Wenn Informationen an interne oder externe Parteien weitergegeben werden, entsteht ein erhöhtes Risiko für die Vertraulichkeit, Integrität, Verfügbarkeit usw Sicherheit von Informationen übertragen.
Kontrolle 5.14 beinhaltet die Anforderungen, die Organisationen erfüllen müssen, um die Sicherheit von Daten zu gewährleisten, wenn diese intern weitergegeben werden oder wenn sie aus der Organisation an Dritte weitergegeben werden.
Kontrolle 5.14 ist eine präventive Art der Kontrolle, die von Organisationen verlangt, geeignete Regeln, Verfahren und/oder Vereinbarungen einzuführen, um die Sicherheit von Daten zu gewährleisten, wenn diese innerhalb einer Organisation geteilt oder an Dritte übermittelt werden.
Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
---|---|---|---|---|
#Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Vermögensverwaltung #Informationsschutz | #Schutz |
Während die Entwicklung und Umsetzung von Regeln, Verfahren und Vereinbarungen die Unterstützung und Genehmigung der obersten Führungsebene erfordert, ist die Zusammenarbeit und das Fachwissen verschiedener Interessengruppen innerhalb einer Organisation, einschließlich der Rechtsabteilung, der IT-Mitarbeiter und der oberen Führungsebene, von entscheidender Bedeutung .
Beispielsweise sollte die Rechtsabteilung sicherstellen, dass die Organisation Transfervereinbarungen mit Dritten abschließt und dass diese Vereinbarungen den in Kontrolle 5.14 festgelegten Anforderungen entsprechen. Ebenso sollte sich das IT-Team aktiv an der Definition und Implementierung von Kontrollen beteiligen, um die Datensicherheit gemäß 5.14 zu gewährleisten.
Die Einhaltung von 5.14 erfordert die Entwicklung von Regeln, Verfahren und Vereinbarungen, einschließlich einer themenspezifischen Informationsübertragungsrichtlinie, die den übertragenen Daten ein Schutzniveau bietet, das der diesen Informationen zugewiesenen Klassifizierung entspricht.
Mit anderen Worten: Das Schutzniveau sollte dem Grad der Kritikalität und Sensibilität der übermittelten Informationen entsprechen.
Darüber hinaus legt Control 5.14 fest, dass Organisationen Übertragungsvereinbarungen mit Empfänger-Drittparteien unterzeichnen müssen, um eine sichere Datenübertragung zu gewährleisten.
Control 5.14 gruppiert die Übertragungsarten in drei Kategorien:
Bevor mit der Beschreibung der spezifischen Anforderungen für jede Art von Übertragung fortgefahren wird, listet Control 5.14 die Elemente auf, die in allen Regeln, Verfahren und Vereinbarungen für alle drei Arten von Übertragungen im Allgemeinen enthalten sein müssen:
Nach der Auflistung der Mindestinhaltsanforderungen für Regeln, Verfahren und Vereinbarungen, die für alle drei Übertragungsarten gelten, listet Control 5.14 spezifische Inhaltsanforderungen für jede Übertragungsart auf.
Regeln, Vereinbarungen und Verfahren sollten die folgenden Probleme bei der elektronischen Übermittlung von Informationen berücksichtigen:
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
Wir sind kostengünstig und schnell
Wenn Informationen über physische Mittel wie Papiere weitergegeben werden, sollten die Regeln, Verfahren und Vereinbarungen Folgendes abdecken:
Control 5.14 besagt, dass Mitarbeiter beim Austausch von Informationen innerhalb der Organisation oder bei der Übermittlung von Daten an externe Parteien über die folgenden Risiken informiert werden sollten:
27002:2022/5.14 ersetzt 27002:2013/(13.2.1, 13.2.2. 13.2.3).
Obwohl die beiden Steuerelemente in gewissem Maße ähnlich sind, machen zwei wesentliche Unterschiede die Anforderungen der Version 2022 anspruchsvoller.
In der Version 2013 Abschnitt 13.2.3 auf die spezifischen Anforderungen eingegangen für die Übermittlung von Informationen per elektronischer Nachrichtenübermittlung.
Es wurde jedoch nicht gesondert auf die mündliche oder physische Übermittlung von Informationen eingegangen.
Im Gegensatz dazu identifiziert die Version 2022 klar drei Arten der Informationsübermittlung und legt dann die inhaltlichen Anforderungen für jede davon separat fest.
Während Abschnitt 13.2.3 spezifische Anforderungen an den Inhalt von Vereinbarungen zur elektronischen Nachrichtenübermittlung enthielt, erlegt die Version 2022 strengere Verpflichtungen für Organisationen auf.
Die Version 2022 verlangt von Organisationen, neue Kontrollen in den Regeln, Verfahren und Vereinbarungen für elektronische Überweisungen zu beschreiben und zu implementieren.
Beispielsweise sollten Organisationen ihren Mitarbeitern raten, SMS-Dienste nicht zu nutzen, wenn diese vertrauliche Informationen enthalten.
Die Version 2022 stellt strengere Anforderungen an die Übertragung physischer Speichermedien. Die Anforderungen sind beispielsweise umfassender im Hinblick auf die Authentifizierung von Kurieren und die Arten von Schäden, die verhindert werden sollten.
In der Fassung von 2013 wurde ausdrücklich auf konkrete Anforderungen an Vereinbarungen zur Informationsübermittlung hingewiesen. Auf die „Regeln“ und „Verfahren“ wurde jedoch nicht speziell eingegangen.
Im Gegensatz dazu legt die Version 2022 die spezifischen Anforderungen für jeden dieser drei Mechanismen fest.
ISO 27002 Die Implementierung wird einfacher mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, von der Definition des Umfangs Ihres ISMS über die Risikoidentifizierung bis hin zur Kontrollimplementierung.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
5.7 | Neu | Bedrohungsinformationen |
5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
7.4 | Neu | Physische Sicherheitsüberwachung |
8.9 | Neu | Konfigurationsmanagement |
8.10 | Neu | Löschung von Informationen |
8.11 | Neu | Datenmaskierung |
8.12 | Neu | Verhinderung von Datenlecks |
8.16 | Neu | Überwachungsaktivitäten |
8.23 | Neu | Web-Filter |
8.28 | Neu | Sichere Codierung |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
6.1 | 07.1.1 | Untersuchungen |
6.2 | 07.1.2 | Beschäftigungsbedingungen |
6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
6.4 | 07.2.3 | Disziplinarverfahren |
6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.7 | 06.2.2 | Fernarbeit |
6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
7.1 | 11.1.1 | Physische Sicherheitsbereiche |
7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
7.4 | Neu | Physische Sicherheitsüberwachung |
7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
7.12 | 11.2.3 | Verkabelungssicherheit |
7.13 | 11.2.4 | Wartung der Ausrüstung |
7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |