Zum Inhalt
ISMS.online

ISO 27002:2022 – Kontrolle 5.31 – Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen

ISO 27002:2022 Control 5.31 betont, dass Organisationen alle relevanten gesetzlichen, behördlichen und vertraglichen Anforderungen in Bezug auf die Informationssicherheit identifizieren, dokumentieren und einhalten müssen, um Risiken zu mindern und die Einhaltung sicherzustellen. Es bietet Anleitungen zur Integration dieser Verpflichtungen in Sicherheitsrichtlinien, Risikobewertungen, Lieferantenverträge und allgemeine Sicherheitskontrollen.

Autorin
Sam Peters
Aktualisiert Juli 25, 2025
4 / 5 Sterne

Zweck der Kontrolle 5.31

Gesetze, Vorschriften und vertragliche Anforderungen bilden einen großen Teil der Informationssicherheitsverantwortung einer Organisation.

Organisationen sollten jederzeit ein klares Verständnis ihrer Pflichten haben und bereit sein, ihre Informationssicherheitspraktiken entsprechend ihrer Rolle als verantwortungsvoller Datenverarbeiter anzupassen.

Es ist wichtig zu beachten, dass Control 5.31 keine spezifischen rechtlichen, behördlichen oder vertraglichen Bedingungen auflistet Organisationen benötigen entweder durchzusetzen oder einzuhalten, noch legt es ein Verfahren für die Ausarbeitung von Verträgen fest. Control 5.31 konzentriert sich stattdessen auf „Was“. Organisationen müssen im Hinblick auf die Informationssicherheit berücksichtigen Perspektive, bezogen auf ihre individuellen Anforderungen.

Attributtabelle

Kontrolle 5.31 ist ein vorbeugende Kontrolle zur Abwicklung, Integrierung, Speicherung und verändert das Risiko indem wir Anleitungen für den Betrieb mit einem robusten Gerät anbieten Informationssicherheitspolitik das die Einhaltung aller relevanten rechtlichen und regulatorischen Rahmenbedingungen gewährleistet.

Steuerungstyp Eigenschaften der Informationssicherheit Cybersicherheitskonzepte Operative Fähigkeiten Sicherheitsdomänen
#Präventiv #Vertraulichkeit #Identifizieren #Recht und Compliance #Governance und Ökosystem
#Integrität #Schutz
#Verfügbarkeit


ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Allgemeine Leitlinien zur Kontrolle 5.31

Es sind 5 allgemeine Leitlinien zu beachten. Organisationen sollten ihre gesetzlichen, satzungsmäßigen, behördlichen und vertraglichen Anforderungen im Auge behalten, wenn:

  1. Ausarbeitung und/oder Änderung ihrer Informationssicherheitsverfahren und interne Richtlinien Unterlagen.
  2. Entwerfen, Ändern oder Implementieren von Informationssicherheitskontrollen.
  3. Kategorisierung von Informationen bei der Berücksichtigung ihrer umfassenderen Informationssicherheitsanforderungen, entweder für organisatorische Zwecke oder im Zusammenhang mit ihren Beziehungen zu Dritten (Lieferanten usw.)
  4. Unterziehen Risikobewertungen im Zusammenhang mit der Informationssicherheit Aktivitäten, einschließlich interner Rollen und Verantwortlichkeiten im Zusammenhang mit einer Organisationsstruktur.
  5. Festlegung der Art einer Lieferantenbeziehung und ihrer vertraglichen Verpflichtungen während der Lieferung von Produkten und Dienstleistungen.


Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Legislative und regulatorische Leitlinien

Organisationen sollten interne Prozesse und Verantwortlichkeiten „definieren und dokumentieren“. die es ihnen ermöglichen:

  1. Identifizieren, analysieren und verstehen Sie ihre gesetzlichen und behördlichen Verpflichtungen im Zusammenhang mit der Informationssicherheit, einschließlich regelmäßiger Überprüfungen von Gesetzen und Vorschriften.
  2. Stellen Sie sicher, dass sie alle gesetzlichen und regulatorischen Rahmenbedingungen in den Ländern, in denen sie tätig sind, einhalten. Dies gilt auch für die Nutzung von Produkten und Dienstleistungen, die ihren Ursprung außerhalb des Landes haben, in dem sie normalerweise tätig sind.

Kryptografische Anleitung

In der IKT ist „Kryptographie“ eine Methode zum Schutz von Informationen und Kommunikation durch die Verwendung von Codes.

Daher beinhaltet das gesamte Konzept der Verschlüsselung und Kryptographie in der Regel spezifische rechtliche Anforderungen und eine Vielzahl themenspezifischer regulatorischer Leitlinien, die eingehalten werden müssen.

