ISO 27002:2022, Control 8.13 – Informationssicherung

Überarbeitete ISO 27002:2022-Kontrollen

Demo buchen

Nahaufnahme,von,männlichen,Händen,mit,Laptop,im,Büro,,Männerhände

Zweck der Kontrolle 8.13

Der Backup-Vorgang einer Organisation sollte ein breites Spektrum an Maßnahmen umfassen, die die Ausfallsicherheit verbessern und vor Geschäftsverlusten schützen, indem ein robuster und streng verwalteter Satz von Backup-Jobs unter Verwendung dedizierter Software und Dienstprogramme mit angemessenen Aufbewahrungsniveaus und vereinbarten Wiederherstellungszeiten eingerichtet wird.

Control 8.13 befürwortet a themenspezifisch Ansatz für Backups, der maßgeschneiderte Prozesse für jedes einzelne Thema umfasst und die verschiedenen Arten von Daten (und damit verbundenen Risikostufen) berücksichtigt, die Unternehmen während ihres gesamten Betriebs verarbeiten und darauf zugreifen.

Attributtabelle

Kontrolle 8.13 ist ein korrigierend Kontrolliere das hält das Risiko aufrecht durch die Implementierung von Richtlinien, die eine zeitnahe Wiederherstellung nach Daten- und/oder Systemverlusten oder -unterbrechungen ermöglichen.

SteuerungstypEigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Korrektur #Integrität
#Verfügbarkeit		#Genesen#Kontinuität #Schutz

Eigentum an der Kontrolle 8.13

Control 8.13 befasst sich mit täglichen Sicherungsvorgängen, die von Mitarbeitern des technischen Supports durchgeführt werden sollten, die für die Wartung des Netzwerks der Organisation verantwortlich sind.

Daher sollte das Eigentum an Control 8.13 bei der Person liegen, die für den täglichen IKT-Betrieb der Organisation verantwortlich ist, oder bei der Person, die einen ausgelagerten IKT-Vertrag überwacht.

Zum Thema springen
Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

Allgemeine Leitlinien zur Kontrolle 8.13

Organisationen sollten themenspezifische Richtlinien entwerfen, die direkt darauf eingehen, wie die Organisation die relevanten Bereiche ihres Netzwerks sichert.

Backup-Einrichtungen sollten mit dem vorrangigen Ziel implementiert werden, sicherzustellen, dass alle geschäftskritischen Daten, Software und Systeme nach den folgenden Ereignissen wiederhergestellt werden können:

  • Datenverlust

  • Intrusion

  • Betriebsunterbrechung

  • Ausfall von Systemen, Anwendungen oder Speichermedien

Jeder gemäß Control 8.13 erstellte Backup-Plan sollte darauf abzielen:

  1. Skizzieren Sie klare und prägnante Wiederherstellungsverfahren, die alle relevanten kritischen Systeme und Dienste abdecken.

  2. Erstellen Sie funktionsfähige Kopien aller Systeme, Daten oder Anwendungen, die von einem Backup-Auftrag abgedeckt werden.

  3. Erfüllen Sie die individuellen kommerziellen und betrieblichen Anforderungen der Organisation (z. B. Wiederherstellungszeitziele, Backup-Typen, Backup-Häufigkeit) (siehe Kontrolle 5.30).

  4. Speichern Sie Backups an einem geeigneten Ort, der vor Umwelteinflüssen geschützt ist, physisch von den Quelldaten getrennt ist, um einen vollständigen Datenverlust zu verhindern, und auf den zu Wartungszwecken sicher zugegriffen werden kann (siehe Kontrolle 8.1).

  5. Verpflichtung zur regelmäßigen Prüfung von Backup-Jobs, um die Datenverfügbarkeit zu gewährleisten, falls eine kurzfristige Wiederherstellung von Dateien, Systemen oder Anwendungen erforderlich sein sollte. Backup-Tests sollten an den vereinbarten Wiederherstellungszeiten der Organisation gemessen werden, um die Einhaltung im Falle eines Datenverlusts oder einer Systemunterbrechung sicherzustellen.

  6. Verschlüsseln Sie gesicherte Daten entsprechend ihrer Risikostufe.

  7. Überprüfen Sie, ob Daten verloren gegangen sind, bevor Sie Sicherungsaufträge ausführen.

  8. Implementieren Sie ein Berichtssystem, das das Wartungspersonal über den Status von Backup-Jobs – einschließlich vollständiger oder teilweiser Ausfälle – informiert, damit Abhilfemaßnahmen ergriffen werden können.

  9. Beziehen Sie Daten von Cloud-basierten Plattformen ein, die nicht direkt von der Organisation verwaltet werden.

  10. Speichern Sie Sicherungsdaten gemäß einer themenspezifischen Aufbewahrungsrichtlinie, die die zugrunde liegende Art und den Zweck der gesicherten Daten berücksichtigt, einschließlich der Übertragung und/oder Archivierung auf Speichermedien (siehe Steuerung 8.10).

Unterstützende Kontrollen

  • 5.30
  • 8.1
  • 8.10

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Änderungen und Unterschiede zu ISO 27002:2013

ISO 27002:2022-8.13 ersetzt ISO 27002:2003-12.3.1 (Informationssicherung).

ISO 27002:2022-8.13 enthält die gleichen betrieblichen Standards wie sein Gegenstück aus dem Jahr 2003, mit zusätzlichen Anleitungen in den folgenden Bereichen:

  • Überprüfen Sie, ob Daten verloren gegangen sind, bevor Sie Sicherungsjobs ausführen

  • Implementierung eines Berichtssystems

  • Cloudbasierte Plattformen

  • Speicherung von Backups gemäß einer themenspezifischen Aufbewahrungs- und Archivierungsrichtlinie

Wie ISMS.online hilft

ISMS.online hilft Ihnen auch dabei, die Einhaltung des ISO 27002-Standards nachzuweisen, indem es ein Management-Dashboard, Berichte und Prüfprotokolle bereitstellt.

Unsere cloudbasierte Plattform bietet:

  • Ein benutzerfreundliches und anpassbares Dokumentationsverwaltungssystem.

  • Zugriff auf eine Bibliothek ausgefeilter, vorgefertigter Dokumentationsvorlagen.

  • Ein vereinfachter Prozess zur Durchführung interner Audits.

  • Eine effiziente Methode zur Kommunikation mit Management und Stakeholdern.

  • Ein Workflow-Modul zur Optimierung des Implementierungsprozesses.

ISMS.online bietet all diese Funktionen und noch mehr.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

ISMS.online macht die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich.

Peter Risdon
CISO, Lebenswichtig

Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeuBedrohungsinformationen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
7.4NeuPhysische Sicherheitsüberwachung
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.16NeuÜberwachungsaktivitäten
8.23NeuWeb-Filter
8.28NeuSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeuBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Untersuchungen
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeuÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeuWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeuSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung
Einfach. Sicher. Nachhaltig.

Erleben Sie unsere Plattform in Aktion mit einer maßgeschneiderten praktischen Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.

Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren