ISO 27002:2022 Kontrolle 5.3 – Aufgabentrennung, früher bekannt als Kontrolle 6.1.2 in ISO 27002:2013, definiert das System, durch das widersprüchliche Pflichten und widersprüchliche Verantwortungsbereiche getrennt werden.
Jede Organisation verfügt über eine Reihe von Richtlinien und Verfahren (P&Ps), die ihre internen Abläufe regeln. P&Ps sollten dokumentiert werden, was aber oft nicht der Fall ist.
Wenn diese P&Ps nicht klar oder gut kommuniziert sind, führt dies zu Verwirrung unter den Mitarbeitern über ihre Verantwortungsbereiche. Dies kann noch schlimmer werden, wenn Mitarbeiter sich überschneidende Zuständigkeiten oder widersprüchliche Verantwortungsbereiche haben.
Konflikte können auftreten, wenn zwei oder mehr Mitarbeiter ähnliche oder unterschiedliche Verantwortlichkeiten für eine bestimmte Aufgabe haben. Wenn dies geschieht, kann es sein, dass die Mitarbeiter am Ende zweimal dasselbe tun oder unterschiedliche Dinge tun, die die Bemühungen des anderen zunichte machen. Dadurch werden Unternehmensressourcen verschwendet und die Produktivität verringert, was sich sowohl auf das Endergebnis als auch auf die Moral des Unternehmens auswirkt.
Um sicherzustellen, dass Ihre Organisation nicht unter diesem Problem leidet, ist es wichtig zu verstehen, was widersprüchliche Verantwortungsbereiche sind, warum sie auftreten und wie Sie verhindern können, dass sie in Ihrer Organisation auftreten. In den meisten Fällen bedeutet dies, Aufgaben zu trennen, sodass unterschiedliche Personen unterschiedliche Aufgaben erledigen Rollen in der Organisation.
Steuerelemente werden nach ihren Attributen klassifiziert. Mithilfe von Attributen können Sie Ihre Steuerelementauswahl an Industriestandards und Sprache anpassen. In Steuerung 5.3 sind dies:
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Governance #Identitäts- und Zugriffsmanagement | #Governance und Ökosystem |
Wir sind kostengünstig und schnell
Der Zweck der Kontrolle 5.3 Aufgabentrennung in ISO 27002 besteht darin, das Risiko von Betrug, Fehlern und der Umgehung von Informationssicherheitskontrollen zu verringern, indem sichergestellt wird, dass widersprüchliche Aufgaben getrennt werden.
Control 5.3 umfasst die Umsetzungsanleitung für die Trennung von Aufgaben und Pflichten in einer Organisation im Einklang mit dem Rahmenwerk von ISO 27001 .
Das Prinzip besteht darin, wichtige Aufgaben in Teilaufgaben zu zerlegen und diese verschiedenen Personen zuzuweisen. Dadurch entsteht ein System von Checks and Balances, das das Risiko von Fehlern oder Betrug verringern kann.
Die Kontrolle soll verhindern, dass eine einzelne Person unzulässige Handlungen begeht, verheimlicht und rechtfertigt, und so das Risiko von Betrug oder Fehlern verringern. Außerdem wird dadurch verhindert, dass eine einzelne Person Informationssicherheitskontrollen außer Kraft setzen kann.
Wenn ein Mitarbeiter über alle für eine bestimmte Aufgabe erforderlichen Rechte verfügt, besteht ein höheres Betrugs- oder Fehlerrisiko, da eine Person alles ohne Kontrolle und Kontrolle erledigen kann. Wenn jedoch keine einzelne Person über alle für eine bestimmte Aufgabe erforderlichen Zugriffsrechte verfügt, verringert sich das Risiko, dass ein Mitarbeiter erheblichen Schaden oder finanziellen Verlust verursacht.
Nicht getrennte Aufgaben und Verantwortungsbereiche könnten zu Betrug, Missbrauch, unangemessenem Zugriff und anderem führen Sicherheitsvorfälle.
Darüber hinaus ist eine Aufgabentrennung erforderlich, um die Risiken zu mindern, die mit der Möglichkeit einer Absprache zwischen Einzelpersonen verbunden sind. Diese Risiken erhöhen sich, wenn es nicht genügend Kontrollen gibt, um Absprachen zu verhindern oder aufzudecken.
Um die Anforderungen für Kontrolle 5.3 in ISO 27002:2022 zu erfüllen, sollte die Organisation bestimmen, welche Aufgaben und Verantwortungsbereiche getrennt werden müssen, und umsetzbare Trennungskontrollen einrichten.
Wenn solche Kontrollen nicht möglich sind, insbesondere bei kleinen Organisationen mit minimalem Personalbestand, ist eine Überwachung der Aktivitäten erforderlich. Prüfpfade und Managementüberwachung kann verwendet werden. In größeren Organisationen können automatisierte Tools zur Identifizierung und Trennung von Rollen eingesetzt werden, sodass Personen keine widersprüchlichen Rollen zugewiesen werden.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
Die Kontrollnummer 5.3 Aufgabentrennung in ISO 27002:2022 ist keine neue Kontrolle. Es handelt sich lediglich um eine verbesserte Version der Kontrolle 6.1.2 Aufgabentrennung in ISO 27002:2013.
Die Grundlagen der Funktionstrennung sind in Kontrolle 5.3 ISO 27002:2022 und Kontrolle 6.1.2 ISO 27002:2013 gleich. Allerdings beschreibt die neue Version eine Reihe von Aktivitäten, die bei der Implementierung dieser Kontrolle eine Trennung erfordern.
Diese Aktivitäten sind:
a) eine Änderung einleiten, genehmigen und ausführen;
b) Beantragung, Genehmigung und Umsetzung von Zugriffsrechten;
c) Entwerfen, Implementieren und Überprüfen von Code;
d) Entwicklung von Software und Verwaltung von Produktionssystemen;
e) Nutzung und Verwaltung von Anwendungen;
f) Nutzung von Anwendungen und Verwaltung von Datenbanken;
g) Entwerfen, Prüfen und Sichern Informationssicherheitskontrollen.
Es gibt mehrere Personen, die für die Aufgabentrennung in ISO 27002 verantwortlich sind. Zunächst sollte ein hochrangiges Mitglied des Managementteams einbezogen werden, um sicherzustellen, dass die erste Risikobewertung Wurde vervollständigt.
Dann sollten die Prozesse, die verschiedene Teile der Organisation abdecken, verschiedenen Gruppen qualifizierter Mitarbeiter zugeordnet werden. Um zu verhindern, dass betrügerische Mitarbeiter die Unternehmenssicherheit gefährden, erfolgt dies in der Regel durch die Zuweisung von Aufgaben an verschiedene Arbeitseinheiten und die Aufteilung der IT-bezogenen Betriebs- und Wartungsaktivitäten in Abteilungen.
Schließlich kann die Aufgabentrennung ohne ein geeignetes IT-Prüfprogramm, eine wirksame Risikomanagementstrategie sowie eine geeignete Kontrollumgebung nicht ordnungsgemäß hergestellt werden.
Die neue Norm ISO 27002:2022 verlangt von Ihnen nicht viel mehr als Aktualisieren Sie Ihr ISMS Prozesse, um die verbesserten Kontrollen widerzuspiegeln. Und wenn Ihr Team das nicht schafft, ISMS.online Zeit und Geld sparen.
ISMS.online optimiert den ISO 27002-Implementierungsprozess durch die Bereitstellung eines ausgefeilten cloudbasierten Frameworks zur Dokumentation von Verfahren und Checklisten des Informationssicherheitsmanagementsystems, um die Einhaltung anerkannter Standards sicherzustellen.
Wenn Sie ISMS.online nutzen, können Sie:
Dank unserer cloudbasierten Plattform ist es jetzt möglich, Ihre Checklisten zentral zu verwalten, mit Kollegen zu interagieren und ein umfassendes Set an Tools zu nutzen, um Ihr Unternehmen bei der Erstellung und dem Betrieb eines ISMS gemäß weltweiten Best Practices zu unterstützen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
