ISO 27701 Abschnitt 6.9.2: Stärkung der Malware-Abwehrstrategien
Selbst in den robustesten und wasserdichtsten Netzwerken kann es zu Ausfällen und Einbrüchen kommen.
Unternehmen müssen davon ausgehen, dass jederzeit kritische Szenarien auftreten, und personenbezogene Daten vor unbefugtem Zugriff schützen und gleichzeitig die Geschäftskontinuität mit vielseitigen und klar verständlichen BUDR-Verfahren gewährleisten.
Was in ISO 27701 Abschnitt 6.9.2 behandelt wird
ISO 27701 Abschnitt 6.9.2 enthält zwei Unterabschnitte, die Anleitungen zu Antimalware-Techniken und BUDR-Funktionen bieten.
Beide Klauseln sind miteinander verknüpft Informationen, die in ISO 27002 enthalten sind, mit Anleitungen im Bereich PII und Datenschutz:
- ISO 27701 6.9.2.1 Kontrollen gegen Malware (Referenzen ISO 27002 Kontrolle 8.7)
- ISO 27701 6.9.3.1 Informationssicherung (Referenzen ISO 27002-Steuerung 8.13)
ISO 27701 6.9.3.1 enthält Leitpunkte, die für mehrere Artikel der britischen DSGVO-Gesetzgebung relevant sind – mit einer Zusammenfassung zur Vereinfachung – und umfangreiche zusätzliche Anleitungen dazu, wie Unternehmen sowohl bei der Sicherung als auch bei der Wiederherstellung personenbezogener Daten vorgehen sollten.
Bitte beachten Sie, dass DSGVO-Zitate nur zu Informationszwecken dienen. Organisationen sollten die Gesetzgebung prüfen und selbst beurteilen, welche Teile des Gesetzes für sie gelten.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 6.9.2.1 – Kontrollen gegen Malware
Referenzen ISO 27002-Steuerung 8.7
Um personenbezogene Daten und datenschutzrelevante Vermögenswerte zu schützen, müssen Unternehmen eine Reihe von Antimalware-Techniken und -Plattformen einsetzen, darunter:
- Führen einer Liste eingeschränkter/gesperrter Software und Anwendungen (siehe ISO 27002-Kontrollen 8.19 und 8.32).
- Verwenden von Inhaltsfiltern, um den Zugriff auf verdächtige Websites zu blockieren.
- Einsatz von Maßnahmen zum „technischen Schwachstellenmanagement“ (siehe ISO 27002-Kontrollen 8.8 und 8.19).
- Regelmäßige Überprüfung der Nutzung von Software und Daten, um nicht autorisierte oder verdächtige Anwendungen und Systeme zu erkennen.
- Schutz vor den Risiken, die mit der Beschaffung von Daten und/oder Anwendungen aus externen und dritten Quellen verbunden sind.
- Durchführung regelmäßiger Antimalware-Scans, die das gesamte Netzwerk abdecken, einschließlich E-Mails, Websites und Wechselmedien.
- Überlegen Sie, wo im Netzwerk Antimalware-Tools eingesetzt werden sollten (z. B. Gateway-Sicherheit und fördern Sie eine tiefgreifende Verteidigung).
- Überwachung von Vorfällen und kritischen Eingriffen, um sicherzustellen, dass in Zeiten, in denen Standard-IKT-Regeln umgangen werden, nicht versehentlich Malware in das Netzwerk gelangt.
- Betrieb mit Prozessen, die ein kritisches Eingreifen gegen vermutete Eindringlinge ermöglichen, wie z. B. die vorübergehende Deaktivierung kritischer Systemprozesse, einschließlich eines gründlichen Begründungs- und Überprüfungsverfahrens.
- Robuste BUDR- und Geschäftskontinuitätspläne, die die Deaktivierung und/oder Isolierung von Betriebsumgebungen umfassen (siehe ISO 27002-Steuerung 8.13).
- Sensibilisierungsschulung für alle Benutzer (siehe ISO 27002-Steuerung 6.3).
- Eine aktive Präsenz in der Antimalware-Community aufrechterhalten und sich über die neuesten Cybersicherheitstrends, einschließlich Virendefinitionen, Angriffsvektoren und Abhilfemaßnahmen, auf dem Laufenden halten.
- Sicherstellen, dass alle verwertbaren Mitteilungen zu Malware aus externen Quellen unabhängig überprüft werden und von einer vertrauenswürdigen Quelle stammen.
Relevante ISO 27002-Kontrollen
- ISO 27002 6.3
- ISO 27002 8.8
- ISO 27002 8.13
- ISO 27002 8.19
- ISO 27002 8.32
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 6.9.3.1 – Informationssicherung
Referenzen ISO 27002-Steuerung 8.13
Organisationen sollten themenspezifische Richtlinien entwerfen, die sich direkt damit befassen, wie die Organisation die relevanten Bereiche ihres Netzwerks sichert, um personenbezogene Daten zu schützen und die Widerstandsfähigkeit gegen datenschutzbezogene Vorfälle zu verbessern.
