Zum Inhalt
ISMS.online

ISO 27002:2022 – Kontrolle 5.14 – Informationsübertragung

Wenn Informationen an interne oder externe Parteien weitergegeben werden, entsteht ein erhöhtes Risiko für die Vertraulichkeit, Integrität, Verfügbarkeit usw Sicherheit von Informationen übermittelt. Kontrolle 5.14 umfasst die Anforderungen, die Organisationen erfüllen müssen, um die Sicherheit von Daten zu gewährleisten, wenn diese intern weitergegeben werden oder aus der Organisation an Dritte weitergegeben werden.

Autorin
Sam Peters
Aktualisiert Juli 25, 2025
4 / 5 Sterne

Zweck der Kontrolle 5.14

Kontrolle 5.14 ist eine präventive Art der Kontrolle, die von Organisationen verlangt, geeignete Regeln, Verfahren und/oder Vereinbarungen einzuführen, um die Sicherheit von Daten zu gewährleisten, wenn diese innerhalb einer Organisation geteilt oder an Dritte übermittelt werden.

Kontrollattribute 5.14

Steuerungstyp Eigenschaften der Informationssicherheit Cybersicherheitskonzepte Operative Fähigkeiten Sicherheitsdomänen
#Präventiv #Vertraulichkeit #Schützen #Vermögensverwaltung #Schutz
#Integrität #Informationsschutz
#Verfügbarkeit

Eigentum an der Kontrolle 5.14

Während die Entwicklung und Umsetzung von Regeln, Verfahren und Vereinbarungen die Unterstützung und Genehmigung der obersten Führungsebene erfordert, ist die Zusammenarbeit und das Fachwissen verschiedener Interessengruppen innerhalb einer Organisation, einschließlich der Rechtsabteilung, der IT-Mitarbeiter und der oberen Führungsebene, von entscheidender Bedeutung .

Beispielsweise sollte die Rechtsabteilung sicherstellen, dass die Organisation Transfervereinbarungen mit Dritten abschließt und dass diese Vereinbarungen den in Kontrolle 5.14 festgelegten Anforderungen entsprechen. Ebenso sollte sich das IT-Team aktiv an der Definition und Implementierung von Kontrollen beteiligen, um die Datensicherheit gemäß 5.14 zu gewährleisten.



ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Allgemeine Leitlinien zur Kontrolle 5.14

Die Einhaltung von 5.14 erfordert die Entwicklung von Regeln, Verfahren und Vereinbarungen, einschließlich einer themenspezifischen Informationsübertragungsrichtlinie, die den übertragenen Daten ein Schutzniveau bietet, das der diesen Informationen zugewiesenen Klassifizierung entspricht.

Mit anderen Worten: Das Schutzniveau sollte dem Grad der Kritikalität und Sensibilität der übermittelten Informationen entsprechen.

Darüber hinaus legt Control 5.14 fest, dass Organisationen Übertragungsvereinbarungen mit Empfänger-Drittparteien unterzeichnen müssen, um eine sichere Datenübertragung zu gewährleisten.

Control 5.14 gruppiert die Übertragungsarten in drei Kategorien:

  • Elektronische Übertragung
  • Übertragung physischer Speichermedien
  • Mündliche Übertragung

Bevor mit der Beschreibung der spezifischen Anforderungen für jede Art von Übertragung fortgefahren wird, listet Control 5.14 die Elemente auf, die in allen Regeln, Verfahren und Vereinbarungen für alle drei Arten von Übertragungen im Allgemeinen enthalten sein müssen:

  • Organisationen müssen Kontrollen definieren der Klassifizierungsebene angemessen sein der Informationen, um die übertragenen Informationen vor unbefugtem Zugriff, Änderung, Abfangen, Kopieren, Zerstörung und Denial-of-Service-Angriffen zu schützen.
  • Eine Organisation muss während des Transports die Kontrolle über die Produktkette behalten und Kontrollen definieren und implementieren, um die Rückverfolgbarkeit von Informationen sicherzustellen.
  • Relevante Parteien, die an der Informationsübermittlung beteiligt sind, sollten definiert und ihre Kontaktdaten angegeben werden. Dazu können Informationseigentümer und Sicherheitsbeauftragte gehören.
  • Zuweisung von Haftung im Falle einer Datenschutzverletzung tritt ein.
  • Verwendung eines Etikettiersystems.
  • Sicherstellung der Verfügbarkeit des Transferdienstes.
  • Erstellung themenspezifischer Richtlinien zu den Methoden der Informationsvermittlung.
  • Richtlinien für die Speicherung und Löschung aller Geschäftsunterlagen, einschließlich Nachrichten.
  • Analyse der Auswirkungen, die geltende Gesetze, Vorschriften oder andere Verpflichtungen auf die Übertragung haben können.


Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Ergänzende Anleitung zur elektronischen Übertragung

Nach der Auflistung der Mindestinhaltsanforderungen für Regeln, Verfahren und Vereinbarungen, die für alle drei Übertragungsarten gelten, listet Control 5.14 spezifische Inhaltsanforderungen für jede Übertragungsart auf.

Regeln, Vereinbarungen und Verfahren sollten die folgenden Probleme bei der elektronischen Übermittlung von Informationen berücksichtigen:

  • Erkennung und Abwehr von Malware-Angriffen.
  • Schutz vertraulicher Informationen, die in den übertragenen Anhängen enthalten sind.
  • Sicherstellen, dass alle Mitteilungen an die richtigen Empfänger gesendet werden Risiko, Mitteilungen an falsche E-Mail-Adressen zu senden, Adressen oder Telefonnummern werden eliminiert.
  • Vor Beginn der Nutzung öffentlicher Kommunikationsdienste ist die vorherige Genehmigung einzuholen.
  • Implementierung strengerer Authentifizierungsmethoden bei der Datenübertragung über öffentliche Netzwerke.
  • Einführung von Einschränkungen bei der Nutzung elektronischer Kommunikationsdienste, beispielsweise das Verbot der automatischen Weiterleitung.
  • Weisen Sie das Personal darauf hin, keine Kurznachrichten- oder Instant-Message-Dienste zur Weitergabe vertraulicher Daten zu nutzen, da diese Inhalte möglicherweise von Unbefugten im öffentlichen Raum eingesehen werden.
  • Beratung des Personals und anderer relevanter Parteien zu diesem Thema Sicherheitsrisiken Risiken, die Faxgeräte mit sich bringen, wie z. B. das Risiko eines unbefugten Zugriffs oder der Umleitung von Nachrichten an bestimmte Nummern.

Ergänzende Anleitung zur Übertragung physischer Speichermedien

Wenn Informationen über physische Mittel wie Papiere weitergegeben werden, sollten die Regeln, Verfahren und Vereinbarungen Folgendes abdecken:

  • Zuweisung der Verantwortlichkeiten für die Benachrichtigung über Übermittlung, Versand und Empfang.
  • Sicherstellung der korrekten Adressierung und Übermittlung der Nachricht.
  • Die Verpackung eliminiert das Risiko einer Beschädigung des Inhalts, die beim Transport des Inhalts entstehen kann. Beispielsweise sollte die Verpackung so gut sein, dass sie nicht durch Hitze oder Feuchtigkeit beeinträchtigt wird.
  • Eine Liste zuverlässiger Kuriere, die von der Geschäftsleitung genehmigt und autorisiert wurden.
  • Beschreibung der Standards zur Kurieridentifizierung.
  • Verwendung manipulationssicherer Kontrollen wie Taschen, wenn der Grad der Sensibilität und Kritikalität der Informationen dies erfordert.
  • Verfahren zur Überprüfung der Identität von Kurieren.
  • Genehmigte Liste von Drittanbietern, die je nach Klassifizierungsstufe Transport- oder Kurierdienste anbieten.
  • Führen Sie Protokollaufzeichnungen über den Zeitpunkt der Lieferung, die Liste der autorisierten Empfänger, die angewendeten Schutzmaßnahmen und den Empfang am Bestimmungsort.

Ergänzende Anleitung zur mündlichen Übertragung

Control 5.14 besagt, dass Mitarbeiter beim Austausch von Informationen innerhalb der Organisation oder bei der Übermittlung von Daten an externe Parteien über die folgenden Risiken informiert werden sollten:

  • Sie sollten vertrauliche Gespräche über unsichere öffentliche Kanäle oder im öffentlichen Raum vermeiden.
  • Sie sollten keine Sprachnachrichten hinterlassen, die vertrauliche Informationen enthalten, da das Risiko einer Wiedergabe durch Unbefugte und das Risiko einer Weiterleitung der Nachricht besteht dritte seite.
  • Jede Person, ob Mitarbeiter oder andere relevante Dritte, sollte überprüft werden, bevor sie den Gesprächen zuhören darf.
  • Räume, in denen vertrauliche Gespräche stattfinden, sollten mit entsprechenden Maßnahmen wie Schallschutz ausgestattet sein.
  • Sie sollten eine Haftungsausschlusserklärung abgeben, bevor sie ein sensibles Gespräch führen.


ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Änderungen und Unterschiede zu ISO 27002:2013

27002:2022/5.14 ersetzt 27002:2013/(13.2.1, 13.2.2. 13.2.3).

Obwohl die beiden Steuerelemente in gewissem Maße ähnlich sind, machen zwei wesentliche Unterschiede die Anforderungen der Version 2022 anspruchsvoller.

Spezifische Anforderungen für elektrische, physische und verbale Übertragungen

In der Version 2013 Abschnitt 13.2.3 auf die spezifischen Anforderungen eingegangen für die Übermittlung von Informationen per elektronischer Nachrichtenübermittlung.

Es wurde jedoch nicht gesondert auf die mündliche oder physische Übermittlung von Informationen eingegangen.

Im Gegensatz dazu identifiziert die Version 2022 klar drei Arten der Informationsübermittlung und legt dann die inhaltlichen Anforderungen für jede davon separat fest.

Die Version 2022 stellt strengere Anforderungen für die elektronische Übertragung

Während Abschnitt 13.2.3 spezifische Anforderungen an den Inhalt von Vereinbarungen zur elektronischen Nachrichtenübermittlung enthielt, erlegt die Version 2022 strengere Verpflichtungen für Organisationen auf.

Die Version 2022 verlangt von Organisationen, neue Kontrollen in den Regeln, Verfahren und Vereinbarungen für elektronische Überweisungen zu beschreiben und zu implementieren.

Beispielsweise sollten Organisationen ihren Mitarbeitern raten, SMS-Dienste nicht zu nutzen, wenn diese vertrauliche Informationen enthalten.

Detailliertere Anforderungen für physische Übertragungen

Die Version 2022 stellt strengere Anforderungen an die Übertragung physischer Speichermedien. Die Anforderungen sind beispielsweise umfassender im Hinblick auf die Authentifizierung von Kurieren und die Arten von Schäden, die verhindert werden sollten.

Strukturelle Veränderungen

In der Fassung von 2013 wurde ausdrücklich auf konkrete Anforderungen an Vereinbarungen zur Informationsübermittlung hingewiesen. Auf die „Regeln“ und „Verfahren“ wurde jedoch nicht speziell eingegangen.

Im Gegensatz dazu legt die Version 2022 die spezifischen Anforderungen für jeden dieser drei Mechanismen fest.

Neue ISO 27002-Kontrollen

Neue Steuerelemente
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.7 NEU Bedrohungsinformationen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30 NEU IKT-Bereitschaft für Geschäftskontinuität
7.4 NEU Physische Sicherheitsüberwachung
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.16 NEU Überwachungsaktivitäten
8.23 NEU Web-Filter
8.28 NEU Sichere Codierung
Organisatorische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.1 05.1.1, 05.1.2 Richtlinien zur Informationssicherheit
5.2 06.1.1 Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3 06.1.2 Aufgabentrennung
5.4 07.2.1 Führungsaufgaben
5.5 06.1.3 Kontakt mit Behörden
5.6 06.1.4 Kontakt zu speziellen Interessengruppen
5.7 NEU Bedrohungsinformationen
5.8 06.1.5, 14.1.1 Informationssicherheit im Projektmanagement
5.9 08.1.1, 08.1.2 Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10 08.1.3, 08.2.3 Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11 08.1.4 Rückgabe von Vermögenswerten
5.12 08.2.1 Klassifizierung von Informationen
5.13 08.2.2 Kennzeichnung von Informationen
5.14 13.2.1, 13.2.2, 13.2.3 Informationsübertragung
5.15 09.1.1, 09.1.2 Zugriffskontrolle
5.16 09.2.1 Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3 Authentifizierungsinformationen
5.18 09.2.2, 09.2.5, 09.2.6 Zugangsrechte
5.19 15.1.1 Informationssicherheit in Lieferantenbeziehungen
5.20 15.1.2 Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21 15.1.3 Management der Informationssicherheit in der IKT-Lieferkette
5.22 15.2.1, 15.2.2 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24 16.1.1 Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25 16.1.4 Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26 16.1.5 Reaktion auf Informationssicherheitsvorfälle
5.27 16.1.6 Aus Informationssicherheitsvorfällen lernen
5.28 16.1.7 Sammlung von Beweisen
5.29 17.1.1, 17.1.2, 17.1.3 Informationssicherheit bei Störungen
5.30 5.30 IKT-Bereitschaft für Geschäftskontinuität
5.31 18.1.1, 18.1.5 Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32 18.1.2 Rechte am geistigen Eigentum
5.33 18.1.3 Schutz von Aufzeichnungen
5.34 18.1.4 Privatsphäre und Schutz personenbezogener Daten
5.35 18.2.1 Unabhängige Überprüfung der Informationssicherheit
5.36 18.2.2, 18.2.3 Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37 12.1.1 Dokumentierte Betriebsabläufe
Menschenkontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
6.1 07.1.1 Rekrutierung
6.2 07.1.2 Beschäftigungsbedingungen
6.3 07.2.2 Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4 07.2.3 Disziplinarverfahren
6.5 07.3.1 Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6 13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7 06.2.2 Fernarbeit
6.8 16.1.2, 16.1.3 Berichterstattung über Informationssicherheitsereignisse
Physikalische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
7.1 11.1.1 Physische Sicherheitsbereiche
7.2 11.1.2, 11.1.6 Physischer Eintritt
7.3 11.1.3 Absicherung von Büros, Räumen und Anlagen
7.4 NEU Physische Sicherheitsüberwachung
7.5 11.1.4 Schutz vor physischen und umweltbedingten Bedrohungen
7.6 11.1.5 Arbeiten in sicheren Bereichen
7.7 11.2.9 Klarer Schreibtisch und klarer Bildschirm
7.8 11.2.1 Standort und Schutz der Ausrüstung
7.9 11.2.6 Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Speichermedium
7.11 11.2.2 Unterstützende Versorgungsunternehmen
7.12 11.2.3 Verkabelungssicherheit
7.13 11.2.4 Wartung der Ausrüstung
7.14 11.2.7 Sichere Entsorgung oder Wiederverwendung von Geräten
Technologische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
8.1 06.2.1, 11.2.8 Benutzerendpunktgeräte
8.2 09.2.3 Privilegierte Zugriffsrechte
8.3 09.4.1 Beschränkung des Informationszugriffs
8.4 09.4.5 Zugriff auf Quellcode
8.5 09.4.2 Sichere Authentifizierung
8.6 12.1.3 Kapazitätsmanagement
8.7 12.2.1 Schutz vor Malware
8.8 12.6.1, 18.2.3 Management technischer Schwachstellen
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.13 12.3.1 Informationssicherung
8.14 17.2.1 Redundanz der Informationsverarbeitungseinrichtungen
8.15 12.4.1, 12.4.2, 12.4.3 Protokollierung
8.16 NEU Überwachungsaktivitäten
8.17 12.4.4 Uhrzeitsynchronisation
8.18 09.4.4 Verwendung privilegierter Hilfsprogramme
8.19 12.5.1, 12.6.2 Installation von Software auf Betriebssystemen
8.20 13.1.1 Netzwerksicherheit
8.21 13.1.2 Sicherheit von Netzwerkdiensten
8.22 13.1.3 Trennung von Netzwerken
8.23 NEU Web-Filter
8.24 10.1.1, 10.1.2 Verwendung von Kryptographie
8.25 14.2.1 Sicherer Entwicklungslebenszyklus
8.26 14.1.2, 14.1.3 Anforderungen an die Anwendungssicherheit
8.27 14.2.5 Sichere Systemarchitektur und technische Prinzipien
8.28 NEU Sichere Codierung
8.29 14.2.8, 14.2.9 Sicherheitstests in Entwicklung und Abnahme
8.30 14.2.7 Ausgelagerte Entwicklung
8.31 12.1.4, 14.2.6 Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Änderungsmanagement
8.33 14.3.1 Testinformationen
8.34 12.7.1 Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

ISO 27002 Die Implementierung wird einfacher mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, von der Definition des Umfangs Ihres ISMS über die Risikoidentifizierung bis hin zur Kontrollimplementierung.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Sam Peters

Sam ist Chief Product Officer bei ISMS.online und leitet die Entwicklung aller Produktmerkmale und -funktionen. Sam ist ein Experte in vielen Compliance-Bereichen und arbeitet mit Kunden an maßgeschneiderten oder groß angelegten Projekten.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.