ISO 27002:2022, Kontrolle 5.2 – Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit – ist eine der wichtigsten Kontrollen in ISO 27002:2022. Es handelt sich um eine Modifikation von Control 6.1.1 in ISO 27002:2013 und es definiert, wie Organisationen Rollen und Verantwortlichkeiten im Bereich Informationssicherheit definieren und zuweisen sollten.
Der Leiter der Organisation, die Chief Information Security Officers (CISOs), das IT Service Management (ITSMs), die Systembesitzer und die Systembenutzer tragen alle zur Robustheit der Informationssicherheit bei. In diesem Abschnitt werden die Themen zusammengefasst und besprochen Verantwortlichkeiten derjenigen, die diese Rollen innehaben.
Die Informationssicherheit liegt in Ihrer Verantwortung als CEO Ihrer Agentur. Darüber hinaus fungieren Sie als Akkreditierungsstelle der Organisation.
Für gute Praktiken im Sicherheitssektor und in der Governance sind CISOs verantwortlich. Das ist die Garantie dafür, dass diese Position vorhanden ist Die Informationssicherheit wird ordnungsgemäß verwaltet auf den höchsten Ebenen der Organisation.
Ein ITSM ist ein hochrangiger Beamter im Unternehmen. Systemadministratoren arbeiten mit dem Chief Information Security Officer zusammen, um die strategischen Anweisungen des Chief Executive umzusetzen.
Für jedes System ist ein Eigentümer erforderlich. Daher obliegt es jedem Systembesitzer, die Einhaltung der IT-Governance-Regeln und die Erfüllung der Geschäftsanforderungen zu gewährleisten.
Systembenutzer halten sich eher an Sicherheitsregeln und -verfahren, wenn eine starke Sicherheitskultur vorhanden ist. Jedes System birgt inhärente Gefahren, und es liegt an den Benutzern, die Verantwortung für die Minderung dieser Gefahren zu übernehmen.
Die Bewältigung dieser Kontrolle ist von entscheidender Bedeutung, um sicherzustellen, dass jeder Mitarbeiter versteht, was er ist verantwortlich, wenn es um den Datenschutz geht, Systeme und Netzwerke. Zugegebenermaßen ist dies für viele Unternehmen eine Herausforderung, insbesondere für kleine Unternehmen, in denen die Mitarbeiter normalerweise mehr als einen Hut tragen.
Ein Attributabschnitt ist jetzt im enthalten neueste Version von ISO 27002. Das Definieren von Attributen ist eine Möglichkeit, Steuerelemente zu klassifizieren. Dadurch können Sie Ihre Steuerungsauswahl problemlos mit der typischen Branchenterminologie abgleichen. Die Attribute für Steuerung 5.2 sind:
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Identifizieren | #Führung | #Governance und Ökosystem #Elastizität |
Der Zweck der Kontrolle 5.2 besteht darin, eine definierte, genehmigte und verstandene Struktur für die Implementierung, den Betrieb und das Management der Informationssicherheit innerhalb der Organisation zu etablieren. Dies ist eine formelle Organisationsstruktur, die die Verantwortung für die Informationssicherheit zuweist in der gesamten Organisation.
Control 5.2 befasst sich mit der Implementierung, dem Betrieb und der Verwaltung von Rollen und Verantwortlichkeiten für die Informationssicherheit in einer Organisation gemäß dem in ISO 27001 definierten Rahmenwerk.
Die Kontrolle besagt, dass die Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit klar definiert sein sollten und dass alle Beteiligten ihre Rolle verstehen sollten. In der Regel werden Vermögenswerte einem bestimmten Eigentümer zugewiesen, der die Verantwortung für die tägliche Pflege übernimmt.
Abhängig von der Größe der Organisation und den verfügbaren Ressourcen kann die Informationssicherheit jedoch von einem eigenen Team übernommen werden oder den derzeitigen Mitarbeitern zusätzliche Verantwortlichkeiten zugewiesen werden.
Die Zuweisung von Rollen und Verantwortlichkeiten für die Informationssicherheit ist von entscheidender Bedeutung, um sicherzustellen, dass die Informationssicherheit der Organisation aufrechterhalten und verbessert wird. Um den Anforderungen dieser Steuerung gerecht zu werden, sollte die Rollenverteilung formalisiert und dokumentiert werden, z. B. in Tabellenform oder in Form eines Organigramms.
Damit soll sichergestellt werden, dass in der gesamten Organisation klare Rollen, Verantwortlichkeiten und Befugnisse zugewiesen und verstanden werden. Um eine wirksame Aufgabentrennung zu gewährleisten, sollten die Rollen und Verantwortlichkeiten in der gesamten Organisation dokumentiert, kommuniziert und einheitlich angewendet werden.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
Wir sind kostengünstig und schnell
Wie bereits erwähnt, handelt es sich bei der Kontrolle 5.2 in ISO 27002:2022, Rollen und Verantwortlichkeiten der Informationssicherheit, nicht um eine neue Kontrolle. Hierbei handelt es sich einfach um eine modifizierte Kontrolle, die in ISO 27002:2013 als Kontrolle 6.1.1 zu finden ist.
