ISO 27002:2022, Steuerung 8.17 – Uhrensynchronisation

Überarbeitete ISO 27002:2022-Kontrollen

Demo buchen

Gruppe,von,jungen,Unternehmen,Menschen,arbeiten,zusammen,in,modern

Sich auf eine punktgenaue synchronisierte Zeit in den Informationssystemen einer Organisation verlassen zu können, ist nicht nur für den laufenden Betrieb der kommerziellen Systeme eines Unternehmens, sondern auch im Falle eines IKT-bezogenen Vorfalls von größter Bedeutung.

Eine genaue Zeitdarstellung gibt einem Unternehmen die Möglichkeit, sich selbst und allen Strafverfolgungs- oder Regulierungsbehörden einen zuverlässigen Bericht darüber zu liefern, wie Informationen verwaltet wurden, zusammen mit den Aktionen seiner Mitarbeiter und Lieferanten.

Zweck der Kontrolle 8.17

Control 8.17 dient zwei Zwecken Detektiv Kontrolliere das hält das Risiko aufrecht durch die Implementierung von Kontrollen, die eine genaue und zuverlässige Synchronisierung der Uhren des Informationssystems gewährleisten, um interne und externe Untersuchungen und die Überwachung von Vorfällen zu unterstützen.

Attributtabelle

Steuerungstyp Eigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Detektiv #Integrität #Schützen
#Erkennen		#Informationssicherheits-Ereignismanagement#Schutz
#Verteidigung
Zum Thema springen
Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

Eigentum an der Kontrolle 8.17

Control 8.17 befasst sich hauptsächlich mit technischen Fragen in Form externer Datenquellen (Atomuhren usw.), die mit den IKT-Systemen einer Organisation verknüpft sind.

Daher sollte die Verantwortung beim IT-Leiter (oder einer gleichwertigen Organisation) liegen, der für die tägliche Integrität und Effizienz der IKT-Infrastruktur einer Organisation verantwortlich ist.

Allgemeine Leitlinien zur Kontrolle 8.17

Control 8.17 verzichtet darauf, Organisationen ein schrittweises Verfahren für die Verwaltung von Systemuhren bereitzustellen, und bietet stattdessen umfassende Anleitungen zur Nutzung vertrauenswürdiger Referenzpunkte.

In Control 8.17 werden Organisationen aufgefordert, eine einzurichten Standard-Referenzzeit die in allen kommerziellen, logistischen und wartungsbasierten Systemen als vertrauenswürdige Datums- und Zeitquelle für alle Anforderungen des Unternehmens verwendet werden kann.

Organisationen sollten:

  1. Entwerfen Sie interne und externe Anforderungen für drei Aspekte der Uhrensynchronisation:

    • Zeitdarstellung

    • Zuverlässige Synchronisation

    • Genauigkeit

  2. Bei der Bewältigung dieser Anforderungen sollten Organisationen ihre Bedürfnisse aus sechs verschiedenen Blickwinkeln betrachten:

    • Rechtlich

    • Gesetzlich

    • Regulatory

    • Vertraglich

    • Standards

    • Interne Überwachung

  3. Nutzen Sie eine mit einer Atomuhr verknüpfte Funkzeitübertragung als einzigen Referenzpunkt sowie die Implementierung wichtiger Protokolle (NTP, PTP), um die Einhaltung im gesamten Netzwerk sicherzustellen.

  4. Erwägen Sie die Verwaltung zwei getrennte Zeitquellen Redundanz zu verbessern.

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Anleitung – Hybrid-Setups

Sehr oft nutzen Unternehmen sowohl lokale als auch cloudbasierte Systeme nebeneinander.

In der Cloud gehostete Software- und Infrastrukturplattformen werden in der Regel vom Anbieter selbst verwaltet und nutzen daher eine von der unternehmenseigenen Infrastruktur getrennte Zeitquelle.

Zeitliche Abweichungen sowohl bei verwalteter als auch bei nicht verwalteter Hardware und Systemen sollten in regelmäßigen Abständen berücksichtigt und etwaige Unterschiede aufgezeichnet werden, um Verwirrung bei künftigen Untersuchungen zu vermeiden.

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022-8.17 ersetzt 27002:2013-12.4.4 (Uhrsynchronisation).

27002:2022-8.17 gibt viele der gleichen Informationen wieder, die in seinem Gegenstück aus dem Jahr 2013 enthalten sind, mit einer bemerkenswerten Ausnahme: 27002:2022-8.17 enthält Ratschläge zur Verwaltung von Zeitquellen aus der öffentlichen und privaten Cloud und zu den Auswirkungen auf die Verwendung von Systemen auf Prämisse, die mit einer separaten Zeitquelle synchronisiert werden kann.

Wie ISMS.online hilft

Bei ISMS.online unterstützt Sie unsere cloudbasierte Plattform bei der Erstellung, Pflege und Prüfung Ihres auf ISO 27001-Standards basierenden Informationssicherheits-Managementsystems (ISMS). Es stellt Ihnen anpassbare Vorlagen und Tools zur Verfügung, mit denen Sie die Anforderungen von ISO 27002 erfüllen können.

Mit dieser Plattform können Sie Ihr ISMS nach internationalem Standard etablieren und anhand der bereitgestellten Checklisten sicherstellen, dass Ihre Informationssicherheitsprozesse in einem guten Zustand sind. Sie können ISMS.online auch zur Risikobewertung und Schwachstellenbewertung nutzen, um Schwachstellen zu identifizieren Punkte in Ihrer bestehenden Infrastruktur, die sofortige Aufmerksamkeit erfordern.

Mit all diesen Tools und Ressourcen kann ISMS.online Ihnen letztendlich dabei helfen, die Einhaltung von ISO 27002 nachzuweisen.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Bist du bereit für
die neue ISO 27002

Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeuBedrohungsinformationen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
7.4NeuPhysische Sicherheitsüberwachung
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.16NeuÜberwachungsaktivitäten
8.23NeuWeb-Filter
8.28NeuSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeuBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeuInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeuIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Untersuchungen
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeuKonfigurationsmanagement
8.10NeuLöschung von Informationen
8.11NeuDatenmaskierung
8.12NeuVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeuÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeuWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeuSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung
Unternehmen auf der ganzen Welt vertrauen darauf
  • Einfach und leicht zu bedienen
  • Entwickelt für den Erfolg von ISO 27001
  • Spart Ihnen Zeit und Geld
Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren