ISO 27002:2022, Kontrolle 5.5 – Kontakt mit Behörden

Überarbeitete ISO 27002:2022-Kontrollen

Live-Demo buchen

unten,ansicht,von,moderne,wolkenkratzer,in,geschäft,bezirk,gegen,blau

Die ISO 27002:2022 Kontrolle 5.5 legt fest, dass eine Organisation einen Prozess für den Kontakt mit den zuständigen Behörden gemäß den gesetzlichen, behördlichen und vertraglichen Anforderungen, in denen die Organisation tätig ist, einrichten und aufrechterhalten muss.

Was ist Control 5.5 Kontakt mit Behörden?

Steuerelemente werden anhand von Attributen klassifiziert. Mithilfe dieser können Sie Ihre Steuerungsauswahl schnell mit häufig verwendeten Branchenbegriffen und -spezifikationen abgleichen. Dies sind diejenigen, die in Kontrolle 5.5 zu finden sind.

Attributtabelle

SteuerungstypEigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Vorbeugend #Korrektiv#Vertraulichkeit #Integrität #Verfügbarkeit#Identifizieren #Schützen #Reagieren #Wiederherstellen#Führung#Verteidigung #Resilienz
Uns fällt kein Unternehmen ein, dessen Service mit ISMS.online mithalten kann.
Vivian Kroner
Leitender Implementierer von ISO 27001, 27701 und DSGVO Aperian Global
100 % unserer Benutzer bestehen die Zertifizierung beim ersten Mal
Buchen Sie Ihre Demo

Was ist der Zweck der Kontrolle 5.5?

Der Zweck der Kontrolle 5.5 besteht darin, sicherzustellen, dass ein angemessener Informationsfluss im Hinblick auf die Informationssicherheit zwischen der Organisation und den relevanten Rechts-, Regulierungs- und Aufsichtsbehörden stattfindet. Es muss ein geeignetes Forum für den Dialog und die Zusammenarbeit zwischen dem Unternehmen und den zuständigen Rechts-, Regulierungs- und Aufsichtsbehörden vorhanden sein.

Kontrolle 5.5 umfasst die Anforderungen, den Zweck und die Implementierungsanweisungen zur Identifizierung und Informationssicherheitsereignisse melden rechtzeitig zu informieren und zu erfahren, an wen und wie man sich im Falle eines Vorfalls wenden kann.

Das Ziel der Kontrolle 5.5 besteht darin, zu ermitteln, welche Stakeholder (z. B. Strafverfolgungsbehörden, Regulierungsbehörden, Aufsichtsbehörden) im Falle eines Sicherheitsereignisses kontaktiert werden müssten. Es ist wichtig, dass Sie diese Stakeholder bereits identifiziert haben, bevor es zu einem Vorfall kommt.

Kontakt mit Behörden bedeutet, dass die Organisation eine informelle Kommunikation mit Behörden zu Fragen der Informationssicherheit einrichten und umsetzen sollte, einschließlich:

  • Laufende Kommunikation mit den zuständigen Behörden, um sicherzustellen, dass die Die Organisation ist sich dessen bewusst über aktuelle Bedrohungen und Schwachstellen.
  • Informieren Sie die zuständigen Behörden über Schwachstellen, die in den Produkten, Dienstleistungen oder Systemen der Organisation entdeckt wurden.
  • Erhalt von Informationen von zuständigen Behörden über Bedrohungen und Schwachstellen.

Was dazugehört und wie man die Anforderungen erfüllt

Das Hauptziel der Kontrolle 5.5 besteht darin, die Beziehung der Organisation zu den Strafverfolgungsbehörden in ihrem jeweiligen Zusammenhang herzustellen Management von Informationssicherheitsrisiken.

Um die Anforderungen für Kontrolle 5.5 zu erfüllen, wird erwartet, dass, wenn ein Es wird ein Informationssicherheitsvorfall entdeckt, sollte die Organisation festlegen, wann und von welchen Behörden (z. B. Strafverfolgungsbehörden, Regulierungsbehörden und Aufsichtsbehörden) benachrichtigt werden sollen und wie festgestellte Informationssicherheitsvorfälle zeitnah gemeldet werden sollen.

Der Informationsaustausch mit Behörden soll auch dazu genutzt werden, bessere Erkenntnisse über die bestehenden und künftigen Erwartungen dieser Behörden (z. B. geltende Informationssicherheitsvorschriften) zu gewinnen.

Diese Anforderung soll sicherstellen, dass die Organisation über eine kohärente Strategie für ihre Beziehungen zu Strafverfolgungsbehörden verfügt und dass sie in diesen Behörden die am besten geeigneten Ansprechpartner identifiziert hat.

Kontakte zu Regulierungsbehörden sind auch nützlich, um bevorstehende Änderungen relevanter Gesetze oder Vorschriften, die sich auf die Organisation auswirken, vorherzusehen und sich darauf vorzubereiten.

Bist du bereit für
die neue ISO 27002

Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo

Wir sind kostengünstig und schnell

Entdecken Sie, wie das Ihren ROI steigert
Holen Sie sich Ihr Angebot

Unterschiede zwischen ISO 27002:2013 und ISO 27002:2022

Kontrolle 5.5: Der Kontakt mit Behörden ist keine neue Ergänzung in ISO 27002:2022. Es handelt sich um eine bestehende Kontrolle in der ursprünglichen ISO 27002:2013 mit der Kontrollnummer 6.1.3. Dies bedeutet, dass die Die Kontrollnummer wurde in der neuen Version von ISO 27002 geändert.

Neben der Änderung der Kontrollnummer wurde auch die Phraseologie geändert. In der Kontrolle 5.5 heißt es: „Die Organisation sollte Kontakt zu den zuständigen Behörden herstellen und aufrechterhalten.“ In Kontrolle 6.1.3 heißt es: „Angemessene Kontakte zu den zuständigen Behörden sollten gepflegt werden.“ Diese Änderung in der Ausdrucksweise soll diese Steuerung benutzerfreundlicher machen.

In der Version 2022 wurde ein Kontrollzweck aufgenommen. Dies ist in der Version 2013 nicht verfügbar.

Obwohl die Essenz beider Bedienelemente gleich bleibt, gibt es dennoch subtile Unterschiede, die sie voneinander unterscheiden.

Control 5.5 in ISO 27002:2022 fügt darüber hinaus hinzu, dass Kontakte mit Behörden auch genutzt werden sollten, um das Verständnis über die aktuellen und kommenden Erwartungen dieser Behörden (z. B. geltende Vorschriften zur Informationssicherheit) zu erleichtern. Dies fehlt in der Version 2013.

Wer ist für diesen Prozess verantwortlich?

Die Person, die für diese Rolle verantwortlich ist ist im Allgemeinen der Informationssicherheitsmanager.

Andere Personen können diese Funktion ausführen, müssen jedoch dem Informationssicherheitsmanager Bericht erstatten, damit dieser die Aufsicht über diese Aktivitäten behalten kann. Dadurch wird eine konsistente Botschaft aufrechterhalten und eine konsistente Beziehung zu den Behörden sichergestellt.

Es trägt dazu bei, unser Verhalten auf eine positive Art und Weise zu steuern, die für uns funktioniert
& unsere Kultur.

Emmie Cooney
Betriebsleiter, Amigo

Buchen Sie Ihre Demo

Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

Was bedeuten diese Veränderungen für Sie?

Wenn ein neuer Zertifizierungsstandard veröffentlicht wird, gibt es in der Regel eine Übergangszeit. Für die meisten Zertifizierungszyklen gibt es eine Übergangszeit von zwei bis drei Jahren.

Allerdings ist die neueste Ausgabe von ISO 27002 auf jeden Fall unerlässlich, wenn Sie dies beabsichtigen ein ISMS einsetzen (und möglicherweise sogar eine ISMS-Zertifizierung in Betracht ziehen) und Sie müssen sicherstellen, dass Ihre Sicherheitsmaßnahmen auf dem neuesten Stand sind.

Zu den durchzuführenden Tätigkeiten gehören unter anderem die folgenden:

  • Kauf des neuesten Standards.
  • Untersuchen Sie den neuen Standard, um zu sehen, wie er sich geändert hat. Der Standard wird eine Zuordnungstabelle bereitstellen, die zeigt, wie der neue Standard dem ISO 27002:2013-Standard entspricht.
  • Verhalten a Risikoanalyse sowie eine Kontrolllückenanalyse.
    Wählen Sie die relevanten Steuerelemente aus und ändern Sie Ihre ISMS-Richtlinien, Standards und andere Dokumentation.
  • Nehmen Sie alle erforderlichen Änderungen an Ihrem vor Erklärung zur Anwendbarkeit.
  • Sie sollten Ihr internes Auditprogramm überarbeiten, um die von Ihnen gewählten verbesserten Kontrollen widerzuspiegeln.

Bitte lesen Sie unseren Leitfaden zu ISO 27002:2022, in dem Sie mehr darüber erfahren können, wie sich diese Änderungen an Control 5.5 auf Ihr Unternehmen auswirken werden.

Wie ISMS.online hilft

Den Überblick über Ihre Informationssicherheitskontrollen zu behalten, ist einer der schwierigsten Aspekte bei der Implementierung einer ISMS, das ISO 27001 entspricht. Aber unsere cloudbasierte Plattform macht das ganz einfach.

Unsere cloudbasierte Plattform bietet Ihnen ein robustes Framework für Informationssicherheit Kontrollen, damit Sie Ihren ISMS-Prozess unterwegs überprüfen können, um sicherzustellen, dass er die Anforderungen für ISO 27k erfüllt. Richtig verwendet, ISMS. online kann Ihnen dabei helfen, die Zertifizierung mit minimalem Zeit- und Ressourcenaufwand zu erreichen.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeueBedrohungsinformationen
5.23NeueInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeueIKT-Bereitschaft für Geschäftskontinuität
7.4NeuePhysische Sicherheitsüberwachung
8.9NeueKonfigurationsmanagement
8.10NeueLöschung von Informationen
8.11NeueDatenmaskierung
8.12NeueVerhinderung von Datenlecks
8.16NeueÜberwachungsaktivitäten
8.23NeueWeb-Filter
8.28NeueSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeueBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeueInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeueIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Schirmungsmaß
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuePhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeueKonfigurationsmanagement
8.10NeueLöschung von Informationen
8.11NeueDatenmaskierung
8.12NeueVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeueÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeueWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeueSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung
Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Optimieren Sie Ihren Workflow mit unserer neuen Jira-Integration! Hier erfahren Sie mehr.