Kontrolle 5.11 besagt, dass Personal und andere interessierte Parteien Gegebenenfalls sollten sie bei Änderung oder Beendigung ihres Arbeitsverhältnisses, Vertrags oder ihrer Vereinbarung alle in ihrem Besitz befindlichen Vermögenswerte der Organisation zurückgeben.
Das bedeutet, dass die Organisation über eine schriftliche Richtlinie verfügen muss, die klare Regeln für die Rückgabe von Vermögenswerten bei einer Kündigung festlegt. Organisationen müssen außerdem über Personal verfügen, das den Erhalt zurückgegebener Vermögenswerte bestätigt Stellen Sie sicher, dass die Vermögenswerte ordnungsgemäß inventarisiert sind und abgerechnet.
An Informationsvermögen ist jede Art von Daten oder Informationen, die für eine Organisation von Wert sind. Zu den Informationsressourcen können physische Dokumente, digitale Dateien und Datenbanken, Softwareprogramme und sogar immaterielle Gegenstände wie Geschäftsgeheimnisse und geistiges Eigentum gehören.
Informationsressourcen können auf verschiedene Weise einen Wert haben. Sie können enthalten personenbezogene Daten (PII) über Kunden, Mitarbeiter oder andere Stakeholder, die von böswilligen Akteuren zur finanziellen Bereicherung oder zum Identitätsdiebstahl genutzt werden könnten. Sie könnten sensible Informationen über die Finanzen, die Forschung oder den Betrieb Ihrer Organisation enthalten, die Ihren Konkurrenten einen Wettbewerbsvorteil verschaffen würden, wenn sie in die Hände dieser gelangen könnten.
Aus diesem Grund ist es wichtig, dass Mitarbeiter und Auftragnehmer, deren Geschäftsbeziehungen mit einer Organisation beendet werden, verpflichtet werden, alle in ihrem Besitz befindlichen Vermögenswerte zurückzugeben.
The new ISO 27002:2022-Standard Enthält Attributtabellen, die im vorherigen Standard von 2013 nicht enthalten waren. Steuerelemente werden anhand ihrer Attribute klassifiziert. Sie können diese Attribute auch verwenden, um Ihre Steuerelementauswahl mit häufig verwendeten Branchenbegriffen und -spezifikationen abzugleichen.
Attribute für Control 5.11 sind:
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Vermögensverwaltung | #Schutz |
Wir sind kostengünstig und schnell
Die Kontrolle 5.11 soll die Vermögenswerte der Organisation im Rahmen des Prozesses der Änderung oder Beendigung von Arbeitsverhältnissen, Verträgen oder Vereinbarungen schützen. Der Zweck dieser Kontrolle besteht darin, zu verhindern, dass unbefugte Personen Vermögenswerte (z. B. Geräte, Informationen, Software usw.) behalten, die der Organisation gehören.
Wenn Mitarbeiter und Auftragnehmer Ihr Unternehmen verlassen, müssen Sie sicherstellen, dass diese keine sensiblen Daten mitnehmen. Dies erreichen Sie, indem Sie potenzielle Bedrohungen identifizieren und die Aktivitäten des Benutzers überwachen, bevor er ihn verlässt.
Durch diese Kontrolle soll sichergestellt werden, dass die betroffene Person bei deren Beendigung keinen Zugriff auf die IT-Systeme und Netzwerke hat. Organisationen sollten einen formellen Kündigungsprozess einrichten, der sicherstellt, dass Einzelpersonen nach ihrem Ausscheiden aus der Organisation keinen Zugriff auf IT-Systeme erhalten. Dies kann durch den Widerruf aller Berechtigungen, die Sperrung von Konten und die Sperrung des Zugangs zum Gebäudegelände erfolgen.
Es sollten Verfahren vorhanden sein, um sicherzustellen, dass Mitarbeiter, Auftragnehmer und andere relevante Parteien alle Vermögenswerte der Organisation zurückgeben, die nicht mehr für Geschäftszwecke benötigt werden oder ersetzt werden müssen. Unternehmen möchten möglicherweise auch eine abschließende Überprüfung des Arbeitsbereichs der Person durchführen, um sicherzustellen, dass alle vertraulichen Informationen zurückgegeben wurden.
Beispielsweise:
Um die Anforderungen für Kontrolle 5.11 zu erfüllen, sollte der Änderungs- oder Beendigungsprozess so formalisiert werden, dass er die Rückgabe aller zuvor ausgegebenen physischen und elektronischen Vermögenswerte umfasst, die der Organisation gehören oder ihr anvertraut wurden.
Der Prozess sollte auch sicherstellen, dass sämtliche Zugriffsrechte, Konten, digitalen Zertifikate und Passwörter entfernt werden. Diese Formalisierung ist besonders wichtig in Fällen, in denen eine Änderung oder Beendigung unerwartet erfolgt, wie z. B. Tod oder Rücktritt, um einen unbefugten Zugriff auf die Vermögenswerte der Organisation zu verhindern, der dazu führen könnte zu einer Datenpanne führen.
Der Prozess sollte sicherstellen, dass alle Vermögenswerte erfasst werden und dass sie alle auf sichere Weise zurückgegeben/entsorgt wurden.
Gemäß Kontrolle 5.11 der ISO 27002:2022 sollte die Organisation eindeutig sein alle Informationen identifizieren und dokumentieren und andere zugehörige Vermögenswerte, die zurückgegeben werden sollen, darunter:
a) Benutzer-Endpunktgeräte;
b) Tragbare Speichergeräte;
c) Spezialausrüstung;
d) Authentifizierungshardware (z. B. mechanische Schlüssel, physische Token und Smartcards) für Informationssysteme, Standorte und physische Archive;
e) physische Kopien von Informationen.
Dies kann durch eine formelle Checkliste erreicht werden, die alle notwendigen Elemente enthält, die zurückgegeben/entsorgt werden müssen, und die der Benutzer bei der Kündigung ausfüllen muss, zusammen mit allen erforderlichen Unterschriften, die bestätigen, dass die Vermögenswerte erfolgreich zurückgegeben/entsorgt wurden.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
Die neue Revision 2022 von ISO 27002 wurde am 15. Februar 2022 veröffentlicht und ist eine Aktualisierung von ISO 27002:2013.
Die Kontrolle 5.11 in ISO 27002:2022 ist keine neue Kontrolle, sondern eine Modifikation der Kontrolle 8.1.4 – Rückgabe von Vermögenswerten in ISO 27002:2013.
Beide Steuerelemente sind im Wesentlichen gleich und weisen in den Implementierungsrichtlinien eine nahezu ähnliche Sprache und Ausdrucksweise auf. Jedoch, Kontrolle 5.11 in ISO 27002:2022 verfügt über eine Attributtabelle, die es Benutzern ermöglicht, das Steuerelement mit dem abzugleichen, was sie implementieren. Kontrollieren Sie außerdem 5.11 der in ISO 27002:2022 aufgeführten Vermögenswerte, die unter das fallen können, was bei Beendigung des Arbeitsverhältnisses oder bei Beendigung des Vertrags zurückgegeben werden sollte.
Diese umfassen:
a) Benutzer-Endpunktgeräte;
b) Tragbare Speichergeräte;
c) Spezialausrüstung;
d) Authentifizierungshardware (z. B. mechanische Schlüssel, physische Token und Smartcards) für Informationssysteme, Standorte und physische Archive;
e) physische Kopien von Informationen.
Diese Liste ist in der Version 2013 nicht verfügbar.
Der aktualisierte ISO 27002:2022-Standard basiert auf der Version von 2013. Das Komitee, das den Standard überwacht, hat keine wesentlichen Aktualisierungen oder Änderungen an den Vorgängerversionen vorgenommen. Daher erfüllt jede Organisation, die derzeit ISO 27002:2013 einhält, bereits die neue Norm. Wenn Ihr Unternehmen die Einhaltung von ISO 27002 aufrechterhalten möchte, müssen Sie nicht viele wesentliche Änderungen an Ihren Systemen und Prozessen vornehmen.
In unserem Leitfaden zu ISO 5.11:27002 können Sie jedoch mehr darüber erfahren, wie sich diese Änderungen an Control 2022 auf Ihr Unternehmen auswirken werden.
Die ISMS.online-Plattform ist ein großartiges Tool, das Sie bei der Implementierung und Verwaltung einer ISO 27001/27002 unterstützt Informationssicherheits-Managementsystem, unabhängig von Ihrer Erfahrung mit dem Standard.
Unser System führt Sie durch die einzelnen Schritte Ihr ISMS erfolgreich eingerichtet und es in Zukunft verwalten. Sie haben Zugriff auf eine Vielzahl von Ressourcen, darunter:
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
