Control 6.7, Remote Working ist ein Control in der überarbeiteten ISO 27002:2022. Darin wird empfohlen, dass Organisationen über eine Richtlinie zur Fernarbeit sowie über ein Informationssicherheitsmanagementsystem verfügen sollten, das Verfahren zur Sicherung des Fernzugriffs auf Informationssysteme und Netzwerke umfasst.
Remote-Arbeit ist mit der Weiterentwicklung der Technologie immer häufiger geworden und es ist nun für Mitarbeiter möglich, von zu Hause aus zu arbeiten, ohne die Produktivität oder Effizienz zu beeinträchtigen. Allerdings kann es auch Bedenken hinsichtlich der Datensicherheit geben.
Wenn Sie ein Unternehmer sind, möchten Sie wissen, wie Sie Ihr geistiges Eigentum vor Cyberkriminellen schützen und sicherstellen können, dass Ihre Daten vor Hackern geschützt sind.
Hier sind einige Auswirkungen der Fernarbeit auf die Informationssicherheit:
Remote-Arbeit kann von Vorteil sein, da sie einen einfacheren Zugriff auf vertrauliche Informationen und Systeme ermöglicht. Allerdings hat Remote-Arbeit mehrere Auswirkungen auf die Sicherheit.
Wenn Remote-Arbeit nicht ordnungsgemäß verwaltet wird, kann sie Sicherheitsrisiken wie Hacking, Malware-Angriffen, unbefugtem Zugriff und anderen ausgesetzt sein. Dies gilt insbesondere dann, wenn sich Mitarbeiter physisch nicht in einer sicheren Umgebung befinden.
Remote-Arbeit kann sich auch auf die physische Sicherheit eines Unternehmens auswirken. Dies liegt daran, dass sich die Mitarbeiter möglicherweise nicht mehr physisch in einem Büro oder Gebäude befinden und daher möglicherweise nicht mehr so wahrscheinlich verdächtige Aktivitäten sehen oder hören.
Auch im Hinblick auf die Vertraulichkeit kann Remote-Arbeit einige Risiken bergen. Beispielsweise können Mitarbeiter aus der Ferne auf vertrauliche Informationen zugreifen und diese ohne Zustimmung des Unternehmens abrufen.
Außerdem können Mitarbeiter im öffentlichen Internet problemlos auf vertrauliche Unternehmensinformationen zugreifen. Tatsächlich gibt es sogar Websites, auf denen Mitarbeiter vertrauliche Informationen hochladen können, damit jeder sie sehen kann.
Remote-Arbeit kann sich auch auf die Privatsphäre einer Organisation auswirken. Wenn Mitarbeiter beispielsweise von zu Hause aus arbeiten, ist die Wahrscheinlichkeit höher, dass sie ihre persönlichen Gegenstände herumliegen lassen.
Diese Gegenstände können sensible Informationen enthalten, die die Privatsphäre eines Unternehmens gefährden könnten.
Auch Remote-Arbeit kann ein Risiko für die Daten eines Unternehmens darstellen. Mitarbeiter können beispielsweise aus der Ferne auf Unternehmensdaten zugreifen, die an verschiedenen Orten gespeichert werden können.
Hierzu können Daten auf Computern, Servern und Mobilgeräten gehören. Wenn der Mitarbeiter das Büro verlässt und das Gerät mitnimmt, kann es schwieriger sein, die Daten wiederherzustellen.
Außerdem kann der Mitarbeiter einen Fehler machen oder bösartige Handlungen mit dem Gerät ausführen, wodurch die Daten gefährdet werden können.
Attribute werden zur Kategorisierung von Steuerelementen verwendet. Mithilfe von Attributen können Sie Ihre Steuerungsoption sofort mit weit verbreiteten Branchenausdrücken und -spezifikationen abgleichen.
Die Attribute für Steuerung 6.7 sind unten aufgeführt.
Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
---|---|---|---|---|
#Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Vermögensverwaltung #Informationsschutz #Physische Sicherheit #System- und Netzwerksicherheit | #Schutz |
Der Zweck von Kontrolle 6.7 besteht darin, sicherzustellen, dass das Personal, das remote arbeitet, über angemessene Zugriffskontrollen verfügt, um die Vertraulichkeit, Integrität und Verfügbarkeit sensibler oder geschützter Informationen, Prozesse und Systeme vor unbefugtem Zugriff oder Offenlegung durch unbefugte Personen zu schützen.
Um die Informationssicherheit bei Remote-Arbeiten von Mitarbeitern zu gewährleisten, sollten Organisationen eine themenspezifische Richtlinie zum Remote-Arbeiten herausgeben, die die relevanten Bedingungen und Einschränkungen für die Informationssicherheit definiert. Die Richtlinie sollte an alle Mitarbeiter verteilt werden und Anleitungen zum sicheren Einsatz von Fernzugriffstechnologien enthalten.
Eine themenspezifische Richtlinie wie diese wird wahrscheinlich Folgendes abdecken:
Neben diesen Grundvoraussetzungen ist es auch wichtig, über ein klar definiertes Verfahren zur Meldung von Vorfällen einschließlich der entsprechenden Kontaktdaten zu verfügen. Dies kann dazu beitragen, das Risiko von Verstößen oder anderen Arten von Sicherheitsvorfällen von vornherein zu verringern.
Die Richtlinie muss möglicherweise auch Probleme wie Verschlüsselung, Firewalls und Antivirensoftware-Updates sowie Mitarbeiterschulungen zur sicheren Nutzung von Remote-Konnektivität behandeln.
Um die Anforderungen der Kontrolle 6.7 zu erfüllen, sollten Organisationen, die Remote-Arbeitsaktivitäten zulassen, eine themenspezifische Richtlinie zum Remote-Arbeiten herausgeben, in der die relevanten Bedingungen und Einschränkungen festgelegt sind.
Die Richtlinie sollte regelmäßig überprüft werden, insbesondere wenn sich Technologie oder Gesetzgebung ändern.
Die Richtlinie sollte allen Mitarbeitern, Auftragnehmern und anderen an Remote-Arbeitsaktivitäten beteiligten Parteien kommuniziert werden.
Die Richtlinie sollte dokumentiert und allen relevanten Dritten, einschließlich Aufsichtsbehörden und Prüfern, zur Verfügung gestellt werden.
Organisationen müssen außerdem sicherstellen, dass sie über angemessene Maßnahmen verfügen, um sensible oder vertrauliche Informationen zu schützen, die bei Remote-Arbeitsaktivitäten elektronisch übertragen oder gespeichert werden.
Im Einklang mit den Bestimmungen der Kontrolle 6.7 sollten die folgenden Punkte berücksichtigt werden:
Zu den zu berücksichtigenden Richtlinien und Maßnahmen sollten gehören:
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
Kontrolle 6.7 in ISO 27002:2022 ist eine modifizierte Version von Kontrolle 6.2.2 in ISO 27002:2013 und keine neue Kontrolle.
Obwohl diese beiden Steuerelemente viele Merkmale aufweisen, unterscheiden sie sich etwas in der Nomenklatur und den Formulierungen. Der Name des Steuerelements ist beispielsweise nicht identisch. Steuerung 6.2.2 in ISO 27002:2013 wird als Telearbeit bezeichnet. Control 6.7 bezeichnet es als Fernarbeit. Gleichzeitig wurde in der neuen Version des Standards Telearbeit durch Remote-Arbeit ersetzt.
In Control 6.7, ISO 27002:2022, definiert der Standard, was Fernarbeit ist und welche Arten von Arbeit als Fernarbeit gelten können. Dazu gehört auch Telearbeit, der ursprüngliche Kontrollname in der Version 2013 des Standards.
Die Implementierungsrichtlinien sind einigermaßen ähnlich, auch wenn die Sprache und die Begriffe unterschiedlich sind. In der Version 2022 wurde viel benutzerfreundliche Sprache verwendet, um sicherzustellen, dass die Benutzer des Standards verstehen können, was sie tun.
Allerdings wurden einige Punkte in Kontrolle 6.7 hinzugefügt und einige aus Kontrolle 6.2.2 entfernt.
Darüber hinaus stellt die ISO 27002 Version 2022 Zweckerklärungen und Attributtabellen für jede Kontrolle bereit, die Benutzern dabei helfen, die Kontrollen besser zu verstehen und umzusetzen.
Die Version 2013 enthält diese beiden Teile nicht.
Die Hauptverantwortung für die Erstellung einer Informationssicherheitsrichtlinie für Remote-Mitarbeiter liegt beim Informationssicherheitsbeauftragten der Organisation. Allerdings sollten auch andere Stakeholder in den Prozess einbezogen werden.
