Informationssicherheit für die Nutzung von Cloud-Diensten

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Zweck der Kontrolle 5.23

5.23 ist eine neue Kontrolle, die die Prozesse beschreibt, die für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg aus Cloud-Diensten in Bezug auf die Besonderheiten der Organisation erforderlich sind Anforderungen an die Informationssicherheit.

Mit Control 5.23 können Unternehmen zunächst festlegen und anschließend verwalten Informationssicherheit verwalten Konzepte im Zusammenhang mit Cloud-Diensten in ihrer Eigenschaft als „Cloud-Dienstleistungskunde“.

5.23 ist vorbeugende Kontrolle zur Abwicklung, Integrierung, Speicherung und hält das Risiko aufrecht durch die Festlegung von Richtlinien und Verfahren, die regeln die Informationssicherheit, im Bereich kommerzieller Cloud-Dienste.

Kontrollattribute 5.23

Steuerungstyp	Eigenschaften der Informationssicherheit	Cybersicherheitskonzepte	Operative Fähigkeiten	Sicherheitsdomänen
#Präventiv	#Vertraulichkeit	#Schützen	#Sicherheit von Lieferantenbeziehungen	#Governance und Ökosystem
	#Integrität			#Schutz
	#Verfügbarkeit

Eigentum an der Kontrolle 5.23

Die Verbreitung von Cloud-Diensten im letzten Jahrzehnt ist so groß, dass Control 5.23 eine Vielzahl von Verfahren enthält, die viele verschiedene Elemente des Betriebs einer Organisation umfassen.

Angesichts der Tatsache, dass nicht alle Cloud-Dienste IKT-spezifisch sind – obwohl man vernünftigerweise behaupten könnte, dass dies bei den meisten der Fall ist – sollte das Eigentum an Control 5.22 zwischen den Organisationen einer Organisation aufgeteilt werden CTO or COO Tabakerhitzer, abhängig von den vorherrschenden betrieblichen Umständen.

Verschaffen Sie sich einen Vorsprung von 81 %

Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.

Live-Demo anfordern

Leitlinie zur Kontrolle 5.23 – Organisatorische Pflichten

Zur Einhaltung von Control 5.23 gehört die Einhaltung dessen, was als a bezeichnet wird „themenspezifischer“ Ansatz zu Cloud-Diensten und Informationssicherheit.

Angesichts der Vielfalt der angebotenen Cloud-Dienste ermutigen themenspezifische Ansätze Unternehmen dazu, Richtlinien für Cloud-Dienste zu erstellen, die auf einzelne Geschäftsfunktionen zugeschnitten sind, anstatt sich an eine Pauschallösung zu halten Richtlinie, die für die Informationssicherheit gilt und Cloud-Dienste auf ganzer Linie.

Es ist zu beachten, dass ISO die Einhaltung von Control 5.23 als eine gemeinsame Anstrengung zwischen der Organisation und ihrem Cloud-Service-Partner betrachtet. Control 5.23 sollte auch eng an den Controls 5.21 und 5.22 ausgerichtet sein, die sich mit Informationen befassen Management in der Lieferkette bzw. das Management von Lieferantendienstleistungen.

Ganz gleich, für welche Vorgehensweise sich eine Organisation entscheidet, Control 5.23 sollte nicht isoliert betrachtet werden und bestehende Bemühungen ergänzen Lieferantenbeziehungen verwalten.

Da die Informationssicherheit an erster Stelle steht, sollte die Organisation Folgendes definieren:

Alle relevanten Sicherheitsanforderungen oder Bedenken im Zusammenhang mit der Nutzung einer Cloud-Plattform.
Welche Kriterien es bei der Auswahl eines Cloud-Dienstleisters zu berücksichtigen gilt und wie dessen Dienste genutzt werden sollen.
Detaillierte Beschreibung von Rollen und relevante Verantwortlichkeiten die regeln, wie Cloud-Dienste im gesamten Unternehmen genutzt werden sollen.
Welche Informationssicherheitsbereiche genau vom Cloud-Dienstleister kontrolliert werden und welche in den Zuständigkeitsbereich der Organisation selbst fallen.
Die besten Möglichkeiten, alle von der Cloud-Service-Plattform bereitgestellten informationssicherheitsbezogenen Servicekomponenten zunächst zu sammeln und dann zu nutzen.
So erhalten Sie kategorische Zusicherungen für alle vom Cloud-Dienstanbieter eingeführten Kontrollen im Zusammenhang mit der Informationssicherheit.
Die Schritte, die unternommen werden müssen, um Änderungen, Kommunikation und Kontrollen über mehrere unterschiedliche Cloud-Plattformen hinweg und nicht immer vom selben Anbieter zu verwalten.
Vorfallmanagementverfahren die sich ausschließlich mit der Bereitstellung von Cloud-Diensten befassen.
Wie erwartet die Organisation, ihre laufende Nutzung und/oder umfassende Einführung von Cloud-Plattformen im Einklang mit ihren Anforderungen zu verwalten? umfassendere Informationssicherheit Verpflichtungen.
Eine Strategie für die Einstellung oder Änderung von Cloud-Diensten, entweder auf Anbieterbasis oder durch den Prozess der Cloud-zu-On-Premise-Migration.

Compliance muss nicht kompliziert sein.

Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.

Live-Demo anfordern

Leitlinien zur Kontrolle 5.23 – Cloud-Services-Vereinbarungen

Control 5.23 erkennt an, dass es sich bei Cloud-Service-Vereinbarungen im Gegensatz zu anderen Lieferantenbeziehungen um starre Dokumente handelt, die in den allermeisten Fällen nicht geändert werden können.

Vor diesem Hintergrund sollten Unternehmen Cloud-Service-Vereinbarungen genau unter die Lupe nehmen und sicherstellen, dass vier wesentliche betriebliche Anforderungen erfüllt sind:

Vertraulichkeit
Sicherheit/Datenintegrität
Serviceverfügbarkeit
Umgang mit Informationen

Wie bei anderen Lieferantenverträgen sollten Cloud-Service-Verträge vor der Annahme einer Prüfung unterzogen werden gründliche Risikobewertung das potenzielle Probleme an der Quelle aufzeigt.

Als absolutes Minimum sollte die Organisation nur dann einen Cloud-Services-Vertrag abschließen, wenn sie davon überzeugt ist, dass die folgenden zehn Bestimmungen erfüllt sind:

Cloud-Dienste werden auf der Grundlage der individuellen Anforderungen der Organisation in Bezug auf ihren Tätigkeitsbereich bereitgestellt und implementiert, einschließlich branchenweit anerkannter Standards und Praktiken für cloudbasierte Architektur und gehostete Infrastruktur.
Der Zugriff auf beliebige Cloud-Plattformen erfüllt die grenzüberschreitenden Informationssicherheitsanforderungen der Organisation.
Antimalware- und Antivirendienste, einschließlich proaktiver Überwachung und Bedrohungsschutz, werden angemessen berücksichtigt.
Der Cloud-Anbieter hält sich an einen vordefinierten Satz von Datenspeicherungs- und -verarbeitungsbestimmungen, die sich auf eine oder mehrere verschiedene globale Regionen und regulatorische Umgebungen beziehen.
Bei einem katastrophalen Ausfall der Cloud-Plattform oder einem Vorfall im Zusammenhang mit der Informationssicherheit wird der Organisation proaktiver Support geboten.
Wenn die Notwendigkeit besteht, Elemente der Cloud-Plattform an Subunternehmer zu vergeben oder anderweitig auszulagern, bleiben die Anforderungen des Lieferanten an die Informationssicherheit eine ständige Überlegung.
Sollte die Organisation Unterstützung bei der Zusammenstellung digitaler Informationen für einen relevanten Zweck (Strafverfolgung, Regulierungsanpassung, kommerzielle Zwecke) benötigen, wird der Cloud-Dienstleister die Organisation so weit wie möglich unterstützen.
Am Ende der Beziehung sollte der Cloud-Dienstanbieter während des Übergangs- oder Stilllegungszeitraums angemessenen Support und angemessene Verfügbarkeit bieten.
Der Cloud-Dienstanbieter sollte mit einem robusten BUDR-Plan arbeiten, der sich auf die Durchführung angemessener Backups der Daten der Organisation konzentriert.
Die Übertragung aller relevanten Zusatzdaten vom Cloud-Services-Anbieter an die Organisation, einschließlich Konfigurationsinformationen und Code, auf den die Organisation Anspruch hat.

Ergänzende Informationen zur Steuerung 5.23

Zusätzlich zu den oben genannten Leitlinien schlägt Control 5.23 vor, dass Organisationen eine enge Zusammenarbeit mit Cloud-Service-Anbietern eingehen, entsprechend dem wichtigen Service, den sie nicht nur im Hinblick auf die Informationssicherheit, sondern für den gesamten kommerziellen Betrieb einer Organisation bereitstellen.

Organisationen sollten nach Möglichkeit die folgenden Bestimmungen von Cloud-Dienstanbietern einholen, um die betriebliche Belastbarkeit zu verbessern und ein höheres Maß an Informationssicherheit zu genießen:

Alle Infrastrukturänderungen sollten im Voraus kommuniziert werden, um die eigenen Informationssicherheitsstandards der Organisation zu berücksichtigen.
Die Organisation braucht um über alle Änderungen der Datenspeicherungsverfahren informiert zu werden, die die Migration von Daten in eine andere Gerichtsbarkeit oder globale Region beinhalten.
Jegliche Absicht seitens des Cloud-Dienstanbieters, „Peer-Cloud“-Anbieter zu nutzen oder Bereiche ihres Betriebs an Subunternehmer auszulagern, die Auswirkungen auf die Informationssicherheit für die Organisation haben könnten.

Unterstützende Kontrollen

5.21
5.22

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.

Live-Demo anfordern

Änderungen gegenüber ISO 27002:2013

Kontrolle 5.23 ist ein neue Steuerung das kommt in der ISO 27002:2013 in keiner Weise vor.

Neue ISO 27002-Kontrollen

Neue Steuerelemente

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.7	NEU	Bedrohungsinformationen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30	NEU	IKT-Bereitschaft für Geschäftskontinuität
7.4	NEU	Physische Sicherheitsüberwachung
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.16	NEU	Überwachungsaktivitäten
8.23	NEU	Web-Filter
8.28	NEU	Sichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.1	05.1.1, 05.1.2	Richtlinien zur Informationssicherheit
5.2	06.1.1	Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3	06.1.2	Aufgabentrennung
5.4	07.2.1	Führungsaufgaben
5.5	06.1.3	Kontakt mit Behörden
5.6	06.1.4	Kontakt zu speziellen Interessengruppen
5.7	NEU	Bedrohungsinformationen
5.8	06.1.5, 14.1.1	Informationssicherheit im Projektmanagement
5.9	08.1.1, 08.1.2	Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10	08.1.3, 08.2.3	Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11	08.1.4	Rückgabe von Vermögenswerten
5.12	08.2.1	Klassifizierung von Informationen
5.13	08.2.2	Kennzeichnung von Informationen
5.14	13.2.1, 13.2.2, 13.2.3	Informationsübertragung
5.15	09.1.1, 09.1.2	Zugriffskontrolle
5.16	09.2.1	Identitätsmanagement
5.17	09.2.4, 09.3.1, 09.4.3	Authentifizierungsinformationen
5.18	09.2.2, 09.2.5, 09.2.6	Zugangsrechte
5.19	15.1.1	Informationssicherheit in Lieferantenbeziehungen
5.20	15.1.2	Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21	15.1.3	Management der Informationssicherheit in der IKT-Lieferkette
5.22	15.2.1, 15.2.2	Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24	16.1.1	Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25	16.1.4	Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26	16.1.5	Reaktion auf Informationssicherheitsvorfälle
5.27	16.1.6	Aus Informationssicherheitsvorfällen lernen
5.28	16.1.7	Sammlung von Beweisen
5.29	17.1.1, 17.1.2, 17.1.3	Informationssicherheit bei Störungen
5.30	NEU	IKT-Bereitschaft für Geschäftskontinuität
5.31	18.1.1, 18.1.5	Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32	18.1.2	Rechte am geistigen Eigentum
5.33	18.1.3	Schutz von Aufzeichnungen
5.34	18.1.4	Privatsphäre und Schutz personenbezogener Daten
5.35	18.2.1	Unabhängige Überprüfung der Informationssicherheit
5.36	18.2.2, 18.2.3	Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37	12.1.1	Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
6.1	07.1.1	Schirmungsmaß
6.2	07.1.2	Beschäftigungsbedingungen
6.3	07.2.2	Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4	07.2.3	Disziplinarverfahren
6.5	07.3.1	Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6	13.2.4	Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7	06.2.2	Fernarbeit
6.8	16.1.2, 16.1.3	Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
7.1	11.1.1	Physische Sicherheitsbereiche
7.2	11.1.2, 11.1.6	Physischer Eintritt
7.3	11.1.3	Absicherung von Büros, Räumen und Anlagen
7.4	NEU	Physische Sicherheitsüberwachung
7.5	11.1.4	Schutz vor physischen und umweltbedingten Bedrohungen
7.6	11.1.5	Arbeiten in sicheren Bereichen
7.7	11.2.9	Klarer Schreibtisch und klarer Bildschirm
7.8	11.2.1	Standort und Schutz der Ausrüstung
7.9	11.2.6	Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Speichermedium
7.11	11.2.2	Unterstützende Versorgungsunternehmen
7.12	11.2.3	Verkabelungssicherheit
7.13	11.2.4	Wartung der Ausrüstung
7.14	11.2.7	Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
8.1	06.2.1, 11.2.8	Benutzerendpunktgeräte
8.2	09.2.3	Privilegierte Zugriffsrechte
8.3	09.4.1	Beschränkung des Informationszugriffs
8.4	09.4.5	Zugriff auf Quellcode
8.5	09.4.2	Sichere Authentifizierung
8.6	12.1.3	Kapazitätsmanagement
8.7	12.2.1	Schutz vor Malware
8.8	12.6.1, 18.2.3	Management technischer Schwachstellen
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.13	12.3.1	Informationssicherung
8.14	17.2.1	Redundanz der Informationsverarbeitungseinrichtungen
8.15	12.4.1, 12.4.2, 12.4.3	Protokollierung
8.16	NEU	Überwachungsaktivitäten
8.17	12.4.4	Uhrzeitsynchronisation
8.18	09.4.4	Verwendung privilegierter Hilfsprogramme
8.19	12.5.1, 12.6.2	Installation von Software auf Betriebssystemen
8.20	13.1.1	Netzwerksicherheit
8.21	13.1.2	Sicherheit von Netzwerkdiensten
8.22	13.1.3	Trennung von Netzwerken
8.23	NEU	Web-Filter
8.24	10.1.1, 10.1.2	Verwendung von Kryptographie
8.25	14.2.1	Sicherer Entwicklungslebenszyklus
8.26	14.1.2, 14.1.3	Anforderungen an die Anwendungssicherheit
8.27	14.2.5	Sichere Systemarchitektur und technische Prinzipien
8.28	NEU	Sichere Codierung
8.29	14.2.8, 14.2.9	Sicherheitstests in Entwicklung und Abnahme
8.30	14.2.7	Ausgelagerte Entwicklung
8.31	12.1.4, 14.2.6	Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Änderungsmanagement
8.33	14.3.1	Testinformationen
8.34	12.7.1	Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

ISMS.online rationalisiert die ISO 27002 Implementierungsprozess durch Bereitstellung eines ausgefeilten cloudbasierten Frameworks zur Dokumentation von Verfahren und Checklisten des Informationssicherheitsmanagementsystems, um die Einhaltung anerkannter Standards sicherzustellen.

Wenn Sie ISMS.online nutzen, können Sie:

Erstellen Sie ein ISMS, das kompatibel ist mit ISO 27001 Standards.
Führen Sie Aufgaben aus und legen Sie Nachweise vor, um nachzuweisen, dass sie die Anforderungen der Norm erfüllt haben.
Weisen Sie Aufgaben zu und verfolgen Sie den Fortschritt bei der Einhaltung der Gesetze.
Erhalten Sie Zugang zu einem spezialisierten Beraterteam, das Sie auf Ihrem Weg zur Compliance unterstützt.

Nehmen Sie Kontakt auf und Demo buchen.