Vor diesem Hintergrund müssen die folgenden Hinweise berücksichtigt werden:

  1. Gesetze zum Import und/oder Export von Hardware oder Software, die entweder eine dedizierte kryptografische Funktion ausführt oder über die Fähigkeit verfügt, diese Funktion auszuführen.
  2. Gesetze zur Einschränkung kryptografischer Funktionen.
  3. Jeder Zugriff auf verschlüsselte Informationen, den Behörden innerhalb eines Landes oder einer Region haben Recht auf Anfrage und durchsetzen.
  4. Die Gültigkeit und Richtigkeit von drei wichtigen digitalen Elementen verschlüsselter Informationen:

    a) Unterschriften
    b) Robben
    c) Zertifikate

Vertragliche Beratung

Organisationen sollten ihre Informationssicherheitsverpflichtungen berücksichtigen, wenn sie rechtsverbindliche Verträge mit Kunden, Lieferanten oder Verkäufern entwerfen oder unterzeichnen (einschließlich Versicherungspolicen und Verträge).

Weitere Hinweise zu Lieferantenverträgen finden Sie in Control 5.20.

Unterstützende Kontrollen

  • 5.20


ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Änderungen und Unterschiede zu ISO 27002:2013

27002:2022-5.31 ersetzt zwei Kontrollen aus 27002:2013-18.1.2 (Rechte an geistigem Eigentum).

  1. 18.1.1 – Identifizierung der geltenden Gesetze und vertraglichen Anforderungen
  2. 18.1.5 – Regulierung kryptografischer Kontrollen

Während 27002:2013-18.1.1 abgesehen von der Notwendigkeit, dass „Manager“ alle Gesetze identifizieren müssen, die ihre Art von Unternehmen erfordert, nur minimale Anleitungen bietet, erörtert 27002:2022-5.31 die Einhaltung in allen gesetzlichen, behördlichen und kryptografischen Umgebungen und bietet einige davon an Allgemeine Leitlinien und ausführlichere Erläuterungen dazu, wie man sich bei allen geltenden Gesetzen und Vorschriften auf dem richtigen Weg hält.

Was die Verschlüsselung betrifft, folgt 27002:2022-5.31 den gleichen Grundsätzen wie 27002:2013-18.1.5 und enthält die gleichen zugrunde liegenden Leitlinien, geht jedoch noch einen Schritt weiter und fordert Organisationen auf, Hardware und Software in Betracht zu ziehen, die das Potenzial für die Verschlüsselung hat kryptografische Funktionen aus.

Neue ISO 27002-Kontrollen

Neue Steuerelemente
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.7 NEU Bedrohungsinformationen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30 NEU IKT-Bereitschaft für Geschäftskontinuität
7.4 NEU Physische Sicherheitsüberwachung
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.16 NEU Überwachungsaktivitäten
8.23 NEU Web-Filter
8.28 NEU Sichere Codierung
Organisatorische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.1 05.1.1, 05.1.2 Richtlinien zur Informationssicherheit
5.2 06.1.1 Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3 06.1.2 Aufgabentrennung
5.4 07.2.1 Führungsaufgaben
5.5 06.1.3 Kontakt mit Behörden
5.6 06.1.4 Kontakt zu speziellen Interessengruppen
5.7 NEU Bedrohungsinformationen
5.8 06.1.5, 14.1.1 Informationssicherheit im Projektmanagement
5.9 08.1.1, 08.1.2 Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10 08.1.3, 08.2.3 Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11 08.1.4 Rückgabe von Vermögenswerten
5.12 08.2.1 Klassifizierung von Informationen
5.13 08.2.2 Kennzeichnung von Informationen
5.14 13.2.1, 13.2.2, 13.2.3 Informationsübertragung
5.15 09.1.1, 09.1.2 Zugriffskontrolle
5.16 09.2.1 Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3 Authentifizierungsinformationen
5.18 09.2.2, 09.2.5, 09.2.6 Zugangsrechte
5.19 15.1.1 Informationssicherheit in Lieferantenbeziehungen
5.20 15.1.2 Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21 15.1.3 Management der Informationssicherheit in der IKT-Lieferkette
5.22 15.2.1, 15.2.2 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24 16.1.1 Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25 16.1.4 Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26 16.1.5 Reaktion auf Informationssicherheitsvorfälle
5.27 16.1.6 Aus Informationssicherheitsvorfällen lernen
5.28 16.1.7 Sammlung von Beweisen
5.29 17.1.1, 17.1.2, 17.1.3 Informationssicherheit bei Störungen
5.30 5.30 IKT-Bereitschaft für Geschäftskontinuität
5.31 18.1.1, 18.1.5 Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32 18.1.2 Rechte am geistigen Eigentum
5.33 18.1.3 Schutz von Aufzeichnungen
5.34 18.1.4 Privatsphäre und Schutz personenbezogener Daten
5.35 18.2.1 Unabhängige Überprüfung der Informationssicherheit
5.36 18.2.2, 18.2.3 Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37 12.1.1 Dokumentierte Betriebsabläufe
Menschenkontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
6.1 07.1.1 Rekrutierung
6.2 07.1.2 Beschäftigungsbedingungen
6.3 07.2.2 Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4 07.2.3 Disziplinarverfahren
6.5 07.3.1 Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6 13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7 06.2.2 Fernarbeit
6.8 16.1.2, 16.1.3 Berichterstattung über Informationssicherheitsereignisse
Physikalische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
7.1 11.1.1 Physische Sicherheitsbereiche
7.2 11.1.2, 11.1.6 Physischer Eintritt
7.3 11.1.3 Absicherung von Büros, Räumen und Anlagen
7.4 NEU Physische Sicherheitsüberwachung
7.5 11.1.4 Schutz vor physischen und umweltbedingten Bedrohungen
7.6 11.1.5 Arbeiten in sicheren Bereichen
7.7 11.2.9 Klarer Schreibtisch und klarer Bildschirm
7.8 11.2.1 Standort und Schutz der Ausrüstung
7.9 11.2.6 Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Speichermedium
7.11 11.2.2 Unterstützende Versorgungsunternehmen
7.12 11.2.3 Verkabelungssicherheit
7.13 11.2.4 Wartung der Ausrüstung
7.14 11.2.7 Sichere Entsorgung oder Wiederverwendung von Geräten
Technologische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
8.1 06.2.1, 11.2.8 Benutzerendpunktgeräte
8.2 09.2.3 Privilegierte Zugriffsrechte
8.3 09.4.1 Beschränkung des Informationszugriffs
8.4 09.4.5 Zugriff auf Quellcode
8.5 09.4.2 Sichere Authentifizierung
8.6 12.1.3 Kapazitätsmanagement
8.7 12.2.1 Schutz vor Malware
8.8 12.6.1, 18.2.3 Management technischer Schwachstellen
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.13 12.3.1 Informationssicherung
8.14 17.2.1 Redundanz der Informationsverarbeitungseinrichtungen
8.15 12.4.1, 12.4.2, 12.4.3 Protokollierung
8.16 NEU Überwachungsaktivitäten
8.17 12.4.4 Uhrzeitsynchronisation
8.18 09.4.4 Verwendung privilegierter Hilfsprogramme
8.19 12.5.1, 12.6.2 Installation von Software auf Betriebssystemen
8.20 13.1.1 Netzwerksicherheit
8.21 13.1.2 Sicherheit von Netzwerkdiensten
8.22 13.1.3 Trennung von Netzwerken
8.23 NEU Web-Filter
8.24 10.1.1, 10.1.2 Verwendung von Kryptographie
8.25 14.2.1 Sicherer Entwicklungslebenszyklus
8.26 14.1.2, 14.1.3 Anforderungen an die Anwendungssicherheit
8.27 14.2.5 Sichere Systemarchitektur und technische Prinzipien
8.28 NEU Sichere Codierung
8.29 14.2.8, 14.2.9 Sicherheitstests in Entwicklung und Abnahme
8.30 14.2.7 Ausgelagerte Entwicklung
8.31 12.1.4, 14.2.6 Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Änderungsmanagement
8.33 14.3.1 Testinformationen
8.34 12.7.1 Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

ISO 27002 Die Implementierung wird einfacher mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, von der Definition des Umfangs Ihres ISMS über die Risikoidentifizierung bis hin zur Kontrollimplementierung.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Sam Peters

Sam ist Chief Product Officer bei ISMS.online und leitet die Entwicklung aller Produktmerkmale und -funktionen. Sam ist ein Experte in vielen Compliance-Bereichen und arbeitet mit Kunden an maßgeschneiderten oder groß angelegten Projekten.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Kristall

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter - Herbst 2025
Leistungsstarke Kleinunternehmen – Herbst 2025, Großbritannien
Regionalleiter – Herbst 2025 Europa
Regionalleiter – Herbst 2025 EMEA
Regionalleiter – Herbst 2025, Großbritannien
High Performer – Herbst 2025, Europa, Mittelstand

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.