Dazu gehören IT-Manager, die für die Umsetzung und Aufrechterhaltung der Richtlinie verantwortlich sind, sowie Personalmanager, die dafür verantwortlich sind, dass die Mitarbeiter sie verstehen und einhalten.
Wenn Sie über ein Lieferantenmanagementprogramm verfügen, hängt die Antwort davon ab, wer für die Verwaltung von Auftragnehmern und Lieferanten im Allgemeinen verantwortlich ist. In den meisten Fällen wäre diese Person auch für die Erstellung einer Informationssicherheitsrichtlinie für Remote-Mitarbeiter in dieser Abteilung verantwortlich.
Die ISO 27002 wurde nicht wesentlich geändert, sodass Sie nicht viel tun müssen, außer zu überprüfen, ob Ihre Informationssicherheitsprozesse mit dem Upgrade übereinstimmen.
Die wichtigste Änderung bestand darin, einige der Kontrollen zu ändern und einige Anforderungen klarzustellen. Der Haupteffekt in Bezug auf Kontrolle 6.7 besteht darin, dass Sie, wenn Sie einen Ihrer Vorgänge an Dritte auslagern oder Mitarbeiter aus der Ferne arbeiten lassen, sicherstellen müssen, dass diese über ein angemessenes Maß an Sicherheitskontrollen verfügen.
Wenn Sie bereits über eine ISO 27001-Zertifizierung verfügen, erfüllt Ihr aktueller Prozess zur Verwaltung der Informationssicherheit die neuen Anforderungen.
Das bedeutet, dass Sie überhaupt nichts tun müssen, wenn Sie Ihre aktuelle ISO 27001-Zertifizierung erneuern möchten. Sie müssen lediglich sicherstellen, dass Ihre Prozesse weiterhin dem neuen Standard entsprechen.
Wenn Sie jedoch bei Null anfangen, müssen Sie sich Gedanken darüber machen, wie Ihr Unternehmen auf Cyberangriffe und andere Bedrohungen seiner Informationsressourcen vorbereitet sein kann.
Das Wichtigste ist, dass Cyber-Risiken ernst genug genommen werden, damit sie als Teil Ihrer gesamten Geschäftsstrategie verwaltet werden und nicht nur von der IT- oder Sicherheitsabteilung als separates Problem behandelt werden.
Die ISMS.Online-Plattform hilft bei allen Aspekten der Implementierung von ISO 27002, von der Verwaltung von Risikobewertungsaktivitäten bis hin zur Entwicklung von Richtlinien, Verfahren und Leitlinien zur Einhaltung der Anforderungen der Norm.
Es bietet eine Möglichkeit, Ihre Ergebnisse zu dokumentieren und diese online mit Ihren Teammitgliedern zu kommunizieren. Mit ISMS.Online können Sie außerdem Checklisten für alle Aufgaben bei der Implementierung von ISO 27002 erstellen und speichern, sodass Sie den Fortschritt des Sicherheitsprogramms Ihrer Organisation problemlos verfolgen können.
Mit seinem automatisierten Toolset erleichtert ISMS.Online Organisationen den Nachweis der Einhaltung des ISO 27002-Standards.
Kontaktieren Sie uns noch heute zu planen eine Demo.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
5.7 | Neu | Bedrohungsinformationen |
5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
7.4 | Neu | Physische Sicherheitsüberwachung |
8.9 | Neu | Konfigurationsmanagement |
8.10 | Neu | Löschung von Informationen |
8.11 | Neu | Datenmaskierung |
8.12 | Neu | Verhinderung von Datenlecks |
8.16 | Neu | Überwachungsaktivitäten |
8.23 | Neu | Web-Filter |
8.28 | Neu | Sichere Codierung |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
6.1 | 07.1.1 | Untersuchungen |
6.2 | 07.1.2 | Beschäftigungsbedingungen |
6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
6.4 | 07.2.3 | Disziplinarverfahren |
6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.7 | 06.2.2 | Fernarbeit |
6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
7.1 | 11.1.1 | Physische Sicherheitsbereiche |
7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
7.4 | Neu | Physische Sicherheitsüberwachung |
7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
7.12 | 11.2.3 | Verkabelungssicherheit |
7.13 | 11.2.4 | Wartung der Ausrüstung |
7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |