ISO 27002:2022, Control 7.11, Unterstützende Dienstprogramme

ISO 27002:2022 – Steuerung 7.11 – Unterstützende Versorgungsunternehmen

ISO 27002:2022 Control 7.11 (Supporting Utilities) konzentriert sich auf den Schutz von Informationswerten durch Gewährleistung der Zuverlässigkeit wichtiger Versorgungsleistungen wie Strom, Wasser und Telekommunikation. Es empfiehlt Audits, Redundanzmaßnahmen und sichere Konfigurationen, um Störungen vorzubeugen und die Geschäftskontinuität zu unterstützen.

ISO 27002-Kontrolle 7.11: Sicherstellung zuverlässiger und sicherer unterstützender Dienstprogramme

Ausfälle oder Störungen von Versorgungseinrichtungen wie Strom, Gas, Wasser oder Kühlung, die für den ordnungsgemäßen und kontinuierlichen Betrieb von Informationsverarbeitungsanlagen erforderlich sind, können dazu führen Dies kann zu einer Gefährdung von Informationsbeständen führen oder die Geschäftskontinuität beeinträchtigen.

Beispielsweise kann der Ausfall der Klimaanlage in einem Rechenzentrum zu einem plötzlichen Temperaturanstieg führen, wenn das Rechenzentrum von einer Hitzewelle heimgesucht wird. Dies kann dazu führen, dass Server, auf denen Website- und/oder Kundendaten gehostet werden, heruntergefahren werden, was zu einem Verlust der Datenverfügbarkeit und Störungen des Geschäftsbetriebs führt.

Control 7.11 befasst sich mit der Frage, wie Organisationen Risiken für das Unternehmen beseitigen können Verfügbarkeit und Integrität von Informationsressourcen aufgrund des Ausfalls unterstützender Versorgungseinrichtungen wie Gas, Kühlung, Telekommunikation, Wasser und Strom.

Zweck der Kontrolle 7.11

Control 7.11 ermöglicht es Unternehmen, Risiken für die Verfügbarkeit und Integrität von Informationsressourcen zu beseitigen und zu mindern Geschäftskontinuität durch die Einführung geeigneter Maßnahmen, die unterstützende Versorgungsunternehmen vor Ausfällen und Störungen wie Stromausfällen schützen.

Attributtabelle der Steuerung 7.11

Control 7.11 hat sowohl detektivischen als auch präventiven Charakter, da es von Organisationen verlangt, einen proaktiven Ansatz zu verfolgen und Vorsichtsmaßnahmen umzusetzen Maßnahmen gegen die Risiken für den ordnungsgemäßen und kontinuierlichen Betrieb von Versorgungseinrichtungen, die für Informationsverarbeitungseinrichtungen wie Rechenzentren, Netzwerksysteme und Computerausrüstung erforderlich sind.

Steuerungstyp	Eigenschaften der Informationssicherheit	Cybersicherheitskonzepte	Operative Fähigkeiten	Sicherheitsdomänen
#Präventiv	#Integrität	#Schützen	#Physische Sicherheit	#Schutz
#Detektiv	#Verfügbarkeit	#Erkennen

Eigentum an der Kontrolle 7.11

Kontrolle 7.11 beinhaltet Identifizierung von Risiken für den laufenden Betrieb der Unterstützung von Versorgungseinrichtungen und der Implementierung geeigneter Maßnahmen und Kontrollen, um sicherzustellen, dass die Verfügbarkeit und Integrität von Informationsressourcen nicht durch Ausfälle dieser Versorgungseinrichtungen beeinträchtigt wird.

Während die Rolle und die Bemühungen des Facility-Management-Teams von entscheidender Bedeutung sind, sollte der Informationssicherheitsmanager die Verantwortung für die Einhaltung von Kontrolle 7.11 tragen.

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo

Allgemeine Richtlinien zur Compliance

Nachdem hervorgehoben wurde, dass unterstützende Versorgungseinrichtungen wie Wasserversorgung, Strom, Kommunikation, Abwasser und Klimatisierung für die Vorgänge in Informationsverarbeitungsanlagen von entscheidender Bedeutung sind.

