Was ist Control 6.3?
ISO 27002 :2022, Steuerung 6.3. Informationssicherheitsbewusstsein, Bildung und Schulung deckt die Notwendigkeit ab, dass Mitarbeiter einer Organisation ein angemessenes Informationssicherheitsbewusstsein, Schulung und Schulung sowie regelmäßige Aktualisierungen der Informationssicherheitsrichtlinie der Organisation erhalten, insbesondere soweit diese für ihre berufliche Funktion gelten.
Aufklärung über Informationssicherheit, Bildung und Schulung
Bewusstsein für Informationssicherheit, Bildung und Schulung (IT-Sicherheitsbewusstsein) ist der Prozess, Benutzer über die Bedeutung der Informationssicherheit zu informieren und sie zu ermutigen, ihre eigenen Computersicherheitsgewohnheiten zu verbessern.
Benutzer müssen auf die Sicherheit aufmerksam gemacht werden Risiken, die aus ihrer Tätigkeit resultieren können, und wie sie sich vor diesen Risiken schützen können.
Das Bewusstsein für Informationssicherheit sowie Bildung und Schulung sind entscheidende Komponenten für den Erfolg einer Organisation. Es ist von entscheidender Bedeutung, dass alle Mitarbeiter die Bedeutung der Informationssicherheit verstehen und wissen, wie sie sich auf alle auswirkt.
Je besser Ihre Mitarbeiter wissen, wie sie sich vor Cyber-Bedrohungen schützen können, desto sicherer wird Ihr Unternehmen sein.
Attributtabelle der Steuerung 6.3
Steuerelemente können mithilfe von Attributen gruppiert werden. Wenn Sie sich die Attribute des Steuerelements ansehen, können Sie es einfacher mit den etablierten Branchenanforderungen und der Terminologie in Verbindung bringen. Die folgenden Attribute sind in Steuerung 6.3 enthalten.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Sicherheit der Humanressourcen | #Governance und Ökosystem |
| #Integrität | ||||
| #Verfügbarkeit |
Verschaffen Sie sich einen Vorsprung von 81 %
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Was ist der Zweck von Kontrolle 6.3?
Der Zweck von Control 6.3 besteht darin, sicherzustellen, dass das Personal und die relevanten interessierten Parteien sich ihrer Verantwortung im Bereich der Informationssicherheit bewusst sind und entsprechend geschult werden.
Kontrolle 6.3 umfasst eine Reihe von Aktivitäten, die dazu beitragen, sicherzustellen, dass die Mitarbeiter über die Kenntnisse und Fähigkeiten verfügen, die für die Tätigkeit in einer Organisation erforderlich sind Informationssicherheit Rahmen. Das Hauptaugenmerk hierbei Die Kontrolle konzentriert sich auf Sensibilisierungsmaßnahmen für die Bedeutung der Informationssicherheit, Förderung bewährter Verfahren und Förderung der Einhaltung relevanter Richtlinien und Verfahren.
Steuerung 6.3 erklärt
Sensibilisierung, Schulung und Schulung für Informationssicherheit sind ein entscheidender Bestandteil der gesamten Risikomanagementstrategie einer Organisation und sollten als integraler Bestandteil der Sicherheitspolitik der Organisation betrachtet werden.
Control 6.3 definiert die Notwendigkeit, dass Organisationen über ein Programm zur Sensibilisierung für Informationssicherheit verfügen, das allen Mitarbeitern die erforderlichen Kenntnisse und Fähigkeiten vermittelt Informationsressourcen schützen. Es bietet Leitlinien dazu, was in ein wirksames Sensibilisierungsprogramm aufgenommen werden sollte.
Beispielsweise muss die Organisation möglicherweise mindestens einmal im Jahr oder gemäß den Anforderungen der Risikobewertung eine Schulung zum Sicherheitsbewusstsein für alle Mitarbeiter und Auftragnehmer durchführen, denen Rollen zugewiesen wurden, in denen sie Zugriff auf vertrauliche Informationsbestände oder andere Arten von Informationen haben Systeme, die sensible Daten speichern, verarbeiten oder übertragen.
Was dazugehört und wie man die Anforderungen erfüllt
Die Anforderung für Kontrolle 6.3 besteht darin, dass eine Organisation über einen Prozess verfügen sollte, um sicherzustellen, dass Mitarbeiter angemessen darin geschult werden, wie sie ihre Arbeitsaufgaben sicher und auf eine Art und Weise ausführen können beeinträchtigt nicht die Informationssicherheit. Dies kann durch Schulungen erreicht werden. Dies kann auch mithilfe von Online-Ressourcen wie Videos oder Webinaren erreicht werden.
Die Sensibilisierungs-, Bildungs- und Schulungsprogramme für Informationssicherheit sollten in Übereinstimmung mit der Informationssicherheitsrichtlinie der Organisation, themenspezifischen Richtlinien und einschlägigen Informationssicherheitsverfahren entwickelt werden. Dabei sollten auch die zu schützenden Informationen der Organisation und die zu ihrem Schutz implementierten Informationssicherheitskontrollen berücksichtigt werden. Dies sollte regelmäßig geschehen.
Einführende Sensibilisierung, Schulung und Schulung können sowohl für neue Mitarbeiter als auch für diejenigen gelten, die in neue Positionen oder Aufgaben wechseln erfordern deutlich unterschiedliche Ebenen der Informationssicherheit.
Die Sensibilisierungskampagne sollte eine Vielzahl von Aktivitäten zur Sensibilisierung umfassen. Dazu gehören Kampagnen, Broschüren, Poster, Newsletter, Websites, Informationsveranstaltungen, Briefings, E-Learning-Module und E-Mails.
Gemäß Kontrolle 6.3 sollte dieses Programm Folgendes abdecken:
- Das Engagement des Managements für Informationssicherheit in der gesamten Organisation;
- Vertrautheit mit und Einhaltung der geltenden Informationssicherheitsregeln und -pflichten, einschließlich Informationssicherheitsrichtlinien und themenspezifischer Richtlinien, Standards, Gesetze, Statuten, Vorschriften, Verträge und Vereinbarungen;
- Persönliche Verantwortung für das eigene Handeln und Unterlassen, allgemein Verantwortlichkeiten für die Sicherung oder den Schutz von Informationen, die der Organisation gehören und Interessenten;
- Basic Informationssicherheitsverfahren [z. B. Berichterstattung über Informationssicherheitsereignisse (6.8)] sowie grundlegende Kontrollen [z. B. Passwortsicherheit];
- Zusätzliche Anlaufstellen und Ressourcen für zusätzliche Informationen und Ratschläge zur Informationssicherheit Themen, einschließlich weiterer Materialien zur Sensibilisierung für Informationssicherheit.
Compliance muss nicht kompliziert sein.
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Änderungen und Unterschiede zu ISO 27002:2013
ISO 27002:2022 ist keine völlig neue Steuerung. Bei dieser Version der ISO 27002, die im Februar 2022 veröffentlicht wurde, handelt es sich um ein Update zur Vorgängerversion, die 2013 veröffentlicht wurde. Daher handelt es sich bei der Kontrolle 6.3 in ISO 27002:2022 nicht um eine brandneue Kontrolle. Es handelt sich um eine leicht modifizierte Version von Control 7.2.2 in ISO 27002:2013.
Kontrolle 7.2.2 in ISO 27002:2013 verfügt nicht über eine Attributtabelle oder eine Zweckerklärung, die in Kontrolle 6.3 der ISO 27002:2022-Version enthalten sind.
Abgesehen von der Änderung der Kontrollnummer gibt es jedoch keinen weiteren erkennbaren Unterschied zwischen den beiden Kontrollen. Obwohl sich die Ausdrucksweise der beiden Kontrollen unterscheidet, sind Inhalt und Kontext der beiden Kontrollen im Wesentlichen gleich.
Die Sprache in Control 6.3 wurde benutzerfreundlicher gestaltet, damit Benutzer, die den Standard verwenden, sich besser mit dem Inhalt identifizieren können.
Wer ist für diesen Prozess verantwortlich?
Die Antwort auf diese Frage hängt von Ihrer Organisation ab. In vielen Organisationen werden die Sensibilisierungs-, Schulungs- und Schulungsprogramme für Informationssicherheit vom Sicherheitsteam verwaltet. In anderen Organisationen wird dies von der Personalabteilung oder einer anderen Funktion erledigt.
Wichtig ist, dass jemand für die Erstellung und Umsetzung des Sicherheitsbewusstseinsprogramms Ihrer Organisation verantwortlich ist. Diese Person oder Abteilung sollte auch vom Informationssicherheitsmanager beaufsichtigt werden (sofern eine andere Person für diese Rolle verantwortlich ist).
Diese Person sollte über ein gutes Verständnis der Informationssicherheit verfügen und in der Lage sein, mit Mitarbeitern über verschiedene Themen im Zusammenhang mit bewährten Sicherheitspraktiken zu kommunizieren. Diese Person sollte auch in der Lage sein, Inhalte für Ihre Schulungsprogramme zu entwickeln und regelmäßige Schulungen für Mitarbeiter durchzuführen.
Es ist wichtig zu verstehen, dass Informationssicherheit nicht nur in der Verantwortung der IT liegt. Es liegt in der Verantwortung jedes Einzelnen. Organisationen benötigen ein Team von Personen, die für die Sicherheit verantwortlich sind, aber sie müssen auch sicherstellen, dass jeder die Bedeutung von Vertraulichkeit und Integrität versteht.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.
Was bedeuten diese Veränderungen für Sie?
Sie müssen nicht viel tun, denn ISO 27002:2022 ist kein neuer Standard, sondern eine Überarbeitung der Version von 2013. Es wird daher erwartet, dass die meisten Organisationen keine Änderungen vornehmen müssen.
Wenn Sie jedoch bereits die Version 2013 von ISO 27002 implementiert haben, müssen Sie bewerten, ob diese Änderungen für Ihre Organisation relevant sind. Gegebenenfalls müssen Sie auch Ihre Sicherheitsprozesse überprüfen Planung einer ISMS-Zertifizierung. Dadurch wird sichergestellt, dass Ihre Prozesse dem überprüften Standard entsprechen.
Unser ISO 27002:2022-Leitfaden, der kostenlos auf unserer Website heruntergeladen werden kann, enthält weitere Informationen darüber, wie sich die neue ISO 27002 auf Ihre Informationssicherheitsabläufe auswirken kann ISO 27001 Zertifizierung.
Neue ISO 27002-Kontrollen
Neue Steuerelemente
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Schirmungsmaß |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Wie ISMS.Online hilft
ISMS.Online ist eine Komplettlösung zur ISO 27002-Implementierung. Es handelt sich um ein webbasiertes System, das Ihnen dies ermöglicht Zeigen Sie, dass Ihr Informationssicherheits-Managementsystem (ISMS) konform ist mit den anerkannten Standards mithilfe durchdachter Prozesse, Verfahren und Checklisten.
Es ist nicht nur eine benutzerfreundliche Plattform für die Verwaltung Ihrer ISO 27002-Implementierung, sondern auch ein hervorragendes Tool zur Schulung Ihrer Mitarbeiter in Best Practices und Prozessen für die Informationssicherheit sowie zur Dokumentation aller Ihrer Bemühungen.
Das Vorteile der Verwendung von ISMS.Online:
- Einfach zu bedienende Online-Plattform, auf die von jedem Gerät aus zugegriffen werden kann.
- Es ist vollständig an Ihre Bedürfnisse anpassbar.
- Anpassbare Arbeitsabläufe und Prozesse, die Ihren Geschäftsanforderungen entsprechen.
- Schulungstools, die neuen Mitarbeitern helfen, sich schneller einzuarbeiten.
- Eine Bibliothek mit Vorlagen für Dokumente wie Richtlinien, Verfahren, Pläne und Checklisten.
ISMS.Online vereinfacht den Prozess der Implementierung von ISO 27002, indem es alle notwendigen Ressourcen, Informationen und Tools an einem Ort bereitstellt. Damit können Sie mit nur wenigen Mausklicks überprüfen, ob Ihr ISMS dem Standard entspricht, was bei manueller Durchführung sonst viel Zeit in Anspruch nehmen würde.
Möchtest Du es in Aktion sehen?
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Zum Thema springen
Lassen Sie sich bis zu 5 x schneller zertifizieren
Füllen Sie einfach die Lücken aus.
Live-Demo anfordern Angebotsanfrage
