Sicherstellung sicherer und kontrollierter Änderungen mit ISO 27002:2022 Control 8.32
Änderungen an Informationssystemen wie der Austausch eines Netzwerkgeräts, die Erstellung einer neuen Datenbankinstanz oder die Aktualisierung von Software sind häufig erforderlich, um die Leistung zu verbessern, die Kosten zu senken und die Effizienz zu steigern.
Allerdings können diese Änderungen an Informationsverarbeitungseinrichtungen und -systemen, wenn sie nicht ordnungsgemäß umgesetzt werden, zur Gefährdung der in diesen Einrichtungen gespeicherten oder von ihnen verarbeiteten Informationsbestände führen.
Control 8.32 befasst sich mit der Frage, wie Organisationen Änderungsmanagementverfahren einrichten und anwenden können, um an den Informationsverarbeitungseinrichtungen und -systemen vorgenommene Änderungen zu überwachen, zu überprüfen und zu kontrollieren.
Zweck der Kontrolle 8.32
Control 8.32 ermöglicht es Organisationen, die Sicherheit von Informationsressourcen bei der Durchführung von Änderungen an den Informationsverarbeitungseinrichtungen und -systemen aufrechtzuerhalten, indem sie Regeln und Verfahren für das Änderungsmanagement festlegen, implementieren und verwalten.
Attributtabelle der Steuerung 8.32
Die Kontrolle 8.32 hat präventiven Charakter. Es verlangt von Organisationen, Änderungskontrollprozesse zu definieren, zu dokumentieren, zu spezifizieren und durchzusetzen, die den gesamten Lebenszyklus von Informationssystemen steuern, vom ersten Entwurf bis zur Bereitstellung und Nutzung.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Anwendungssicherheit | #Schutz |
| #Integrität | #System- und Netzwerksicherheit | |||
| #Verfügbarkeit |
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Eigentum an der Kontrolle 8.32
Da die Einhaltung von Control 8.32 die Einrichtung und Durchsetzung von Änderungskontrollverfahren erfordert, die für alle Phasen im Lebenszyklus von Informationssystemen gelten, sollten leitende Informationssicherheitsbeauftragte mit Unterstützung von Fachexperten dafür verantwortlich sein, diese Verfahren zu entwerfen und durchzusetzen.
Allgemeine Richtlinien zur Compliance
Alle größeren Änderungen an Informationssystemen und die Einführung neuer Systeme sollten einem vereinbarten Regelwerk und Verfahren unterliegen. Diese Änderungen sollten formell spezifiziert und dokumentiert werden. Darüber hinaus sollten sie die Test- und Qualitätskontrollprozesse durchlaufen.
Um sicherzustellen, dass alle Änderungen den Änderungskontrollregeln und -standards entsprechen, sollten Organisationen Managementverantwortungen dem entsprechenden Management zuweisen und die erforderlichen Verfahren festlegen.
Control 8.32 listet neun Elemente auf, die in das Änderungsmanagementverfahren einbezogen werden sollten:
- Organisationen sollten die wahrscheinlichen Auswirkungen geplanter Änderungen unter Berücksichtigung aller Abhängigkeiten planen und messen.
- Implementierung von Berechtigungskontrollen für Änderungen.
- Informieren relevanter interner und externer Parteien über die geplanten Änderungen.
- Etablierung und Implementierung von Test- und Abnahmetestprozessen für Änderungen gemäß Control 8.29.
- Wie die Änderungen umgesetzt werden, einschließlich der Art und Weise, wie sie in der Praxis umgesetzt werden.
- Erstellung von Notfall- und Notfallplänen und -verfahren. Dazu kann auch die Festlegung eines Fallback-Verfahrens gehören.
- Führen Sie Aufzeichnungen über alle Änderungen und damit verbundenen Aktivitäten, einschließlich aller oben aufgeführten Aktivitäten (1 bis 6).
- Die in Control 5.37 erforderliche Betriebsdokumentation und Benutzerverfahren werden überprüft und aktualisiert, um die Änderungen widerzuspiegeln.
- IKT-Kontinuitätspläne sowie Wiederherstellungs- und Reaktionsverfahren sollten überprüft und überarbeitet werden, um den Änderungen Rechnung zu tragen.
Abschließend wird darauf hingewiesen, dass Organisationen Änderungskontrollverfahren für Software und IKT-Infrastruktur so weit wie möglich integrieren sollten.
Ergänzende Leitlinien zur Kontrolle 8.32
Änderungen an den Produktionsumgebungen wie Betriebssystemen und Datenbanken können die Integrität und Verfügbarkeit von Anwendungen beeinträchtigen, insbesondere die Übertragung von Software von der Entwicklungs- in die Produktionsumgebung.
Ein weiteres Risiko, vor dem Unternehmen vorsichtig sein sollten, besteht darin, dass Softwareänderungen in der Produktionsumgebung unbeabsichtigte Folgen haben können.
Um diesen Risiken vorzubeugen, sollten Unternehmen Tests an IKT-Komponenten in einer von der Entwicklungs- und Produktionsumgebung isolierten Umgebung durchführen.
Dies ermöglicht Unternehmen eine bessere Kontrolle über neue Software und bietet eine zusätzliche Schutzebene für reale Daten, die zu Testzwecken verwendet werden. Dieser zusätzliche Schutz kann über Patches und Service Packs erreicht werden.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Änderungen und Unterschiede zu ISO 27002:2013
27002:2022/8.32 ersetzt 27002:2013/(12.1.2, 14.2.2, 14.2.3, 14.2.4)
Insgesamt war die Version 2013 im Vergleich zur Version 2022 hinsichtlich der Anforderungen an Änderungskontrollverfahren strenger.
Es sind drei wesentliche Unterschiede zwischen den beiden Versionen hervorzuheben.
Die Version ISO 27002:2013 enthielt detailliertere Angaben dazu, was ein „Änderungsverfahren“ beinhalten sollte
Sowohl in der Version 27002:2022 als auch in der Version 27002:2013 ist nicht erschöpfend aufgeführt, was ein „Änderungsverfahren“ umfassen sollte.
Allerdings enthielt die Version 2013 folgende Elemente, auf die in der Version 2022 nicht Bezug genommen wurde:
- Sicherheitskritischer Code sollte identifiziert und überprüft werden, um Schwachstellen zu beheben.
- Unternehmen sollten die Versionskontrolle für alle in der Software implementierten Updates beibehalten.
- Organisationen sollten eine Liste aller Hardware- und Softwarekomponenten identifizieren und dokumentieren, die geändert und aktualisiert werden müssen.
In der Version 2013 wurden „Änderungen an Betriebsplattformen“ behandelt.
Control 14.2.3 in der Version 27002:2013 befasste sich damit, wie Organisationen die negativen Auswirkungen und Störungen des Geschäftsbetriebs minimieren können, wenn Änderungen an Betriebssystemen vorgenommen werden.
Im Gegensatz dazu enthält die Version 27002:2022 keine Anforderungen für solche Änderungen.
Version 2013 behandelt „Änderungen an Softwarepaketen“
Control 14.2.4 in der Version 27002:2013 befasste sich mit „Änderungen an Softwarepaketen“. Im Gegenteil, die Version 27002:2022 enthält keine Anforderungen für solche Änderungen.
Neue ISO 27002-Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Rekrutierung |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Wie ISMS.online hilft
Unsere cloudbasierte Plattform bietet Ihnen ein robustes Rahmenwerk für Informationssicherheitskontrollen, sodass Sie Ihren ISMS-Prozess jederzeit überprüfen können, um sicherzustellen, dass er die Anforderungen für ISO 27000k erfüllt.
Richtig eingesetzt, ISMS. online kann Ihnen dabei helfen, die Zertifizierung mit minimalem Zeit- und Ressourcenaufwand zu erreichen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
