Das ISO 27002:2022 Kontrolle 5.5 legt fest, dass eine Organisation einen Prozess für den Kontakt mit den zuständigen Behörden gemäß den gesetzlichen, behördlichen und vertraglichen Anforderungen, in denen die Organisation tätig ist, einrichten und aufrechterhalten muss.
Steuerelemente werden anhand von Attributen klassifiziert. Mithilfe dieser können Sie Ihre Steuerungsauswahl schnell mit häufig verwendeten Branchenbegriffen und -spezifikationen abgleichen. Dies sind diejenigen, die in Kontrolle 5.5 zu finden sind.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Vorbeugend #Korrektiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Identifizieren #Schützen #Reagieren #Wiederherstellen | #Führung | #Verteidigung #Resilienz |
Uns fällt kein Unternehmen ein, dessen Service mit ISMS.online mithalten kann.
Der Zweck der Kontrolle 5.5 besteht darin, sicherzustellen, dass ein angemessener Informationsfluss im Hinblick auf die Informationssicherheit zwischen der Organisation und den relevanten Rechts-, Regulierungs- und Aufsichtsbehörden stattfindet. Es muss ein geeignetes Forum für den Dialog und die Zusammenarbeit zwischen dem Unternehmen und den zuständigen Rechts-, Regulierungs- und Aufsichtsbehörden vorhanden sein.
Kontrolle 5.5 umfasst die Anforderungen, den Zweck und die Implementierungsanweisungen zur Identifizierung und Informationssicherheitsereignisse melden rechtzeitig zu informieren und zu erfahren, an wen und wie man sich im Falle eines Vorfalls wenden kann.
Das Ziel der Kontrolle 5.5 besteht darin, zu ermitteln, welche Stakeholder (z. B. Strafverfolgungsbehörden, Regulierungsbehörden, Aufsichtsbehörden) im Falle eines Sicherheitsereignisses kontaktiert werden müssten. Es ist wichtig, dass Sie diese Stakeholder bereits identifiziert haben, bevor es zu einem Vorfall kommt.
Kontakt mit Behörden bedeutet, dass die Organisation eine informelle Kommunikation mit Behörden zu Fragen der Informationssicherheit einrichten und umsetzen sollte, einschließlich:
Das Hauptziel der Kontrolle 5.5 besteht darin, die Beziehung der Organisation zu den Strafverfolgungsbehörden in ihrem jeweiligen Zusammenhang herzustellen Management von Informationssicherheitsrisiken.
Um die Anforderungen für Kontrolle 5.5 zu erfüllen, wird erwartet, dass, wenn ein Es wird ein Informationssicherheitsvorfall entdeckt, sollte die Organisation festlegen, wann und von welchen Behörden (z. B. Strafverfolgungsbehörden, Regulierungsbehörden und Aufsichtsbehörden) benachrichtigt werden sollen und wie festgestellte Informationssicherheitsvorfälle zeitnah gemeldet werden sollen.
Der Informationsaustausch mit Behörden soll auch dazu genutzt werden, bessere Erkenntnisse über die bestehenden und künftigen Erwartungen dieser Behörden (z. B. geltende Informationssicherheitsvorschriften) zu gewinnen.
Diese Anforderung soll sicherstellen, dass die Organisation über eine kohärente Strategie für ihre Beziehungen zu Strafverfolgungsbehörden verfügt und dass sie in diesen Behörden die am besten geeigneten Ansprechpartner identifiziert hat.
Kontakte zu Regulierungsbehörden sind auch nützlich, um bevorstehende Änderungen relevanter Gesetze oder Vorschriften, die sich auf die Organisation auswirken, vorherzusehen und sich darauf vorzubereiten.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
Wir sind kostengünstig und schnell
Kontrolle 5.5: Der Kontakt mit Behörden ist keine neue Ergänzung in ISO 27002:2022. Es handelt sich um eine bestehende Kontrolle in der ursprünglichen ISO 27002:2013 mit der Kontrollnummer 6.1.3. Dies bedeutet, dass die Die Kontrollnummer wurde in der neuen Version von ISO 27002 geändert.
Neben der Änderung der Kontrollnummer wurde auch die Phraseologie geändert. In der Kontrolle 5.5 heißt es: „Die Organisation sollte Kontakt zu den zuständigen Behörden herstellen und aufrechterhalten.“ In Kontrolle 6.1.3 heißt es: „Angemessene Kontakte zu den zuständigen Behörden sollten gepflegt werden.“ Diese Änderung in der Ausdrucksweise soll diese Steuerung benutzerfreundlicher machen.
In der Version 2022 wurde ein Kontrollzweck aufgenommen. Dies ist in der Version 2013 nicht verfügbar.
Obwohl die Essenz beider Bedienelemente gleich bleibt, gibt es dennoch subtile Unterschiede, die sie voneinander unterscheiden.
Control 5.5 in ISO 27002:2022 fügt darüber hinaus hinzu, dass Kontakte mit Behörden auch genutzt werden sollten, um das Verständnis über die aktuellen und kommenden Erwartungen dieser Behörden (z. B. geltende Vorschriften zur Informationssicherheit) zu erleichtern. Dies fehlt in der Version 2013.
Das Person, die für diese Rolle verantwortlich ist ist im Allgemeinen der Informationssicherheitsmanager.
Andere Personen können diese Funktion ausführen, müssen jedoch dem Informationssicherheitsmanager Bericht erstatten, damit dieser die Aufsicht über diese Aktivitäten behalten kann. Dadurch wird eine konsistente Botschaft aufrechterhalten und eine konsistente Beziehung zu den Behörden sichergestellt.
Es trägt dazu bei, unser Verhalten auf eine positive Art und Weise zu steuern, die für uns funktioniert
& unsere Kultur.
Wenn ein neuer Zertifizierungsstandard veröffentlicht wird, gibt es in der Regel eine Übergangszeit. Für die meisten Zertifizierungszyklen gibt es eine Übergangszeit von zwei bis drei Jahren.
Allerdings ist die neueste Ausgabe von ISO 27002 auf jeden Fall unerlässlich, wenn Sie dies beabsichtigen ein ISMS einsetzen (und möglicherweise sogar eine ISMS-Zertifizierung in Betracht ziehen) und Sie müssen sicherstellen, dass Ihre Sicherheitsmaßnahmen auf dem neuesten Stand sind.
Zu den durchzuführenden Tätigkeiten gehören unter anderem die folgenden:
Bitte lesen Sie unseren Leitfaden zu ISO 27002:2022, in dem Sie mehr darüber erfahren können, wie sich diese Änderungen an Control 5.5 auf Ihr Unternehmen auswirken werden.
Den Überblick über Ihre Informationssicherheitskontrollen zu behalten, ist einer der schwierigsten Aspekte bei der Implementierung einer ISMS, das ISO 27001 entspricht. Aber unsere cloudbasierte Plattform macht das ganz einfach.
Unsere cloudbasierte Plattform bietet Ihnen ein robustes Framework für Informationssicherheit Kontrollen, damit Sie Ihren ISMS-Prozess unterwegs überprüfen können, um sicherzustellen, dass er die Anforderungen für ISO 27k erfüllt. Richtig verwendet, ISMS. online kann Ihnen dabei helfen, die Zertifizierung mit minimalem Zeit- und Ressourcenaufwand zu erreichen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
