Während die Umstellung auf Remote-Arbeit und die zunehmende Nutzung mobiler Geräte die Mitarbeiterproduktivität steigern und Unternehmen Geld sparen, sind Benutzerendgeräte wie Laptops, Mobiltelefone und Tablets anfällig für Cyber-Bedrohungen. Dies liegt daran, dass Cyberkriminelle diese Geräte häufig ausnutzen, um Gewinn zu erzielen Unbefugter Zugriff auf Unternehmensnetzwerke und Gefährdung von Informationsbeständen.
Beispielsweise können Cyberkriminelle Mitarbeiter mit einem Phishing-Angriff angreifen, diese zum Herunterladen eines Malware-Anhangs überreden und dann mithilfe dieses mit Malware infizierten Endpunktgeräts des Benutzers die Malware im gesamten Unternehmensnetzwerk verbreiten. Dieser Angriff kann zum Verlust von führen Verfügbarkeit, Integrität oder Vertraulichkeit von Informationsressourcen.
Gemäß einer Umfrage Bei der mit 700 IT-Experten durchgeführten Studie kam es im Jahr 70 bei rund 2020 % der Unternehmen zu einer Kompromittierung von Informationsbeständen und der IT-Infrastruktur infolge eines Angriffs auf Endpunkt-Benutzergeräte.
In Control 8.1 geht es darum, wie Organisationen themenspezifische Richtlinien, Verfahren und technische Maßnahmen festlegen, pflegen und umsetzen können, um sicherzustellen, dass auf Endpunktgeräten der Benutzer gehostete oder verarbeitete Informationsbestände nicht gefährdet werden, verloren gehen oder gestohlen werden.
Control 8.1 ermöglicht es Unternehmen, die Sicherheit, Vertraulichkeit, Integrität und Verfügbarkeit von Informationsbeständen zu schützen und aufrechtzuerhalten, die auf Endpunktbenutzergeräten gespeichert sind oder über diese zugänglich sind geeignete Richtlinien, Verfahren und Kontrollen.
Kontrolle 8.1 hat präventiven Charakter. Es erfordert von Organisationen die Implementierung von Richtlinien, Verfahren und technischen Maßnahmen, die für alle Endpunktgeräte der Benutzer gelten, auf denen Informationsressourcen gehostet oder verarbeitet werden, damit diese nicht gefährdet, verloren oder gestohlen werden.
Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
---|---|---|---|---|
#Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Vermögensverwaltung #Informationsschutz | #Schutz |
In Anbetracht der Tatsache, dass die Einhaltung von Control 8.1 die Erstellung, Aufrechterhaltung und Einhaltung organisationsweiter themenspezifischer Richtlinien, Verfahren und technischer Maßnahmen umfasst, hat der Chef Der Informationssicherheitsbeauftragte sollte die Verantwortung für die Einhaltung tragen mit den Anforderungen von Control 8.1.
Control 8.1 verlangt von Organisationen, eine themenspezifische Richtlinie zu erstellen, die regelt, wie Benutzerendpunktgeräte sicher konfiguriert werden sollten und wie diese Geräte von Benutzern gehandhabt werden sollten.
Alle Mitarbeiter sollten über diese Richtlinie informiert werden und die Richtlinie sollte Folgendes abdecken:
Darüber hinaus wird in den Allgemeinen Leitlinien darauf hingewiesen, dass Organisationen erwägen sollten, die Speicherung sensibler Informationsbestände auf Endpunktgeräten der Benutzer durch die Implementierung technischer Kontrollen zu verbieten.
Zu diesen technischen Kontrollen kann die Deaktivierung lokaler Speicherfunktionen wie SD-Karten gehören.
Bei der Umsetzung dieser Empfehlungen in die Praxis sollten Unternehmen auf das Konfigurationsmanagement gemäß Control 8.9 zurückgreifen und automatisierte Tools verwenden.
Alle Mitarbeiter sollten über die Sicherheitsmaßnahmen für Benutzerendgeräte und Verfahren informiert werden, die sie einhalten sollten. Darüber hinaus sollten sie es sein auf ihre Verantwortung aufmerksam gemacht für die Anwendung dieser Maßnahmen und Verfahren.
