ISO 27002:2022, Steuerung 7.10 – Speichermedien

Überarbeitete ISO 27002:2022-Kontrollen

Demo buchen

beschnittenes Bild einer professionellen Geschäftsfrau, die in ihrem Büro arbeitet

Die Verwendung von Speichermedien wie Solid-State-Laufwerken (SSDs), USB-Sticks, externen Laufwerken und Mobiltelefonen ist für viele wichtige Informationsverarbeitungsvorgänge wie Datensicherung, Datenspeicherung und Informationsübertragung von entscheidender Bedeutung.

Allerdings ist die Speicherung sensibel und kritisch Informationen auf diesen Geräten bergen Risiken für die Integrität, Vertraulichkeit und Verfügbarkeit von Informationsressourcen. Zu diesen Risiken können der Verlust oder Diebstahl von Speichermedien mit vertraulichen Informationen, die Verbreitung von Malware über die Speichermedien in allen Computernetzwerken des Unternehmens sowie der Ausfall und die Verschlechterung der für die Datensicherung verwendeten Speichermedien gehören.

Control 7.10 befasst sich mit der Frage, wie Unternehmen geeignete Verfahren, Richtlinien und Kontrollen einrichten können, um die Sicherheit von Speichermedien während ihres gesamten Lebenszyklus, vom Erwerb bis zur Entsorgung, aufrechtzuerhalten.

Zweck der Kontrolle 7.10

Control 7.10 ermöglicht es Unternehmen, Risiken des unbefugten Zugriffs auf, der Nutzung, Löschung, Änderung und Übertragung sensibler Informationen, die auf Speichermediengeräten gehostet werden, zu eliminieren und zu mindern, indem Verfahren für den Umgang mit Speichermedien über ihren gesamten Lebenszyklus hinweg festgelegt werden.

Attributtabelle

Kontrolle 7.10 ist eine präventive Art der Kontrolle, die von Organisationen verlangt, Verfahren und Maßnahmen zu erstellen, umzusetzen und aufrechtzuerhalten, um die Sicherheit von Speichermediengeräten vom Erwerb bis zur Entsorgung zu gewährleisten.

SteuerungstypEigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv#Vertraulichkeit
#Integrität
#Verfügbarkeit		#Schützen#Physische Sicherheit
#Vermögensverwaltung 		#Schutz
Zum Thema springen
Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

Welche Speichermedien deckt Control 7.10 ab?

Control 7.10 gilt sowohl für digitale als auch für physische Speichermedien. Zum Beispiel Speicherung von Informationen in physischen Dateien wird auch durch Control 7.10 abgedeckt.

Darüber hinaus unterliegen neben den Wechselspeichermedien auch feste Speichermedien wie Festplatten der Regelung 7.10.

Eigentum an der Kontrolle 7.10

Control 7.10 verlangt von Organisationen, geeignete Verfahren, technische Kontrollen und organisationsweite Richtlinien für die Nutzung von Speichermedien zu erstellen und umzusetzen, die auf dem eigenen Klassifizierungsschema der Organisation und ihren Datenverarbeitungsanforderungen wie gesetzlichen und vertraglichen Verpflichtungen basieren.

Vor diesem Hintergrund sollten Informationssicherheitsmanager für den gesamten Compliance-Prozess verantwortlich sein.

Allgemeine Richtlinien zur Compliance

Wechselbare Speichermedien

Während Wechselspeichermedien für viele Geschäftsabläufe unerlässlich sind und von den meisten Mitarbeitern häufig verwendet werden, stellen sie das höchste Risiko für vertrauliche Informationen dar.

Control 7.10 listet zehn Anforderungen auf, die Unternehmen für die Verwaltung von Wechselspeichermedien während ihres gesamten Lebenszyklus einhalten sollten:

  1. Organisationen sollten eine themenspezifische Richtlinie für den Erwerb, die Autorisierung, die Verwendung und die Entsorgung von Wechselspeichermedien festlegen. Diese Richtlinie sollte allen Mitarbeitern und allen relevanten Parteien mitgeteilt werden.

  2. Wenn es praktikabel und notwendig ist, sollten Organisationen Genehmigungsverfahren für die Mitnahme von Wechselspeichermedien aus dem Firmengelände einführen. Darüber hinaus sollten Organisationen Protokollaufzeichnungen über die Entfernung von Speichermedien für Audit-Trail-Zwecke führen.

  3. Alle Wechselspeichermedien sollten in einem sicheren Bereich, z. B. einem Safe, aufbewahrt werden, wobei die den Informationen zugewiesene Informationsklassifizierungsstufe sowie die Umwelt- und physischen Bedrohungen für Speichermedien zu berücksichtigen sind.

  4. Wenn Vertraulichkeit und Integrität der auf Wechselspeichermedien enthaltenen Informationen von entscheidender Bedeutung sind, sollten kryptografische Techniken eingesetzt werden, um die Speichermedien vor unbefugtem Zugriff zu schützen.

  5. Um das Risiko einer Verschlechterung der Wechselspeichermedien und des Verlusts der auf den Medien gespeicherten Informationen zu vermeiden, sollten die Informationen auf ein neues Speichermedium übertragen werden, bevor dieses Risiko eintritt.

  6. Kritische und sensible Informationen sollten kopiert und auf mehreren Speichermedien gespeichert werden, um das Risiko des Verlusts kritischer Informationen zu minimieren.

  7. Um das Risiko eines vollständigen Informationsverlusts zu verringern, kann die Registrierung von Wechselspeichermedien eine erwägenswerte Option sein.

  8. Sofern kein geschäftlicher Grund für die Verwendung von Wechselspeichermedienanschlüssen wie USB-Anschlüssen oder SD-Kartensteckplätzen besteht, sollten diese nicht zulässig sein.

  9. Es muss ein Überwachungsmechanismus für die Übertragung von Informationen auf Wechselspeichermedien vorhanden sein.

  10. Wenn Informationen, die in physischen Datenträgern wie Papieren enthalten sind, per Kurier oder Post übermittelt werden, besteht ein hohes Risiko eines unbefugten Zugriffs auf diese Informationen. Daher sollten geeignete Maßnahmen ergriffen werden.

Leitfaden zur sicheren Wiederverwendung und Entsorgung von Speichermedien

Control 7.10 bietet separate Leitlinien zur sicheren Wiederverwendung und Entsorgung von Speichermedien, damit Unternehmen Risiken für die Gefährdung der Vertraulichkeit von Informationen mindern und beseitigen können.

Control 7.10 betont, dass Organisationen Verfahren für die Wiederverwendung und Entsorgung von Speichermedien definieren und anwenden sollten, wobei der Sensibilitätsgrad der in den Speichermedien enthaltenen Informationen zu berücksichtigen ist.

Bei der Festlegung dieser Verfahren sollten Organisationen Folgendes berücksichtigen:

  1. Wenn ein Speichermedium von einer internen Partei innerhalb einer Organisation wiederverwendet wird, sollten die auf diesem Speichermedium gehosteten sensiblen Informationen unwiderruflich gelöscht oder neu formatiert werden, bevor sie zur Wiederverwendung freigegeben werden.

  2. Speichermedien, auf denen vertrauliche Informationen gespeichert sind, sollten auf sichere Weise vernichtet werden, wenn sie nicht mehr benötigt werden. Beispielsweise können Papierdokumente geschreddert und digitale Geräte physisch zerstört werden.

  3. Es sollte ein Verfahren zur Identifizierung von Speichermedienelementen vorhanden sein, die entsorgt werden müssen.

  4. Wenn Unternehmen sich dafür entscheiden, mit einer externen Partei zusammenzuarbeiten, um die Sammlung und Entsorgung von Speichermedien zu übernehmen, sollten sie sich gebührend verhalten Sorgfalt, um sicherzustellen, dass der ausgewählte Anbieter kompetent ist und es implementiert entsprechende Kontrollen.

  5. Führung einer Aufzeichnung aller entsorgten Gegenstände für Prüfpfad.

  6. Wenn mehrere Speichermedien zusammen entsorgt werden sollen, sollte der Akkumulationseffekt berücksichtigt werden: Durch die Kombination verschiedener Informationsteile von jedem Speichermedium können nicht sensible Informationen in sensible Informationen umgewandelt werden.

Last but not least verlangt Control 7.10 von Organisationen, dass sie Folgendes durchführen: Risikobewertung beschädigter Geräte, auf denen vertrauliche Informationen gespeichert sind zu entscheiden, ob die Ausrüstung zerstört statt repariert werden sollte.

Siehe ISMS.online
in Aktion

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022/7.10 ersetzt 27002:2013/(08.3.1, 08.3.2, 08.3.3, 11.2.5)

Es gibt vier wesentliche Unterschiede, die hervorgehoben werden müssen:

  • Strukturelle Veränderungen

Während die Version von 2013 drei separate enthielt Kontrollen des Managements In der Version 2022 werden diese drei Steuerelemente unter Control 7.10 zusammengefasst: Medienverwaltung, Medienentsorgung und physische Medienübertragung.

  • Die Version 2022 enthält Anforderungen für die Wiederverwendung von Speichermedien

Im Gegensatz zur Version 2013, in der es nur um die sichere Entsorgung von Speichermedien ging, befasst sich die Version 2022 auch mit der sicheren Wiederverwendung von Speichermedien.

  • Die Version 2013 enthält umfassendere Anforderungen an die physische Übertragung von Speichermedien

Mit der Version 2013 wurden umfassendere Anforderungen an die physische Übertragung von Speichermedien gestellt. Beispielsweise enthielt die Version 2013 Regeln zur Identitätsprüfung für Kuriere und Verpackungsstandards.

Control 7.10 in der Version 2022 hingegen besagte lediglich, dass Organisationen bei der Auswahl von Dienstleistern wie Kurieren mit Sorgfalt vorgehen sollten.

  • Die Version 2022 erfordert eine themenspezifische Richtlinie für Wechselspeichermedien

Während sich die Versionen 2022 und 2013 hinsichtlich der Anforderungen an Wechselspeichermedien weitgehend ähneln, führt die Version 2022 die Anforderung ein, eine themenspezifische Richtlinie für Wechselspeichermedien festzulegen. Die Version von 2013 deckte diese Anforderung hingegen nicht ab.

Wie ISMS.online hilft

Das ISMS.online-Plattform verwendet einen risikobasierten Ansatz in Kombination mit branchenführenden Best Practices und Vorlagen, um Ihnen dabei zu helfen, die Risiken zu identifizieren, denen Ihr Unternehmen ausgesetzt ist, und die Kontrollen, die zur Bewältigung dieser Risiken erforderlich sind. Dadurch können Sie sowohl Ihre Risikoexposition als auch Ihren Compliance-Aufwand systematisch reduzieren.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeuBedrohungsinformationen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
7.4NeuPhysische Sicherheitsüberwachung
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.16NeuÜberwachungsaktivitäten
8.23NeuWeb-Filter
8.28NeuSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeuBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Untersuchungen
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeuÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeuWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeuSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung

Wir sind kostengünstig und schnell

Entdecken Sie, wie das Ihren ROI steigert
Holen Sie sich Ihr Angebot

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren