Zweck der Kontrolle 5.31
Gesetze, Vorschriften und vertragliche Anforderungen bilden einen großen Teil der Informationssicherheitsverantwortung einer Organisation.
Organisationen sollten jederzeit ein klares Verständnis ihrer Pflichten haben und bereit sein, ihre Informationssicherheitspraktiken entsprechend ihrer Rolle als verantwortungsvoller Datenverarbeiter anzupassen.
Es ist wichtig zu beachten, dass Control 5.31 keine spezifischen rechtlichen, behördlichen oder vertraglichen Bedingungen auflistet Organisationen benötigen entweder durchzusetzen oder einzuhalten, noch legt es ein Verfahren für die Ausarbeitung von Verträgen fest. Control 5.31 konzentriert sich stattdessen auf „Was“. Organisationen müssen im Hinblick auf die Informationssicherheit berücksichtigen Perspektive, bezogen auf ihre individuellen Anforderungen.
Attributtabelle
Kontrolle 5.31 ist ein vorbeugende Kontrolle zur Abwicklung, Integrierung, Speicherung und verändert das Risiko indem wir Anleitungen für den Betrieb mit einem robusten Gerät anbieten Informationssicherheitspolitik das die Einhaltung aller relevanten rechtlichen und regulatorischen Rahmenbedingungen gewährleistet.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Identifizieren | #Recht und Compliance | #Governance und Ökosystem |
| #Integrität | #Schutz | |||
| #Verfügbarkeit |
Verschaffen Sie sich einen Vorsprung von 81 %
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Allgemeine Leitlinien zur Kontrolle 5.31
Es sind 5 allgemeine Leitlinien zu beachten. Organisationen sollten ihre gesetzlichen, satzungsmäßigen, behördlichen und vertraglichen Anforderungen im Auge behalten, wenn:
- Ausarbeitung und/oder Änderung ihrer Informationssicherheitsverfahren und interne Richtlinien Unterlagen.
- Entwerfen, Ändern oder Implementieren von Informationssicherheitskontrollen.
- Kategorisierung von Informationen bei der Berücksichtigung ihrer umfassenderen Informationssicherheitsanforderungen, entweder für organisatorische Zwecke oder im Zusammenhang mit ihren Beziehungen zu Dritten (Lieferanten usw.)
- Unterziehen Risikobewertungen im Zusammenhang mit der Informationssicherheit Aktivitäten, einschließlich interner Rollen und Verantwortlichkeiten im Zusammenhang mit einer Organisationsstruktur.
- Festlegung der Art einer Lieferantenbeziehung und ihrer vertraglichen Verpflichtungen während der Lieferung von Produkten und Dienstleistungen.
Compliance muss nicht kompliziert sein.
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Legislative und regulatorische Leitlinien
Organisationen sollten interne Prozesse und Verantwortlichkeiten „definieren und dokumentieren“. die es ihnen ermöglichen:
- Identifizieren, analysieren und verstehen Sie ihre gesetzlichen und behördlichen Verpflichtungen im Zusammenhang mit der Informationssicherheit, einschließlich regelmäßiger Überprüfungen von Gesetzen und Vorschriften.
- Stellen Sie sicher, dass sie alle gesetzlichen und regulatorischen Rahmenbedingungen in den Ländern, in denen sie tätig sind, einhalten. Dies gilt auch für die Nutzung von Produkten und Dienstleistungen, die ihren Ursprung außerhalb des Landes haben, in dem sie normalerweise tätig sind.
Kryptografische Anleitung
In der IKT ist „Kryptographie“ eine Methode zum Schutz von Informationen und Kommunikation durch die Verwendung von Codes.
Daher beinhaltet das gesamte Konzept der Verschlüsselung und Kryptographie in der Regel spezifische rechtliche Anforderungen und eine Vielzahl themenspezifischer regulatorischer Leitlinien, die eingehalten werden müssen.
Vor diesem Hintergrund müssen die folgenden Hinweise berücksichtigt werden:
- Gesetze zum Import und/oder Export von Hardware oder Software, die entweder eine dedizierte kryptografische Funktion ausführt oder über die Fähigkeit verfügt, diese Funktion auszuführen.
- Gesetze zur Einschränkung kryptografischer Funktionen.
- Jeder Zugriff auf verschlüsselte Informationen, den Behörden innerhalb eines Landes oder einer Region haben Recht auf Anfrage und durchsetzen.
- Die Gültigkeit und Richtigkeit von drei wichtigen digitalen Elementen verschlüsselter Informationen:
a) Unterschriften
b) Robben
c) Zertifikate
Vertragliche Beratung
Organisationen sollten ihre Informationssicherheitsverpflichtungen berücksichtigen, wenn sie rechtsverbindliche Verträge mit Kunden, Lieferanten oder Verkäufern entwerfen oder unterzeichnen (einschließlich Versicherungspolicen und Verträge).
Weitere Hinweise zu Lieferantenverträgen finden Sie in Control 5.20.
Unterstützende Kontrollen
- 5.20
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.
Änderungen und Unterschiede zu ISO 27002:2013
27002:2022-5.31 ersetzt zwei Kontrollen aus 27002:2013-18.1.2 (Rechte an geistigem Eigentum).
- 18.1.1 – Identifizierung der geltenden Gesetze und vertraglichen Anforderungen
- 18.1.5 – Regulierung kryptografischer Kontrollen
Während 27002:2013-18.1.1 abgesehen von der Notwendigkeit, dass „Manager“ alle Gesetze identifizieren müssen, die ihre Art von Unternehmen erfordert, nur minimale Anleitungen bietet, erörtert 27002:2022-5.31 die Einhaltung in allen gesetzlichen, behördlichen und kryptografischen Umgebungen und bietet einige davon an Allgemeine Leitlinien und ausführlichere Erläuterungen dazu, wie man sich bei allen geltenden Gesetzen und Vorschriften auf dem richtigen Weg hält.
Was die Verschlüsselung betrifft, folgt 27002:2022-5.31 den gleichen Grundsätzen wie 27002:2013-18.1.5 und enthält die gleichen zugrunde liegenden Leitlinien, geht jedoch noch einen Schritt weiter und fordert Organisationen auf, Hardware und Software in Betracht zu ziehen, die das Potenzial für die Verschlüsselung hat kryptografische Funktionen aus.
Neue ISO 27002-Kontrollen
Neue Steuerelemente
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Schirmungsmaß |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Wie ISMS.online hilft
ISO 27002 Die Implementierung wird einfacher mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, von der Definition des Umfangs Ihres ISMS über die Risikoidentifizierung bis hin zur Kontrollimplementierung.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Zum Thema springen
Lassen Sie sich bis zu 5 x schneller zertifizieren
Füllen Sie einfach die Lücken aus.
Live-Demo anfordern Angebotsanfrage
