Kostenlose ISO-27001-Tool für die Lückenanalyse

Finden Sie heraus, inwieweit Sie ISO 27001 einhalten

Meinen Fortschritt speichern und später fortsetzen | Ein bereits gespeichertes Formular fortsetzen

Später fortsetzen

Um das Formular zwischenzuspeichern und später fortsetzen zu können, geben Sie bitte Ihre E-Mailadresse ein und wählen Sie ein Passwort.

Ihre E-Mail

Ihr Passwort

Passwort bestätigen

Password must contain the following:

12 Characters
1 Uppercase letter
1 Lowercase letter
1 Number
1 Special character

4.0 KONTEXT DER ORGANISATION

4.1 VERSTÄNDNIS DER ORGANISATION UND IHRES KONTEXTS

1. Hat die Organisation den/die Zweck(e) von ISMS festgelegt?

JaNein

Sie müssen den Zweck von ISMS festlegen (z.B. Sicherstellung der Erfüllung gesetzlicher Verpflichtungen, Verbesserung der Produkt-/Service-Sicherheit etc.)

2. Hat die Organisation die internen und externen Aspekte, die für den Zweck von ISMS relevant sind, festgelegt?

JaNein

Sie müssen definieren, welches die internen und externen Aspekte sind, die den Geschäftsprozess beeinflussen und für die Informationssicherheit relevant sind (z.B. interne Unternehmenskultur, verfügbare Ressourcen, Marktanteil, Kundenprofil, Verfügbarkeit von Lieferanten etc.)

3. Hat die Organisation festgelegt, wie interne und externe Aspekte die Möglichkeiten von ISMS zur Erreichung der vorgesehenen Ergebnisse beeinflussen könnten?

JaNein

Sie müssen definieren, wie interne und externe Aspekte sich auf die Möglichkeiten von ISMS zur Erreichung der vorgesehenen Ergebnisse auswirken können (z.B. häufige Änderungen gesetzlicher Bestimmungen, Kunden müssen sich an spezifische Standards halten, aufgrund der internen Unternehmenskultur wird ein Informationsaustausch geschätzt, etc.)

4.2 VERSTÄNDNIS FÜR DIE BEDÜRFNISSE UND ERWARTUNGEN VON INTERESSENSGRUPPEN

4. Hat die Organisation Interessensgruppen festgelegt?

JaNein

Die Organisation muss definieren, welche Interessensgruppen für das Information Security Management System (ISMS) relevant sind (z.B. kritische Kunden und Lieferanten, Mitarbeiter, Aktionäre, Regierungsbehörden, etc.).

Klicken Sie hier, um ein Beispiel eines Verfahren zur Identifikation der Anforderungen zu sehen.

5. Existiert die Liste der Anforderungen aller Interessensgruppen?

JaNein

Anforderungen sind Bedürfnisse und Erwartungen, die auf qualitative oder quantitative Art und Weise evaluiert werden können und für die Interessensgruppen, die Sie als relevant für das ISMS definiert haben, dokumentiert werden müssen.

Klicken Sie hier, um ein Beispiel einer Liste gesetzlicher, amtlicher, vertraglicher und anderer Anforderungen zu sehen.

4.3 FESTLEGUNG DES UMFANGS DES INFORMATION SECURITY MANAGEMENT SYSTEMS

6. Wurde der Umfang mit klar definierter Abgrenzung und Anwendbarkeit definiert?

JaNein

Sie müssen den Umfang des ISMS unter Berücksichtigung interner und externer Aspekte, der Anforderungen relevanter Interessensgruppen, sowie der Schnittstellen und Abhängigkeiten zwischen den von der Organisation und jenen von anderen Organisationen realisierten Aktivitäten definieren.

Klicken Sie hier, um ein Beispiel eines Dokument zum ISMS Anwendungsbereich zu sehen.

4.4 INFORMATION SECURITY MANAGEMENT SYSTEM

7. Haben Sie ein Information Security Management System entsprechend den Anforderungen von ISO 27001 eingerichtet, dokumentiert, implementiert, gewartet und kontinuierlich verbessert?

JaNein

Sie müssen ein Information Security Management System entsprechend den ISO 27001-Anforderungen einrichten, dokumentieren, implementieren, warten und kontinuierlich verbessern.

5.0 LEADERSHIP

5.1 ´LEADERSHIP´ UND ´COMMITMENT´

8. Sind die allgemeinen ISMS-Zielsetzungen mit der strategischen Ausrichtung kompatibel?

JaNein

Für einen höheren Nutzen muss ein ISMS das Erreichen der geschäftlichen Zielsetzungen unterstützen und um dies besser zu gewährleisten, müssen seine geplanten Zielsetzungen mit der strategischen Ausrichtung übereinstimmen.

9. Stellt das Management sicher, dass die erforderlichen Ressourcen nach Bedarf zur Verfügung stehen?

JaNein

Ein ISMS ohne Ressourcen zur richtigen Zeit kann seine Zielsetzungen nicht erreichen, daher hat das Management sicherzustellen, dass diese Ressourcen bei Bedarf verfügbar sind.

10. Stellt das Management sicher, dass das ISMS seine geplanten Ergebnisse erzielt?

JaNein

Ein ISMS, welches die erwarteten Ergebnisse nicht bringen kann, ist ein Fehlschlag, selbst wenn es wie geplant funktioniert und weniger Ressourcen als erwartet benötigt. Um dies zu vermeiden, muss das Management sicherstellen, dass das ISMS die geplanten Ergebnisse erzielt hat.

5.2 RICHTLINIEN

11. Gibt es Informationssicherheitsrichtlinien, welche Zielsetzungen oder Rahmenbedingungen für die Festlegung von Zielsetzungen beinhalten?

JaNein

Das Topmanagement muss die Informationssicherheitsrichtlinien im Rahmen des ISMS definieren. Die Richtlinien müssen für Ihre Aktivitäten angemessen sein, eine Verpflichtung zur kontinuierlichen Verbesserung enthalten und Zielsetzungen & Ziele oder die Rahmenbedingungen für deren Schaffung aufweisen.

Klicken Sie hier, um ein Beispiel für Informationssicherheitspolitik zu sehen.

12. Sind die Informationssicherheitsrichtlinien dokumentiert und innerhalb des Unternehmens und an andere Interessensgruppen kommuniziert?

JaNein

Die Richtlinien müssen dokumentiert, den Mitarbeitern kommuniziert und anderen Interessensgruppen verfügbar gemacht werden.

5.3 ORGANISATORISCHE ROLLEN, VERANTWORTLICHKEITEN UND BEFUGNISSE

13. Wurden für die Informationssicherheit Rollen, Verantwortlichkeiten und Befugnisse zugewiesen und kommuniziert?

JaNein

Es sollten Verantwortlichkeiten und Befugnisse durch das Topmanagement zugewiesen werden, um die Informationssicherheitsaktivitäten zu organisieren, sowie sicherzustellen, dass das ISMS ISO 27001:2013 entspricht und dass ein Berichtswesen an das Topmanagement über die Leistung des ISMS besteht.

6.0 PLANUNG

6.1 MASSNAHMEN ZUR ADRESSIERUNG VON RISIKEN UND GELEGENHEITEN

6.1.1 ALLGEMEINES

14. Werden bei der Adressierung von Risiken und Gelegenheiten interne und externe Aspekte, sowie die Anforderungen von Interessensgruppen berücksichtigt?

JaNein

Die für die Interessensgruppen zu berücksichtigenden Aspekte und Anforderungen müssen bei der ISMS-Planung beachtet werden, um deren Abstimmung mit den Geschäftszwecken und dem Erreichen der geplanten Ziele zu gewährleisten.

6.1.2 RISIKOBEWERTUNG INFORMATIONSSICHERHEIT

15. Gibt es einen dokumentierten Prozess zur Identifizierung der Risiken der Informationssicherheit, einschließlich der Risikoakzeptanzkriterien und der Risiken für die Risikobewertung?

JaNein

Es sollte einen Prozess geben, der Risikokriterien festlegt und wartet, sowie Informationssicherheitsrisiken identifiziert, analysiert und evaluiert.

Klicken Sie hier, um ein Beispiel der Methodik zur Risikoeinschätzung und Risikobehandlung zu sehen.

6.1.3 RISIKOBEHANDLUNG INFORMATIONSSICHERHEIT

16. Ist der Risikobehandlungsprozess dokumentiert, einschließlich der Darstellung der Risikobehandlungsoptionen und wie die Erklärung zur Anwendbarkeit zu erstellen ist?

JaNein

Es muss einen Prozess zur Behandlung von Sicherheitsrisiken geben, indem die Risikobewertungsergebnisse berücksichtigt werden, sowie zur Erstellung spezifischer Dokumente, wie die Erklärung zur Anwendbarkeit.

Klicken Sie hier, um Beispiele einer Methodik zur Risikoeinschätzung und Risikobehandlung, eines Plan zur Risikobehandlung, sowie einer Erklärung zur Anwendbarkeit zu sehen

6.2 ZIELSETZUNGEN DER INFORMATIONSSICHERHEIT UND PLANUNG ZUR ERREICHUNG DERSELBEN

17. Sind in den relevanten Funktionen der Organisation Zielsetzungen und Ziele der Informationssicherheit festgesetzt, gemessen, wo sinnvoll und sind diese übereinstimmend mit den Informationssicherheitsrichtlinien?

JaNein

Um den kritischsten, in den Informationsschutz involvierten Akteuren klar zu machen, was von ihnen erwartet wird und wie sie beurteilt werden, müssen in den relevanten Funktionen der Organisation Zielsetzungen und Ziele der Informationssicherheit festgelegt sein, wenn sinnvoll gemessen werden und diese müssen übereinstimmend mit den Informationssicherheitsrichtlinien sein.

18. Ist ein Plan, oder eine Gruppe von Plänen, vorhanden, um die Zielsetzungen und Ziele der Informationssicherheit zu erreichen, einschließlich bezeichneter Verantwortlichkeiten, der Evaluierungsmethode, sowie der Mittel & des Zeitrahmens für den Plan/die Pläne?

JaNein

Der Plan/die Pläne müssen, einschließlich der bezeichneten Verantwortlichkeiten, der Evaluierungsmethode und des Zeitrahmens für den Plan/die Pläne vorhanden sein, um die Verfügbarkeit von Ressourcen zur Erreichung der Zielsetzungen und Ziele zu gewährleisten.

Klicken Sie hier, um ein Beispiel eines Plan zur Risikobehandlung zu sehen.

7.0 SUPPORT

7.1 RESSOURCEN

19. Werden adäquate Ressourcen für alle Elemente des ISMS bereitgestellt?

JaNein

Ressourcen (z.B. Ausrüstung, Einrichtungen, Geld, etc.) müssen für die Einrichtung, Implementierung, den laufenden Betrieb und Verbesserungen des ISMS zur Verfügung stehen.

7.2 KOMPETENZ

20. Wurde für das Personal, das Aufgaben erledigt, welche sich auf die Informationssicherheit auswirken können, die entsprechende Kompetenz geprüft und bei Bedarf eine Schulung vorgesehen? Werden Aufzeichnungen über die Kompetenzen geführt?

JaNein

Für Personal, das Aufgaben durchführt, welche sich auf die Informationssicherheit auswirken können, muss die geeignete Kompetenz überprüft werden und bei Bedarf eine Schulung angeboten werden. Es müssen Aufzeichnungen über die Kompetenzen geführt werden.

Klicken Sie hier, um ein Beispiel eines Plan für Training und Awareness zu sehen.

7.3 SENSIBILISIERUNG

21. Sind dem Personal die Informationssicherheitsrichtlinien, ihre Rollen und die Konsequenzen bei Nichteinhaltung der Regeln bekannt?

JaNein

Die Kenntnis der Informationssicherheitsrichtlinien, Verfahren, Risiken, Rollen, Verantwortlichkeiten, Befugnisse und der Konsequenzen bei einer Abweichung von den spezifizierten Verfahren muss gefördert werden.

Klicken Sie hier, um ein Beispiel eines Plan für Training und Awareness zu sehen.

7.4 KOMMUNIKATION

22. Gibt es einen Prozess für die Kommunikation in Bezug auf die Informationssicherheit, einschließlich der Verantwortlichkeiten und was, an wen und wann zu kommunizieren ist?

JaNein

Es muss ein Prozess vorhanden sein, um intern und extern mit dem Unternehmen zu kommunizieren. Wurde entschieden, Informationssicherheitsthemen außerhalb des Unternehmens zu kommunizieren, muss dies miteinbezogen werden.

7.5 DOKUMENTIERTE INFORMATIONEN (7.5.1 ALLGEMEINES; 7.5.2 ERSTELLUNG UND AKTUALISIERUNG; 7.5.3 KONTROLLE DOKUMENTIERTER INFORMATIONEN)

23. Beinhaltet die Dokumentation des ISMS die Informationssicherheitsrichtlinien, Zielsetzungen und Ziele, den Umfang des ISMS, die Hauptelemente und deren Interaktion, Dokumente und Aufzeichnungen von ISO 27001 und solche, die durch das Unternehmen identifiziert wurden?

JaNein

Die Dokumentation des ISMS muss die Informationssicherheitsrichtlinien, die Zielsetzungen & Ziele, den Umfang des ISMS, die Hauptelemente und deren Interaktion, Dokumente und Aufzeichnungen von ISO 27001 und solche, die vom Unternehmen identifiziert wurden enthalten.

24. Ist gewährleistet, dass die Verwaltung von Dokumenten und Aufzeichnungen existiert, was miteinschließt, wer Dokumente überprüft und genehmigt, wo und wie diese veröffentlicht, gespeichert, abgelegt und geschützt werden?

JaNein

Es sollte ein Verfahren zur Kontrolle von Dokumenten existieren, welches die Genehmigung, Überprüfung und Aktualisierung, Änderungsidentifizierung, Verfügbarkeit relevanter Versionen, Dokumentenlesbarkeit, Kontrolle externer Dokumente und die Vermeidung der Verwendung überholter Dokumente spezifiziert.

Klicken Sie hier, um ein Beispiel eines Verfahren zur Lenkung von Dokumenten und Aufzeichnungen zu sehen.

25. Werden dokumentierte Informationen externer Herkunft kontrolliert?

JaNein

Von der Organisation bearbeitete extern dokumentierte Informationen müssen auf gleiche Weise kontrolliert und geschützt werden wie interne.

8.0 BETRIEB

8.1 OPERATIVE PLANUNG UND KONTROLLE

26. Verfügt die Organisation über die notwendigen dokumentierten Informationen, um darauf vertrauen zu können, dass ihre Prozesse wie geplant ausgeführt werden?

JaNein

Dokumentierte Informationen müssen bis zu dem Ausmaß unterhalten werden, das notwendig ist, um darauf vertrauen zu können, dass die Prozesse wie geplant ausgeführt wurden (z.B. Verfahren zur operativen Kontrolle, Betriebskriterien, etc.).

Klicken Sie hier, um ein Beispiel eines Betriebsverfahren für Informations- und Kommunikationstechnik (IKT) zu sehen.

27. Werden geplante Änderungen kontrolliert? Werden die Konsequenzen ungeplanter Änderungen überprüft, um, wenn nötig, Maßnahmen zur Schadensminderung zu identifizieren?

JaNein

Um Risiken für die Informationssicherheit zu minimieren, müssen Änderungen kontrolliert werden.

28. Werden ausgelagerte Prozesse identifiziert und kontrolliert?

JaNein

Ausgelagerte Prozesse müssen die Informationssicherheit auf die gleiche Art und Weise behandeln wie die Organisation selbst.

8.2 RISIKOBEWERTUNG DER INFORMATIONSSICHERHEIT

29. Werden Risiken, deren Eigentümer, deren Wahrscheinlichkeit, deren Konsequenzen und der Risikograd identifiziert? Werden diese Ergebnisse dokumentiert?

JaNein

Es muss eine Sicherheitsbeurteilung vorgenommen werden und Nachweise müssen aufgezeichnet werden.

Klicken Sie hier, um ein Beispiel einer Verzeichnis der Risikoeinschätzung und einer Verzeichnis der Risikobehandlung zu sehen.

8.3 BEHANDLUNG VON INFORMATIONSRISIKEN

30. Existiert ein Risikobehandlungsplan, genehmigt durch den Eigentümer des Risikos?

JaNein

Ein Plan/Pläne müssen vorhanden sein, um die Zielsetzungen und Ziele zu erreichen, und diese müssen die zugeordnete Verantwortlichkeit, die Evaluierungsmethode, sowie die Mittel & den Zeitplan für den Plan/die Pläne enthalten.

Klicken Sie hier, um ein Beispiel eines Plan zur Risikobehandlung zu sehen.

31. Gibt es eine dokumentierte Liste mit allen als notwendig erachteten Kontrollen, mit guter Begründung und dem Implementierungsstatus?

JaNein

Es müssen Maßnahmen ergriffen werden, um die als inakzeptabel erachteten Risiken zu behandeln. Diese Maßnahmen müssen implementiert, überprüft und überarbeitet, sowie, soweit praktikabel, periodisch getestet werden.

Klicken Sie hier, um ein Beispiel einer Verzeichnis der Risikobehandlung und Erklärung zur Anwendbarkeit zu sehen.

9.0 LEISTUNGSBEURTEILUNG

9.1 ÜBERWACHUNG, MESSUNG, ANALYSE UND EVALUIERUNG

32. Wurde definiert, was gemessen werden muss, mit welcher Methode, wer verantwortlich ist, wer die Ergebnisse analysiert und evaluiert?

JaNein

Es muss ein Prozess existieren, um regelmäßig die Schlüsselmerkmale, die Einfluss auf die Informationssicherheit haben können, einschließlich der Informationen zur operativen Kontrolle, zu überwachen und zu messen.

33. Werden die Messungsergebnisse durch die verantwortlichen Personen dokumentiert, analysiert und evaluiert?

JaNein

Die Messungsergebnisse müssen von den verantwortlichen Personen dokumentiert, analysiert und evaluiert werden.

9.2 INTERNER AUDIT

34. Gibt es ein Audit-Programm, dass den Zeitpunkt, die Verantwortlichkeiten, das Berichtswesen, die Audit-Kriterien, sowie den Umfang definiert?

JaNein

Audit-Verfahren müssen die Verantwortlichkeiten, das Berichtswesen, die Aufzeichnungskriterien, Umfang und Häufigkeit und die Methoden adressieren. Die Verfahren müssen Kriterien für die Auswahl von Auditoren enthalten, um die Unparteilichkeit und Objektivität zu gewährleisten.

Klicken Sie hier, um ein Beispiel eines Audit-Programms und eines internen Audit-Verfahrens zu sehen.

35. Werden interne Audits entsprechend einem Audit-Programm durchgeführt, die Ergebnisse über einen internen Audit-Bericht berichtet und die relevanten Korrekturmaßnahmen aufgezeigt?

JaNein

Es müssen Audit-Verfahren vorhanden sein, um das ISMS gegenüber den geplanten Einteilungen in geplanten Intervallen zu evaluieren (einschließlich der ordnungsgemäßen Implementierung und Wartung) und die Ergebnisse müssen an das Management berichtet werden.

Klicken Sie hier, um ein Beispiel eines internen Audit-Berichts zu sehen.

9.3 MANAGEMENT REVIEW

36. Werden regelmäßig Management Reviews durchgeführt und die Ergebnisse in Besprechungsprotokollen dokumentiert?

JaNein

Das Topmanagement muss in geplanten Intervallen das ISMS überprüfen, um die Eignung, Angemessenheiten und Effektivität sicherzustellen und Verbesserungsmöglichkeiten festzustellen. Über die Überprüfung müssen Aufzeichnungen geführt werden.

Klicken Sie hier, um ein Beispiel eines Protokoll zur Managementbewertung zu sehen.

37. Hat das Management über die wesentlichen, für den Erfolg des ISMS wichtigen Punkte entschieden?

JaNein

Die Ergebnisse des Management Review müssen Entscheidungen und Maßnahmen in Bezug auf mögliche Änderungen der Informationssicherheitsrichtlinien, der Zielsetzungen, der Ziele, sowie anderer ISMS-Elemente beinhalten, um das ISMS kontinuierlich zu verbessern.

Klicken Sie hier, um ein Beispiel eine Protokoll zur Managementbewertung zu sehen.

10.0 VERBESSERUNG

10.1 NICHTKONFORMITÄT UND KORREKTURMASSNAHMEN

38. Reagiert die Organisation auf jede Nichtkonformität?

JaNein

Ein/mehrere Verfahren zur Behandlung tatsächlicher Nichtkonformitäten, einschließlich des Ergreifens von Korrekturmaßnahmen, muss vorhanden sein.

Klicken Sie hier, um ein Beispiel eines Verfahrens für Korrekturmaßnahmen zu sehen.

39. Berücksichtigt die Organisation die Eliminierung der Ursache der Nichtkonformität und nimmt gegebenenfalls Korrekturmaßnahmen vor?

JaNein

Das Verfahren muss die Identifizierung, Untersuchung und Feststellung der Ursachen, sowie Maßnahmen zur Vermeidung eines Wiederauftretens, beinhalten. Diese Maßnahmen müssen der Schwere der Nichtkonformität entsprechen.

Klicken Sie hier, um ein Beispiel eines Verfahrens für Korrekturmaßnahmen zu sehen.

40. Werden alle Nichtkonformitäten, zusammen mit den Korrekturmaßnahmen, aufgezeichnet?

JaNein

Es müssen Aufzeichnungen geführt werden und die Effektivität der Korrekturmaßnahmen evaluiert werden. Erforderliche Änderungen in der ISMS-Dokumentation müssen vorgenommen werden.

Klicken Sie hier, um ein Beispiel eines Formblatt der Korrekturmaßnahmen zu sehen.

10.2 KONTINUIERLICHE VERBESSERUNG

41. Wird das ISMS kontinuierlich angepasst, um seine Eignung, Angemessenheit und Effektivität zu erhalten?

JaNein

Risiken und Geschäftsanforderungen verändern sich mit der Zeit, daher sollte Ihr ISMS an diese neuen Bedingungen angepasst werden, um seinen Wert für die Organisation zu erhalten oder zu steigern.

BEREITSCHAFT DER ANFORDERUNGEN:

ANHANG A. (Anmerkung: nur die in der Erklärung der Anwendbarkeit markierten Kontrollen müssen implementiert werden.)

A.5 INFORMATIONSSICHERHEITSRICHTLINIEN

42. Gibt es veröffentlichte, vom Management genehmigte Richtlinien zur Unterstützung der Informationssicherheit?

JaNein

Das Management muss die Informationssicherheitsrichtlinien im Rahmen des ISMS definieren. Die Richtlinien müssen zur Unterstützung der Informationssicherheit und Geschäftsanforderungen geeignet sein.

Klicken Sie hier, um ein Beispiel der Bring Your Own Device (BYOD) Richtlinie, Richtlinie zu Mobilgeräten und Telearbeit, Richtlinie zum zulässigen Gebrauch, Richtlinie zur Klassifizierung von Informationen, Zugangssteuerungsrichtlinie, Kennwort-Richtlinie, Richtlinie zum aufgeräumten Arbeitsplatz und leeren Bildschirm, Richtlinie zur Entsorgung und Vernichtung, Richtlinie zum Änderungsmanagement, Backup-Richtlinie, Richtlinie zur Informationsübertragung, Richtlinie zur Entwicklungssicherheit, Sicherheitspolitik für Lieferanten.

43. Werden die Informationssicherheitsrichtlinien geprüft und aktualisiert?

JaNein

Die Informationssicherheitsrichtlinien müssen in geplanten Intervallen geprüft werden, um die Eignung, Angemessenheit und Effektivität zu gewährleisten.

A.6 ORGANISATION DER INFORMATIONSSICHERHEIT

44. Sind alle Verantwortlichkeiten für die Informationssicherheit definiert?

JaNein

Die Verantwortlichkeiten müssen definiert werden, um die Informationssicherheitsaktivitäten zu organisieren und um sicherzustellen, dass die ISMS-Implementierung und die Betriebsaktivitäten durchgeführt werden.

45. Sind Pflichten und Verantwortlichkeiten entsprechend getrennt, indem Konfliktsituationen und Interessenskonflikte berücksichtigt wurden?

JaNein

Die Aufteilung kritischer Aktivitäten in zwei oder mehrere Schritte, oder zwischen einer oder mehreren Personen, kann die Wahrscheinlichkeit, dass eine Störung auftritt, vermindern.

46. Sind die Kontakte zu relevanten Behörden definiert?

JaNein

Die Kontakte zu Behörden, sowie wer diese kontaktieren soll, müssen klar definiert werden.

47. Sind Kontakte zu speziellen Interessensgruppen oder Berufsverbänden definiert?

JaNein

Kontakte zu speziellen Interessensgruppen oder Berufsverbänden, und den entsprechenden Verantwortlichen, müssen klar definiert werden.

48. Berücksichtigen Projekte die Informationssicherheitsaspekte?

JaNein

Es müssen Informationssicherheitsregeln für die vorgesehenen ordentlichen Kontrollen definiert werden, um Informationen zu schützen.

49. Existieren Vorschriften zur sicheren Handhabung von Mobilgeräten?

JaNein

Das Management muss Richtlinien für den Umgang mit Mobilgeräten im Rahmen des ISMS definieren. Die Richtlinien müssen zur Unterstützung der Informationssicherheit und der Geschäftsanforderungen geeignet sein.

Klicken Sie hier, um ein Beispiel einer Bring Your Own Device (BYOD) Richtlinie, einer Richtlinie zu Mobilgeräten und Telearbeit, und einer Richtlinie zum zulässigen Gebrauch zu sehen.

50. Existieren Vorschriften, die festlegen, wie Firmeninformationen an Telearbeitsörtlichkeiten geschützt werden?

JaNein

Klicken Sie hier, um ein Beispiel einer Bring Your Own Device (BYOD)-Richtlinie, einer Richtlinie zu Mobilgeräten und Telearbeit, und einer Richtlinie zum zulässigen Gebrauch zu sehen.

A.7 PERSONALSICHERHEIT

51. Werden die Hintergründe von Arbeitsplatzbewerbern oder Auftragsnehmern überprüft?

JaNein

Entsprechend den Landesgesetzen und Geschäftsanforderungen sollten Hintergrundüberprüfungen vorgenommen werden, um ein unnötiges Risiko der Offenlegung von Informationen zu vermeiden.

52. Gibt es Vereinbarungen mit Mitarbeitern und Auftragnehmern, welche die Verantwortung für die Informationssicherheit spezifizieren?

JaNein

Vor Erhalt des Zugriffs auf Informationen müssen Mitarbeiter und Auftragnehmer auf ihre Verantwortung hinsichtlich der Informationssicherheit aufmerksam gemacht werden und zustimmen, dieser nachzukommen.

Klicken Sie hier, um ein Beispiel einer Vertraulichkeitserklärung, einer Erklärung zur Akzeptanz von ISMS-Dokumenten zu sehen.

53. Verlangt das Management von allen Angestellten und Auftragsnehmern die Einhaltung der Vorschriften zur Informationssicherheit?

JaNein

Das Management muss die Informationssicherheitsrichtlinien veröffentlichen, die Verantwortlichkeiten, Befugnisse und Rollen definieren und Mitarbeiter und Auftragnehmer hinsichtlich Informationssicherheit sensibilisieren.

54. Besuchen Mitarbeiter und Auftragnehmer Schulungen zur besseren Erledigung ihrer Pflichten hinsichtlich Sicherheit und existieren Sensibilisierungsprogramme?

JaNein

Mitarbeiter und Auftragnehmer sollten in den zur Erfüllung ihrer Sicherheitspflichten erforderlichen Kompetenzen geschult werden und sich der für die Organisation relevanten Sicherheitsprobleme bewusst sein.

55. Verfügt die Organisation über einen formellen Disziplinarverfahrensprozess?

JaNein

Ein Disziplinarverfahrensprozess sollte eingerichtet sein, um eine systematische Anwendung von Sanktionen gegenüber Mitarbeitern und Auftragnehmern, die einen Sicherheitsverstoß begingen, zu gewährleisten und um Vorwürfe unfairer Behandlung auszuschließen.

56. Gibt es Vereinbarungen, welche die Verantwortung für die Informationssicherheit beinhalten und nach Beendigung eines Arbeitsvertrags ihre Gültigkeit behalten?

JaNein

Die Organisation muss die Verpflichtungen zur Informationssicherheit definieren, die nach Beendigung eines Arbeitsvertrags zu erfüllen sind und Mitarbeiter und Auftragnehmer über diese Verantwortlichkeiten aufklären.

A.8 MANAGEMENT VON WERTEN

57. Existiert ein Inventar der Werte?

JaNein

Ein Inventar der Werte soll Ihnen bei der Identifizierung und Organisation von Informationswerten und von Ressourcen des Informationsprozesses helfen.

Klicken Sie hier, um ein Beispiel eines Inventars der Werte zu sehen.

58. Hat jeder im Dokument “Inventar der Werte” aufgeführte Wert auch einen bezeichneten Wert-Eigentümer?

JaNein

Zur Sicherstellung der ordnungsgemäßen Handhabung und des Schutzes eines Wertes sollte diesem ein Eigentümer zugewiesen werden.

Klicken Sie hier, um ein Beispiel eines Inventars der Werte, einer Richtlinie zum zulässigen Gebrauch zu sehen.

59. Sind Vorschriften zur Handhabung von Informationen und Werten definiert?

JaNein

Um die ordnungsgemäße Handhabung und den Schutz eines Wertes sicherzustellen, sollten eine Reihe von Vorschriften definiert werden.

Klicken Sie hier, um ein Beispiel einer Richtlinie zum zulässigen Gebrauch zu sehen.

60. Haben alle Mitarbeiter und Auftragsnehmer nach Beendigung ihres Arbeitsvertrages sämtliche firmeneigenen Werte zurückgegeben?

JaNein

Um die ordnungsgemäße Handhabung und den Schutz eines Wertes sicherzustellen, sollten eine Reihe von Vorschriften definiert werden.

Klicken Sie hier, um ein Beispiel einer Richtlinie zum zulässigen Gebrauch zu sehen.

61. Sind Kriterien zur Klassifizierung von Informationen definiert?

JaNein

Das Vorhandensein definierter Klassifizierungskriterien stellt sicher, dass alle Informationen den Grad an Schutz erhalten, der ihrem Wert für die Organisation entspricht.

Klicken Sie hier, um ein Beispiel einer Informationsklassifizierungs-Richtlinie zu sehen.

62. Gibt es Verfahren, welche definieren, wie klassifizierte Informationen zu kennzeichnen und zu handhaben sind?

JaNein

Das Vorhandensein von Kennzeichnungs- und Handhabungsverfahren stellt sicher, dass alle klassifizierten Informationen die ihrem Klassifizierungsgrad entsprechende Behandlung erfahren.

Klicken Sie hier, um ein Beispiel einer Informationsklassifizierungs-Richtlinie zu sehen.

63. Gibt es Verfahren, die definieren, wie Werte zu handhaben sind?

JaNein

Das Vorhandensein eines Verfahrens zur Handhabung von Werten stellt sicher, dass alle Werte eine Behandlung erfahren, die der von ihnen behandelten klassifizierten Information entsprechen.

Klicken Sie hier, um ein Beispiel einer Informationsklassifizierungs-Richtlinie zu sehen.

64. Existieren Verfahren, die festlegen, wie Wechseldatenträger im Einklang mit den Klassifizierungsvorschriften zu handhaben sind?

JaNein

Das Vorhandensein eines Verfahrens zur Handhabung von entfernbaren Datenträgern stellt sicher, dass alle entfernbaren Datenträger die Behandlung erfahren, die der von ihnen behandelten klassifizierten Information entspricht.

Klicken Sie hier, um ein Beispiel einer Informationsklassifizierungs-Richtlinie zu sehen.

65. Existieren formelle Verfahren zur Entsorgung von Datenträgern?

JaNein

Es sollten formelle Verfahren vorhanden sein, um sicherzustellen, dass nicht mehr gebrauchte Datenträger nicht wiederverwendet werden können und dass darauf enthaltene Informationen gelöscht oder unzugänglich gemacht werden.

Klicken Sie hier, um ein Beispiel einer Richtlinie zur Entsorgung und Vernichtung, sowie Betriebsverfahren für Informations- und Kommunikationstechnik (IKT) zu sehen.

66. Sind Datenträger mit sensiblen Information während des Transports geschützt?

JaNein

Das Vorhandensein von Handhabungsverfahren für Wechseldatenträger stellt sicher, dass alle Wechseldatenträger die den klassifizierten Informationen, welche sie enthalten, entsprechende Behandlung erfahren.

Klicken Sie hier, um ein Beispiel einer Informationsklassifizierungs-Richtlinie zu sehen.

A.9 ACCESS CONTROL

67. Existiert eine Zugangskontrollrichtlinie?

JaNein

Das Management muss eine Zugangskontrollrichtlinie im Rahmen des ISMS definieren. Die Richtlinie muss für die Unterstützung der Informationssicherheit und der Geschäftsanforderungen geeignet sein.

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie zu sehen.

68. Haben die Anwender ausschließlich Zugang zu jenen Ressourcen, für die sie autorisiert sind?

JaNein

Die Anwender dürfen nur Zugang zu jenen Netzwerken und Services haben, für die sie ausdrücklich autorisiert sind.

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie zu sehen.

69. Werden Zugangsrechte mittels eines formellen Registrierungsprozesses vergeben?

JaNein

Es muss ein formeller Prozess für die Erstellung/Ausschließung von Anwenderkonten und die Zuordnung von Anwender-Zugriffsrechten vorhanden sein.

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie, einer Kennwort-Richtlinie zu sehen.

70. Existiert ein formelles Zugangskontrollsystem für die Anmeldung bei Informationssystemen?

JaNein

Ein formeller Prozess für die Erteilung/Entziehung von Anwenderzugriffen für alle Arten von Anwendern aller Systeme und Services muss vorhanden sein.

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie, einer Kennwort-Richtlinie zu sehen.

71. Werden privilegierte Zugangsrechte mit besonderer Sorgfalt verwaltet?

JaNein

Ein formeller Prozess für die Erteilung/Entziehung von Anwenderzugriffen mit privilegierten Rechten muss vorhanden sein.

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie zu sehen.

72. Werden Passwörter und andere geheime Authentifizierungsinformationen auf sichere Art und Weise zur Verfügung gestellt?

JaNein

Alle Informationen im Zusammenhang mit Anwender-Authentifizierung sollten auf eine Art und Weise zur Verfügung gestellt werden, dass nur den Anwendern die Authentifizierungsinformationen bekannt sind (z.B. Passwörter, Passphrasen etc.).

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie, einer Kennwort-Richtlinie zu sehen.

73. Überprüfen die Eigentümer der Werte sämtliche privilegierten Zugangsrechte regelmäßig?

JaNein

Es muss ein formeller Prozess vorhanden sein, um periodisch Anwender-Zugangsrechte und privilegierte Rechte zu überprüfen.

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie zu sehen.

74. Werden Zugangsrechte aktualisiert, wenn sich die Anwender-Situation verändert (z.B. organisatorische Veränderung oder Beendigung des Dienstverhältnisses)?

JaNein

Ein formeller Prozess für die Änderung/Entziehung von Anwenderzugriffen für alle Arten von Anwendern aller Systeme und Service, wenn eine Veränderung ihrer Situation eintritt, muss vorhanden sein.

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie zu sehen.

75. Existieren klare Vorschriften darüber, wie Passwörter und andere Authentifizierungsinformationen zu schützen sind?

JaNein

Alle Informationen im Zusammenhang mit Anwender-Authentifizierung müssen geschützt werden (z.B. Passwörter, Passphrasen etc.).

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie, Richtlinie zum zulässigen Gebrauch, Informationsklassifizierungs-Richtlinie, Kennwort-Richtlinie zu sehen.

76. Wird der Zugang zu Informationen in Systemen im Einklang mit der Zugangssteuerungsrichtlinie eingeschränkt?

JaNein

Der Zugriff auf Datenbanken und Anwendungsfunktionen muss entsprechend der Zugangssteuerungsrichtlinien eingeschränkt werden.

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie zu sehen.

77. Wird im Einklang mit der Zugangssteuerungsrichtlinie ein sicheres Anmelden bei den Systemen verlangt?

JaNein

Von der Organisation entwickelte oder erworbene Systeme sollten entsprechend der Zugangssteuerungsrichtlinie die Anmeldung an Systemen als eine ihrer Sicherheitsanforderungen berücksichtigen.

78. Helfen die von der Organisation verwendeten Systeme zur Verwaltung von Passwörtern den Anwendern ihre Authentifizierungsinformation sicher zu verwalten?

