Zum Inhalt
ISMS.online

ISO 27002:2022 – Control 5.23 – Informationssicherheit für die Nutzung von Cloud-Diensten

ISO 27002:2022 Control 5.23 bietet Leitlinien zum Management von Informationssicherheitsrisiken in Cloud-Diensten und deckt Beschaffung, Nutzung, Anbieterauswahl, Sicherheitsgewährleistungen und Vorfallmanagement ab, um Compliance und Risikominderung zu gewährleisten.

Autorin
Sam Peters
Aktualisiert Juli 25, 2025
4 / 5 Sterne

Zweck der Kontrolle 5.23

5.23 ist eine neue Kontrolle, die die Prozesse beschreibt, die für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg aus Cloud-Diensten in Bezug auf die Besonderheiten der Organisation erforderlich sind Anforderungen an die Informationssicherheit.

Mit Control 5.23 können Unternehmen zunächst festlegen und anschließend verwalten Informationssicherheit verwalten Konzepte im Zusammenhang mit Cloud-Diensten in ihrer Eigenschaft als „Cloud-Dienstleistungskunde“.

5.23 ist vorbeugende Kontrolle zur Abwicklung, Integrierung, Speicherung und hält das Risiko aufrecht durch die Festlegung von Richtlinien und Verfahren, die regeln die Informationssicherheit, im Bereich kommerzieller Cloud-Dienste.

Kontrollattribute 5.23

Steuerungstyp Eigenschaften der Informationssicherheit Cybersicherheitskonzepte Operative Fähigkeiten Sicherheitsdomänen
#Präventiv #Vertraulichkeit #Schützen #Sicherheit von Lieferantenbeziehungen #Governance und Ökosystem
#Integrität #Schutz
#Verfügbarkeit

Eigentum an der Kontrolle 5.23

Die Verbreitung von Cloud-Diensten im letzten Jahrzehnt ist so groß, dass Control 5.23 eine Vielzahl von Verfahren enthält, die viele verschiedene Elemente des Betriebs einer Organisation umfassen.

Angesichts der Tatsache, dass nicht alle Cloud-Dienste IKT-spezifisch sind – obwohl man vernünftigerweise behaupten könnte, dass dies bei den meisten der Fall ist – sollte das Eigentum an Control 5.22 zwischen den Organisationen einer Organisation aufgeteilt werden CTO or COO, abhängig von den vorherrschenden betrieblichen Umständen.



ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Leitlinie zur Kontrolle 5.23 – Organisatorische Pflichten

Zur Einhaltung von Control 5.23 gehört die Einhaltung dessen, was als a bezeichnet wird „themenspezifischer“ Ansatz zu Cloud-Diensten und Informationssicherheit.

Angesichts der Vielfalt der angebotenen Cloud-Dienste ermutigen themenspezifische Ansätze Unternehmen dazu, Richtlinien für Cloud-Dienste zu erstellen, die auf einzelne Geschäftsfunktionen zugeschnitten sind, anstatt sich an eine Pauschallösung zu halten Richtlinie, die für die Informationssicherheit gilt und Cloud-Dienste auf ganzer Linie.

Es ist zu beachten, dass ISO die Einhaltung von Control 5.23 als eine gemeinsame Anstrengung zwischen der Organisation und ihrem Cloud-Service-Partner betrachtet. Control 5.23 sollte auch eng an den Controls 5.21 und 5.22 ausgerichtet sein, die sich mit Informationen befassen Management in der Lieferkette bzw. das Management von Lieferantendienstleistungen.

Ganz gleich, für welche Vorgehensweise sich eine Organisation entscheidet, Control 5.23 sollte nicht isoliert betrachtet werden und bestehende Bemühungen ergänzen Lieferantenbeziehungen verwalten.

Da die Informationssicherheit an erster Stelle steht, sollte die Organisation Folgendes definieren:

  1. Alle relevanten Sicherheitsanforderungen oder Bedenken im Zusammenhang mit der Nutzung einer Cloud-Plattform.
  2. Welche Kriterien es bei der Auswahl eines Cloud-Dienstleisters zu berücksichtigen gilt und wie dessen Dienste genutzt werden sollen.
  3. Detaillierte Beschreibung von Rollen und relevante Verantwortlichkeiten die regeln, wie Cloud-Dienste im gesamten Unternehmen genutzt werden sollen.
  4. Welche Informationssicherheitsbereiche genau vom Cloud-Dienstleister kontrolliert werden und welche in den Zuständigkeitsbereich der Organisation selbst fallen.
  5. Die besten Möglichkeiten, alle von der Cloud-Service-Plattform bereitgestellten informationssicherheitsbezogenen Servicekomponenten zunächst zu sammeln und dann zu nutzen.
  6. So erhalten Sie kategorische Zusicherungen für alle vom Cloud-Dienstanbieter eingeführten Kontrollen im Zusammenhang mit der Informationssicherheit.
  7. Die Schritte, die unternommen werden müssen, um Änderungen, Kommunikation und Kontrollen über mehrere unterschiedliche Cloud-Plattformen hinweg und nicht immer vom selben Anbieter zu verwalten.
  8. Vorfallmanagementverfahren die sich ausschließlich mit der Bereitstellung von Cloud-Diensten befassen.
  9. Wie erwartet die Organisation, ihre laufende Nutzung und/oder umfassende Einführung von Cloud-Plattformen im Einklang mit ihren Anforderungen zu verwalten? umfassendere Informationssicherheit Verpflichtungen.
  10. Eine Strategie für die Einstellung oder Änderung von Cloud-Diensten, entweder auf Anbieterbasis oder durch den Prozess der Cloud-zu-On-Premise-Migration.


Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Leitlinien zur Kontrolle 5.23 – Cloud-Services-Vereinbarungen

Control 5.23 erkennt an, dass es sich bei Cloud-Service-Vereinbarungen im Gegensatz zu anderen Lieferantenbeziehungen um starre Dokumente handelt, die in den allermeisten Fällen nicht geändert werden können.

Vor diesem Hintergrund sollten Unternehmen Cloud-Service-Vereinbarungen genau unter die Lupe nehmen und sicherstellen, dass vier wesentliche betriebliche Anforderungen erfüllt sind:

  1. Vertraulichkeit
  2. Sicherheit/Datenintegrität
  3. Serviceverfügbarkeit
  4. Umgang mit Informationen

Wie bei anderen Lieferantenverträgen sollten Cloud-Service-Verträge vor der Annahme einer Prüfung unterzogen werden gründliche Risikobewertung das potenzielle Probleme an der Quelle aufzeigt.

Als absolutes Minimum sollte die Organisation nur dann einen Cloud-Services-Vertrag abschließen, wenn sie davon überzeugt ist, dass die folgenden zehn Bestimmungen erfüllt sind:

  1. Cloud-Dienste werden auf der Grundlage der individuellen Anforderungen der Organisation in Bezug auf ihren Tätigkeitsbereich bereitgestellt und implementiert, einschließlich branchenweit anerkannter Standards und Praktiken für cloudbasierte Architektur und gehostete Infrastruktur.
  2. Der Zugriff auf beliebige Cloud-Plattformen erfüllt die grenzüberschreitenden Informationssicherheitsanforderungen der Organisation.
  3. Antimalware- und Antivirendienste, einschließlich proaktiver Überwachung und Bedrohungsschutz, werden angemessen berücksichtigt.
  4. Der Cloud-Anbieter hält sich an einen vordefinierten Satz von Datenspeicherungs- und -verarbeitungsbestimmungen, die sich auf eine oder mehrere verschiedene globale Regionen und regulatorische Umgebungen beziehen.
  5. Bei einem katastrophalen Ausfall der Cloud-Plattform oder einem Vorfall im Zusammenhang mit der Informationssicherheit wird der Organisation proaktiver Support geboten.
  6. Wenn die Notwendigkeit besteht, Elemente der Cloud-Plattform an Subunternehmer zu vergeben oder anderweitig auszulagern, bleiben die Anforderungen des Lieferanten an die Informationssicherheit eine ständige Überlegung.
  7. Sollte die Organisation Unterstützung bei der Zusammenstellung digitaler Informationen für einen relevanten Zweck (Strafverfolgung, Regulierungsanpassung, kommerzielle Zwecke) benötigen, wird der Cloud-Dienstleister die Organisation so weit wie möglich unterstützen.
  8. Am Ende der Beziehung sollte der Cloud-Dienstanbieter während des Übergangs- oder Stilllegungszeitraums angemessenen Support und angemessene Verfügbarkeit bieten.
  9. Der Cloud-Dienstanbieter sollte mit einem robusten BUDR-Plan arbeiten, der sich auf die Durchführung angemessener Backups der Daten der Organisation konzentriert.
  10. Die Übertragung aller relevanten Zusatzdaten vom Cloud-Services-Anbieter an die Organisation, einschließlich Konfigurationsinformationen und Code, auf den die Organisation Anspruch hat.

Ergänzende Informationen zur Steuerung 5.23

Zusätzlich zu den oben genannten Leitlinien schlägt Control 5.23 vor, dass Organisationen eine enge Zusammenarbeit mit Cloud-Service-Anbietern eingehen, entsprechend dem wichtigen Service, den sie nicht nur im Hinblick auf die Informationssicherheit, sondern für den gesamten kommerziellen Betrieb einer Organisation bereitstellen.

Organisationen sollten nach Möglichkeit die folgenden Bestimmungen von Cloud-Dienstanbietern einholen, um die betriebliche Belastbarkeit zu verbessern und ein höheres Maß an Informationssicherheit zu genießen:

  1. Alle Infrastrukturänderungen sollten im Voraus kommuniziert werden, um die eigenen Informationssicherheitsstandards der Organisation zu berücksichtigen.
  2. Die Organisation braucht um über alle Änderungen der Datenspeicherungsverfahren informiert zu werden, die die Migration von Daten in eine andere Gerichtsbarkeit oder globale Region beinhalten.
  3. Jegliche Absicht seitens des Cloud-Dienstanbieters, „Peer-Cloud“-Anbieter zu nutzen oder Bereiche ihres Betriebs an Subunternehmer auszulagern, die Auswirkungen auf die Informationssicherheit für die Organisation haben könnten.

Unterstützende Kontrollen

  • 5.21
  • 5.22


ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Änderungen gegenüber ISO 27002:2013

Kontrolle 5.23 ist ein neue Steuerung das kommt in der ISO 27002:2013 in keiner Weise vor.