Der Zweck der Kontrolle 5.2 wurde definiert und neue Implementierungsanweisungen wurden in die jüngste Revision von ISO 27002 aufgenommen. Während die beiden Kontrollen im Wesentlichen gleich sind, gibt es in der Version 2022 leichte Verbesserungen.
Beispielsweise besagt ISO 27002:2022, dass Personen, die eine bestimmte Informationssicherheitsfunktion übernehmen, dies tun sollten kompetent in den Kenntnissen und Fähigkeiten die für die Rolle erforderlich sind und dabei unterstützt werden, mit den Fortschritten Schritt zu halten, die mit der Rolle verbunden sind und zur Erfüllung der Verpflichtungen der Rolle erforderlich sind. Dieser Punkt ist nicht Bestandteil der Version 2013.
Darüber hinaus unterscheiden sich die Implementierungsrichtlinien beider Versionen geringfügig. Vergleichen wir Abschnitte der beiden folgenden:
ISO 27002:2013 gibt an, für welche Bereiche Einzelpersonen verantwortlich sind. Diese Bereiche sind:
a) die Vermögenswerte und Informationssicherheitsprozesse sollten identifiziert und definiert werden;
b) Die für jeden Asset- oder Informationssicherheitsprozess verantwortliche Stelle sollte benannt werden und die Einzelheiten dieser Verantwortung sollten dokumentiert werden.
c) Berechtigungsstufen sollten definiert und dokumentiert werden;
d) Um ihre Aufgaben im Bereich der Informationssicherheit erfüllen zu können, sollten die ernannten Personen über Fachkenntnisse in diesem Bereich verfügen und die Möglichkeit erhalten, sich über die Entwicklungen auf dem Laufenden zu halten.
e) Koordination und Überwachung von Aspekte der Informationssicherheit der Lieferantenbeziehungen sollten identifiziert und dokumentiert werden.
ISO 27002:2022 ist komprimierter. Darin heißt es lediglich, dass die Organisation Verantwortlichkeiten definieren und verwalten sollte für:
a) Schutz von Informationen und anderen damit verbundenen Vermögenswerten;
b) Durchführung spezifischer Informationssicherheitsprozesse;
c) Risikomanagement im Bereich der Informationssicherheit Aktivitäten und insbesondere Übernahme von Restrisiken (z. B. gegenüber Risikoeignern);
d) Alle Mitarbeiter, die Informationen und andere damit verbundene Vermögenswerte einer Organisation nutzen.
Beide Kontrollversionen schlagen jedoch vor, dass Organisationen einen Informationssicherheitsmanager ernennen können, der die Gesamtverantwortung für die Entwicklung und Umsetzung der Informationssicherheit übernimmt und die Identifizierung von Kontrollen unterstützt.
Ein Informationssicherheitsmanager wird häufig von Unternehmen ernannt, um die Erstellung und Ausführung von Sicherheitsmaßnahmen zu überwachen und bei der Erkennung potenzieller Bedrohungen und Kontrollen zu helfen.
Ressourcenbeschaffung und die Kontrollen einführen liegt in der Regel bei einzelnen Managern. Eine häufige Praxis besteht darin, für jeden Vermögenswert eine Person zu benennen, die dann für die laufende Sicherheit des Vermögenswerts verantwortlich ist.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Von Ihnen wird nicht viel erwartet, um die Anforderungen der neuen Norm ISO 27002:2022 zu erfüllen, außer Modernisierung Ihres ISMS Prozesse, um die verbesserten Kontrollen widerzuspiegeln. Wenn Ihr internes Team dies nicht bewältigen kann, kann ISMS.online helfen.
ISMS.online bietet nicht nur ein ausgefeiltes cloudbasiertes Framework zur Dokumentation von ISMS-Verfahren und Checklisten zur Sicherstellung der Einhaltung etablierter Normen, sondern optimiert auch den ISO 27001-Zertifizierungsprozess und den ISO 27002-Implementierungsprozess.
Alle deine ISMS-Lösungen können dank unserer cloudbasierten Software an einem zentralen Ort verwaltet werden. Mit unserer benutzerfreundlichen Anwendung können Sie den Überblick über alles behalten, was gerade passiert erforderlich, um die Konformität mit ISO zu überprüfen 2K7-Spezifikationen.
Die Implementierung von ISO 27002 wird durch unseren intuitiven Schritt-für-Schritt-Workflow und Tools vereinfacht, die Frameworks, Richtlinien und Kontrollen, umsetzbare Dokumentation und Anleitung umfassen. Sie können die definieren Geltungsbereich des ISMS, identifizieren Sie Risiken und implementieren Sie Kontrollen über unsere Plattform – mit nur wenigen Klicks.
Darüber hinaus verfügen wir über ein internes Team von IT-Spezialisten, das Ihnen mit Rat und Tat zur Seite steht, damit Sie Ihren Kunden die Einhaltung von Standards und Ihr Engagement für die Informationssicherheit nachweisen können.
Um mehr darüber zu erfahren, wie ISMS.online Sie beim Erreichen Ihrer ISO 2K7-Ziele unterstützen kann, rufen Sie uns bitte unter +44 (0)1273 041140 an.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
