Was ist Kontrolle 5.2: Rollen und Verantwortlichkeiten im Bereich Informationssicherheit?
ISO 27002:2022, Kontrolle 5.2 – Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit – ist eine der wichtigsten Kontrollen in ISO 27002:2022. Es handelt sich um eine Modifikation von Control 6.1.1 in ISO 27002:2013 und es definiert, wie Organisationen Rollen und Verantwortlichkeiten im Bereich Informationssicherheit definieren und zuweisen sollten.
Rollen und Verantwortlichkeiten im Bereich Informationssicherheit erklärt
Der Leiter der Organisation, die Chief Information Security Officers (CISOs), das IT Service Management (ITSMs), die Systembesitzer und die Systembenutzer tragen alle zur Robustheit der Informationssicherheit bei. In diesem Abschnitt werden die Themen zusammengefasst und besprochen Verantwortlichkeiten derjenigen, die diese Rollen innehaben.
Der Leiter der Organisation trägt die Hauptverantwortung
Die Informationssicherheit liegt in Ihrer Verantwortung als CEO Ihrer Agentur. Darüber hinaus fungieren Sie als Akkreditierungsstelle der Organisation.
Die Informationssicherheit liegt in der Verantwortung des CISO
Für gute Praktiken im Sicherheitssektor und in der Governance sind CISOs verantwortlich. Das ist die Garantie dafür, dass diese Position vorhanden ist Die Informationssicherheit wird ordnungsgemäß verwaltet auf den höchsten Ebenen der Organisation.
Das IT Service Management (ITSM) ist für die Umsetzung von Sicherheitsmaßnahmen sowie die Bereitstellung von Fachwissen verantwortlich
Ein ITSM ist ein hochrangiger Beamter im Unternehmen. Systemadministratoren arbeiten mit dem Chief Information Security Officer zusammen, um die strategischen Anweisungen des Chief Executive umzusetzen.
Betreiber von Anlagen sind für deren Wartung und Betrieb verantwortlich
Für jedes System ist ein Eigentümer erforderlich. Daher obliegt es jedem Systembesitzer, die Einhaltung der IT-Governance-Regeln und die Erfüllung der Geschäftsanforderungen zu gewährleisten.
Systembenutzer schützen Systeme durch die Einhaltung von Richtlinien und Verfahren
Systembenutzer halten sich eher an Sicherheitsregeln und -verfahren, wenn eine starke Sicherheitskultur vorhanden ist. Jedes System birgt inhärente Gefahren, und es liegt an den Benutzern, die Verantwortung für die Minderung dieser Gefahren zu übernehmen.
Die Bewältigung dieser Kontrolle ist von entscheidender Bedeutung, um sicherzustellen, dass jeder Mitarbeiter versteht, was er ist verantwortlich, wenn es um den Datenschutz geht, Systeme und Netzwerke. Zugegebenermaßen ist dies für viele Unternehmen eine Herausforderung, insbesondere für kleine Unternehmen, in denen die Mitarbeiter normalerweise mehr als einen Hut tragen.
Attributtabelle der Steuerung 5.2
Ein Attributabschnitt ist jetzt im enthalten neueste Version von ISO 27002. Das Definieren von Attributen ist eine Möglichkeit, Steuerelemente zu klassifizieren. Dadurch können Sie Ihre Steuerungsauswahl problemlos mit der typischen Branchenterminologie abgleichen. Die Attribute für Steuerung 5.2 sind:
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Identifizieren | #Führung | #Governance und Ökosystem |
| #Integrität | #Elastizität | |||
| #Verfügbarkeit |
Verschaffen Sie sich einen Vorsprung von 81 %
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Was ist der Zweck der Kontrolle 5.2?
Der Zweck der Kontrolle 5.2 besteht darin, eine definierte, genehmigte und verstandene Struktur für die Implementierung, den Betrieb und das Management der Informationssicherheit innerhalb der Organisation zu etablieren. Dies ist eine formelle Organisationsstruktur, die die Verantwortung für die Informationssicherheit zuweist in der gesamten Organisation.
Steuerung 5.2 erklärt
Control 5.2 befasst sich mit der Implementierung, dem Betrieb und der Verwaltung von Rollen und Verantwortlichkeiten für die Informationssicherheit in einer Organisation gemäß dem in ISO 27001 definierten Rahmenwerk.
Die Kontrolle besagt, dass die Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit klar definiert sein sollten und dass alle Beteiligten ihre Rolle verstehen sollten. In der Regel werden Vermögenswerte einem bestimmten Eigentümer zugewiesen, der die Verantwortung für die tägliche Pflege übernimmt.
Abhängig von der Größe der Organisation und den verfügbaren Ressourcen kann die Informationssicherheit jedoch von einem eigenen Team übernommen werden oder den derzeitigen Mitarbeitern zusätzliche Verantwortlichkeiten zugewiesen werden.
Was dazugehört und wie die Anforderungen erfüllt werden
Die Zuweisung von Rollen und Verantwortlichkeiten für die Informationssicherheit ist von entscheidender Bedeutung, um sicherzustellen, dass die Informationssicherheit der Organisation aufrechterhalten und verbessert wird. Um den Anforderungen dieser Steuerung gerecht zu werden, sollte die Rollenverteilung formalisiert und dokumentiert werden, z. B. in Tabellenform oder in Form eines Organigramms.
- Die Organisation sollte die Verantwortlichkeiten und Verantwortlichkeiten für die Informationssicherheit innerhalb der Organisation definieren und diese bestimmten Managementfunktionen oder -rollen zuweisen.
- Diese Kontrolle soll sicherstellen, dass Klarheit hinsichtlich der verschiedenen Rollen und Verantwortlichkeiten innerhalb der Organisation besteht, um sicherzustellen, dass das Management der Informationssicherheit angemessene Aufmerksamkeit schenkt.
- Gegebenenfalls sollten zur Erfüllung dieser Aufgaben Fortbildungen für einzelne Standorte und Informationsverarbeitungsanlagen angeboten werden.
Damit soll sichergestellt werden, dass in der gesamten Organisation klare Rollen, Verantwortlichkeiten und Befugnisse zugewiesen und verstanden werden. Um eine wirksame Aufgabentrennung zu gewährleisten, sollten die Rollen und Verantwortlichkeiten in der gesamten Organisation dokumentiert, kommuniziert und einheitlich angewendet werden.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.
Unterschiede zwischen ISO 27002:2013 und 27002:2022
Wie bereits erwähnt, handelt es sich bei der Kontrolle 5.2 in ISO 27002:2022, Rollen und Verantwortlichkeiten der Informationssicherheit, nicht um eine neue Kontrolle. Hierbei handelt es sich einfach um eine modifizierte Kontrolle, die in ISO 27002:2013 als Kontrolle 6.1.1 zu finden ist.
Der Zweck der Kontrolle 5.2 wurde definiert und neue Implementierungsanweisungen wurden in die jüngste Revision von ISO 27002 aufgenommen. Während die beiden Kontrollen im Wesentlichen gleich sind, gibt es in der Version 2022 leichte Verbesserungen.
Beispielsweise besagt ISO 27002:2022, dass Personen, die eine bestimmte Informationssicherheitsfunktion übernehmen, dies tun sollten kompetent in den Kenntnissen und Fähigkeiten die für die Rolle erforderlich sind und dabei unterstützt werden, mit den Fortschritten Schritt zu halten, die mit der Rolle verbunden sind und zur Erfüllung der Verpflichtungen der Rolle erforderlich sind. Dieser Punkt ist nicht Bestandteil der Version 2013.
Darüber hinaus unterscheiden sich die Implementierungsrichtlinien beider Versionen geringfügig. Vergleichen wir Abschnitte der beiden folgenden:
ISO 27002:2013 gibt an, für welche Bereiche Einzelpersonen verantwortlich sind. Diese Bereiche sind:
a) die Vermögenswerte und Informationssicherheitsprozesse sollten identifiziert und definiert werden;
b) Die für jeden Asset- oder Informationssicherheitsprozess verantwortliche Stelle sollte benannt werden und die Einzelheiten dieser Verantwortung sollten dokumentiert werden.
c) Berechtigungsstufen sollten definiert und dokumentiert werden;
d) Um ihre Aufgaben im Bereich der Informationssicherheit erfüllen zu können, sollten die ernannten Personen über Fachkenntnisse in diesem Bereich verfügen und die Möglichkeit erhalten, sich über die Entwicklungen auf dem Laufenden zu halten.
e) Koordination und Überwachung von Aspekte der Informationssicherheit der Lieferantenbeziehungen sollten identifiziert und dokumentiert werden.
ISO 27002:2022 ist komprimierter. Darin heißt es lediglich, dass die Organisation Verantwortlichkeiten definieren und verwalten sollte für:
a) Schutz von Informationen und anderen damit verbundenen Vermögenswerten;
b) Durchführung spezifischer Informationssicherheitsprozesse;
c) Risikomanagement im Bereich der Informationssicherheit Aktivitäten und insbesondere Übernahme von Restrisiken (z. B. gegenüber Risikoeignern);
d) Alle Mitarbeiter, die Informationen und andere damit verbundene Vermögenswerte einer Organisation nutzen.
Beide Kontrollversionen schlagen jedoch vor, dass Organisationen einen Informationssicherheitsmanager ernennen können, der die Gesamtverantwortung für die Entwicklung und Umsetzung der Informationssicherheit übernimmt und die Identifizierung von Kontrollen unterstützt.
Compliance muss nicht kompliziert sein.
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Wer ist für diesen Prozess verantwortlich?
Ein Informationssicherheitsmanager wird häufig von Unternehmen ernannt, um die Erstellung und Ausführung von Sicherheitsmaßnahmen zu überwachen und bei der Erkennung potenzieller Bedrohungen und Kontrollen zu helfen.
Ressourcenbeschaffung und die Kontrollen einführen liegt in der Regel bei einzelnen Managern. Eine häufige Praxis besteht darin, für jeden Vermögenswert eine Person zu benennen, die dann für die laufende Sicherheit des Vermögenswerts verantwortlich ist.
Neue ISO 27002-Kontrollen
Neue Steuerelemente
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Schirmungsmaß |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Wie ISMS.online hilft
Von Ihnen wird nicht viel erwartet, um die Anforderungen der neuen Norm ISO 27002:2022 zu erfüllen, außer Modernisierung Ihres ISMS Prozesse, um die verbesserten Kontrollen widerzuspiegeln. Wenn Ihr internes Team dies nicht bewältigen kann, kann ISMS.online helfen.
ISMS.online bietet nicht nur ein ausgefeiltes cloudbasiertes Framework zur Dokumentation von ISMS-Verfahren und Checklisten zur Sicherstellung der Einhaltung etablierter Normen, sondern optimiert auch den ISO 27001-Zertifizierungsprozess und den ISO 27002-Implementierungsprozess.
Alle deine ISMS-Lösungen können dank unserer cloudbasierten Software an einem zentralen Ort verwaltet werden. Mit unserer benutzerfreundlichen Anwendung können Sie den Überblick über alles behalten, was gerade passiert erforderlich, um die Konformität mit ISO zu überprüfen 2K7-Spezifikationen.
Die Implementierung von ISO 27002 wird durch unseren intuitiven Schritt-für-Schritt-Workflow und Tools vereinfacht, die Frameworks, Richtlinien und Kontrollen, umsetzbare Dokumentation und Anleitung umfassen. Sie können die definieren Geltungsbereich des ISMS, identifizieren Sie Risiken und implementieren Sie Kontrollen über unsere Plattform – mit nur wenigen Klicks.
Darüber hinaus verfügen wir über ein internes Team von IT-Spezialisten, das Ihnen mit Rat und Tat zur Seite steht, damit Sie Ihren Kunden die Einhaltung von Standards und Ihr Engagement für die Informationssicherheit nachweisen können.
Um mehr darüber zu erfahren, wie ISMS.online Sie beim Erreichen Ihrer ISO 2K7-Ziele unterstützen kann, rufen Sie uns bitte unter +44 (0)1273 041140 an.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Zum Thema springen
Lassen Sie sich bis zu 5 x schneller zertifizieren
Füllen Sie einfach die Lücken aus.
Live-Demo anfordern Angebotsanfrage