Neue ISO 27002-Kontrollen

Neue Steuerelemente
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.7 NEU Bedrohungsinformationen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30 NEU IKT-Bereitschaft für Geschäftskontinuität
7.4 NEU Physische Sicherheitsüberwachung
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.16 NEU Überwachungsaktivitäten
8.23 NEU Web-Filter
8.28 NEU Sichere Codierung
Organisatorische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.1 05.1.1, 05.1.2 Richtlinien zur Informationssicherheit
5.2 06.1.1 Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3 06.1.2 Aufgabentrennung
5.4 07.2.1 Führungsaufgaben
5.5 06.1.3 Kontakt mit Behörden
5.6 06.1.4 Kontakt zu speziellen Interessengruppen
5.7 NEU Bedrohungsinformationen
5.8 06.1.5, 14.1.1 Informationssicherheit im Projektmanagement
5.9 08.1.1, 08.1.2 Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10 08.1.3, 08.2.3 Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11 08.1.4 Rückgabe von Vermögenswerten
5.12 08.2.1 Klassifizierung von Informationen
5.13 08.2.2 Kennzeichnung von Informationen
5.14 13.2.1, 13.2.2, 13.2.3 Informationsübertragung
5.15 09.1.1, 09.1.2 Zugriffskontrolle
5.16 09.2.1 Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3 Authentifizierungsinformationen
5.18 09.2.2, 09.2.5, 09.2.6 Zugangsrechte
5.19 15.1.1 Informationssicherheit in Lieferantenbeziehungen
5.20 15.1.2 Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21 15.1.3 Management der Informationssicherheit in der IKT-Lieferkette
5.22 15.2.1, 15.2.2 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24 16.1.1 Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25 16.1.4 Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26 16.1.5 Reaktion auf Informationssicherheitsvorfälle
5.27 16.1.6 Aus Informationssicherheitsvorfällen lernen
5.28 16.1.7 Sammlung von Beweisen
5.29 17.1.1, 17.1.2, 17.1.3 Informationssicherheit bei Störungen
5.30 5.30 IKT-Bereitschaft für Geschäftskontinuität
5.31 18.1.1, 18.1.5 Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32 18.1.2 Rechte am geistigen Eigentum
5.33 18.1.3 Schutz von Aufzeichnungen
5.34 18.1.4 Privatsphäre und Schutz personenbezogener Daten
5.35 18.2.1 Unabhängige Überprüfung der Informationssicherheit
5.36 18.2.2, 18.2.3 Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37 12.1.1 Dokumentierte Betriebsabläufe
Menschenkontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
6.1 07.1.1 Rekrutierung
6.2 07.1.2 Beschäftigungsbedingungen
6.3 07.2.2 Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4 07.2.3 Disziplinarverfahren
6.5 07.3.1 Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6 13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7 06.2.2 Fernarbeit
6.8 16.1.2, 16.1.3 Berichterstattung über Informationssicherheitsereignisse
Physikalische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
7.1 11.1.1 Physische Sicherheitsbereiche
7.2 11.1.2, 11.1.6 Physischer Eintritt
7.3 11.1.3 Absicherung von Büros, Räumen und Anlagen
7.4 NEU Physische Sicherheitsüberwachung
7.5 11.1.4 Schutz vor physischen und umweltbedingten Bedrohungen
7.6 11.1.5 Arbeiten in sicheren Bereichen
7.7 11.2.9 Klarer Schreibtisch und klarer Bildschirm
7.8 11.2.1 Standort und Schutz der Ausrüstung
7.9 11.2.6 Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Speichermedium
7.11 11.2.2 Unterstützende Versorgungsunternehmen
7.12 11.2.3 Verkabelungssicherheit
7.13 11.2.4 Wartung der Ausrüstung
7.14 11.2.7 Sichere Entsorgung oder Wiederverwendung von Geräten
Technologische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
8.1 06.2.1, 11.2.8 Benutzerendpunktgeräte
8.2 09.2.3 Privilegierte Zugriffsrechte
8.3 09.4.1 Beschränkung des Informationszugriffs
8.4 09.4.5 Zugriff auf Quellcode
8.5 09.4.2 Sichere Authentifizierung
8.6 12.1.3 Kapazitätsmanagement
8.7 12.2.1 Schutz vor Malware
8.8 12.6.1, 18.2.3 Management technischer Schwachstellen
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.13 12.3.1 Informationssicherung
8.14 17.2.1 Redundanz der Informationsverarbeitungseinrichtungen
8.15 12.4.1, 12.4.2, 12.4.3 Protokollierung
8.16 NEU Überwachungsaktivitäten
8.17 12.4.4 Uhrzeitsynchronisation
8.18 09.4.4 Verwendung privilegierter Hilfsprogramme
8.19 12.5.1, 12.6.2 Installation von Software auf Betriebssystemen
8.20 13.1.1 Netzwerksicherheit
8.21 13.1.2 Sicherheit von Netzwerkdiensten
8.22 13.1.3 Trennung von Netzwerken
8.23 NEU Web-Filter
8.24 10.1.1, 10.1.2 Verwendung von Kryptographie
8.25 14.2.1 Sicherer Entwicklungslebenszyklus
8.26 14.1.2, 14.1.3 Anforderungen an die Anwendungssicherheit
8.27 14.2.5 Sichere Systemarchitektur und technische Prinzipien
8.28 NEU Sichere Codierung
8.29 14.2.8, 14.2.9 Sicherheitstests in Entwicklung und Abnahme
8.30 14.2.7 Ausgelagerte Entwicklung
8.31 12.1.4, 14.2.6 Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Änderungsmanagement
8.33 14.3.1 Testinformationen
8.34 12.7.1 Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

ISMS.online rationalisiert die ISO 27002 Implementierungsprozess durch Bereitstellung eines ausgefeilten cloudbasierten Frameworks zur Dokumentation von Verfahren und Checklisten des Informationssicherheitsmanagementsystems, um die Einhaltung anerkannter Standards sicherzustellen.

Wenn Sie ISMS.online nutzen, können Sie:

  • Erstellen Sie ein ISMS, das kompatibel ist mit ISO 27001 Standards.
  • Führen Sie Aufgaben aus und legen Sie Nachweise vor, um nachzuweisen, dass sie die Anforderungen der Norm erfüllt haben.
  • Weisen Sie Aufgaben zu und verfolgen Sie den Fortschritt bei der Einhaltung der Gesetze.
  • Erhalten Sie Zugang zu einem spezialisierten Beraterteam, das Sie auf Ihrem Weg zur Compliance unterstützt.

Nehmen Sie Kontakt auf und Demo buchen.

Sam Peters

Sam ist Chief Product Officer bei ISMS.online und leitet die Entwicklung aller Produktmerkmale und -funktionen. Sam ist ein Experte in vielen Compliance-Bereichen und arbeitet mit Kunden an maßgeschneiderten oder groß angelegten Projekten.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.