Die Auslagerung von IT-Systemen und Softwareentwicklung an externe Parteien hat für Unternehmen viele Vorteile wie geringere Kosten und größere Skalierbarkeit. Diese Effizienzsteigerungen sollten jedoch nicht auf Kosten der Sicherheit gehen.
Beispielsweise verfügen externe Dienstleister möglicherweise nicht über strenge Zugriffskontrollen für Netzwerke oder wenden möglicherweise keine branchenübliche Verschlüsselung auf in der Cloud gespeicherte Daten an, was zur Gefährdung von IT-Systemen und Softwareprodukten führt.
Dies kann zu Datenschutzverletzungen und dem Verlust der Verfügbarkeit, Vertraulichkeit oder Integrität von Informationsressourcen führen.
Gemäß einer Bericht von TrustwaveBei mehr als 60 % aller Datenschutzverletzungen spielte die Auslagerung von Software und IT-Entwicklung eine Rolle.
Angesichts der Tatsache, dass Outsourcing unweigerlich zu einem Kontrollverlust über den Entwicklungsprozess führt und die Anwendung und Aufrechterhaltung von Informationssicherheitsanforderungen erschwert, sollten Organisationen sicherstellen, dass externe Parteien die von der Organisation festgelegten Informationssicherheitsanforderungen einhalten.
Mit Control 8.30 können Unternehmen sicherstellen, dass die festgelegten Anforderungen an die Informationssicherheit eingehalten werden, wenn die System- und Softwareentwicklung an externe Lieferanten ausgelagert wird.
Control 8.30 hat sowohl detektivischen als auch präventiven Charakter: Es verlangt von Organisationen, alle Outsourcing-Aktivitäten zu beaufsichtigen und zu überwachen und sicherzustellen, dass der ausgelagerte Entwicklungsprozess den Anforderungen der Informationssicherheit entspricht.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv #Detektiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Identifizieren #Schützen #Erkennen | #System- und Netzwerksicherheit #Anwendungssicherheit #Sicherheit der Lieferantenbeziehung | #Governance und Ökosystem #Schutz |
Der Chief Information Security Officer sollte für die Einrichtung und Implementierung der erforderlichen Verfahren und Kontrollen verantwortlich sein, um sicherzustellen, dass diese Informationssicherheitsanforderungen externen Lieferanten mitgeteilt, von diesen vereinbart und eingehalten werden.
In den allgemeinen Leitlinien wird hervorgehoben, dass Organisationen kontinuierlich überwachen und überprüfen sollten, ob die Bereitstellung der ausgelagerten Entwicklungsarbeit den Anforderungen an die Informationssicherheit entspricht, die dem externen Dienstleister auferlegt werden.
Control 8.30 empfiehlt Unternehmen, bei der Auslagerung der Entwicklung die folgenden 11 Faktoren zu berücksichtigen:
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Ausführlichere Anleitungen zum Management von Lieferantenbeziehungen finden Unternehmen in ISO/IEC 27036.
27002:2022/8.30 replace 27002:2013/(14.2.7)
Insgesamt gibt es keinen wesentlichen Unterschied zwischen den beiden Versionen.
Unternehmen können ISMS.Online nutzen, um sie bei ihren ISO 27002-Compliance-Bemühungen zu unterstützen, indem ihnen eine Plattform zur Verfügung gestellt wird, die es einfach macht, ihre Sicherheitsrichtlinien und -verfahren zu verwalten, sie bei Bedarf zu aktualisieren, sie zu testen und ihre Wirksamkeit zu überwachen.
Mit unserer cloudbasierten Plattform können Sie alle Aspekte Ihres ISMS, einschließlich Risikomanagement, Richtlinien, Pläne, Verfahren und mehr, schnell und einfach an einem zentralen Ort verwalten. Die Plattform ist einfach zu bedienen und verfügt über eine intuitive Benutzeroberfläche, die das Erlernen der Bedienung erleichtert.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
