Was ist Kontrolle 5.11, Rückgabe von Vermögenswerten?
An Informationsvermögen ist jede Art von Daten oder Informationen, die für eine Organisation von Wert sind. Zu den Informationsressourcen können physische Dokumente, digitale Dateien und Datenbanken, Softwareprogramme und sogar immaterielle Gegenstände wie Geschäftsgeheimnisse und geistiges Eigentum gehören.
Informationsressourcen können auf verschiedene Weise einen Wert haben. Sie können enthalten personenbezogene Daten (PII) über Kunden, Mitarbeiter oder andere Stakeholder, die von böswilligen Akteuren zur finanziellen Bereicherung oder zum Identitätsdiebstahl genutzt werden könnten. Sie könnten sensible Informationen über die Finanzen, die Forschung oder den Betrieb Ihrer Organisation enthalten, die Ihren Konkurrenten einen Wettbewerbsvorteil verschaffen würden, wenn sie in die Hände dieser gelangen könnten.
Aus diesem Grund ist es wichtig, dass Mitarbeiter und Auftragnehmer, deren Geschäftsbeziehungen mit einer Organisation beendet werden, verpflichtet werden, alle in ihrem Besitz befindlichen Vermögenswerte zurückzugeben.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Kontrollattribute 5.11
The new ISO 27002:2022-Standard Enthält Attributtabellen, die im vorherigen Standard von 2013 nicht enthalten waren. Steuerelemente werden anhand ihrer Attribute klassifiziert. Sie können diese Attribute auch verwenden, um Ihre Steuerelementauswahl mit häufig verwendeten Branchenbegriffen und -spezifikationen abzugleichen.
Attribute für Control 5.11 sind:
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Vermögensverwaltung | #Schutz |
| #Integrität | ||||
| #Verfügbarkeit |
Was ist der Zweck der Kontrolle 5.11?
Die Kontrolle 5.11 soll die Vermögenswerte der Organisation im Rahmen des Prozesses der Änderung oder Beendigung von Arbeitsverhältnissen, Verträgen oder Vereinbarungen schützen. Der Zweck dieser Kontrolle besteht darin, zu verhindern, dass unbefugte Personen Vermögenswerte (z. B. Geräte, Informationen, Software usw.) behalten, die der Organisation gehören.
Wenn Mitarbeiter und Auftragnehmer Ihr Unternehmen verlassen, müssen Sie sicherstellen, dass diese keine sensiblen Daten mitnehmen. Dies erreichen Sie, indem Sie potenzielle Bedrohungen identifizieren und die Aktivitäten des Benutzers überwachen, bevor er ihn verlässt.
Durch diese Kontrolle soll sichergestellt werden, dass die betroffene Person bei deren Beendigung keinen Zugriff auf die IT-Systeme und Netzwerke hat. Organisationen sollten einen formellen Kündigungsprozess einrichten, der sicherstellt, dass Einzelpersonen nach ihrem Ausscheiden aus der Organisation keinen Zugriff auf IT-Systeme erhalten. Dies kann durch den Widerruf aller Berechtigungen, die Sperrung von Konten und die Sperrung des Zugangs zum Gebäudegelände erfolgen.
Es sollten Verfahren vorhanden sein, um sicherzustellen, dass Mitarbeiter, Auftragnehmer und andere relevante Parteien alle Vermögenswerte der Organisation zurückgeben, die nicht mehr für Geschäftszwecke benötigt werden oder ersetzt werden müssen. Unternehmen möchten möglicherweise auch eine abschließende Überprüfung des Arbeitsbereichs der Person durchführen, um sicherzustellen, dass alle vertraulichen Informationen zurückgegeben wurden.
Beispielsweise:
- Bei der Trennung werden organisationseigene Geräte eingesammelt (z. B. Wechseldatenträger, Laptops).
- Auftragnehmer geben Ausrüstung und Informationen am Ende ihres Vertrags zurück.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Was dazugehört und wie man die Anforderungen erfüllt
Um die Anforderungen für Kontrolle 5.11 zu erfüllen, sollte der Änderungs- oder Beendigungsprozess so formalisiert werden, dass er die Rückgabe aller zuvor ausgegebenen physischen und elektronischen Vermögenswerte umfasst, die der Organisation gehören oder ihr anvertraut wurden.
Der Prozess sollte auch sicherstellen, dass sämtliche Zugriffsrechte, Konten, digitalen Zertifikate und Passwörter entfernt werden. Diese Formalisierung ist besonders wichtig in Fällen, in denen eine Änderung oder Beendigung unerwartet erfolgt, wie z. B. Tod oder Rücktritt, um einen unbefugten Zugriff auf die Vermögenswerte der Organisation zu verhindern, der dazu führen könnte zu einer Datenpanne führen.
Der Prozess sollte sicherstellen, dass alle Vermögenswerte erfasst werden und dass sie alle auf sichere Weise zurückgegeben/entsorgt wurden.
Gemäß Kontrolle 5.11 der ISO 27002:2022 sollte die Organisation eindeutig sein alle Informationen identifizieren und dokumentieren und andere zugehörige Vermögenswerte, die zurückgegeben werden sollen, darunter:
a) Benutzer-Endpunktgeräte;
b) Tragbare Speichergeräte;
c) Spezialausrüstung;
d) Authentifizierungshardware (z. B. mechanische Schlüssel, physische Token und Smartcards) für Informationssysteme, Standorte und physische Archive;
e) physische Kopien von Informationen.
Dies kann durch eine formelle Checkliste erreicht werden, die alle notwendigen Elemente enthält, die zurückgegeben/entsorgt werden müssen, und die der Benutzer bei der Kündigung ausfüllen muss, zusammen mit allen erforderlichen Unterschriften, die bestätigen, dass die Vermögenswerte erfolgreich zurückgegeben/entsorgt wurden.
Unterschiede zwischen ISO 27002:2013 und ISO 27002:2022
Die neue Revision 2022 von ISO 27002 wurde am 15. Februar 2022 veröffentlicht und ist eine Aktualisierung von ISO 27002:2013.
Die Kontrolle 5.11 in ISO 27002:2022 ist keine neue Kontrolle, sondern eine Modifikation der Kontrolle 8.1.4 – Rückgabe von Vermögenswerten in ISO 27002:2013.
Beide Steuerelemente sind im Wesentlichen gleich und weisen in den Implementierungsrichtlinien eine nahezu ähnliche Sprache und Ausdrucksweise auf. Jedoch, Kontrolle 5.11 in ISO 27002:2022 verfügt über eine Attributtabelle, die es Benutzern ermöglicht, das Steuerelement mit dem abzugleichen, was sie implementieren. Kontrollieren Sie außerdem 5.11 der in ISO 27002:2022 aufgeführten Vermögenswerte, die unter das fallen können, was bei Beendigung des Arbeitsverhältnisses oder bei Beendigung des Vertrags zurückgegeben werden sollte.
Diese umfassen:
a) Benutzer-Endpunktgeräte;
b) Tragbare Speichergeräte;
c) Spezialausrüstung;
d) Authentifizierungshardware (z. B. mechanische Schlüssel, physische Token und Smartcards) für Informationssysteme, Standorte und physische Archive;
e) physische Kopien von Informationen.
Diese Liste ist in der Version 2013 nicht verfügbar.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Was bedeuten diese Veränderungen für Sie?
Der aktualisierte ISO 27002:2022-Standard basiert auf der Version von 2013. Das Komitee, das den Standard überwacht, hat keine wesentlichen Aktualisierungen oder Änderungen an den Vorgängerversionen vorgenommen. Daher erfüllt jede Organisation, die derzeit ISO 27002:2013 einhält, bereits die neue Norm. Wenn Ihr Unternehmen die Einhaltung von ISO 27002 aufrechterhalten möchte, müssen Sie nicht viele wesentliche Änderungen an Ihren Systemen und Prozessen vornehmen.
In unserem Leitfaden zu ISO 5.11:27002 können Sie jedoch mehr darüber erfahren, wie sich diese Änderungen an Control 2022 auf Ihr Unternehmen auswirken werden.
Neue ISO 27002-Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Rekrutierung |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Wie ISMS.online hilft
Die ISMS.online-Plattform ist ein großartiges Tool, das Sie bei der Implementierung und Verwaltung einer ISO 27001/27002 unterstützt Informationssicherheits-Managementsystem, unabhängig von Ihrer Erfahrung mit dem Standard.
Unser System führt Sie durch die einzelnen Schritte Ihr ISMS erfolgreich eingerichtet und es in Zukunft verwalten. Sie haben Zugriff auf eine Vielzahl von Ressourcen, darunter:
- Ein interaktives ISMS.online-Handbuch, das eine Schritt-für-Schritt-Anleitung zur Implementierung von ISO 27001/27002 in jeder Organisation bietet.
- A Risikobewertungsinstrument das Sie durch den Prozess der Identifizierung und Bewertung Ihrer Risiken führt.
- Ein online Richtlinienpaket das ganz einfach an Ihre Bedürfnisse angepasst werden kann.
- Ein Dokumentenkontrollsystem, das Ihnen bei der Verwaltung jedes einzelnen Dokuments und Datensatzes hilft, der im Rahmen Ihres ISMS erstellt wird.
- Automatische Berichterstattung für eine bessere Entscheidungsfindung.
- Eine Checkliste, mit der Sie überprüfen können, ob Ihre Prozesse dem ISO 27002-Framework entsprechen. Am Ende verfügt unsere cloudbasierte Plattform über alles, was Sie brauchen, um den Nachweis der Einhaltung des ISO-Frameworks zu dokumentieren.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
