ISO 27002:2022, Control 5.23 – Informationssicherheit für die Nutzung von Cloud-Diensten

Überarbeitete ISO 27002:2022-Kontrollen

Demo buchen

unten,ansicht,von,moderne,wolkenkratzer,in,geschäft,bezirk,gegen,blau

Zweck der Kontrolle 5.23

5.23 ist eine neue Kontrolle, die die Prozesse beschreibt, die für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg aus Cloud-Diensten in Bezug auf die Besonderheiten der Organisation erforderlich sind Anforderungen an die Informationssicherheit.

Mit Control 5.23 können Unternehmen zunächst festlegen und anschließend verwalten Informationssicherheit verwalten Konzepte im Zusammenhang mit Cloud-Diensten in ihrer Eigenschaft als „Cloud-Dienstleistungskunde“.

5.23 ist vorbeugende Kontrolle zur Verbesserung der Gesundheitsgerechtigkeit hält das Risiko aufrecht durch die Festlegung von Richtlinien und Verfahren, die regeln die Informationssicherheit, im Bereich kommerzieller Cloud-Dienste.

Attributtabelle

SteuerungstypEigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv#Vertraulichkeit #Integrität #Verfügbarkeit#Schützen#Sicherheit von Lieferantenbeziehungen#Governance und Ökosystem #Schutz
Zum Thema springen

Wir sind kostengünstig und schnell

Entdecken Sie, wie das Ihren ROI steigert
Holen Sie sich Ihr Angebot

Eigentum an der Kontrolle 5.23

Die Verbreitung von Cloud-Diensten im letzten Jahrzehnt ist so groß, dass Control 5.23 eine Vielzahl von Verfahren enthält, die viele verschiedene Elemente des Betriebs einer Organisation umfassen.

Angesichts der Tatsache, dass nicht alle Cloud-Dienste IKT-spezifisch sind – obwohl man vernünftigerweise behaupten könnte, dass dies bei den meisten der Fall ist – sollte das Eigentum an Control 5.22 zwischen den Organisationen einer Organisation aufgeteilt werden CTO or COO, abhängig von den vorherrschenden betrieblichen Umständen.

Leitlinie zur Kontrolle 5.23 – Organisatorische Pflichten

Zur Einhaltung von Control 5.23 gehört die Einhaltung dessen, was als a bezeichnet wird „themenspezifischer“ Ansatz zu Cloud-Diensten und Informationssicherheit.

Angesichts der Vielfalt der angebotenen Cloud-Dienste ermutigen themenspezifische Ansätze Unternehmen dazu, Richtlinien für Cloud-Dienste zu erstellen, die auf einzelne Geschäftsfunktionen zugeschnitten sind, anstatt sich an eine Pauschallösung zu halten Richtlinie, die für die Informationssicherheit gilt und Cloud-Dienste auf ganzer Linie.

Es ist zu beachten, dass ISO die Einhaltung von Control 5.23 als eine gemeinsame Anstrengung zwischen der Organisation und ihrem Cloud-Service-Partner betrachtet. Control 5.23 sollte auch eng an den Controls 5.21 und 5.22 ausgerichtet sein, die sich mit Informationen befassen Management in der Lieferkette bzw. das Management von Lieferantendienstleistungen.

Ganz gleich, für welche Vorgehensweise sich eine Organisation entscheidet, Control 5.23 sollte nicht isoliert betrachtet werden und bestehende Bemühungen ergänzen Lieferantenbeziehungen verwalten.

Da die Informationssicherheit an erster Stelle steht, sollte die Organisation Folgendes definieren:

  1. Alle relevanten Sicherheitsanforderungen oder Bedenken im Zusammenhang mit der Nutzung einer Cloud-Plattform.
  2. Welche Kriterien es bei der Auswahl eines Cloud-Dienstleisters zu berücksichtigen gilt und wie dessen Dienste genutzt werden sollen.
  3. Detaillierte Beschreibung von Rollen und relevante Verantwortlichkeiten die regeln, wie Cloud-Dienste im gesamten Unternehmen genutzt werden sollen.
  4. Welche Informationssicherheitsbereiche genau vom Cloud-Dienstleister kontrolliert werden und welche in den Zuständigkeitsbereich der Organisation selbst fallen.
  5. Die besten Möglichkeiten, alle von der Cloud-Service-Plattform bereitgestellten informationssicherheitsbezogenen Servicekomponenten zunächst zu sammeln und dann zu nutzen.
  6. So erhalten Sie kategorische Zusicherungen für alle vom Cloud-Dienstanbieter eingeführten Kontrollen im Zusammenhang mit der Informationssicherheit.
  7. Die Schritte, die unternommen werden müssen, um Änderungen, Kommunikation und Kontrollen über mehrere unterschiedliche Cloud-Plattformen hinweg und nicht immer vom selben Anbieter zu verwalten.
  8. Vorfallmanagementverfahren die sich ausschließlich mit der Bereitstellung von Cloud-Diensten befassen.
  9. Wie erwartet die Organisation, ihre laufende Nutzung und/oder umfassende Einführung von Cloud-Plattformen im Einklang mit ihren Anforderungen zu verwalten? umfassendere Informationssicherheit Verpflichtungen.
  10. Eine Strategie für die Einstellung oder Änderung von Cloud-Diensten, entweder auf Anbieterbasis oder durch den Prozess der Cloud-zu-On-Premise-Migration.

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Unternehmen auf der ganzen Welt vertrauen darauf
  • Einfach und leicht zu bedienen
  • Entwickelt für den Erfolg von ISO 27001
  • Spart Ihnen Zeit und Geld
Buchen Sie Ihre Demo
img

Leitlinien zur Kontrolle 5.23 – Cloud-Services-Vereinbarungen

Control 5.23 erkennt an, dass es sich bei Cloud-Service-Vereinbarungen im Gegensatz zu anderen Lieferantenbeziehungen um starre Dokumente handelt, die in den allermeisten Fällen nicht geändert werden können.

Vor diesem Hintergrund sollten Unternehmen Cloud-Service-Vereinbarungen genau unter die Lupe nehmen und sicherstellen, dass vier wesentliche betriebliche Anforderungen erfüllt sind:

  1. Vertraulichkeit
  2. Sicherheit/Datenintegrität
  3. Serviceverfügbarkeit
  4. Umgang mit Informationen

Wie bei anderen Lieferantenverträgen sollten Cloud-Service-Verträge vor der Annahme einer Prüfung unterzogen werden gründliche Risikobewertung das potenzielle Probleme an der Quelle aufzeigt.

Als absolutes Minimum sollte die Organisation nur dann einen Cloud-Services-Vertrag abschließen, wenn sie davon überzeugt ist, dass die folgenden zehn Bestimmungen erfüllt sind:

  1. Cloud-Dienste werden auf der Grundlage der individuellen Anforderungen der Organisation in Bezug auf ihren Tätigkeitsbereich bereitgestellt und implementiert, einschließlich branchenweit anerkannter Standards und Praktiken für cloudbasierte Architektur und gehostete Infrastruktur.
  2. Der Zugriff auf beliebige Cloud-Plattformen erfüllt die grenzüberschreitenden Informationssicherheitsanforderungen der Organisation.
  3. Antimalware- und Antivirendienste, einschließlich proaktiver Überwachung und Bedrohungsschutz, werden angemessen berücksichtigt.
  4. Der Cloud-Anbieter hält sich an einen vordefinierten Satz von Datenspeicherungs- und -verarbeitungsbestimmungen, die sich auf eine oder mehrere verschiedene globale Regionen und regulatorische Umgebungen beziehen.
  5. Bei einem katastrophalen Ausfall der Cloud-Plattform oder einem Vorfall im Zusammenhang mit der Informationssicherheit wird der Organisation proaktiver Support geboten.
  6. Wenn die Notwendigkeit besteht, Elemente der Cloud-Plattform an Subunternehmer zu vergeben oder anderweitig auszulagern, bleiben die Anforderungen des Lieferanten an die Informationssicherheit eine ständige Überlegung.
  7. Sollte die Organisation Unterstützung bei der Zusammenstellung digitaler Informationen für einen relevanten Zweck (Strafverfolgung, Regulierungsanpassung, kommerzielle Zwecke) benötigen, wird der Cloud-Dienstleister die Organisation so weit wie möglich unterstützen.
  8. Am Ende der Beziehung sollte der Cloud-Dienstanbieter während des Übergangs- oder Stilllegungszeitraums angemessenen Support und angemessene Verfügbarkeit bieten.
  9. Der Cloud-Dienstanbieter sollte mit einem robusten BUDR-Plan arbeiten, der sich auf die Durchführung angemessener Backups der Daten der Organisation konzentriert.
  10. Die Übertragung aller relevanten Zusatzdaten vom Cloud-Services-Anbieter an die Organisation, einschließlich Konfigurationsinformationen und Code, auf den die Organisation Anspruch hat.

Bist du bereit für
die neue ISO 27002

Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo

Wenn Sie ISMS.online nicht nutzen, machen Sie sich das Leben schwerer als nötig!
Mark Wightman
Chief Technical Officer Aluma
100 % unserer Benutzer bestehen die Zertifizierung beim ersten Mal
Buchen Sie Ihre Demo

Ergänzende Informationen zur Steuerung 5.23

Zusätzlich zu den oben genannten Leitlinien schlägt Control 5.23 vor, dass Organisationen eine enge Zusammenarbeit mit Cloud-Service-Anbietern eingehen, entsprechend dem wichtigen Service, den sie nicht nur im Hinblick auf die Informationssicherheit, sondern für den gesamten kommerziellen Betrieb einer Organisation bereitstellen.

Organisationen sollten nach Möglichkeit die folgenden Bestimmungen von Cloud-Dienstanbietern einholen, um die betriebliche Belastbarkeit zu verbessern und ein höheres Maß an Informationssicherheit zu genießen:

  1. Alle Infrastrukturänderungen sollten im Voraus kommuniziert werden, um die eigenen Informationssicherheitsstandards der Organisation zu berücksichtigen.
  2. Die Organisation braucht um über alle Änderungen der Datenspeicherungsverfahren informiert zu werden, die die Migration von Daten in eine andere Gerichtsbarkeit oder globale Region beinhalten.
  3. Jegliche Absicht seitens des Cloud-Dienstanbieters, „Peer-Cloud“-Anbieter zu nutzen oder Bereiche ihres Betriebs an Subunternehmer auszulagern, die Auswirkungen auf die Informationssicherheit für die Organisation haben könnten.

Unterstützende Kontrollen

  • 5.21
  • 5.22

Änderungen gegenüber ISO 27002:2013

Kontrolle 5.23 ist ein neue Steuerung das kommt in der ISO 27002:2013 in keiner Weise vor.

Wie ISMS.online hilft

ISMS.online rationalisiert die ISO 27002 Implementierungsprozess durch Bereitstellung eines ausgefeilten cloudbasierten Frameworks zur Dokumentation von Verfahren und Checklisten des Informationssicherheitsmanagementsystems, um die Einhaltung anerkannter Standards sicherzustellen.

Wenn Sie ISMS.online nutzen, können Sie:

  • Erstellen Sie ein ISMS, das kompatibel ist mit ISO 27001 Standards.
  • Führen Sie Aufgaben aus und legen Sie Nachweise vor, um nachzuweisen, dass sie die Anforderungen der Norm erfüllt haben.
  • Weisen Sie Aufgaben zu und verfolgen Sie den Fortschritt bei der Einhaltung der Gesetze.
  • Erhalten Sie Zugang zu einem spezialisierten Beraterteam, das Sie auf Ihrem Weg zur Compliance unterstützt.

Nehmen Sie Kontakt auf und Demo buchen.

Buchen Sie Ihre Demo

Sehen Sie, wie einfach
es ist mit
ISMS.online

Buchen Sie eine maßgeschneiderte praktische Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.

Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeuBedrohungsinformationen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
7.4NeuPhysische Sicherheitsüberwachung
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.16NeuÜberwachungsaktivitäten
8.23NeuWeb-Filter
8.28NeuSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeuBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Untersuchungen
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeuÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeuWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeuSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung
Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren