ISO 27701, Abschnitt 6.9.2 – Schutz vor Malware

ISO 27701-Kontrollen und -Klauseln erklärt

Live-Demo buchen

Nahaufnahme eines afrikanischen Geschäftsmannes, der am Tisch sitzt und tippt

Selbst in den robustesten und wasserdichtsten Netzwerken kann es zu Ausfällen und Einbrüchen kommen.

Unternehmen müssen davon ausgehen, dass jederzeit kritische Szenarien auftreten, und personenbezogene Daten vor unbefugtem Zugriff schützen und gleichzeitig die Geschäftskontinuität mit vielseitigen und klar verständlichen BUDR-Verfahren gewährleisten.

Was in ISO 27701 Abschnitt 6.9.2 behandelt wird

ISO 27701 Abschnitt 6.9.2 enthält zwei Unterabschnitte, die Anleitungen zu Antimalware-Techniken und BUDR-Funktionen bieten.

Beide Klauseln sind miteinander verknüpft Informationen, die in ISO 27002 enthalten sind, mit Anleitungen im Bereich PII und Datenschutz:

  • ISO 27701 6.9.2.1 Kontrollen gegen Malware (Referenzen ISO 27002 Kontrolle 8.7)
  • ISO 27701 6.9.3.1 Informationssicherung (Referenzen ISO 27002-Steuerung 8.13)

ISO 27701 6.9.3.1 enthält Leitpunkte, die für mehrere Artikel der britischen DSGVO-Gesetzgebung relevant sind – mit einer Zusammenfassung zur Vereinfachung – und umfangreiche zusätzliche Anleitungen dazu, wie Unternehmen sowohl bei der Sicherung als auch bei der Wiederherstellung personenbezogener Daten vorgehen sollten.

Bitte beachten Sie, dass DSGVO-Zitate nur zu Informationszwecken dienen. Organisationen sollten die Gesetzgebung prüfen und selbst beurteilen, welche Teile des Gesetzes für sie gelten.

Erreichen Sie den ISO 27701-Erfolg

Erleben Sie unsere Plattform in Aktion mit einer maßgeschneiderten praktischen Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.

Buchen Sie Ihre Demo
img

ISO 27701 Abschnitt 6.9.2.1 – Kontrollen gegen Malware

Referenzen ISO 27002-Steuerung 8.7

Um personenbezogene Daten und datenschutzrelevante Vermögenswerte zu schützen, müssen Unternehmen eine Reihe von Antimalware-Techniken und -Plattformen einsetzen, darunter:

  • Führen einer Liste eingeschränkter/gesperrter Software und Anwendungen (siehe ISO 27002-Kontrollen 8.19 und 8.32).
  • Verwenden von Inhaltsfiltern, um den Zugriff auf verdächtige Websites zu blockieren.
  • Einsatz von Maßnahmen zum „technischen Schwachstellenmanagement“ (siehe ISO 27002-Kontrollen 8.8 und 8.19).
  • Regelmäßige Überprüfung der Nutzung von Software und Daten, um nicht autorisierte oder verdächtige Anwendungen und Systeme zu erkennen.
  • Schutz vor den Risiken, die mit der Beschaffung von Daten und/oder Anwendungen aus externen und dritten Quellen verbunden sind.
  • Durchführung regelmäßiger Antimalware-Scans, die das gesamte Netzwerk abdecken, einschließlich E-Mails, Websites und Wechselmedien.
  • Überlegen Sie, wo im Netzwerk Antimalware-Tools eingesetzt werden sollten (z. B. Gateway-Sicherheit und fördern Sie eine tiefgreifende Verteidigung).
  • Überwachung von Vorfällen und kritischen Eingriffen, um sicherzustellen, dass in Zeiten, in denen Standard-IKT-Regeln umgangen werden, nicht versehentlich Malware in das Netzwerk gelangt.
  • Betrieb mit Prozessen, die ein kritisches Eingreifen gegen vermutete Eindringlinge ermöglichen, wie z. B. die vorübergehende Deaktivierung kritischer Systemprozesse, einschließlich eines gründlichen Begründungs- und Überprüfungsverfahrens.
  • Robuste BUDR- und Geschäftskontinuitätspläne, die die Deaktivierung und/oder Isolierung von Betriebsumgebungen umfassen (siehe ISO 27002-Steuerung 8.13).
  • Sensibilisierungsschulung für alle Benutzer (siehe ISO 27002-Steuerung 6.3).
  • Eine aktive Präsenz in der Antimalware-Community aufrechterhalten und sich über die neuesten Cybersicherheitstrends, einschließlich Virendefinitionen, Angriffsvektoren und Abhilfemaßnahmen, auf dem Laufenden halten.
  • Sicherstellen, dass alle verwertbaren Mitteilungen zu Malware aus externen Quellen unabhängig überprüft werden und von einer vertrauenswürdigen Quelle stammen.

Relevante ISO 27002-Kontrollen

  • ISO 27002 6.3
  • ISO 27002 8.8
  • ISO 27002 8.13
  • ISO 27002 8.19
  • ISO 27002 8.32

ISO 27701 Abschnitt 6.9.3.1 – Informationssicherung

Referenzen ISO 27002-Steuerung 8.13

Organisationen sollten themenspezifische Richtlinien entwerfen, die sich direkt damit befassen, wie die Organisation die relevanten Bereiche ihres Netzwerks sichert, um personenbezogene Daten zu schützen und die Widerstandsfähigkeit gegen datenschutzbezogene Vorfälle zu verbessern.

BUDR-Verfahren sollten entworfen werden, um das vorrangige Ziel zu erreichen, dies sicherzustellen alle Geschäftskritische Daten, Software und Systeme können anschließend wiederhergestellt werden Data Loss, Intrusion, Betriebsunterbrechung und Kritische Ausfälle.

Die BUDR-Pläne sollten vorrangig Folgendes umfassen:

  • Skizzieren Sie Wiederherstellungsverfahren, die alle kritischen Systeme und Dienste abdecken.
  • Sie sind in der Lage, funktionsfähige Kopien aller Systeme, Daten oder Anwendungen zu erstellen, die Teil eines Backup-Jobs sind.
  • Den kommerziellen und betrieblichen Anforderungen der Organisation dienen (siehe ISO 27002-Steuerung 5.30).
  • Speichern Sie Backups an einem umweltgeschützten Ort, der physisch von den Quelldaten getrennt ist (siehe ISO 27002-Steuerung 8.1).
  • Testen und bewerten Sie Backup-Jobs regelmäßig anhand der vom Unternehmen vorgeschriebenen Wiederherstellungszeiten, um die Datenverfügbarkeit zu gewährleisten.
  • Verschlüsseln Sie alle PII-bezogenen Sicherungsdaten.
  • Überprüfen Sie noch einmal, ob Daten verloren gegangen sind, bevor Sie einen Sicherungsauftrag ausführen.
  • Nutzen Sie ein Berichtssystem, das die Mitarbeiter über den Status von Backup-Jobs informiert.
  • Versuchen Sie, Daten von Cloud-basierten Plattformen, die nicht direkt von der Organisation verwaltet werden, in interne Backup-Jobs zu integrieren.
  • Speichern Sie Backups gemäß einer geeigneten PII-Aufbewahrungsrichtlinie (siehe ISO 27002-Steuerung 8.10).

Zusätzliche PII-spezifische Anleitung

Organisationen müssen separate Verfahren entwickeln, die sich ausschließlich mit personenbezogenen Daten befassen (auch wenn diese in ihrem Haupt-BUDR-Plan enthalten sind).

Regionale Unterschiede in den PII-BUDR-Standards (vertraglich, gesetzlich und behördlich) sollten berücksichtigt werden, wenn ein neuer Arbeitsplatz geschaffen, Arbeitsplätze geändert oder neue PII-Daten zur BUDR-Routine hinzugefügt werden.

Wenn nach einem BUDR-Vorfall die Notwendigkeit besteht, personenbezogene Daten wiederherzustellen, sollten Unternehmen große Sorgfalt darauf verwenden, die personenbezogenen Daten wieder in ihren ursprünglichen Zustand zu versetzen, und die Wiederherstellungsaktivitäten überprüfen, um etwaige Probleme mit den neuen Daten zu beheben.

Organisationen sollten ein Protokoll der Wiederherstellungsaktivitäten führen, einschließlich aller an der Wiederherstellung beteiligten Mitarbeiter sowie eine Beschreibung der wiederhergestellten personenbezogenen Daten.

Organisationen sollten sich bei allen Gesetzgebungs- oder Regulierungsbehörden erkundigen und sicherstellen, dass ihre PII-Wiederherstellungsverfahren mit den Erwartungen an sie als PII-Verarbeiter und -Controller übereinstimmen.

Relevante ISO 27002-Kontrollen

  • ISO 27002 5.30
  • ISO 27002 8.1
  • ISO 27002 8.10

Anwendbare DSGVO-Artikel

  • Artikel 5 – (1)(f)
  • Artikel 32 – (1)(c)

Siehe ISMS.online
in Aktion

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Wir sind kostengünstig und schnell

Entdecken Sie mit ISMS.online, wie einfach ISO 27701 ist
Holen Sie sich Ihr Angebot

Unterstützende Kontrollen von ISO 27002 und DSGVO

ISO 27701-KlauselkennungName der ISO 27701-KlauselISO 27002-SteuerungZugehörige DSGVO-Artikel
6.9.2.1Kontrollen gegen Malware8.7 – Schutz vor Malware für ISO 27002Keine
6.9.3.1Informationssicherung8.13 – Informationssicherung für ISO 27002Beiträge (5), (32)

Wie ISMS.online hilft

Um ISO 27701 zu erreichen, müssen Sie ein Datenschutzinformationsmanagementsystem aufbauen. Mit unserem vorkonfigurierten PIMS können Sie Kunden-, Lieferanten- und Mitarbeiterinformationen schnell und einfach organisieren und verwalten, um vollständig der ISO 27701 zu entsprechen.

Sie können auch die wachsende Zahl globaler, regionaler und branchenspezifischer Datenschutzbestimmungen berücksichtigen, die wir auf der ISMS.online-Plattform unterstützen.

Um eine Zertifizierung nach ISO 27701 (Datenschutz) zu erhalten, müssen Sie zunächst eine Zertifizierung nach ISO 27001 (Informationssicherheit) erreichen. Die gute Nachricht ist, dass unsere Plattform Ihnen dabei helfen kann, beides mühelos zu tun!

Erfahren Sie mehr von eine Demo buchen.

Es trägt dazu bei, unser Verhalten auf eine positive Art und Weise zu steuern, die für uns funktioniert
& unsere Kultur.

Emmie Cooney
Betriebsleiter, Amigo

Buchen Sie Ihre Demo

Einfach. Sicher. Nachhaltig.

Erleben Sie unsere Plattform in Aktion mit einer maßgeschneiderten praktischen Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.

Buchen Sie Ihre Demo
img

Optimieren Sie Ihren Workflow mit unserer neuen Jira-Integration! Hier erfahren Sie mehr.