ISO 27002, Regelung 5.32 – Rechte an geistigem Eigentum

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Zweck der Kontrolle 5.32

Steuerung 5.32 beschreibt die Schritte, die Organisationen unternehmen müssen um sicherzustellen, dass sie konform bleiben geistiges Eigentum (IP) Rechte, einschließlich der Nutzung proprietärer Software, die gekauft, abonniert oder anderweitig geleast wird.

ISO definiert geistige Eigentumsrechte als zu einer oder mehreren der folgenden Kategorien gehörend:

Software-Urheberrecht
Urheberrecht dokumentieren
Designrechte
Markenrechte
Patente
Quellcode-Lizenzen

„Gesetzliche, behördliche, behördliche oder vertragliche“ Vereinbarungen legen häufig Beschränkungen hinsichtlich der Nutzung proprietärer Software fest, einschließlich allgemeiner Beschränkungen für das Kopieren, Extrahieren oder Reverse Engineering von Quellcode und anderen Maßnahmen.

Der Klarheit halber befasst sich Control 5.32 nicht mit Situationen, in denen die Organisation der IP-Inhaber ist, sondern konzentriert sich stattdessen auf deren Verpflichtung gegenüber Dritten Rechte an geistigem Eigentum, die in einer Lizenzvereinbarung, einer Datenfreigabevereinbarung oder einem anderen vergleichbaren Rechtsmechanismus festgelegt sind.

Es ist wichtig zu beachten, dass es häufig zu Urheberrechts- und/oder IP-Verletzungen kommt schwerwiegende finanzielle und rechtliche Konsequenzen für jede Organisation, die vorsätzlich oder unwissentlich gegen die Bedingungen einer Vereinbarung verstößt. Daher sollte Kontrolle 5.32 angemessen berücksichtigt werden, um unnötige Geschäftsunterbrechungen zu vermeiden Informationssicherheit Veranstaltungen.

Attributtabelle der Steuerung 5.32

Kontrolle 5.32 ist ein vorbeugende Kontrolle zur Abwicklung, Integrierung, Speicherung und hält das Risiko aufrecht durch die Implementierung von Verfahren, um sicherzustellen, dass die Organisation alle geltenden IP- oder Urheberrechtsanforderungen einhält, einschließlich der Minderung des Risikos, dass das eigene Personal der Organisation ihren individuellen Verpflichtungen nicht nachkommt.

Steuerungstyp	Eigenschaften der Informationssicherheit	Cybersicherheitskonzepte	Operative Fähigkeiten	Sicherheitsdomänen
#Präventiv	#Vertraulichkeit	#Identifizieren	#Recht und Compliance	#Governance und Ökosystem
	#Integrität
	#Verfügbarkeit

Verschaffen Sie sich einen Vorsprung von 81 %

Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.

Live-Demo anfordern

Allgemeine Leitlinien zur Kontrolle 5.32

Control 5.32 fordert Organisationen auf, die folgenden Richtlinien zu berücksichtigen, um alle Daten zu schützen: Software oder Vermögenswerte das könnte als IP gelten:

Umsetzung einer „themenspezifischen“ Richtlinie zum Schutz von Rechten des geistigen Eigentums auf Einzelfallbasis im Einklang mit ihren individuellen betrieblichen Anforderungen.
Veröffentlichung und Kommunikation klarer Verfahren, die kategorisch definieren, wie Software und IKT-Produkte betrieben werden sollten, um die Einhaltung von IP-Standards zu gewährleisten.
Nutzung angesehener und seriöser Quellen zum Erwerb von Software, um unbeabsichtigte Urheberrechtsverletzungen an der Quelle zu vermeiden.
Mithilfe eines Organisations-Asset-Registers können Sie alle IKT-Assets lokalisieren, die standardmäßig IP-Anforderungen erfüllen.
Sicherstellen, dass die Organisation jederzeit in der Lage ist, einen Eigentumsnachweis vorzulegen, einschließlich physischer und elektronischer Lizenzdokumente, Mitteilungen und Dateien.
Einhaltung vereinbarter Software-Nutzungsbeschränkungen, einschließlich gleichzeitiger Benutzer, virtueller Ressourcen usw.
Planen und implementieren Sie regelmäßige Überprüfungen, um sicherzustellen, dass der IKT-Bestand der Organisation keine nicht autorisierten oder nicht lizenzierten Softwareprodukte enthält.
Erstellen Sie betriebliche und finanzielle Verfahren, die sicherstellen, dass die Lizenzen auf dem neuesten Stand bleiben.
Erstellen Sie Verfahren, die eine sichere, verantwortungsvolle und rechtskonforme Übertragung oder Entsorgung von Software-Assets ermöglichen.
Stellen Sie sicher, dass die Allgemeinen Geschäftsbedingungen und Fair-Use-Richtlinien aller öffentlich zugänglichen Software eingehalten werden.
Wenn die Organisation einen Grund hat, kommerzielle Aufzeichnungen zu nutzen, darf kein Teil dieser Aufzeichnung auf eine Weise extrahiert, kopiert oder konvertiert werden, die nicht in den Geschäftsbedingungen der Software (einschließlich Lizenzierung) oder den geltenden Urheberrechtsgesetzen enthalten ist.
Respektierung und Einhaltung der Urheberrechtsgesetze oder Lizenzbedingungen für Textdaten, einschließlich Standards, Bücher, Artikel, Berichte usw.

Compliance muss nicht kompliziert sein.

Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.

Live-Demo anfordern

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022-5.32 ersetzt 27002:2013-18.1.2 (Geistige Eigentumsrechte).

27002:2022-5.31 enthält im Großen und Ganzen die gleichen Richtlinien wie sein Gegenstück aus dem Jahr 2013, mit zwei geringfügigen Ergänzungen:

27002:2022-5.31 enthält Hinweise zum Umgang mit IP-bezogenen Angelegenheiten im Rahmen einer Datenfreigabevereinbarung.
27002:2013-18.1.2 enthält keine Erwähnung der verbleibenden Vorteile für eine Organisation, die das Verhalten einzelner Mitarbeiter in Bezug auf IP-Vereinbarungen und Softwarenutzung steuern möchte.

Neue ISO 27002-Kontrollen

Neue Steuerelemente

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.7	NEU	Bedrohungsinformationen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30	NEU	IKT-Bereitschaft für Geschäftskontinuität
7.4	NEU	Physische Sicherheitsüberwachung
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.16	NEU	Überwachungsaktivitäten
8.23	NEU	Web-Filter
8.28	NEU	Sichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.1	05.1.1, 05.1.2	Richtlinien zur Informationssicherheit
5.2	06.1.1	Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3	06.1.2	Aufgabentrennung
5.4	07.2.1	Führungsaufgaben
5.5	06.1.3	Kontakt mit Behörden
5.6	06.1.4	Kontakt zu speziellen Interessengruppen
5.7	NEU	Bedrohungsinformationen
5.8	06.1.5, 14.1.1	Informationssicherheit im Projektmanagement
5.9	08.1.1, 08.1.2	Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10	08.1.3, 08.2.3	Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11	08.1.4	Rückgabe von Vermögenswerten
5.12	08.2.1	Klassifizierung von Informationen
5.13	08.2.2	Kennzeichnung von Informationen
5.14	13.2.1, 13.2.2, 13.2.3	Informationsübertragung
5.15	09.1.1, 09.1.2	Zugriffskontrolle
5.16	09.2.1	Identitätsmanagement
5.17	09.2.4, 09.3.1, 09.4.3	Authentifizierungsinformationen
5.18	09.2.2, 09.2.5, 09.2.6	Zugangsrechte
5.19	15.1.1	Informationssicherheit in Lieferantenbeziehungen
5.20	15.1.2	Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21	15.1.3	Management der Informationssicherheit in der IKT-Lieferkette
5.22	15.2.1, 15.2.2	Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24	16.1.1	Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25	16.1.4	Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26	16.1.5	Reaktion auf Informationssicherheitsvorfälle
5.27	16.1.6	Aus Informationssicherheitsvorfällen lernen
5.28	16.1.7	Sammlung von Beweisen
5.29	17.1.1, 17.1.2, 17.1.3	Informationssicherheit bei Störungen
5.30	NEU	IKT-Bereitschaft für Geschäftskontinuität
5.31	18.1.1, 18.1.5	Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32	18.1.2	Rechte am geistigen Eigentum
5.33	18.1.3	Schutz von Aufzeichnungen
5.34	18.1.4	Privatsphäre und Schutz personenbezogener Daten
5.35	18.2.1	Unabhängige Überprüfung der Informationssicherheit
5.36	18.2.2, 18.2.3	Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37	12.1.1	Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
6.1	07.1.1	Schirmungsmaß
6.2	07.1.2	Beschäftigungsbedingungen
6.3	07.2.2	Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4	07.2.3	Disziplinarverfahren
6.5	07.3.1	Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6	13.2.4	Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7	06.2.2	Fernarbeit
6.8	16.1.2, 16.1.3	Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
7.1	11.1.1	Physische Sicherheitsbereiche
7.2	11.1.2, 11.1.6	Physischer Eintritt
7.3	11.1.3	Absicherung von Büros, Räumen und Anlagen
7.4	NEU	Physische Sicherheitsüberwachung
7.5	11.1.4	Schutz vor physischen und umweltbedingten Bedrohungen
7.6	11.1.5	Arbeiten in sicheren Bereichen
7.7	11.2.9	Klarer Schreibtisch und klarer Bildschirm
7.8	11.2.1	Standort und Schutz der Ausrüstung
7.9	11.2.6	Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Speichermedium
7.11	11.2.2	Unterstützende Versorgungsunternehmen
7.12	11.2.3	Verkabelungssicherheit
7.13	11.2.4	Wartung der Ausrüstung
7.14	11.2.7	Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
8.1	06.2.1, 11.2.8	Benutzerendpunktgeräte
8.2	09.2.3	Privilegierte Zugriffsrechte
8.3	09.4.1	Beschränkung des Informationszugriffs
8.4	09.4.5	Zugriff auf Quellcode
8.5	09.4.2	Sichere Authentifizierung
8.6	12.1.3	Kapazitätsmanagement
8.7	12.2.1	Schutz vor Malware
8.8	12.6.1, 18.2.3	Management technischer Schwachstellen
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.13	12.3.1	Informationssicherung
8.14	17.2.1	Redundanz der Informationsverarbeitungseinrichtungen
8.15	12.4.1, 12.4.2, 12.4.3	Protokollierung
8.16	NEU	Überwachungsaktivitäten
8.17	12.4.4	Uhrzeitsynchronisation
8.18	09.4.4	Verwendung privilegierter Hilfsprogramme
8.19	12.5.1, 12.6.2	Installation von Software auf Betriebssystemen
8.20	13.1.1	Netzwerksicherheit
8.21	13.1.2	Sicherheit von Netzwerkdiensten
8.22	13.1.3	Trennung von Netzwerken
8.23	NEU	Web-Filter
8.24	10.1.1, 10.1.2	Verwendung von Kryptographie
8.25	14.2.1	Sicherer Entwicklungslebenszyklus
8.26	14.1.2, 14.1.3	Anforderungen an die Anwendungssicherheit
8.27	14.2.5	Sichere Systemarchitektur und technische Prinzipien
8.28	NEU	Sichere Codierung
8.29	14.2.8, 14.2.9	Sicherheitstests in Entwicklung und Abnahme
8.30	14.2.7	Ausgelagerte Entwicklung
8.31	12.1.4, 14.2.6	Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Änderungsmanagement
8.33	14.3.1	Testinformationen
8.34	12.7.1	Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

ISMS.online rationalisiert die ISO 27002 Implementierungsprozess durch Bereitstellung eines ausgefeilten cloudbasierten Frameworks zur Dokumentation von Verfahren und Checklisten des Informationssicherheitsmanagementsystems, um die Einhaltung anerkannter Standards sicherzustellen.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.