informationssicherheitsmanagementsystems.
- Zuweisung von Verantwortlichkeiten für das Informationssicherheitsmanagement an definierte Rollen.
- Verfahren zum Umgang mit Ausnahmen und Ausnahmen.
Gleichzeitig wurden themenspezifische Richtlinien in ISO 27002:2022 überarbeitet und umfassen: Management von Informationssicherheitsvorfällen, Asset Management, Netzwerksicherheit, Management von Informationssicherheitsvorfällen und sichere Entwicklung. Einige davon in ISO 27002:2013 wurden entweder entfernt oder zusammengeführt, um einen ganzheitlicheren Rahmen zu bilden.
Neue ISO 27002-Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Rekrutierung |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Wie ISMS.Online hilft
Bei ISMS.online bietet Ihnen unser benutzerfreundliches und dennoch leistungsstarkes Cloud-System einen vollständigen Satz an Tools und Ressourcen, die Sie bei der Verwaltung Ihres eigenen ISO 27001/27002-Informationssicherheits-Managementsystems (ISMS) unterstützen, unabhängig davon, ob Sie neu sind nach ISO 27001/27002 oder bereits zertifiziert.
Unser intuitiver Schritt-für-Schritt-Workflow, unsere Tools, Frameworks, Richtlinien und Kontrollen, umsetzbare Dokumentation und Anleitung führen Sie durch den Prozess der Implementierung von ISO 27002 und machen es Ihnen einfach, den Umfang des ISMS zu definieren, Risiken zu identifizieren und Kontrollen zu implementieren unsere Algorithmen – entweder von Grund auf oder aus Best-Practice-Vorlagen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