BUDR-Verfahren sollten entworfen werden, um das vorrangige Ziel zu erreichen, dies sicherzustellen alle Geschäftskritische Daten, Software und Systeme können anschließend wiederhergestellt werden Data Loss, Intrusion, Betriebsunterbrechung und Kritische Ausfälle.
Die BUDR-Pläne sollten vorrangig Folgendes umfassen:
- Skizzieren Sie Wiederherstellungsverfahren, die alle kritischen Systeme und Dienste abdecken.
- Sie sind in der Lage, funktionsfähige Kopien aller Systeme, Daten oder Anwendungen zu erstellen, die Teil eines Backup-Jobs sind.
- Den kommerziellen und betrieblichen Anforderungen der Organisation dienen (siehe ISO 27002-Steuerung 5.30).
- Speichern Sie Backups an einem umweltgeschützten Ort, der physisch von den Quelldaten getrennt ist (siehe ISO 27002-Steuerung 8.1).
- Testen und bewerten Sie Backup-Jobs regelmäßig anhand der vom Unternehmen vorgeschriebenen Wiederherstellungszeiten, um die Datenverfügbarkeit zu gewährleisten.
- Verschlüsseln Sie alle PII-bezogenen Sicherungsdaten.
- Überprüfen Sie noch einmal, ob Daten verloren gegangen sind, bevor Sie einen Sicherungsauftrag ausführen.
- Nutzen Sie ein Berichtssystem, das die Mitarbeiter über den Status von Backup-Jobs informiert.
- Versuchen Sie, Daten von Cloud-basierten Plattformen, die nicht direkt von der Organisation verwaltet werden, in interne Backup-Jobs zu integrieren.
- Speichern Sie Backups gemäß einer geeigneten PII-Aufbewahrungsrichtlinie (siehe ISO 27002-Steuerung 8.10).
Zusätzliche PII-spezifische Anleitung
Organisationen müssen separate Verfahren entwickeln, die sich ausschließlich mit personenbezogenen Daten befassen (auch wenn diese in ihrem Haupt-BUDR-Plan enthalten sind).
Regionale Unterschiede in den PII-BUDR-Standards (vertraglich, gesetzlich und behördlich) sollten berücksichtigt werden, wenn ein neuer Arbeitsplatz geschaffen, Arbeitsplätze geändert oder neue PII-Daten zur BUDR-Routine hinzugefügt werden.
Wenn nach einem BUDR-Vorfall die Notwendigkeit besteht, personenbezogene Daten wiederherzustellen, sollten Unternehmen große Sorgfalt darauf verwenden, die personenbezogenen Daten wieder in ihren ursprünglichen Zustand zu versetzen, und die Wiederherstellungsaktivitäten überprüfen, um etwaige Probleme mit den neuen Daten zu beheben.
Organisationen sollten ein Protokoll der Wiederherstellungsaktivitäten führen, einschließlich aller an der Wiederherstellung beteiligten Mitarbeiter sowie eine Beschreibung der wiederhergestellten personenbezogenen Daten.
Organisationen sollten sich bei allen Gesetzgebungs- oder Regulierungsbehörden erkundigen und sicherstellen, dass ihre PII-Wiederherstellungsverfahren mit den Erwartungen an sie als PII-Verarbeiter und -Controller übereinstimmen.
Relevante ISO 27002-Kontrollen
- ISO 27002 5.30
- ISO 27002 8.1
- ISO 27002 8.10
Anwendbare DSGVO-Artikel
- Artikel 5 – (1)(f)
- Artikel 32 – (1)(c)
Unterstützende Kontrollen gemäß ISO 27002 und DSGVO
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | ISO 27002-Anforderung | Zugehörige DSGVO-Artikel |
|---|---|---|---|
| 6.9.2.1 | Kontrollen gegen Malware |
8.7 – Schutz vor Malware für ISO 27002 |
Keine Präsentation |
| 6.9.3.1 | Informationssicherung |
8.13 – Informationssicherung für ISO 27002 |
Artikel (5), (32) |
Wie ISMS.online hilft
Um ISO 27701 zu erreichen, müssen Sie ein Datenschutzinformationsmanagementsystem aufbauen. Mit unserem vorkonfigurierten PIMS können Sie Kunden-, Lieferanten- und Mitarbeiterinformationen schnell und einfach organisieren und verwalten, um vollständig der ISO 27701 zu entsprechen.
Sie können auch die wachsende Zahl globaler, regionaler und branchenspezifischer Datenschutzbestimmungen berücksichtigen, die wir auf der ISMS.online-Plattform unterstützen.
Um eine Zertifizierung nach ISO 27701 (Datenschutz) zu erhalten, müssen Sie zunächst eine Zertifizierung nach ISO 27001 (Informationssicherheit) erreichen. Die gute Nachricht ist, dass unsere Plattform Ihnen dabei helfen kann, beides mühelos zu tun!
Erfahren Sie mehr von eine Demo buchen.