Organisationen sollten ihr Personal anweisen, die folgenden Regeln und Verfahren einzuhalten:
Darüber hinaus wird Organisationen auch empfohlen, ein spezielles Verfahren für den Verlust oder Diebstahl von Endpunktgeräten der Benutzer einzurichten. Dieses Verfahren sollte unter Berücksichtigung rechtlicher, vertraglicher und sicherheitstechnischer Anforderungen erstellt werden.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Durch die Möglichkeit, dass Mitarbeiter ihre eigenen persönlichen Geräte für arbeitsbezogene Zwecke nutzen können, spart Unternehmen zwar Geld, setzt jedoch sensible Informationsbestände neuen Risiken aus.
Control 8.1 listet fünf Empfehlungen auf, die Unternehmen berücksichtigen sollten, wenn sie Mitarbeitern erlauben, ihre eigenen Geräte für arbeitsbezogene Aufgaben zu verwenden:
Organisationen sollten Verfahren entwickeln und pflegen für:
Wenn Endpunktgeräte von Benutzern aus den Räumlichkeiten der Organisation entfernt werden, sind die Informationsbestände möglicherweise einem erhöhten Risiko einer Kompromittierung ausgesetzt. Daher müssen Organisationen möglicherweise unterschiedliche Kontrollen für Geräte einrichten, die außerhalb von Räumlichkeiten verwendet werden.
Darüber hinaus warnt Control 8.1 Unternehmen vor Informationsverlust aufgrund zweier Risiken im Zusammenhang mit drahtlosen Verbindungen:
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
27002:2022/8.1 ersetzt 27002:2013/(6.2.1 und 12.2.8)
In Im Gegensatz zur 2022er Version die Benutzerendpunktgeräte unter einem Control (8.1) adressiert, enthielt die Version 2013 zwei separate Kontrollen: Mobile Device Policy in Control 6.2.1 und Unattended User Equipment in Control 11.2.8.
Während darüber hinaus Control 8.1 in der Version 2022 für alle Benutzerendgeräte wie Laptops, Tablets und Mobiltelefone gilt, bezog sich die Version 2013 nur auf mobile Geräte.
Während sich beide Versionen hinsichtlich der Anforderungen an die Nutzerverantwortung weitgehend ähneln, enthält die Version 2022 eine zusätzliche Anforderung:
Im Vergleich zur Version 2013 führt Control 8.1 in der Version 2022 drei neue Anforderungen für die Nutzung privater Geräte des Personals (BYOD) ein:
Ähnlich wie die Version 2013 verlangt auch die Version 2022 von Organisationen, eine themenspezifische Richtlinie für Endpunktgeräte der Benutzer einzuführen.
Allerdings ist die Steuerung 8.1 in der Version 2022 umfassender, da sie drei neue Elemente enthält, die einbezogen werden müssen:
ISMS.Online ist die führende ISO 27002-Managementsystemsoftware, die die Einhaltung unterstützt ISO 27002 und hilft Unternehmen, ihre Sicherheitsrichtlinien auszurichten und Verfahren mit dem Standard.
Die cloudbasierte Plattform bietet einen vollständigen Satz an Tools, die Unternehmen bei der Einrichtung unterstützen Informationssicherheits-Managementsystem (ISMS) nach ISO 27002.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
5.7 | Neu | Bedrohungsinformationen |
5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
7.4 | Neu | Physische Sicherheitsüberwachung |
8.9 | Neu | Konfigurationsmanagement |
8.10 | Neu | Löschung von Informationen |
8.11 | Neu | Datenmaskierung |
8.12 | Neu | Verhinderung von Datenlecks |
8.16 | Neu | Überwachungsaktivitäten |
8.23 | Neu | Web-Filter |
8.28 | Neu | Sichere Codierung |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
6.1 | 07.1.1 | Untersuchungen |
6.2 | 07.1.2 | Beschäftigungsbedingungen |
6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
6.4 | 07.2.3 | Disziplinarverfahren |
6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.7 | 06.2.2 | Fernarbeit |
6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
7.1 | 11.1.1 | Physische Sicherheitsbereiche |
7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
7.4 | Neu | Physische Sicherheitsüberwachung |
7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
7.12 | 11.2.3 | Verkabelungssicherheit |
7.13 | 11.2.4 | Wartung der Ausrüstung |
7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |