ISO 27002, unabhängige Überprüfung der Informationssicherheit

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

ISO 27002-Kontrolle 5.35: Warum unabhängige Sicherheitsüberprüfungen wichtig sind

Informationssicherheit ist ein zentraler Aspekt der Datenverwaltung einer Organisation Praktiken.

So sehr, dass es notwendig ist, Selbstgefälligkeit zu beseitigen, indem man regelmäßig unabhängige Überprüfungen darüber durchführt, wie eine Organisation die Menschen, Prozesse und Technologien verwaltet, die an der Aufrechterhaltung eines Unternehmens beteiligt sind effektive Informationssicherheit Erfassung sind.

Zweck der Kontrolle 5.35

Control 5.35 verlangt von Organisationen, unabhängige Überprüfungen ihrer Informationssicherheitspraktiken durchzuführen – sowohl in geplanten Abständen als auch bei größeren betrieblichen Änderungen – um sicherzustellen, dass die Richtlinien für das Informationssicherheitsmanagement:

Ausreichend – Sie haben die Fähigkeit, die Einhaltung zu erreichen
Geeignet – Sie versuchen, die richtigen Ziele zu erreichen
Effektiv – Sie funktionieren wie vorgesehen

Attributtabelle

Kontrolle 5.35 ist ein vorbeugend und korrigierend Kontrolliere das hält das Risiko aufrecht durch die Schaffung von Prozessen, die regelmäßige Überprüfungen der Informationssicherheitsmanagementpraktiken einer Organisation ermöglichen.

Steuerungstyp	Eigenschaften der Informationssicherheit	Cybersicherheitskonzepte	Operative Fähigkeiten	Sicherheitsdomänen
#Präventiv	#Vertraulichkeit	#Identifizieren	#Informationssicherheitsgewährleistung	#Governance und Ökosystem
#Korrektur	#Integrität	#Schützen
	#Verfügbarkeit

Compliance muss nicht kompliziert sein.

Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.

Live-Demo anfordern

Eigentum an der Kontrolle 5.35

Control 5.35 befasst sich hauptsächlich mit betrieblichen Angelegenheiten. Daher sollte das Eigentum beim COO oder CISO (falls vorhanden) liegen.

Allgemeine Leitlinien zur Kontrolle 5.35

Das übergeordnete Ziel ist für Das Management muss Prozesse erstellen und implementieren, die eine unabhängige Überprüfung der Informationssicherheit ermöglichen Praktiken.

Bewertungen sollten sich auf alle vorgenommenen Änderungen konzentrieren erforderlich, um den Ansatz einer Organisation zur Informationssicherheit zu verbessern, Einschließlich:

Das Informationssicherheitspolitik.
Themenspezifische Richtlinien.
Verwandte Steuerelemente.

Jede Überprüfung sollte von einer Person innerhalb oder außerhalb der Organisation durchgeführt werden, die kein persönliches Interesse an dem hat, was sie untersucht, wie zum Beispiel:

Interne Auditoren.
Unabhängige Abteilungsleiter.
Drittorganisationen.

Wer auch immer die Überprüfung durchführt, sollte über die entsprechenden Kenntnisse verfügen operative Kompetenz ein fundiertes Urteil über ihre Ergebnisse zu fällen, und (im Fall interner Mitarbeiter) ihre berufliche Rolle sollte sie nicht daran hindern, eine gültige und legitime Beurteilung vorzunehmen.

Die Ergebnisse der Überprüfung sollten sorgfältig aufgezeichnet, gespeichert und dem Manager (oder den Gruppen von Managern) gemeldet werden, der sie angefordert hat, und in bestimmten Fällen der C-Suite-Ebene oder dem Eigentümer.

Prüfer sollten versuchen festzustellen, ob die Informationssicherheitspraktiken mit den „dokumentierten Zielen und Anforderungen“ der Organisation in der Informationssicherheitsrichtlinie oder anderen themenspezifischen Richtlinien vereinbar sind.

Neben regelmäßigen Überprüfungen kann es erforderlich sein, Ad-hoc-Überprüfungen einzuleiten. Diese Bewertungen können in fünf Schlüsselbereichen gerechtfertigt werden:

Alle Gesetze, Richtlinien oder Vorschriften werden geändert, die sich auf die Informationssicherheitsmaßnahmen der Organisation auswirken.
Dur Es kommt zu Vorfällen, die Auswirkungen auf die Informationssicherheit haben (Datenverlust, Einbruch usw.).
Es wird ein neues Unternehmen gegründet oder es werden wesentliche Änderungen am bestehenden Unternehmen vorgenommen.
Das Eine Organisation führt ein neues Produkt oder eine neue Dienstleistung ein, die über Informationssicherheit verfügt Auswirkungen hat oder grundlegende Änderungen an einem aktuellen Produkt oder einer aktuellen Dienstleistung vornimmt.
Es werden wesentliche Änderungen an den Informationssicherheitskontrollen, -richtlinien und -verfahren der Organisation vorgenommen.

Ergänzende Anleitung

ISO / IEC 27007 und ISO/IEC TS 27008 enthalten weitere Leitlinien zur Praxis unabhängiger Überprüfungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.

Live-Demo anfordern

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022-5.35 ersetzt 27002:2013-18.1.2 (Unabhängige Überprüfung der Informationssicherheit).

27002:2022-5.35 enthält die gleichen allgemeinen Leitlinien wie 27002:2013-18.1.2, geht jedoch noch einen Schritt weiter und legt konkrete Beispiele dafür fest, wann eine Organisation neben ihren regelmäßigen Überprüfungen auch Ad-hoc-Überprüfungen durchführen sollte.

Neue ISO 27002-Kontrollen

Neue Steuerelemente

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.7	NEU	Bedrohungsinformationen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30	NEU	IKT-Bereitschaft für Geschäftskontinuität
7.4	NEU	Physische Sicherheitsüberwachung
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.16	NEU	Überwachungsaktivitäten
8.23	NEU	Web-Filter
8.28	NEU	Sichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.1	05.1.1, 05.1.2	Richtlinien zur Informationssicherheit
5.2	06.1.1	Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3	06.1.2	Aufgabentrennung
5.4	07.2.1	Führungsaufgaben
5.5	06.1.3	Kontakt mit Behörden
5.6	06.1.4	Kontakt zu speziellen Interessengruppen
5.7	NEU	Bedrohungsinformationen
5.8	06.1.5, 14.1.1	Informationssicherheit im Projektmanagement
5.9	08.1.1, 08.1.2	Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10	08.1.3, 08.2.3	Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11	08.1.4	Rückgabe von Vermögenswerten
5.12	08.2.1	Klassifizierung von Informationen
5.13	08.2.2	Kennzeichnung von Informationen
5.14	13.2.1, 13.2.2, 13.2.3	Informationsübertragung
5.15	09.1.1, 09.1.2	Zugriffskontrolle
5.16	09.2.1	Identitätsmanagement
5.17	09.2.4, 09.3.1, 09.4.3	Authentifizierungsinformationen
5.18	09.2.2, 09.2.5, 09.2.6	Zugangsrechte
5.19	15.1.1	Informationssicherheit in Lieferantenbeziehungen
5.20	15.1.2	Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21	15.1.3	Management der Informationssicherheit in der IKT-Lieferkette
5.22	15.2.1, 15.2.2	Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24	16.1.1	Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25	16.1.4	Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26	16.1.5	Reaktion auf Informationssicherheitsvorfälle
5.27	16.1.6	Aus Informationssicherheitsvorfällen lernen
5.28	16.1.7	Sammlung von Beweisen
5.29	17.1.1, 17.1.2, 17.1.3	Informationssicherheit bei Störungen
5.30	NEU	IKT-Bereitschaft für Geschäftskontinuität
5.31	18.1.1, 18.1.5	Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32	18.1.2	Rechte am geistigen Eigentum
5.33	18.1.3	Schutz von Aufzeichnungen
5.34	18.1.4	Privatsphäre und Schutz personenbezogener Daten
5.35	18.2.1	Unabhängige Überprüfung der Informationssicherheit
5.36	18.2.2, 18.2.3	Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37	12.1.1	Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
6.1	07.1.1	Schirmungsmaß
6.2	07.1.2	Beschäftigungsbedingungen
6.3	07.2.2	Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4	07.2.3	Disziplinarverfahren
6.5	07.3.1	Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6	13.2.4	Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7	06.2.2	Fernarbeit
6.8	16.1.2, 16.1.3	Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
7.1	11.1.1	Physische Sicherheitsbereiche
7.2	11.1.2, 11.1.6	Physischer Eintritt
7.3	11.1.3	Absicherung von Büros, Räumen und Anlagen
7.4	NEU	Physische Sicherheitsüberwachung
7.5	11.1.4	Schutz vor physischen und umweltbedingten Bedrohungen
7.6	11.1.5	Arbeiten in sicheren Bereichen
7.7	11.2.9	Klarer Schreibtisch und klarer Bildschirm
7.8	11.2.1	Standort und Schutz der Ausrüstung
7.9	11.2.6	Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Speichermedium
7.11	11.2.2	Unterstützende Versorgungsunternehmen
7.12	11.2.3	Verkabelungssicherheit
7.13	11.2.4	Wartung der Ausrüstung
7.14	11.2.7	Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
8.1	06.2.1, 11.2.8	Benutzerendpunktgeräte
8.2	09.2.3	Privilegierte Zugriffsrechte
8.3	09.4.1	Beschränkung des Informationszugriffs
8.4	09.4.5	Zugriff auf Quellcode
8.5	09.4.2	Sichere Authentifizierung
8.6	12.1.3	Kapazitätsmanagement
8.7	12.2.1	Schutz vor Malware
8.8	12.6.1, 18.2.3	Management technischer Schwachstellen
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.13	12.3.1	Informationssicherung
8.14	17.2.1	Redundanz der Informationsverarbeitungseinrichtungen
8.15	12.4.1, 12.4.2, 12.4.3	Protokollierung
8.16	NEU	Überwachungsaktivitäten
8.17	12.4.4	Uhrzeitsynchronisation
8.18	09.4.4	Verwendung privilegierter Hilfsprogramme
8.19	12.5.1, 12.6.2	Installation von Software auf Betriebssystemen
8.20	13.1.1	Netzwerksicherheit
8.21	13.1.2	Sicherheit von Netzwerkdiensten
8.22	13.1.3	Trennung von Netzwerken
8.23	NEU	Web-Filter
8.24	10.1.1, 10.1.2	Verwendung von Kryptographie
8.25	14.2.1	Sicherer Entwicklungslebenszyklus
8.26	14.1.2, 14.1.3	Anforderungen an die Anwendungssicherheit
8.27	14.2.5	Sichere Systemarchitektur und technische Prinzipien
8.28	NEU	Sichere Codierung
8.29	14.2.8, 14.2.9	Sicherheitstests in Entwicklung und Abnahme
8.30	14.2.7	Ausgelagerte Entwicklung
8.31	12.1.4, 14.2.6	Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Änderungsmanagement
8.33	14.3.1	Testinformationen
8.34	12.7.1	Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

ISMS.online rationalisiert die ISO 27002 Implementierungsprozess durch Bereitstellung eines ausgefeilten cloudbasierten Frameworks zur Dokumentation von Verfahren und Checklisten des Informationssicherheitsmanagementsystems, um die Einhaltung anerkannter Standards sicherzustellen.

Wenn Sie Nutzen Sie ISMS.online, können Sie:

Erstellen Sie ein ISMS, das kompatibel ist mit ISO 27001 Standards.
Führen Sie Aufgaben aus und legen Sie den Nachweis vor, dass sie die Anforderungen der Norm erfüllt haben.
Aufgaben zuweisen und Fortschritte bei der Einhaltung der Gesetze verfolgen.
Erhalten Sie Zugang zu einem spezialisierten Beraterteam, das Sie auf Ihrem Weg zur Compliance unterstützt.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.