ISO 27002 :2022, Steuerung 6.3. Informationssicherheitsbewusstsein, Bildung und Schulung deckt die Notwendigkeit ab, dass Mitarbeiter einer Organisation ein angemessenes Informationssicherheitsbewusstsein, Schulung und Schulung sowie regelmäßige Aktualisierungen der Informationssicherheitsrichtlinie der Organisation erhalten, insbesondere soweit diese für ihre berufliche Funktion gelten.
Bewusstsein für Informationssicherheit, Bildung und Schulung (IT-Sicherheitsbewusstsein) ist der Prozess, Benutzer über die Bedeutung der Informationssicherheit zu informieren und sie zu ermutigen, ihre eigenen Computersicherheitsgewohnheiten zu verbessern.
Benutzer müssen auf die Sicherheit aufmerksam gemacht werden Risiken, die aus ihrer Tätigkeit resultieren können, und wie sie sich vor diesen Risiken schützen können.
Das Bewusstsein für Informationssicherheit sowie Bildung und Schulung sind entscheidende Komponenten für den Erfolg einer Organisation. Es ist von entscheidender Bedeutung, dass alle Mitarbeiter die Bedeutung der Informationssicherheit verstehen und wissen, wie sie sich auf alle auswirkt.
Je besser Ihre Mitarbeiter wissen, wie sie sich vor Cyber-Bedrohungen schützen können, desto sicherer wird Ihr Unternehmen sein.
Steuerelemente können mithilfe von Attributen gruppiert werden. Wenn Sie sich die Attribute des Steuerelements ansehen, können Sie es einfacher mit den etablierten Branchenanforderungen und der Terminologie in Verbindung bringen. Die folgenden Attribute sind in Steuerung 6.3 enthalten.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Sicherheit der Humanressourcen | #Governance und Ökosystem |
Der Zweck von Control 6.3 besteht darin, sicherzustellen, dass das Personal und die relevanten interessierten Parteien sich ihrer Verantwortung im Bereich der Informationssicherheit bewusst sind und entsprechend geschult werden.
Kontrolle 6.3 umfasst eine Reihe von Aktivitäten, die dazu beitragen, sicherzustellen, dass die Mitarbeiter über die Kenntnisse und Fähigkeiten verfügen, die für die Tätigkeit in einer Organisation erforderlich sind Informationssicherheit Rahmen. Das Hauptaugenmerk hierbei Die Kontrolle konzentriert sich auf Sensibilisierungsmaßnahmen für die Bedeutung der Informationssicherheit, Förderung bewährter Verfahren und Förderung der Einhaltung relevanter Richtlinien und Verfahren.
Sensibilisierung, Schulung und Schulung für Informationssicherheit sind ein entscheidender Bestandteil der gesamten Risikomanagementstrategie einer Organisation und sollten als integraler Bestandteil der Sicherheitspolitik der Organisation betrachtet werden.
Control 6.3 definiert die Notwendigkeit, dass Organisationen über ein Programm zur Sensibilisierung für Informationssicherheit verfügen, das allen Mitarbeitern die erforderlichen Kenntnisse und Fähigkeiten vermittelt Informationsressourcen schützen. Es bietet Leitlinien dazu, was in ein wirksames Sensibilisierungsprogramm aufgenommen werden sollte.
Beispielsweise muss die Organisation möglicherweise mindestens einmal im Jahr oder gemäß den Anforderungen der Risikobewertung eine Schulung zum Sicherheitsbewusstsein für alle Mitarbeiter und Auftragnehmer durchführen, denen Rollen zugewiesen wurden, in denen sie Zugriff auf vertrauliche Informationsbestände oder andere Arten von Informationen haben Systeme, die sensible Daten speichern, verarbeiten oder übertragen.
Die Anforderung für Kontrolle 6.3 besteht darin, dass eine Organisation über einen Prozess verfügen sollte, um sicherzustellen, dass Mitarbeiter angemessen darin geschult werden, wie sie ihre Arbeitsaufgaben sicher und auf eine Art und Weise ausführen können beeinträchtigt nicht die Informationssicherheit. Dies kann durch Schulungen erreicht werden. Dies kann auch mithilfe von Online-Ressourcen wie Videos oder Webinaren erreicht werden.
Die Sensibilisierungs-, Bildungs- und Schulungsprogramme für Informationssicherheit sollten in Übereinstimmung mit der Informationssicherheitsrichtlinie der Organisation, themenspezifischen Richtlinien und einschlägigen Informationssicherheitsverfahren entwickelt werden. Dabei sollten auch die zu schützenden Informationen der Organisation und die zu ihrem Schutz implementierten Informationssicherheitskontrollen berücksichtigt werden. Dies sollte regelmäßig geschehen.
Einführende Sensibilisierung, Schulung und Schulung können sowohl für neue Mitarbeiter als auch für diejenigen gelten, die in neue Positionen oder Aufgaben wechseln erfordern deutlich unterschiedliche Ebenen der Informationssicherheit.
