Was ist Control 5.5 Kontakt mit Behörden?
Steuerelemente werden anhand von Attributen klassifiziert. Mithilfe dieser können Sie Ihre Steuerungsauswahl schnell mit häufig verwendeten Branchenbegriffen und -spezifikationen abgleichen. Dies sind diejenigen, die in Kontrolle 5.5 zu finden sind.
Kontrollattribute 5.5
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Identifizieren | #Führung | #Verteidigung |
| #Korrektur | #Integrität | #Schützen | #Elastizität | |
| #Verfügbarkeit | #Antworten | |||
| #Genesen |
Was ist der Zweck der Kontrolle 5.5?
Der Zweck der Kontrolle 5.5 besteht darin, sicherzustellen, dass ein angemessener Informationsfluss im Hinblick auf die Informationssicherheit zwischen der Organisation und den relevanten Rechts-, Regulierungs- und Aufsichtsbehörden stattfindet. Es muss ein geeignetes Forum für den Dialog und die Zusammenarbeit zwischen dem Unternehmen und den zuständigen Rechts-, Regulierungs- und Aufsichtsbehörden vorhanden sein.
Kontrolle 5.5 umfasst die Anforderungen, den Zweck und die Implementierungsanweisungen zur Identifizierung und Informationssicherheitsereignisse melden rechtzeitig zu informieren und zu erfahren, an wen und wie man sich im Falle eines Vorfalls wenden kann.
Das Ziel der Kontrolle 5.5 besteht darin, zu ermitteln, welche Stakeholder (z. B. Strafverfolgungsbehörden, Regulierungsbehörden, Aufsichtsbehörden) im Falle eines Sicherheitsereignisses kontaktiert werden müssten. Es ist wichtig, dass Sie diese Stakeholder bereits identifiziert haben, bevor es zu einem Vorfall kommt.
Kontakt mit Behörden bedeutet, dass die Organisation eine informelle Kommunikation mit Behörden zu Fragen der Informationssicherheit einrichten und umsetzen sollte, einschließlich:
- Laufende Kommunikation mit den zuständigen Behörden, um sicherzustellen, dass die Die Organisation ist sich dessen bewusst über aktuelle Bedrohungen und Schwachstellen.
- Informieren Sie die zuständigen Behörden über Schwachstellen, die in den Produkten, Dienstleistungen oder Systemen der Organisation entdeckt wurden.
- Erhalt von Informationen von zuständigen Behörden über Bedrohungen und Schwachstellen.
Verschaffen Sie sich einen Vorsprung von 81 %
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Was dazugehört und wie man die Anforderungen erfüllt
Das Hauptziel der Kontrolle 5.5 besteht darin, die Beziehung der Organisation zu den Strafverfolgungsbehörden in ihrem jeweiligen Zusammenhang herzustellen Management von Informationssicherheitsrisiken.
Um die Anforderungen für Kontrolle 5.5 zu erfüllen, wird erwartet, dass, wenn ein Es wird ein Informationssicherheitsvorfall entdeckt, sollte die Organisation festlegen, wann und von welchen Behörden (z. B. Strafverfolgungsbehörden, Regulierungsbehörden und Aufsichtsbehörden) benachrichtigt werden sollen und wie festgestellte Informationssicherheitsvorfälle zeitnah gemeldet werden sollen.
Der Informationsaustausch mit Behörden soll auch dazu genutzt werden, bessere Erkenntnisse über die bestehenden und künftigen Erwartungen dieser Behörden (z. B. geltende Informationssicherheitsvorschriften) zu gewinnen.
Diese Anforderung soll sicherstellen, dass die Organisation über eine kohärente Strategie für ihre Beziehungen zu Strafverfolgungsbehörden verfügt und dass sie in diesen Behörden die am besten geeigneten Ansprechpartner identifiziert hat.
Kontakte zu Regulierungsbehörden sind auch nützlich, um bevorstehende Änderungen relevanter Gesetze oder Vorschriften, die sich auf die Organisation auswirken, vorherzusehen und sich darauf vorzubereiten.
Unterschiede zwischen ISO 27002:2013 und ISO 27002:2022
Kontrolle 5.5: Der Kontakt mit Behörden ist keine neue Ergänzung in ISO 27002:2022. Es handelt sich um eine bestehende Kontrolle in der ursprünglichen ISO 27002:2013 mit der Kontrollnummer 6.1.3. Dies bedeutet, dass die Die Kontrollnummer wurde in der neuen Version von ISO 27002 geändert.
Neben der Änderung der Kontrollnummer wurde auch die Phraseologie geändert. In der Kontrolle 5.5 heißt es: „Die Organisation sollte Kontakt zu den zuständigen Behörden herstellen und aufrechterhalten.“ In Kontrolle 6.1.3 heißt es: „Angemessene Kontakte zu den zuständigen Behörden sollten gepflegt werden.“ Diese Änderung in der Ausdrucksweise soll diese Steuerung benutzerfreundlicher machen.
In der Version 2022 wurde ein Kontrollzweck aufgenommen. Dies ist in der Version 2013 nicht verfügbar.
Obwohl die Essenz beider Bedienelemente gleich bleibt, gibt es dennoch subtile Unterschiede, die sie voneinander unterscheiden.
Control 5.5 in ISO 27002:2022 fügt darüber hinaus hinzu, dass Kontakte mit Behörden auch genutzt werden sollten, um das Verständnis über die aktuellen und kommenden Erwartungen dieser Behörden (z. B. geltende Vorschriften zur Informationssicherheit) zu erleichtern. Dies fehlt in der Version 2013.
Wer ist für diesen Prozess verantwortlich?
Das Person, die für diese Rolle verantwortlich ist ist im Allgemeinen der Informationssicherheitsmanager.
Andere Personen können diese Funktion ausführen, müssen jedoch dem Informationssicherheitsmanager Bericht erstatten, damit dieser die Aufsicht über diese Aktivitäten behalten kann. Dadurch wird eine konsistente Botschaft aufrechterhalten und eine konsistente Beziehung zu den Behörden sichergestellt.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.
Was bedeuten diese Veränderungen für Sie?
Wenn ein neuer Zertifizierungsstandard veröffentlicht wird, gibt es in der Regel eine Übergangszeit. Für die meisten Zertifizierungszyklen gibt es eine Übergangszeit von zwei bis drei Jahren.
Allerdings ist die neueste Ausgabe von ISO 27002 auf jeden Fall unerlässlich, wenn Sie dies beabsichtigen ein ISMS einsetzen (und möglicherweise sogar eine ISMS-Zertifizierung in Betracht ziehen) und Sie müssen sicherstellen, dass Ihre Sicherheitsmaßnahmen auf dem neuesten Stand sind.
Zu den durchzuführenden Tätigkeiten gehören unter anderem die folgenden:
- Kauf des neuesten Standards.
- Untersuchen Sie den neuen Standard, um zu sehen, wie er sich geändert hat. Der Standard wird eine Zuordnungstabelle bereitstellen, die zeigt, wie der neue Standard dem ISO 27002:2013-Standard entspricht.
- Verhalten a Risikoanalyse sowie eine Kontrolllückenanalyse.
Wählen Sie die relevanten Steuerelemente aus und ändern Sie Ihre ISMS-Richtlinien, Standards und andere Dokumentation. - Nehmen Sie alle erforderlichen Änderungen an Ihrem vor Erklärung zur Anwendbarkeit.
- Sie sollten Ihr internes Auditprogramm überarbeiten, um die von Ihnen gewählten verbesserten Kontrollen widerzuspiegeln.
Bitte lesen Sie unseren Leitfaden zu ISO 27002:2022, in dem Sie mehr darüber erfahren können, wie sich diese Änderungen an Control 5.5 auf Ihr Unternehmen auswirken werden.
Neue ISO 27002-Kontrollen
Neue Steuerelemente
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Schirmungsmaß |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Wie ISMS.online hilft
Den Überblick über Ihre Informationssicherheitskontrollen zu behalten, ist einer der schwierigsten Aspekte bei der Implementierung einer ISMS, das ISO 27001 entspricht. Aber unsere cloudbasierte Plattform macht das ganz einfach.
Unsere cloudbasierte Plattform bietet Ihnen ein robustes Framework für Informationssicherheit Kontrollen, damit Sie Ihren ISMS-Prozess unterwegs überprüfen können, um sicherzustellen, dass er die Anforderungen für ISO 27k erfüllt. Richtig verwendet, ISMS. online kann Ihnen dabei helfen, die Zertifizierung mit minimalem Zeit- und Ressourcenaufwand zu erreichen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Zum Thema springen
Lassen Sie sich bis zu 5 x schneller zertifizieren
Füllen Sie einfach die Lücken aus.
Beratung buchen Angebotsanfrage
