ISO IEC TR 27008

Was sind Informationssicherheitskontrollen?

Bei Informationssicherheitskontrollen handelt es sich um Maßnahmen zur Minderung von Informationssicherheitsschwachstellen wie Geräteausfällen, Datendiebstahl, Systemverstößen und unbeabsichtigten Änderungen an digitalen Informationen oder Prozessen.

Diese Sicherheitskontrollen werden normalerweise als Reaktion auf ein Informationssicherheitsrisiko angewendet Auswertung, um die Verfügbarkeit, Vertraulichkeit und Privatsphäre von Daten und Netzwerken besser zu gewährleisten.

Diese Kontrollen gewährleisten die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen im Bereich der Informationssicherheit.

Arten von Informationssicherheitskontrollen

Sicherheitsprotokolle, Verfahren, Zeitpläne, Geräte und Anwendungen fallen alle in die Kategorie der Informationssicherheitskontrollen.

1. Präventive Sicherheitskontrollen, Sicherheitsprotokolle, die Cybersicherheitsunfälle verhindern sollen
2. Detektivische Sicherheitskontrollen Ziel ist es, das Cybersicherheitspersonal zu identifizieren und auf einen Einbruchsversuch oder eine potenzielle Sicherheitsverletzung aufmerksam zu machen.
3. Korrektive Sicherheitskontrollen werden nach einem Cybersicherheitsvorfall eingesetzt Helfen Sie dabei, Datenverluste und Geräte- oder Netzwerkunterbrechungen zu minimieren und zur einfachen Wiederherstellung sensibler Geschäftssysteme und -abläufe.

Darüber hinaus können Sicherheitsmaßnahmen nach ihrem Zweck wie folgt kategorisiert werden:

Zugangskontrollen:

Dazu gehören physische Zutrittskontrollen wie bewaffnete Wachen an Gebäudeausgängen, Schleusen und Umzäunungen.

Verfahrenskontrollen:

Bedrohungsbewusstsein Schulung, Schulung zur Durchsetzung des Sicherheitsrahmens sowie Prozesse und Verfahren zur Reaktion auf Vorfälle.

Technische Kontrollen:

Dazu gehören die Multi-Faktor-Kontoauthentifizierung am Zugangspunkt (Anmeldung) und logische Zugangskontrollen, Antivirenanwendungen und Firewalls.

Compliance-Kontrollen:

Dazu gehören Datenschutzregeln, -rahmen und -anforderungen sowie Cybersicherheitsansätze und -standards.

Was ist der Zweck von ISO 27008?

ISO 27008 wurde erstellt, um:

• Hilft bei der Vorbereitung und Durchführung von ISMS-Audits und der Methode des Informationsrisikomanagements;
• Bereitstellung von Richtlinien für die Prüfung von Informationssicherheitskontrollen gemäß den Kontrollleitlinien von ISO/IEC 27002;
• Verbessert ISMS-Audits durch Optimierung der Beziehungen zwischen ISMS-Prozessen und notwendigen Kontrollen;
• Stellt sicher, dass die Prüfressourcen effektiv und effizient genutzt werden.
• Mehrwert und Verbesserung der Konsistenz und des Nutzens der ISO 27k-Spezifikationen durch Überbrückung des Unterschieds zwischen der grundsätzlichen Aktualisierung des ISMS und gegebenenfalls der Überprüfung des Nachweises der angewandten ISMS-Kontrollen (z. B. Bewertung von Sicherheitselementen des Geschäftsbetriebs, der IT-Strukturen und des IT-Betriebs). Umgebungen in ISO27k-Benutzerorganisationen);

Was ist der Geltungsbereich von ISO 27008?

ISO 27008 bietet allen Prüfern Leitlinien für die Kontrollen von Informationssicherheitsmanagementsystemen. Es leitet die Informationsrisikomanagementprozess sowie interne, externe und externe Bewertungen eines ISMS durch den Nachweis der Verbindung zwischen dem ISMS und seinen begleitenden Kontrollen.

Es enthält Leitlinien dazu, wie zu testen ist, inwieweit die erforderlichen „Kontrollen des Informationssicherheitsmanagementsystems“ angewendet werden. Darüber hinaus unterstützt es Organisationen, die ISO/IEC 27001 oder ISO/IEC 27002 implementieren, bei der Erfüllung von Compliance-Kriterien und dient als technische Plattform für die Governance der Informationstechnologie.

Wie funktioniert ISO 27008?

ISO 27008 definiert allgemeine Verfahren, keine Techniken für eine bestimmte Kontrolle oder Kontrollformen.

Es definiert systematische Überprüfungen und beschreibt dann die verschiedenen Ansätze und Formen von Überprüfungen, die auf Informationssicherheitskontrollen anwendbar sind. Abschließend werden die für einen erfolgreichen Überprüfungsprozess erforderlichen Praktiken erörtert.

Zusammenhang mit ISO 27001 und ISO 27002

ISO 27008 ist dem sehr ähnlich ISO 27007 Prüfspezifikation für Informationssicherheitsmanagementsysteme.

Im Gegensatz zu ISO 27007, das sich auf die Überprüfung der Managementsystemkomponenten eines ISMS gemäß ISO 27001 konzentriert, konzentriert sich ISO 27008 jedoch auf die Prüfung spezifischer Informationssicherheitskontrollen, wie sie beispielsweise in ISO 27002 aufgeführt und in beschrieben sind Anhang A der ISO 27001.

ISO 27008 „konzentriert sich auf die Bewertung von Informationssicherheitskontrollen, einschließlich der Einhaltung gesetzlicher Vorschriften, anhand eines von einer Organisation festgelegten Implementierungsstandards für Informationssicherheit.“

Es ist jedoch nicht beabsichtigt, detaillierte Richtlinien zur Konformitätsprüfung in Bezug auf die Berechnung, Risikobewertung oder Prüfung eines ISMS bereitzustellen, wie in angegeben ISO 27004 , ISO 27005 bzw. 27007.

Wer sollte ISO 27008 implementieren?

ISO 27008 richtet sich an interne und externe Prüfer, die für die Überprüfung von Informationsmanagementkontrollen verantwortlich sind, die Teil eines ISMS sind. Es wäre jedoch für jeden von Vorteil, der eine Analyse oder Bewertung der Kontrollen eines ISMS durchführt, sei es im Rahmen eines strukturierten Prüfungsverfahrens oder auf andere Weise. Das Dokument richtet sich in erster Linie an Informationssicherheitsprüfer, die dafür verantwortlich sind, zu überprüfen, ob die Informationssicherheitskontrollen einer Organisation technisch mit ISO/IEC 27002 und allen anderen von der Organisation verwendeten Kontrollanforderungen übereinstimmen.

ISO 27008 wird sie auf folgende Weise unterstützen:

• Erkennen und verstehen Sie das Ausmaß möglicher Probleme und Schwachstellen bei Informationssicherheitskontrollen.
• Identifizieren und verstehen Sie die möglichen Folgen unzureichend geminderter Risiken und Schwächen der Computertechnologie für das Unternehmen.
• Priorisieren Sie Risikokontrollpraktiken im Zusammenhang mit dem Informationsmanagement.
• Stellen Sie sicher, dass zuvor festgestellte oder neu entdeckte Schwachstellen oder Mängel ausreichend behoben wurden.

ISO 27008 gilt für ein breites Spektrum von Organisationen, darunter öffentliche und private Unternehmen, Regierungsbehörden und gemeinnützige Organisationen.