Die Sensibilisierungskampagne sollte eine Vielzahl von Aktivitäten zur Sensibilisierung umfassen. Dazu gehören Kampagnen, Broschüren, Poster, Newsletter, Websites, Informationsveranstaltungen, Briefings, E-Learning-Module und E-Mails.
Gemäß Kontrolle 6.3 sollte dieses Programm Folgendes abdecken:
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
ISO 27002:2022 ist keine völlig neue Steuerung. Bei dieser Version der ISO 27002, die im Februar 2022 veröffentlicht wurde, handelt es sich um ein Update zur Vorgängerversion, die 2013 veröffentlicht wurde. Daher handelt es sich bei der Kontrolle 6.3 in ISO 27002:2022 nicht um eine brandneue Kontrolle. Es handelt sich um eine leicht modifizierte Version von Control 7.2.2 in ISO 27002:2013.
Kontrolle 7.2.2 in ISO 27002:2013 verfügt nicht über eine Attributtabelle oder eine Zweckerklärung, die in Kontrolle 6.3 der ISO 27002:2022-Version enthalten sind.
Abgesehen von der Änderung der Kontrollnummer gibt es jedoch keinen weiteren erkennbaren Unterschied zwischen den beiden Kontrollen. Obwohl sich die Ausdrucksweise der beiden Kontrollen unterscheidet, sind Inhalt und Kontext der beiden Kontrollen im Wesentlichen gleich.
Die Sprache in Control 6.3 wurde benutzerfreundlicher gestaltet, damit Benutzer, die den Standard verwenden, sich besser mit dem Inhalt identifizieren können.
Die Antwort auf diese Frage hängt von Ihrer Organisation ab. In vielen Organisationen werden die Sensibilisierungs-, Schulungs- und Schulungsprogramme für Informationssicherheit vom Sicherheitsteam verwaltet. In anderen Organisationen wird dies von der Personalabteilung oder einer anderen Funktion erledigt.
Wichtig ist, dass jemand für die Erstellung und Umsetzung des Sicherheitsbewusstseinsprogramms Ihrer Organisation verantwortlich ist. Diese Person oder Abteilung sollte auch vom Informationssicherheitsmanager beaufsichtigt werden (sofern eine andere Person für diese Rolle verantwortlich ist).
Diese Person sollte über ein gutes Verständnis der Informationssicherheit verfügen und in der Lage sein, mit Mitarbeitern über verschiedene Themen im Zusammenhang mit bewährten Sicherheitspraktiken zu kommunizieren. Diese Person sollte auch in der Lage sein, Inhalte für Ihre Schulungsprogramme zu entwickeln und regelmäßige Schulungen für Mitarbeiter durchzuführen.
Es ist wichtig zu verstehen, dass Informationssicherheit nicht nur in der Verantwortung der IT liegt. Es liegt in der Verantwortung jedes Einzelnen. Organisationen benötigen ein Team von Personen, die für die Sicherheit verantwortlich sind, aber sie müssen auch sicherstellen, dass jeder die Bedeutung von Vertraulichkeit und Integrität versteht.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Wir sind kostengünstig und schnell
Sie müssen nicht viel tun, denn ISO 27002:2022 ist kein neuer Standard, sondern eine Überarbeitung der Version von 2013. Es wird daher erwartet, dass die meisten Organisationen keine Änderungen vornehmen müssen.
Wenn Sie jedoch bereits die Version 2013 von ISO 27002 implementiert haben, müssen Sie bewerten, ob diese Änderungen für Ihre Organisation relevant sind. Gegebenenfalls müssen Sie auch Ihre Sicherheitsprozesse überprüfen Planung einer ISMS-Zertifizierung. Dadurch wird sichergestellt, dass Ihre Prozesse dem überprüften Standard entsprechen.
Unser ISO 27002:2022-Leitfaden, der kostenlos auf unserer Website heruntergeladen werden kann, enthält weitere Informationen darüber, wie sich die neue ISO 27002 auf Ihre Informationssicherheitsabläufe auswirken kann ISO 27001 Zertifizierung.
ISMS.Online ist eine Komplettlösung zur ISO 27002-Implementierung. Es handelt sich um ein webbasiertes System, das Ihnen dies ermöglicht Zeigen Sie, dass Ihr Informationssicherheits-Managementsystem (ISMS) konform ist mit den anerkannten Standards mithilfe durchdachter Prozesse, Verfahren und Checklisten.
Es ist nicht nur eine benutzerfreundliche Plattform für die Verwaltung Ihrer ISO 27002-Implementierung, sondern auch ein hervorragendes Tool zur Schulung Ihrer Mitarbeiter in Best Practices und Prozessen für die Informationssicherheit sowie zur Dokumentation aller Ihrer Bemühungen.
Das Vorteile der Verwendung von ISMS.Online:
ISMS.Online vereinfacht den Prozess der Implementierung von ISO 27002, indem es alle notwendigen Ressourcen, Informationen und Tools an einem Ort bereitstellt. Damit können Sie mit nur wenigen Mausklicks überprüfen, ob Ihr ISMS dem Standard entspricht, was bei manueller Durchführung sonst viel Zeit in Anspruch nehmen würde.
Möchten Sie es in Aktion sehen?
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
