ISO 27002:2022, Control 5.29 – Informationssicherheit bei Störungen

Überarbeitete ISO 27002:2022-Kontrollen

Demo buchen

konzentriert, vielfältig, weiblich, Kollegen, sitzen, am, Schreibtisch, im Büro, Brainstorming

Zweck der Kontrolle 5.29

Trotz des breiten Spektrums an Präventionsmaßnahmen, die Organisationen zur Verfügung stehen ISO 27002:2022 Wenn Sie sich daran halten, können und werden Störungen der Geschäftskontinuität und des Standardbetriebs auftreten.

Control 5.29 beschreibt die betrieblichen Anpassungen, die Organisationen zum Schutz bei Störungen vornehmen sollten Informationen und schützen Unternehmenswerte.

Attributtabelle

5.22 hat einen doppelten Zweck präventiv und korrigierend Kontrolliere das hält das Risiko aufrecht durch die Umsetzung eines Plans, der die Informationssicherheit in Zeiten von Störungen erhöht und Schäden an den Vermögenswerten der Organisation mindert.

SteuerungstypEigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv
#Korrektur		#Vertraulichkeit
#Integrität
#Verfügbarkeit		#Schützen
#Antworten		#Kontinuität#Schutz
#Elastizität

Eigentum an der Kontrolle 5.29

Kontrolle 5.29 bezieht sich auf betriebsbereit Informationssicherheitsprozess und -verfahren die aktiviert werden, sobald kritische Ereignisse oder Betriebsunterbrechungen auftreten.

Daher sollte die Verantwortung für Control 5.29 bei einem Mitglied des leitenden Managementteams liegen, das die täglichen Abläufe und/oder Kontinuitätsplanungsvoraussetzungen der Organisation überwacht, wie z Chief Operating Officer (COO).

Zum Thema springen

Wir sind kostengünstig und schnell

Entdecken Sie, wie das Ihren ROI steigert
Holen Sie sich Ihr Angebot

Allgemeine Leitlinien zur Kontrolle 5.29

Control 5.29 legt fest, dass Informationssicherheit ein wesentlicher Bestandteil des Gesamtkonzepts einer Organisation sein sollte Verfahren zum Geschäftskontinuitätsmanagement.

Organisationen sollten Pläne erstellen, die auf die Aufrechterhaltung abzielen Integrität der Informationssicherheitwiederherstellen und anschließend wiederherstellen, falls die Informationen infolge einer Betriebsunterbrechung oder eines Systemausfalls in irgendeiner Weise gefährdet sein sollten.

Das Sicherheitsniveau sollte auf das Niveau vor der Unterbrechung wiederhergestellt werden, und zwar so rechtzeitig, dass weitere Schäden abgemildert werden.

Dabei sollten Organisationen:

  1. Implementieren und pflegen Sie allgemeine Informationssicherheitskontrollen, einschließlich Geschäftssystemen und IKT-Plattformen, die in den umfassenderen Kontinuitätsplänen der Organisation enthalten sind.
  2. Implementieren Sie Prozesse, die darauf abzielen, die Informationssicherheitskontrollen während jeder Störung aufrechtzuerhalten.
  3. Setzen Sie gegebenenfalls kompensierende Kontrollen für alle Bemühungen im Zusammenhang mit der Informationssicherheit ein, die während einer Unterbrechungsphase nicht aufrechterhalten werden können.

Ergänzende Anleitung

Control 5.29 erkennt die äußerst variable Natur der Kontinuitätsplanung an und gibt diese an Unternehmen einen erheblichen Spielraum bei der Umsetzung der Informationssicherheit Kontrollen, die speziell auf die verschiedenen Arten von Geschäftsunterbrechungen zugeschnitten sind, denen Unternehmen ausgesetzt sein können.

Die ISO fordert die Organisation auf, sich auf zwei Schlüsselbereiche zu konzentrieren Formulierung eines Business-Continuity-Plans:

a) Verlust der Vertraulichkeit

b) die Integrität von Informationen

Siehe ISMS.online
in Aktion

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022-5.29 ersetzt die folgenden drei Kontrollen aus 27002:2013:

  • 17.1 - Informationssicherheit planen Kontinuität
  • 17.1.2 – Umsetzung der Kontinuität der Informationssicherheit
  • 17.1.3 – Überprüfen, überprüfen und bewerten Sie die Kontinuität der Informationssicherheit

Angesichts der Komplexität von Geschäftskontinuitätsplänen – und der Tatsache, dass sie sich je nach Art der Unterbrechung unterscheiden – hat die ISO ihre Leitlinien vereinfacht, indem sie von einem granularen Ansatz abweicht und Organisationen auffordert, stattdessen einige grundlegende Punkte bei der Ausarbeitung fachspezifischer Pläne zu berücksichtigen Pläne (siehe oben).

Beispielsweise heißt es in einem Teil der Leitlinien in 17.1.2:

„Personal zur Reaktion auf Vorfälle mit der erforderlichen Verantwortung, Autorität und Kompetenz zur Bewältigung eines Vorfalls und Aufrechterhaltung der Informationssicherheit sind nominiert.“

Trotz ihrer Bedeutung für eine effektive Kontinuitätsplanung erwähnt 5.29 die Incident-Response-Teams nicht ausdrücklich und vertraut darauf, dass die Organisation sie in allen Punkten der Leitlinien berücksichtigt, insbesondere:

  • Implementieren und pflegen Sie allgemeine Informationssicherheitskontrollen, einschließlich Geschäftssystemen und IKT-Plattformen, die in den umfassenderen Kontinuitätsplänen der Organisation enthalten sind.

Wie ISMS.online hilft

Eine cloudbasierte Plattform für ISO 27002 Mit der Implementierung von ISMS.online können Sie Ihre Risikomanagementprozesse im Bereich der Informationssicherheit einfach und effektiv verwalten.

Das ISMS.online-Plattform bietet eine Reihe leistungsstarker Tools, die Ihnen die Dokumentation, Implementierung, Wartung und Verbesserung Ihres Informationssicherheits-Managementsystems (ISMS) und die Einhaltung von ISO 27002 erleichtern.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Bist du bereit für
die neue ISO 27002

Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeuBedrohungsinformationen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
7.4NeuPhysische Sicherheitsüberwachung
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.16NeuÜberwachungsaktivitäten
8.23NeuWeb-Filter
8.28NeuSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeuBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Untersuchungen
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeuÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeuWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeuSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung
Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren