Änderungen an Informationssystemen wie der Austausch eines Netzwerkgeräts, die Erstellung einer neuen Datenbankinstanz oder die Aktualisierung von Software sind häufig erforderlich, um die Leistung zu verbessern, die Kosten zu senken und die Effizienz zu steigern.
Allerdings können diese Änderungen an Informationsverarbeitungseinrichtungen und -systemen, wenn sie nicht ordnungsgemäß umgesetzt werden, zur Gefährdung der in diesen Einrichtungen gespeicherten oder von ihnen verarbeiteten Informationsbestände führen.
Control 8.32 befasst sich mit der Frage, wie Organisationen Änderungsmanagementverfahren einrichten und anwenden können, um an den Informationsverarbeitungseinrichtungen und -systemen vorgenommene Änderungen zu überwachen, zu überprüfen und zu kontrollieren.
Control 8.32 ermöglicht es Organisationen, die Sicherheit von Informationsressourcen bei der Durchführung von Änderungen an den Informationsverarbeitungseinrichtungen und -systemen aufrechtzuerhalten, indem sie Regeln und Verfahren für das Änderungsmanagement festlegen, implementieren und verwalten.
Die Kontrolle 8.32 hat präventiven Charakter. Es verlangt von Organisationen, Änderungskontrollprozesse zu definieren, zu dokumentieren, zu spezifizieren und durchzusetzen, die den gesamten Lebenszyklus von Informationssystemen steuern, vom ersten Entwurf bis zur Bereitstellung und Nutzung.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Anwendungssicherheit #System- und Netzwerksicherheit | #Schutz |
Da die Einhaltung von Control 8.32 die Einrichtung und Durchsetzung von Änderungskontrollverfahren erfordert, die für alle Phasen im Lebenszyklus von Informationssystemen gelten, sollten leitende Informationssicherheitsbeauftragte mit Unterstützung von Fachexperten dafür verantwortlich sein, diese Verfahren zu entwerfen und durchzusetzen.
Alle größeren Änderungen an Informationssystemen und die Einführung neuer Systeme sollten einem vereinbarten Regelwerk und Verfahren unterliegen. Diese Änderungen sollten formell spezifiziert und dokumentiert werden. Darüber hinaus sollten sie die Test- und Qualitätskontrollprozesse durchlaufen.
Um sicherzustellen, dass alle Änderungen den Änderungskontrollregeln und -standards entsprechen, sollten Organisationen Managementverantwortungen dem entsprechenden Management zuweisen und die erforderlichen Verfahren festlegen.
Control 8.32 listet neun Elemente auf, die in das Änderungsmanagementverfahren einbezogen werden sollten:
Abschließend wird darauf hingewiesen, dass Organisationen Änderungskontrollverfahren für Software und IKT-Infrastruktur so weit wie möglich integrieren sollten.
Änderungen an den Produktionsumgebungen wie Betriebssystemen und Datenbanken können die Integrität und Verfügbarkeit von Anwendungen beeinträchtigen, insbesondere die Übertragung von Software von der Entwicklungs- in die Produktionsumgebung.
Ein weiteres Risiko, vor dem Unternehmen vorsichtig sein sollten, besteht darin, dass Softwareänderungen in der Produktionsumgebung unbeabsichtigte Folgen haben können.
Um diesen Risiken vorzubeugen, sollten Unternehmen Tests an IKT-Komponenten in einer von der Entwicklungs- und Produktionsumgebung isolierten Umgebung durchführen.
Dies ermöglicht Unternehmen eine bessere Kontrolle über neue Software und bietet eine zusätzliche Schutzebene für reale Daten, die zu Testzwecken verwendet werden. Dieser zusätzliche Schutz kann über Patches und Service Packs erreicht werden.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
27002:2022/8.32 ersetzt 27002:2013/(12.1.2, 14.2.2, 14.2.3, 14.2.4)
Insgesamt war die Version 2013 im Vergleich zur Version 2022 hinsichtlich der Anforderungen an Änderungskontrollverfahren strenger.
Es sind drei wesentliche Unterschiede zwischen den beiden Versionen hervorzuheben.
Sowohl in der Version 27002:2022 als auch in der Version 27002:2013 ist nicht erschöpfend aufgeführt, was ein „Änderungsverfahren“ umfassen sollte.
Allerdings enthielt die Version 2013 folgende Elemente, auf die in der Version 2022 nicht Bezug genommen wurde:
Control 14.2.3 in der Version 27002:2013 befasste sich damit, wie Organisationen die negativen Auswirkungen und Störungen des Geschäftsbetriebs minimieren können, wenn Änderungen an Betriebssystemen vorgenommen werden.
Im Gegensatz dazu enthält die Version 27002:2022 keine Anforderungen für solche Änderungen.
Control 14.2.4 in der Version 27002:2013 befasste sich mit „Änderungen an Softwarepaketen“. Im Gegenteil, die Version 27002:2022 enthält keine Anforderungen für solche Änderungen.
Unsere cloudbasierte Plattform bietet Ihnen ein robustes Rahmenwerk für Informationssicherheitskontrollen, sodass Sie Ihren ISMS-Prozess jederzeit überprüfen können, um sicherzustellen, dass er die Anforderungen für ISO 27000k erfüllt.
Richtig eingesetzt, ISMS. online kann Ihnen dabei helfen, die Zertifizierung mit minimalem Zeit- und Ressourcenaufwand zu erreichen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
