Neueste Beiträge
- „Wir bringen PDFs zum Leben“ – Gespräch mit Matthias Neumayer, Geschäftsführer FragDasPDF / heyqq GmbH
- Entscheidung: Datenübermittlung in die USA verstößt nicht gegen den Datenschutz!
- Große Bedeutung für die Werbebranche – Interview
- Härting Rechtsanwälte erklären „TADPF in a nutshell (& to do’s)“
- Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten!
Archive
- Juni 2024
- März 2024
- Juli 2023
- April 2023
- März 2023
- Februar 2023
- Dezember 2022
- November 2022
- September 2022
- August 2022
- Juli 2022
- Juni 2022
- Mai 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- September 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014
Anhang A von ISO 27001 ist wohl der bekannteste Anhang aller ISO-Standards – das deshalb, weil er ein wesentliches Werkzeug für das Sicherheitsmanagement darstellt: eine Liste von Sicherheitskontrollen (oder Sicherheitsklauseln), die zu verwenden sind, um die Sicherheit von Informationen zu verbessern. Es wäre ein Verstoß gegen die Rechte geistigen Eigentums, würde ich alle diese Kontrollen hier auflisten, doch lassen Sie mich einfach erklären, wie die Kontrollen strukturiert sind und was der Zweck von jedem der 14 Abschnitte im Anhang A ist.
DIE 14 ABSCHNITTE
- A.5 Informationssicherheits-Richtlinien – Kontrollen, wie die Richtlinien geschrieben und überprüft sind.
- A.6 Organisation der Informationssicherheit – Kontrollen, wie die Verantwortlichkeiten zugewiesen sind, enthält auch die Kontrollen für Mobilgeräte und Telearbeit
- A.7 Personalsicherheit – Kontrollen vor der Anstellung, während und nach der Anstellung
- A.8 Asset Management – Kontrollen in Bezug auf das Assets-Verzeichnis und akzeptable Nutzung, sowie auch für Informationsklassifizierung und Medien-Handhabung
- A.9 Zugriffskontrolle – Kontrollen für die Zugriffskontrollen-Richtlinie, die Benutzerzugriffsverwaltung, System- und Applikations-Zugriffskontrolle, sowie Anwenderverantwortlichkeiten
- A.10 Kryptografie – Kontrollen in Bezug auf Verschlüsselung und Schlüsselverwaltung
- A.11 Physische und Umgebungssicherheit – Kontrollen, die Sicherheitsbereiche, Zutrittskontrollen, Schutz gegen Bedrohungen, Gerätesicherheit, sichere Entsorgung, Clear Desk- und Clear Screen-Richtlinie etc. definieren
- A.12 Betriebssicherheit – eine Menge an Kontrollen im Zusammenhang mit dem Management der IT-Produktion:Change Management, Capacity Management, Malware, Backup, Protokollierung, Überwachung, Installation, Schwachstellen etc.
- A.13 Kommunikationssicherheit – Kontrollen in Bezug auf Netzwerksicherheit, Segregation, Netzwerk-Services, Informationstransfer, Nachrichtenübermittlung etc.
- A.14 Systemerwerb, Entwicklung und Wartung – Kontrollen, die Sicherheitsanforderungen und die Sicherheit in Entwicklungs- und Support-Prozessen definieren
- A.15 Lieferantenbeziehungen – Kontrollen, was in Vereinbarungen zu inkludieren ist und wie die Lieferanten zu überwachen sind
- A.16 Informationssicherheits-Störfallmanagement – Kontrollen für die Meldung von Vorfällen und Gebrechen, welche die Verantwortlichkeiten, Sofortmaßnahmen und Sammlung von Beweisen definieren
- A.17 Informationssicherheitsaspekte des Geschäftskontinuitätsmanagement – Kontrollen, welche die Planung von Geschäftskontinuität, Verfahren, Verifizierung und Überprüfung, sowie der IT-Redundanz verlangen
- A.18 Compliance/Konformität – Kontrollen, welche die Identifizierung anwendbarer Gesetze und Bestimmungen, des Schutzes geistigen Eigentums, des Schutzes persönlicher Daten und die Überprüfung der Informationssicherheit verlangen
Eine der größten Mythen über ISO 27001 ist, dass er auf IT fokussiert ist – wie Sie aus den Abschnitten oben ersehen können, stimmt dies nicht ganz: obwohl die IT sicherlich wichtig ist, kann die IT alleine nicht Informationen schützen. Physische Sicherheit, Rechtsschutz, Personalmanagement, organisatorische Belange – all diese zusammen sind erforderlich, um Informationen zu sichern.
Der beste Weg, Anhang A zu verstehen ist, diesen als Katalog von Sicherheitskontrollen, aus denen Sie wählen können, zu betrachten – aus den 114 Kontrollen, die im Anhang A aufgelistet sind, können Sie jene auswählen, die für Ihr Unternehmen anwendbar sind.
ZUSAMMENHANG MIT DEM HAUPTTEIL VON ISO 27001
Nicht alle dieser 114 Kontrollen sind obligatorisch – ein Unternehmen kann selbst wählen, welche Kontrollen es für anwendbar hält und muss diese dann implementieren (in den meisten Fällen sind zumindest 90% der Kontrollen anwendbar), die restlichen werden als nicht anwendbar deklariert. Zum Beispiel kann Kontrolle.14.2.7 Ausgelagerte Entwicklung als nicht anwendbar markiert werden, wenn ein Unternehmen die Softwareentwicklung nicht auslagert. Das hauptsächliche Kriterium für die Auswahl der Kontrollen ist über das Risikomanagement, welches in den Klauseln 6 und 8 des Hauptteils von ISO 27001 definiert ist. Hier erfahren Sie mehr: ISO 27001 Risikobewertung und Risikobehandlung – 6 grundlegende Schritte.
Darüber hinaus fordert Klausel 5 des Hauptteils von ISO 27001 von Ihnen, die Verantwortlichkeiten für das Management dieser Kontrollen zu definieren und Klausel 9 verlangt von Ihnen, zu messen, ob die Kontrollen ihren Zweck erfüllt haben. Zu guter Letzt verlangt Klausel 10 von Ihnen, alles, was falsch ist in diesen Kontrollen, zu beheben und sicherzustellen, dass Sie mit diesen Kontrollen die Informationssicherheitsziele erreichen.
ZUSAMMENHANG MIT ISO 27002
Die Wahrheit ist natürlich, dass Anhang A von ISO 27001 nicht zu viele Details über jede Kontrolle anführt. Für gewöhnlich gibt es einen Satz für jede Kontrolle, was Ihnen eine Vorstellung davon gibt, was Sie erreichen müssen, jedoch nicht, wie Sie es tun müssen. Das ist der Zweck von ISO 27002 – er hat genau die gleiche Struktur wie ISO 27001 Anhang A: jede Kontrolle von Anhang A existiert auch in ISO 27002, jedoch mit einer detaillierteren Erklärung, wie diese zu implementieren ist. Doch tappen Sie nicht in die Falle, indem Sie nur ISO 27002 für das Management Ihrer Informationssicherheit verwenden – Sie erhalten hier keinerlei Hinweis, wie Sie welche Kontrollen zur Implementierung auswählen, wie Sie diese messen, wie Sie Verantwortlichkeiten zuweisen etc. Hier erfahren Sie mehr: ISO 27001 im Vergleich zu ISO 27002.
NUTZBARKEIT VON ANHANG A
Es gibt ein paar Dinge, die mir am Anhang A gefallen – er gibt Ihnen einen perfekten Überblick darüber, welche Kontrollen Sie anwenden können, sodass Sie keine vergessen, die wichtig wären und er gibt Ihnen die Flexibilität, nur jene zu wählen, die für Ihr Geschäft anwendbar sind, so dass Sie für jene, die für Sie nicht relevant sind, keine Ressourcen verschwenden müssen.
Es stimmt, dass Anhang A nicht allzu viele Details zur Implementierung anführt, doch hier kommt ISO 27002 ins Spiel. Es stimmt auch, dass viele Unternehmen die Flexibilität von ISO 27001 falsch anwenden und nur die Mindestkontrollen anstreben, um die Zertifizierung zu bestehen, doch das ist ein Thema für einen anderen Blog-Beitrag.
Um mehr über Sicherheitskontrollen zu erfahren, nehmen Sie teil an diesem kostenlosen ISO 27001 Foundations Online Course.
Quelle: 27001Academy
Ähnliche Artikel
ISO 27018 Standard für...
Seit August letzten Jahres gibt es die neue ISO-Norm ISO/IEC 27018. Diese Erweiterung der...
- By Ingo Kaiser
- Datenschutz
Die ISO 27001 – Ein...
Für viele Unternehmen ist die ISO 27001 immer noch ein Buch mit sieben Siegeln. Wir...
- By Ingo Kaiser
- ISO 27001
ISO 27001 – Versionen...
Seit 1. Okt. 2013 ist der neue Standard ISO/IEC 27001:2013 verbindlich anzuwenden und...
- By Ingo Kaiser
- ISO 27001