In den Allgemeinen Leitlinien sind sieben wichtige Empfehlungen aufgeführt, die Organisationen berücksichtigen sollten, um Kontrolle 7.11 einzuhalten:

Organisationen sollten sich bei der Konfiguration, Verwendung und Wartung der zur Steuerung der Versorgungseinrichtungen verwendeten Geräte an die Anweisungen des Herstellers halten.
Versorgungsunternehmen sollten geprüft werden um sicherzustellen, dass sie in der Lage sind, die Wachstumsziele des Unternehmens zu erfüllen, und dass sie problemlos mit anderen Versorgungsunternehmen zusammenarbeiten.
Alle Geräte, die die Versorgungsunternehmen unterstützen, sollten regelmäßigen Inspektionen und Tests unterzogen werden, damit es nicht zu Störungen oder Ausfällen ihrer ordnungsgemäßen Funktion kommt.
Abhängig von der Gefährdungsstufe Informationsressourcen und Geschäftskontinuitätkann ein Alarmsystem für fehlerhafte Geräte zur Unterstützung der Versorgungsunternehmen eingerichtet werden.
Um das Risiko zu minimieren, sollten Versorgungsunternehmen über mehrere Einspeisungen mit separater physischer Leitung verfügen.
Das Netzwerk, das mit den Geräten zur Versorgungsversorgung verbunden ist, sollte von dem Netzwerk, das mit IT-Einrichtungen verbunden ist, getrennt werden.
Geräte, die die Versorgungsunternehmen unterstützen, sollten nur dann eine Verbindung zum Internet herstellen dürfen, wenn dies unbedingt erforderlich ist, und diese Verbindung sollte auf sichere Weise hergestellt werden.

Ergänzende Anleitung

Neben den allgemeinen Leitlinien enthält Control 7.11 Empfehlungen zu zwei spezifischen Themen:

Notfallmaßnahmen

Organisationen sollten einen Ansprechpartner für den Notfall festlegen und dessen Kontaktdaten erfassen. Diese Angaben sollten allen Mitarbeitern zur Verfügung gestellt werden, falls ein Fehler oder eine Störung auftritt.

In der Nähe der Notausgänge sollten Notschalter und Ventile zum Unterbrechen von Versorgungsleitungen wie Wasser, Gas und Strom angebracht werden.

Notbeleuchtung und Kommunikationseinrichtungen sollten für den Fall eines Notfalls einsatzbereit sein.

Netzwerkverbindung

Unternehmen können darüber nachdenken, zusätzliche Routen von alternativen Dienstanbietern einzurichten, um die Netzwerkkonnektivität zu verbessern und so Ausfälle oder Unterbrechungen unterstützender Versorgungsunternehmen zu verhindern.

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022/7.11 replaces 27002:2013/(11.2.2)

Obwohl die Version 2022 der Version 2013 weitgehend ähnelt, gibt es einen wesentlichen Unterschied.

Die ISO 27002:2022-Version führt in seinen allgemeinen Leitlinien die folgenden zwei Anforderungen ein:

Das Netzwerk, das mit den Geräten zur Versorgungsversorgung verbunden ist, sollte von dem Netzwerk, das mit IT-Einrichtungen verbunden ist, getrennt werden.
Geräte, die die Versorgungsunternehmen unterstützen, sollten nur dann eine Verbindung zum Internet herstellen dürfen, wenn dies unbedingt erforderlich ist, und diese Verbindung sollte auf sichere Weise hergestellt werden.

Neue ISO 27002-Kontrollen

Neue Steuerelemente

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.7	NEU	Bedrohungsinformationen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30	NEU	IKT-Bereitschaft für Geschäftskontinuität
7.4	NEU	Physische Sicherheitsüberwachung
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.16	NEU	Überwachungsaktivitäten
8.23	NEU	Web-Filter
8.28	NEU	Sichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.1	05.1.1, 05.1.2	Richtlinien zur Informationssicherheit
5.2	06.1.1	Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3	06.1.2	Aufgabentrennung
5.4	07.2.1	Führungsaufgaben
5.5	06.1.3	Kontakt mit Behörden
5.6	06.1.4	Kontakt zu speziellen Interessengruppen
5.7	NEU	Bedrohungsinformationen
5.8	06.1.5, 14.1.1	Informationssicherheit im Projektmanagement
5.9	08.1.1, 08.1.2	Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10	08.1.3, 08.2.3	Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11	08.1.4	Rückgabe von Vermögenswerten
5.12	08.2.1	Klassifizierung von Informationen
5.13	08.2.2	Kennzeichnung von Informationen
5.14	13.2.1, 13.2.2, 13.2.3	Informationsübertragung
5.15	09.1.1, 09.1.2	Zugriffskontrolle
5.16	09.2.1	Identitätsmanagement
5.17	09.2.4, 09.3.1, 09.4.3	Authentifizierungsinformationen
5.18	09.2.2, 09.2.5, 09.2.6	Zugangsrechte
5.19	15.1.1	Informationssicherheit in Lieferantenbeziehungen
5.20	15.1.2	Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21	15.1.3	Management der Informationssicherheit in der IKT-Lieferkette
5.22	15.2.1, 15.2.2	Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24	16.1.1	Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25	16.1.4	Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26	16.1.5	Reaktion auf Informationssicherheitsvorfälle
5.27	16.1.6	Aus Informationssicherheitsvorfällen lernen
5.28	16.1.7	Sammlung von Beweisen
5.29	17.1.1, 17.1.2, 17.1.3	Informationssicherheit bei Störungen
5.30	5.30	IKT-Bereitschaft für Geschäftskontinuität
5.31	18.1.1, 18.1.5	Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32	18.1.2	Rechte am geistigen Eigentum
5.33	18.1.3	Schutz von Aufzeichnungen
5.34	18.1.4	Privatsphäre und Schutz personenbezogener Daten
5.35	18.2.1	Unabhängige Überprüfung der Informationssicherheit
5.36	18.2.2, 18.2.3	Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37	12.1.1	Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
6.1	07.1.1	Rekrutierung
6.2	07.1.2	Beschäftigungsbedingungen
6.3	07.2.2	Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4	07.2.3	Disziplinarverfahren
6.5	07.3.1	Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6	13.2.4	Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7	06.2.2	Fernarbeit
6.8	16.1.2, 16.1.3	Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
7.1	11.1.1	Physische Sicherheitsbereiche
7.2	11.1.2, 11.1.6	Physischer Eintritt
7.3	11.1.3	Absicherung von Büros, Räumen und Anlagen
7.4	NEU	Physische Sicherheitsüberwachung
7.5	11.1.4	Schutz vor physischen und umweltbedingten Bedrohungen
7.6	11.1.5	Arbeiten in sicheren Bereichen
7.7	11.2.9	Klarer Schreibtisch und klarer Bildschirm
7.8	11.2.1	Standort und Schutz der Ausrüstung
7.9	11.2.6	Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Speichermedium
7.11	11.2.2	Unterstützende Versorgungsunternehmen
7.12	11.2.3	Verkabelungssicherheit
7.13	11.2.4	Wartung der Ausrüstung
7.14	11.2.7	Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
8.1	06.2.1, 11.2.8	Benutzerendpunktgeräte
8.2	09.2.3	Privilegierte Zugriffsrechte
8.3	09.4.1	Beschränkung des Informationszugriffs
8.4	09.4.5	Zugriff auf Quellcode
8.5	09.4.2	Sichere Authentifizierung
8.6	12.1.3	Kapazitätsmanagement
8.7	12.2.1	Schutz vor Malware
8.8	12.6.1, 18.2.3	Management technischer Schwachstellen
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.13	12.3.1	Informationssicherung
8.14	17.2.1	Redundanz der Informationsverarbeitungseinrichtungen
8.15	12.4.1, 12.4.2, 12.4.3	Protokollierung
8.16	NEU	Überwachungsaktivitäten
8.17	12.4.4	Uhrzeitsynchronisation
8.18	09.4.4	Verwendung privilegierter Hilfsprogramme
8.19	12.5.1, 12.6.2	Installation von Software auf Betriebssystemen
8.20	13.1.1	Netzwerksicherheit
8.21	13.1.2	Sicherheit von Netzwerkdiensten
8.22	13.1.3	Trennung von Netzwerken
8.23	NEU	Web-Filter
8.24	10.1.1, 10.1.2	Verwendung von Kryptographie
8.25	14.2.1	Sicherer Entwicklungslebenszyklus
8.26	14.1.2, 14.1.3	Anforderungen an die Anwendungssicherheit
8.27	14.2.5	Sichere Systemarchitektur und technische Prinzipien
8.28	NEU	Sichere Codierung
8.29	14.2.8, 14.2.9	Sicherheitstests in Entwicklung und Abnahme
8.30	14.2.7	Ausgelagerte Entwicklung
8.31	12.1.4, 14.2.6	Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Änderungsmanagement
8.33	14.3.1	Testinformationen
8.34	12.7.1	Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

Unternehmen können nutzen ISMS.Online, um ihnen bei ihren Problemen zu helfen ISO 27002-Konformität Wir unterstützen unsere Bemühungen, indem wir ihnen eine Plattform zur Verfügung stellen, die es einfach macht, ihre Sicherheitsrichtlinien und -verfahren zu verwalten, sie bei Bedarf zu aktualisieren, sie zu testen und ihre Wirksamkeit zu überwachen.

Unsere cloudbasierte Die Plattform ermöglicht Ihnen eine schnelle und einfache Verwaltung Alle Aspekte Ihres ISMS, einschließlich Risikomanagement, Richtlinien, Pläne, Verfahren und mehr, an einem zentralen Ort. Die Plattform ist einfach zu bedienen und verfügt über eine intuitive Benutzeroberfläche, die das Erlernen der Bedienung erleichtert.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Wir sind führend auf unserem Gebiet