Was ist Kontrolle? 5.4 Verantwortlichkeiten des Managements
Was ist eine Informationssicherheitsrichtlinie?
An Die Informationssicherheitsrichtlinie ist ein formelles Dokument Es gibt Managementanweisungen, Ziele und Grundsätze für den Schutz der Informationen einer Organisation vor. Ein wirksame Informationssicherheitspolitik sollten auf die spezifischen Bedürfnisse einer Organisation zugeschnitten sein und von der Geschäftsleitung unterstützt werden, um eine angemessene Zuweisung von Ressourcen sicherzustellen.
Die Richtlinie kommuniziert die übergeordneten Grundsätze darüber, wie das Management möchte, dass Mitarbeiter mit sensiblen Daten umgehen und wie dies geschieht Das Unternehmen wird seine Informationsbestände schützen.
Die Richtlinie wird häufig aus Gesetzen, Vorschriften und bewährten Praktiken abgeleitet, die von der Organisation eingehalten werden müssen. Informationssicherheitsrichtlinien werden in der Regel von der Geschäftsleitung einer Organisation unter Einbeziehung des IT-Sicherheitspersonals erstellt.
Richtlinien sollten auch einen Rahmen dafür enthalten Definition von Rollen und Verantwortlichkeiten und einen Zeitplan für die regelmäßige Überprüfung.
Attributtabelle
Attribute sind eine Möglichkeit, verschiedene Arten von Steuerelementen zu kategorisieren. Mit diesen Attributen können Sie Ihre Kontrollen an Industriestandards anpassen. In Kontrolle 5.4 sind dies:
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Identifizieren | #Führung | #Governance und Ökosystem |
| #Integrität | ||||
| #Verfügbarkeit |
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Was ist der Zweck der Kontrolle 5.4?
Control 5.4 wurde entwickelt, um Stellen Sie sicher, dass das Management sich seiner Verantwortung für die Informationssicherheit bewusst ist und dass es Maßnahmen ergreift, um sicherzustellen, dass alle Mitarbeiter sich dessen bewusst sind ihren Informationssicherheitspflichten nachzukommen und diese zu erfüllen.
Steuerung 5.4 erklärt
Informationen sind ein wertvolles Gut und müssen vor Verlust, Beschädigung oder Missbrauch geschützt werden. Die Organisation muss sicherstellen, dass geeignete Maßnahmen zum Schutz dieses Vermögenswerts ergriffen werden. Damit dies geschieht, muss das Management sicherstellen, dass alle Mitarbeiter alle Informationssicherheitsrichtlinien, themenspezifischen Richtlinien und Verfahren der Organisation anwenden.
Control 5.4 deckt den Zweck und die Umsetzungsleitlinien zur Definition der Managementverantwortung im Hinblick auf die Informationssicherheit in einer Organisation im Einklang mit ab Rahmenwerk der ISO 27001.
Diese Kontrollmaßnahme dient dazu, sicherzustellen, dass das Management das Informationssicherheitsprogramm mitträgt und alle Mitarbeiter und Auftragnehmer die Informationssicherheitsrichtlinie des Unternehmens kennen und befolgen. Niemand sollte von der verpflichtenden Einhaltung der Sicherheitsrichtlinien, themenspezifischen Richtlinien und Verfahren des Unternehmens ausgenommen sein.
Was dazugehört und wie man die Anforderungen erfüllt
Der Schlüssel zur Erfüllung der Anforderungen dieser Kontrolle liegt darin, sicherzustellen, dass das Management in der Lage ist, alle relevanten Mitarbeiter dazu zu zwingen, die Informationssicherheitsrichtlinien, -standards und -verfahren der Organisation einzuhalten.
Der erste Schritt ist die Zustimmung und Unterstützung des Managements. Das Management muss sein Engagement unter Beweis stellen indem es alle eingeführten Richtlinien und Verfahren einhält. Wenn Sie beispielsweise von Ihren Mitarbeitern eine jährliche Sicherheitsschulung verlangen Schulungen, sollten Manager mit gutem Beispiel vorangehen und diese Kurse zuerst abschließen.
Als nächstes kommt es darauf an, jedem im Unternehmen unabhängig von seiner Rolle die Bedeutung der Informationssicherheit zu vermitteln. Dazu gehören der Vorstand, die Führungskräfte und das Management sowie die Mitarbeiter. Jeder muss seine Rolle bei der Aufrechterhaltung verstehen Sicherheit sensibler Daten gemäß dem ISMS des Unternehmens Programm teilnehmen.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Unterschiede zwischen ISO 27002:2013 und ISO 27002:2022
ISO 27002:2022-Steuerung 5.4 Managementverantwortung wurde in ISO 7.2.1:27002 früher als Kontrolle 2013 Managementverantwortung bezeichnet. Hierbei handelt es sich nicht um eine neue Steuerung, sondern um eine robustere Interpretation der Version von 2013.
Während Kontrolle 5.4 und Kontrolle 7.2.1 im Großen und Ganzen dasselbe abdecken, gibt es nur wenige Unterschiede, die Organisationen und Unternehmensleiter beachten sollten. Diese Unterschiede werden in den Implementierungsleitfäden des Steuerelements behandelt.
Kontrolle 5.4 ISO 27002:2013-2022 Implementierungsrichtlinien im Vergleich
In ISO 27002:2013 umfasst die Managementverantwortung die Sicherstellung, dass Mitarbeiter und Auftragnehmer:
a) werden ordnungsgemäß darüber informiert Rollen und Verantwortlichkeiten im Bereich Informationssicherheit bevor Ihnen Zugang zu vertraulichen Informationen oder Informationssystemen gewährt wird;
b) werden mit Richtlinien zur Verfügung gestellt, um die Erwartungen an die Informationssicherheit an ihre Rolle innerhalb des Unternehmens darzulegen
Organisation;
c) sind motiviert, die Informationssicherheitsrichtlinien der Organisation zu erfüllen;
d) einen Grad an Bewusstsein für Informationssicherheit erreichen, der für ihre Rollen und Verantwortlichkeiten innerhalb der Organisation relevant ist;
e) die Beschäftigungsbedingungen einhalten, einschließlich der Informationssicherheitsrichtlinie und angemessenen Arbeitsmethoden der Organisation;
f) weiterhin über die entsprechenden Fähigkeiten und Qualifikationen verfügen und regelmäßig weitergebildet werden;
g) erhalten einen anonymen Meldekanal, um Verstöße gegen Richtlinien oder Verfahren zur Informationssicherheit zu melden („Whistleblowing“).
Das Management sollte die Richtlinien, Verfahren und Kontrollen der Informationssicherheit unterstützen und als Vorbild fungieren.
Control 5.4 ist eine benutzerfreundlichere Version und erfordert, dass Managementverantwortung stellt sicher, dass Mitarbeiter und Auftragnehmer:
a) Werden ordnungsgemäß über ihre Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit informiert, bevor ihnen Zugriff auf die Informationen der Organisation und andere damit verbundene Vermögenswerte gewährt wird;
b) Ihnen werden Richtlinien zur Verfügung gestellt, in denen die Informationssicherheitserwartungen für ihre Rolle innerhalb der Organisation dargelegt werden;
c) Sind beauftragt, die Informationssicherheitsrichtlinie und themenspezifische Richtlinien der Organisation einzuhalten;
d) Erreichen Sie ein Bewusstsein für Informationssicherheit, das für Ihre Rollen und Verantwortlichkeiten innerhalb der Organisation relevant ist.
e) Einhaltung der Beschäftigungs-, Vertrags- oder Vereinbarungsbedingungen, einschließlich der Informationssicherheitsrichtlinie und angemessener Arbeitsmethoden der Organisation;
f) Durch kontinuierliche berufliche Weiterbildung weiterhin über die entsprechenden Fähigkeiten und Qualifikationen im Bereich Informationssicherheit verfügen;
g) Sofern möglich, wird ein vertraulicher Kanal zur Meldung von Verstößen gegen die Informationssicherheitsrichtlinie, themenspezifische Richtlinien oder Verfahren zur Informationssicherheit („Whistleblowing“) bereitgestellt. Dies kann eine anonyme Meldung ermöglichen oder Bestimmungen enthalten, die sicherstellen, dass die Identität des Meldenden nur denjenigen bekannt ist, die mit solchen Meldungen befasst sind;
h) Verfügt über ausreichende Ressourcen und Projektplanungszeit für die Implementierung der sicherheitsrelevanten Prozesse und Kontrollen der Organisation.
Wie Sie sehen, fordert ISO 27002:2022 ausdrücklich, dass Arbeiter und Auftragnehmer mit den erforderlichen Ressourcen sowie Projektplanungszeit ausgestattet werden, um die sicherheitsrelevanten Verfahren und Kontrollen der Organisation durchzuführen.
Betroffen waren auch die Formulierungen in einigen Umsetzungsrichtlinien der ISO 27002:2013 vs. ISO 27002:2020. Wo in der Richtlinie C der Fassung von 2013 steht, dass Mitarbeiter und Auftragnehmer „motiviert“ werden müssen, die ISMS-Richtlinien des Unternehmens zu übernehmen, wird in der Fassung von 2022 das Wort „vorgeschrieben“ verwendet.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Wer ist für diesen Prozess verantwortlich?
Die Antwort auf diese Frage ist ziemlich einfach: das Management! Es liegt in der Verantwortung des Managements sicherzustellen, dass ein ordnungsgemäßes ISMS (Information Security Management System) implementiert wird.
Dies wird normalerweise durch die Ernennung eines entsprechend qualifizierten und erfahrenen Informationssicherheitsmanagers unterstützt, der gegenüber der Geschäftsleitung für die Entwicklung, Implementierung, Verwaltung und kontinuierliche Verbesserung des ISMS verantwortlich ist.
Neue ISO 27002-Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Rekrutierung |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Wie ISMS.online hilft
Eine der größten Herausforderungen bei der Umsetzung eines ISO 27001-ausgerichtetes ISMS behält den Überblick über Ihre Informationssicherheitskontrollen. Unser System macht das einfach.
Wir verstehen die Bedeutung von Schutz der Daten Ihrer Organisation und Ruf. Aus diesem Grund ist unsere cloudbasierte Plattform darauf ausgelegt, die Implementierung von ISO 27001 zu vereinfachen, Ihnen ein robustes Rahmenwerk für Informationssicherheitskontrollen bereitzustellen und Ihnen dabei zu helfen, die Zertifizierung mit minimalem Ressourcen- und Zeitaufwand zu erreichen.
Wir haben eine Vielzahl benutzerfreundlicher integriert Integrieren Sie Funktionen und Toolkits in unsere Plattform, um Ihnen Zeit zu sparen und sicherzustellen, dass Sie ein wirklich robustes ISMS erstellen. Mit ISMS.onlinekönnen Sie problemlos die ISO 27001-Zertifizierung erhalten und diese anschließend problemlos verwalten.
Kontakt mehr Informationen.
