ISO 27002:2022, Kontrolle 5.32 – Rechte an geistigem Eigentum

Überarbeitete ISO 27002:2022-Kontrollen

Demo buchen

professionell, indisch, Lehrer, Führungskraft oder Mentor, helfend, Latein, Student, neu

Zweck der Kontrolle 5.32

Steuerung 5.32 beschreibt die Schritte, die Organisationen unternehmen müssen um sicherzustellen, dass sie konform bleiben geistiges Eigentum (IP) Rechte, einschließlich der Nutzung proprietärer Software, die gekauft, abonniert oder anderweitig geleast wird.

ISO definiert geistige Eigentumsrechte als zu einer oder mehreren der folgenden Kategorien gehörend:

  1. Software-Urheberrecht
  2. Urheberrecht dokumentieren
  3. Designrechte
  4. Markenrechte
  5. Patente
  6. Quellcode-Lizenzen

„Gesetzliche, behördliche, behördliche oder vertragliche“ Vereinbarungen legen häufig Beschränkungen hinsichtlich der Nutzung proprietärer Software fest, einschließlich allgemeiner Beschränkungen für das Kopieren, Extrahieren oder Reverse Engineering von Quellcode und anderen Maßnahmen.

Der Klarheit halber befasst sich Control 5.32 nicht mit Situationen, in denen die Organisation der IP-Inhaber ist, sondern konzentriert sich stattdessen auf deren Verpflichtung gegenüber Dritten Rechte an geistigem Eigentum, die in einer Lizenzvereinbarung, einer Datenfreigabevereinbarung oder einem anderen vergleichbaren Rechtsmechanismus festgelegt sind.

Es ist wichtig zu beachten, dass es häufig zu Urheberrechts- und/oder IP-Verletzungen kommt schwerwiegende finanzielle und rechtliche Konsequenzen für jede Organisation, die vorsätzlich oder unwissentlich gegen die Bedingungen einer Vereinbarung verstößt. Daher sollte Kontrolle 5.32 angemessen berücksichtigt werden, um unnötige Geschäftsunterbrechungen zu vermeiden Informationssicherheit Veranstaltungen.

Attributtabelle

Kontrolle 5.32 ist ein vorbeugende Kontrolle zur Verbesserung der Gesundheitsgerechtigkeit hält das Risiko aufrecht durch die Implementierung von Verfahren, um sicherzustellen, dass die Organisation alle geltenden IP- oder Urheberrechtsanforderungen einhält, einschließlich der Minderung des Risikos, dass das eigene Personal der Organisation ihren individuellen Verpflichtungen nicht nachkommt.

SteuerungstypEigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv#Vertraulichkeit
#Integrität
#Verfügbarkeit		#Identifizieren#Recht und Compliance#Governance und Ökosystem
Zum Thema springen
Wenn Sie ISMS.online nicht nutzen, machen Sie sich das Leben schwerer als nötig!
Mark Wightman
Chief Technical Officer Aluma
100 % unserer Benutzer bestehen die Zertifizierung beim ersten Mal
Buchen Sie Ihre Demo

Allgemeine Leitlinien zur Kontrolle 5.32

Control 5.32 fordert Organisationen auf, die folgenden Richtlinien zu berücksichtigen, um alle Daten zu schützen: Software oder Vermögenswerte das könnte als IP gelten:

  1. Umsetzung einer „themenspezifischen“ Richtlinie zum Schutz von Rechten des geistigen Eigentums auf Einzelfallbasis im Einklang mit ihren individuellen betrieblichen Anforderungen.

  2. Veröffentlichung und Kommunikation klarer Verfahren, die kategorisch definieren, wie Software und IKT-Produkte betrieben werden sollten, um die Einhaltung von IP-Standards zu gewährleisten.

  3. Nutzung angesehener und seriöser Quellen zum Erwerb von Software, um unbeabsichtigte Urheberrechtsverletzungen an der Quelle zu vermeiden.

  4. Mithilfe eines Organisations-Asset-Registers können Sie alle IKT-Assets lokalisieren, die standardmäßig IP-Anforderungen erfüllen.

  5. Sicherstellen, dass die Organisation jederzeit in der Lage ist, einen Eigentumsnachweis vorzulegen, einschließlich physischer und elektronischer Lizenzdokumente, Mitteilungen und Dateien.

  6. Einhaltung vereinbarter Software-Nutzungsbeschränkungen, einschließlich gleichzeitiger Benutzer, virtueller Ressourcen usw.

  7. Planen und implementieren Sie regelmäßige Überprüfungen, um sicherzustellen, dass der IKT-Bestand der Organisation keine nicht autorisierten oder nicht lizenzierten Softwareprodukte enthält.

  8. Erstellen Sie betriebliche und finanzielle Verfahren, die sicherstellen, dass die Lizenzen auf dem neuesten Stand bleiben.

  9. Erstellen Sie Verfahren, die eine sichere, verantwortungsvolle und rechtskonforme Übertragung oder Entsorgung von Software-Assets ermöglichen.

  10. Stellen Sie sicher, dass die Allgemeinen Geschäftsbedingungen und Fair-Use-Richtlinien aller öffentlich zugänglichen Software eingehalten werden.

  11. Wenn die Organisation einen Grund hat, kommerzielle Aufzeichnungen zu nutzen, darf kein Teil dieser Aufzeichnung auf eine Weise extrahiert, kopiert oder konvertiert werden, die nicht in den Geschäftsbedingungen der Software (einschließlich Lizenzierung) oder den geltenden Urheberrechtsgesetzen enthalten ist.

  12. Respektierung und Einhaltung der Urheberrechtsgesetze oder Lizenzbedingungen für Textdaten, einschließlich Standards, Bücher, Artikel, Berichte usw.

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022-5.32 ersetzt 27002:2013-18.1.2 (Geistige Eigentumsrechte).

27002:2022-5.31 enthält im Großen und Ganzen die gleichen Richtlinien wie sein Gegenstück aus dem Jahr 2013, mit zwei geringfügigen Ergänzungen:

  1. 27002:2022-5.31 enthält Hinweise zum Umgang mit IP-bezogenen Angelegenheiten im Rahmen einer Datenfreigabevereinbarung.

  2. 27002:2013-18.1.2 enthält keine Erwähnung der verbleibenden Vorteile für eine Organisation, die das Verhalten einzelner Mitarbeiter in Bezug auf IP-Vereinbarungen und Softwarenutzung steuern möchte.

Wie ISMS.online hilft

ISMS.online rationalisiert die ISO 27002 Implementierungsprozess durch Bereitstellung eines ausgefeilten cloudbasierten Frameworks zur Dokumentation von Verfahren und Checklisten des Informationssicherheitsmanagementsystems, um die Einhaltung anerkannter Standards sicherzustellen.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Bist du bereit für
die neue ISO 27002

Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeuBedrohungsinformationen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
7.4NeuPhysische Sicherheitsüberwachung
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.16NeuÜberwachungsaktivitäten
8.23NeuWeb-Filter
8.28NeuSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeuBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Untersuchungen
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeuÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeuWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeuSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung
Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren