Zum Inhalt
ISMS.online

ISO 27701 – Abschnitt 6.3.2 – Mobile Geräte und Telearbeit

Abschnitt 27701 der ISO 6.3.2 befasst sich mit Richtlinien für die Verwaltung mobiler Geräte und die Fernarbeit und betont die Notwendigkeit für Organisationen, spezifische Kontrollen zu implementieren, um Endgeräte zu sichern und den Datenschutz während des Fernbetriebs sicherzustellen.

Autorin
Toby Cane
Aktualisiert September 19, 2025
4 / 5 Sterne

ISO 27701-Konformität: Verwalten von Mobilgeräten und Risiken bei der Fernarbeit

Mobile Geräte und Remote-Arbeit werden schnell zu einem festen Bestandteil des modernen Arbeitsplatzes.

Die Organisation muss sicherstellen, dass alle Arten von Geräten durch eine umfassende Endbenutzer-Geräterichtlinie abgedeckt sind, die die Art des Geräts, die Art und Weise, wie es in Verbindung mit PII verwendet wird, die Art und Weise, wie es von der Organisation verwaltet wird, und die Verpflichtungen des Endbenutzers berücksichtigt während der Benutzung des Geräts entstehen.

ISO fordert Unternehmen auf, Endpunktgeräte auf zwei Arten zu kategorisieren:

  1. Geräte, die innerhalb der Grenzen des Netzwerks und der physischen Räumlichkeiten der Organisation verwendet werden sollen.
  2. Geräte, die sowohl innerhalb als auch außerhalb des LANs und der physischen Räumlichkeiten der Organisation verwendet werden.

Was in ISO 27701 Abschnitt 6.3.2 behandelt wird

Abschnitt 6.3.2 behandelt zwei Schlüsselaspekte dessen, was früher als „Telearbeit“ bekannt war, heute aber allgemeiner als „Fernarbeit“ bekannt ist – Geräteverwaltung und allgemeine Grundsätze der Fernarbeit.

Abschnitt 6.3.2 unterteilt diese in zwei Unterabschnitte und enthält Anleitungen aus zwei verknüpften Unterabschnitten, die sich mit der organisatorischen Datensicherheit in ISO 27002 befassen:

  1. ISO 27701 6.3.2.1 – Mobile Geräte und Telearbeit (Referenzen ISO 27002 Control 8.1)
  2. ISO 27701 6.3.2.2 – Telearbeit (Referenzen ISO 27002 Control 6.7)

Unterabschnitt 6.3.2.1 enthält weitere Hinweise zu den anwendbaren Bereichen der DSGVO-Gesetzgebung.

Bitte beachten Sie, dass DSGVO-Zitate nur zu Informationszwecken dienen. Organisationen sollten die Gesetzgebung prüfen und selbst beurteilen, welche Teile des Gesetzes für sie gelten.

Keiner der Unterabschnitte enthält zusätzliche Anleitungen zur Einrichtung oder Wartung eines PIMS im Zusammenhang mit Remote-Arbeit oder Benutzergeräteverwaltung.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


ISO 27701 Abschnitt 6.3.2.1 – Richtlinien für mobile Geräte

Referenzen ISO 27002-Steuerung 8.1

Unternehmen sollten themenspezifische Richtlinien implementieren, die sich mit verschiedenen Kategorien von Endpunktgeräten und Softwareversionen mobiler Geräte befassen und wie Sicherheitskontrollen zur Verbesserung der Datensicherheit angepasst werden sollten.

Die Richtlinien, Verfahren und unterstützenden Sicherheitsmaßnahmen einer Organisation für Mobilgeräte sollten Folgendes berücksichtigen:

  1. Die verschiedenen Datenkategorien, die das Gerät verarbeiten und speichern kann.
  2. Wie Geräte im Netzwerk registriert und identifiziert werden.
  3. Wie Geräte physisch geschützt werden.
  4. Eventuelle Einschränkungen bei Anwendungen und Softwareinstallationen.
  5. Fernverwaltung, einschließlich Updates und Patches.
  6. Benutzerzugriffskontrollen, einschließlich RBAC, falls erforderlich.
  7. Verschlüsselung.
  8. Antimalware-Gegenmaßnahmen (verwaltet oder nicht verwaltet).
  9. BUDR.
  10. Einschränkungen beim Surfen.
  11. Benutzeranalyse (siehe ISO 27002 Control 8.16).
  12. Die Installation, Nutzung und Fernverwaltung von Wechselspeichergeräten oder Wechselperipheriegeräten.
  13. So trennen Sie Daten auf dem Gerät, sodass personenbezogene Daten von den Standardgerätedaten (einschließlich der persönlichen Daten des Benutzers) getrennt werden. Dazu gehört die Überlegung, ob es angemessen ist, jegliche Art von Organisationsdaten auf dem physischen Gerät zu speichern, anstatt das Gerät für den Online-Zugriff darauf zu verwenden.
  14. Was passiert, wenn ein Gerät verloren geht oder gestohlen wird – z. B. die Einhaltung gesetzlicher, behördlicher oder vertraglicher Anforderungen und der Umgang mit den Versicherern der Organisation?

Individuelle Verantwortung des Benutzers

Jeder in der Organisation, der Fernzugriff nutzt, muss ausdrücklich über alle Richtlinien und Verfahren für mobile Geräte informiert werden, die im Rahmen der sicheren Endpunktgeräteverwaltung für ihn gelten.

Benutzer sollten angewiesen werden:

  1. Schließen Sie alle aktiven Arbeitssitzungen, wenn sie nicht mehr verwendet werden.
  2. Implementieren Sie physische und digitale Schutzkontrollen, wie in der Richtlinie gefordert.
  3. Achten Sie beim Zugriff auf sichere Daten mit dem Gerät auf die physische Umgebung – und die damit verbundenen Sicherheitsrisiken.

Bringen Sie Ihr eigenes Gerät mit (BYOD)

Organisationen, die ihren Mitarbeitern die Nutzung persönlicher Geräte gestatten, sollten außerdem die folgenden Sicherheitskontrollen berücksichtigen:

  • Installieren von Software auf dem Gerät (einschließlich Mobiltelefonen), die bei der Trennung von geschäftlichen und persönlichen Daten hilft.
  • Durchsetzung einer BYOD-Richtlinie, die Folgendes umfasst:
    • Anerkennung des organisatorischen Eigentums an PII.
    • Physische und digitale Schutzmaßnahmen (siehe oben).
    • Fernlöschung von Daten.
    • Alle Maßnahmen, die die Übereinstimmung mit der PII-Gesetzgebung und den behördlichen Leitlinien sicherstellen.
  • IP-Rechte betreffen das Unternehmenseigentum an allem, was auf einem persönlichen Gerät produziert wurde.
  • Organisatorischer Zugriff auf das Gerät – entweder zum Schutz der Privatsphäre oder zur Durchführung einer internen oder externen Untersuchung.
  • EULAs und Softwarelizenzen, die durch die Verwendung kommerzieller Software auf einem privaten Gerät beeinträchtigt werden können.

Drahtlose Konfigurationen

Bei der Ausarbeitung von Verfahren, die sich mit der drahtlosen Konnektivität auf Endpunktgeräten befassen, sollten Organisationen Folgendes tun:

  • Überlegen Sie sorgfältig, wie solche Geräte eine Verbindung zu drahtlosen Netzwerken für den Internetzugang ermöglichen sollten, um personenbezogene Daten zu schützen.
  • Stellen Sie sicher, dass die drahtlosen Verbindungen über ausreichende Kapazität verfügen, um Backups oder andere themenspezifische Funktionen zu ermöglichen.

Relevante ISO 27002-Kontrollen

  • ISO 27002-Steuerung 8.9 – Konfigurationsmanagement
  • ISO 27002-Steuerung 8.16 – Überwachungsaktivitäten

Anwendbare DSGVO-Artikel

  • Artikel 5 – (1)(f)


Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


ISO 27701 Abschnitt 6.3.2.2 – Telearbeit

Referenzen ISO 27002-Steuerung 6.7

Wie bei der Benutzergeräteverwaltung sollten Richtlinien für die Fernarbeit themenspezifisch sein und sich auf die verschiedenen Rollen beziehen, die innerhalb der Organisation ausgeübt werden.

Bei der Formulierung von Richtlinien zur Fernarbeit sollten Unternehmen Folgendes berücksichtigen:

  • Mögliche Risiken beeinträchtigen die physische Sicherheit und Informationssicherheit von Geräten an bestimmten Remote-Arbeitsstandorten, einschließlich des Zugriffs durch unbefugtes Personal.
  • Kontrollen zum Schutz von Geschäftsdaten, einschließlich Transportsicherheit, Clear-Desk-Richtlinien, sicheres Drucken, Antimalware-Plattformen, Firewalls usw.
  • Eine kategorische Liste akzeptierter Remote-Arbeitsorte, einschließlich öffentlicher Bereiche wie Hotels, öffentliche Besprechungsräume und Telearbeitsstandorte.
  • Wie das Gerät mit dem Netzwerk der Organisation kommunizieren wird (VPN-Parameter usw.), abhängig von der Kategorie der übertragenen Daten und der Art des PII-Vorgangs der Organisation.
  • Virtuelle Desktop-Umgebungen.
  • Drahtlose Sicherheitsprotokolle und die zugrunde liegenden Sicherheitsrisiken, die in Heim- oder öffentlichen Netzwerken vorherrschen.
  • Fernverwaltung von Geräten (Ferndeaktivierung, Installation, Datenlöschung usw.).
  • Authentifizierungsmethoden, genauer gesagt die Verwendung von MFA.

Um den Schutz der Privatsphäre zu verbessern und personenbezogene Daten zu schützen, sollten allgemeine und themenspezifische Richtlinien für die Fernarbeit Folgendes umfassen:

  1. Die Bereitstellung angemessener Ausrüstung (IKT-Ausrüstung und physische Lagermaßnahmen), sofern solche Ausrüstung in der Remote-Arbeitsumgebung nicht vorhanden ist.
  2. Klare Richtlinien darüber, welche Arbeiten ausgeführt werden dürfen und auf welche Systeme, Daten und Anwendungen aus der Ferne zugegriffen werden kann.
  3. Schulungsprogramme, die die Fernarbeit regeln, sowohl im Hinblick auf die verwendeten Geräte als auch auf die Erwartungen an Fernarbeiter aus praktischer und vertraglicher Sicht.
  4. Maßnahmen, die eine detaillierte Fernverwaltung von Endpunktgeräten ermöglichen, einschließlich Bildschirmsperrfunktion, GPS-Tracking und Fernüberwachung.
  5. Physische Sicherheitsmaßnahmen, die die Verwendung von organisationseigenen und benutzereigenen Geräten außerhalb des Standorts regeln, einschließlich des Zugriffs Dritter.
  6. Versicherungsdeckung.
  7. Ein BUDR-Plan speziell für Remote-Arbeit, einschließlich Kontrollen zur Geschäftskontinuität.
  8. Verfahren, die beschreiben, wie der Remote-Benutzerzugriff bei Bedarf eingeschränkt oder widerrufen wird.

Unterstützende Kontrollen von ISO 27002 und DSGVO

ISO 27701-Klauselkennung Name der ISO 27701-Klausel ISO 27002-Anforderung Zugehörige DSGVO-Artikel
6.3.2.1 Richtlinie für mobile Geräte
8.1 – Benutzerendpunktgeräte für ISO 27002
 		Artikel (5)
6.3.2.2 Telearbeit
6.7 – Fernarbeit für ISO 27002
 		Non

Wie ISMS.online hilft

Bei ISMS.online können wir das Supply Chain Information Security Management in Ihr ISMS integrieren.

Schnelle und praktische Leistungskennzahlen können auch verwendet werden, um den Fortschritt Ihrer Lieferanten und anderer Drittpartnerschaften zu überwachen.

Nutzen Sie ISMS.online-Cluster, um die gesamte Lieferkette an einem Ort zusammenzuführen und so Klarheit, Einblick und Kontrolle zu gewährleisten.

Erfahren Sie mehr und erhalten Sie eine praktische Vorführung von eine Demo buchen.

Toby Cane

Partner Customer Success Manager

Toby Cane ist Senior Partner Success Manager bei ISMS.online. Er arbeitet seit fast vier Jahren für das Unternehmen und hat dort verschiedene Aufgaben wahrgenommen, unter anderem als Moderator von Webinaren. Vor seiner Tätigkeit im SaaS-Bereich war Toby Sekundarschullehrer.

LinkedIn

ISO 27701-Klauseln

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter - Herbst 2025
Leistungsstarke Kleinunternehmen – Herbst 2025, Großbritannien
Regionalleiter – Herbst 2025 Europa
Regionalleiter – Herbst 2025 EMEA
Regionalleiter – Herbst 2025, Großbritannien
High Performer – Herbst 2025, Europa, Mittelstand

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Kristall

Bereit, um loszulegen?

Demo buchen