JaNein

Das von der Organisation angewandte Passwort-Verwaltungssystem muss interaktiv sein und die Erstellung sicherer Passwörter sicherstellen.

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie, einer Kennwort-Richtlinie zu sehen.

79. Wird die Verwendung von Dienstprogrammen (Utility Tools) kontrolliert und ist auf bestimmte Mitarbeiter beschränkt?

JaNein

Manche Dienstprogramme können die Sicherheitskontrollen von Anwendungen und Systemen umgehen und sollten daher streng kontrolliert werden, was eine Zugriffsbeschränkung auf einen engen Kreis an Mitarbeitern miteinschließt.

80. Wird der Zugang zum Quellcode auf autorisierte Personen beschränkt?

JaNein

Der Quellcode kann enorme Auswirkungen auf Geschäftssysteme haben, wenn diese gefährdet sind, er sollte daher mit Sorgfalt gehandhabt werden und der Zugriff darauf sollte beschränkt sein.

A.10 KRYPTOGRAFIE

81. Existiert eine Richtlinie zur Regulierung von Verschlüsselungen und anderen Verschlüsselungsmaßnahmen?

JaNein

Das Management sollte im Rahmen des ISMS eine Richtlinie für kryptografische Kontrolle definieren. Die Richtlinie muss für die Unterstützung der Informationssicherheit und der Geschäftsanforderungen geeignet sein.

Klicken Sie hier, um ein Beispiel einer Richtlinie zur Anwendung kryptografischer Maßnahmen zu sehen.

82. Werden die kryptografischen Schlüssel angemessen geschützt?

JaNein

Kryptografische Kontrollen sind so stark wie deren Schlüssel gesichert werden, die Handhabung von kryptografischen Schlüssel muss daher ordnungsgemäß erfolgen.

Klicken Sie hier, um ein Beispiel einer Richtlinie zur Anwendung kryptografischer Maßnahmen zu sehen.>

A.11 PHYSISCHE SICHERHEIT UND UMWELTSICHERHEIT

83. Existieren sichere Bereiche zum Schutz sensibler Informationen?

JaNein

Physische Bereiche sollten eine zusätzliche Sicherheitsebene bieten, um den Schutz sensibler Informationen zu unterstützen.

84. Ist der Zugang zu Sicherheitsbereichen gesichert?

JaNein

Der Zugang zu Sicherheitsbereichen sollte durch Kontrollen, die nur autorisierten Personen den Zugang erlauben, gesichert werden.

85. Sind Sicherheitsbereiche auf geschützte Art und Weise untergebracht?

JaNein

Sicherheitsbereich sollten so angesiedelt werden, dass sie für Außenstehende nicht sichtbar sind und von außen nicht so einfach erreicht werden können.

86. Sind Alarm-, Feuerschutz- und andere Schutzsysteme installiert?

JaNein

Es sollte physischer Schutz vorhanden sein, um das Risiko in Bezug auf externe und Umweltbedrohungen zu minimieren.

87. Sind die Arbeitsabläufe für Sicherheitsbereiche definiert?

JaNein

Spezifische Arbeitsabläufe im Verhältnis zur Sensibilität der Sicherheitsbereiche sollten vorhanden sein, um Vorfälle in Bezug auf unangemessene Aktionen zu minimieren.

Klicken Sie hier, um ein Beispiel eines Verfahrens zur Arbeit in sicheren Bereichen zu sehen.

88. Sind die Anliefer- und Ladebereiche gesichert?

JaNein

Anliefer- und Ladebereiche sollten auf solche Art kontrolliert werden, dass nicht autorisierte Personen das Betriebsgelände nicht betreten können.

89. Werden die Geräte angemessen geschützt?

JaNein

Geräte sollten so platziert werden, dass sie vor nicht autorisiertem Zugriff und Umweltbedrohungen geschützt sind.

90. Verfügen die Geräte über einen Schutz gegen Energieschwankungen?

JaNein

Ein Schutz, wie zum Beispiel eine unterbrechungsfreie Stromversorgung (USV) sollte in Betracht gezogen werden, um zu vermeiden, dass höhere oder niedrigere Energiepegel, als in den Spezifikationen des Herstellers angeführt, die Geräte beschädigen.

91. Sind Strom- und Telekommunikationskabel angemessen geschützt?

JaNein

Strom- und Telekommunikationskabel können einen Angriffspunkt auf Informationen und Systemressourcen darstellen und müssen geschützt werden.

92. Werden die Geräte regelmäßig gewartet?

JaNein

Um die Zuverlässigkeit der Systeme zu gewährleisten, sollten die Geräte den Wartungsprozeduren entsprechend den Spezifikationen des Herstellers und einer bewährten Verfahrensweise unterzogen werden.

93. Wird die Entnahme von Informationen und Geräten nach draußen, außerhalb des Betriebsgeländes, kontrolliert?

JaNein

Die Autorisierung für Informationen und andere Werte, die vom Betriebsgelände entfernt werden sollen, sollte jeweils dann erfolgen, wenn diese benötigt wird.

Klicken Sie hier, um ein Beispiel einer Richtlinie zum zulässigen Gebrauch zu sehen.

94. Sind die Werte der Firma angemessen geschützt, wenn sie sich nicht in den Räumlichkeiten der Firma befinden?

JaNein

Werte außerhalb der Räumlichkeiten der Organisation sind mehr Risiken ausgesetzt, es sollten daher strengere Kontrollen erwogen werden.

Klicken Sie hier, um ein Beispiel einer Richtlinie zum zulässigen Gebrauch, und einer Richtlinie zu Mobilgeräten und Telearbeit zu sehen.

95. Werden alle Informationen von Datenträgern oder Datenträger enthaltenden Geräten gelöscht, bevor diese entsorgt werden?

JaNein

Alle Informationen und lizenzierte Software muss von Datenträgern und Geräten, die Datenträger enthalten, gelöscht werden, ehe diese Datenträger entsorgt werden.

Klicken Sie hier, um ein Beispiel einer Richtlinie zur Entsorgung und Vernichtung, sowie eines Betriebsverfahren für Informations- und Kommunikationstechnik (IKT) zu sehen.

96. Schützen Anwender ihre Ausrüstung wenn sie sie unbeaufsichtigt lassen?

JaNein

Es sollten keine Geräte unbeaufsichtigt gelassen werden, wenn es jedoch keine Alternative gibt, sollte es Empfehlungen für das Verhalten des Anwenders geben.

Klicken Sie hier für ein Beispiel von Richtlinie zum zulässigen Gebrauch, Richtlinie zum aufgeräumten Arbeitsplatz und leeren Bildschirm.

97. Gibt es eine Orientierung für Anwender wie sie sich verhalten sollen, wenn sie sich nicht an ihrem Arbeitsplatz befinden?

JaNein

Eine Richtlinie sollte definieren, dass Anwender Papiere und Datenträger entfernen und ihre Bildschirme sperren sollten, wenn sie sich nicht an ihrem Arbeitsplatz befinden.

Klicken Sie hier für ein Beispiel von Richtlinie zum zulässigen Gebrauch, Richtlinie zum aufgeräumten Arbeitsplatz und leeren Bildschirm.

A.12 OPERATIVE SICHERHEIT

98. Wurden die Betriebsverfahren für IT-Prozesse dokumentiert?

JaNein

Eine zur Verfügung stehende Dokumentation sollte helfen, den ordnungsgemäßen Betrieb und die Sicherheit von Ressourcen der Informationsverarbeitung sicherzustellen.

Klicken Sie hier, um ein Beispiel eines Betriebsverfahren für Informations- und Kommunikationstechnik (IKT) zu sehen.

99. Werden Änderungen an IT-Systemen, welche die Informationssicherheit beeinträchtigen könnten, strikt kontrolliert?

JaNein

Alle Änderungen an IT-Systemen und allen anderen Prozessen, welche die Informationssicherheit beeinträchtigen könnten, sollten strikt kontrolliert werden.

Klicken Sie hier, um ein Beispiel eines Betriebsverfahren für Informations- und Kommunikationstechnik (IKT), sowie einer Richtlinie zum Änderungsmanagement zu sehen.

100. Werden die Ressourcen überwacht und Pläne erstellt, um sicherzustellen, dass deren Kapazität die Anforderungen der Anwender erfüllt?

JaNein

Es sollte jemand die Nutzung der Ressourcen überwachen und die erforderliche Kapazität projektieren, um die Aufrechterhaltung der zugestandenen Leistung sicherzustellen.

101. Sind die Umgebungen für Entwicklung, Testung und Betrieb voneinander getrennt?

JaNein

Es sollten getrennte Umgebungen implementiert werden, um das Risiko in Bezug auf unautorisierten Zugriff oder Modifikation von Informationen oder Ressourcen zu minimieren.

102. Ist Antivirus-Software und andere Software zum Schutz vor Schadsoftware installiert und wird sie ordnungsgemäß verwendet?

JaNein

Antivirus-Software und andere Software zum Schutz vor Schadprogrammen sollte eingesetzt und entsprechend konfiguriert und aktualisiert sein.

Klicken Sie hier, um ein Beispiel einer Richtlinie zum zulässigen Gebrauch zu sehen.

103. Wurde eine Backup-Richtlinie erstellt und wird diese ordnungsgemäß ausgeführt?

JaNein

Es sollte eine Backup-Richtlinie erstellt sein und Backups sollten entsprechend dieser Richtlinie vorgenommen werden.

Klicken Sie hier, um ein Beispiel einer Richtlinie zum zulässigen Gebrauch, sowie eines Betriebsverfahren für Informations- und Kommunikationstechnik (IKT), und eine Backup-Richtlinie zu sehen.

104. Werden relevante Vorfälle von IT-Systemen protokolliert und periodisch überprüft?

JaNein

Anwender-Protokolle, Fehler und andere relevante Vorfälle von IT-Systemen sollten protokolliert und von jemandem periodisch überprüft werden.

Klicken Sie hier, um ein Beispiel eines Betriebsverfahren für Informations- und Kommunikationstechnik (IKT) zu sehen.

105. Werden Protokolle ausreichend geschützt?

JaNein

Protokolle sollten gegen unautorisierten Zugriff und Modifikationen geschützt werden.

106. Werden Administrator-Protokolle ausreichend geschützt?

JaNein

Administrator-Protokolle sollten gegen unautorisierten Zugriff und Modifikationen geschützt und regelmäßig überprüft werden.

Klicken Sie hier, um ein Beispiel eines Betriebsverfahren für Informations- und Kommunikationstechnik (IKT) zu sehen.

107. Sind die Uhren aller IT-Systeme synchronisiert?

JaNein

Die Uhren von IT-Systemen sollten über eine Einzelquelle der korrekten Uhrzeit synchronisiert sein, um eine präzise Ereignisprotokollierung zu gewährleisten.

108. Wird die Installation von Software strikt kontrolliert?

JaNein

Es sollten Regeln und Verfahren definiert werden, um sicherzustellen, dass Software-Installationen ordnungsgemäß und auf kontrollierte Weise vorgenommen werden.

Klicken Sie hier, um ein Beispiel einer Richtlinie zum zulässigen Gebrauch zu sehen.

109. Werden Informationen über Schwachstellen und Korrekturen ordnungsgemäß verwaltet?

JaNein

Es sollte jemand für die Sammlung von Informationen über Schwachstellen verantwortlich sein, um eine korrekte Lösung der für die Organisation als relevant identifizierten Schwachstellen zu beschleunigen.

110. Gibt es Regeln zur Definition von Einschränkungen bei der Software-Installation durch Anwender?

JaNein

Es sollten Regeln und Verfahren definiert werden, um sicherzustellen, dass Software-Installationen durch Anwender ordnungsgemäß und auf kontrollierte Weise vorgenommen werden.

Klicken Sie hier, um ein Beispiel einer Richtlinie zum zulässigen Gebrauch zu sehen.

111. Werden die Audits von Produktionssystemen geplant und ordnungsgemäß durchgeführt?

JaNein

Audits von Produktionssystemen sollten geplant und so durchgeführt werden, dass das Risiko einer Beschädigung dieser Systeme nicht erhöht wird.

A.13 KOMMUNIKATIONSSICHERHEIT

112. Werden Netzwerke kontrolliert, um die Informationen in Systemen und Anwendungen zu schützen?

JaNein

Netzwerke sollten kontrolliert werden, um eine Gefährdung von Informationen und Systemen zu vermeiden.

Klicken Sie hier, um ein Beispiel eines Betriebsverfahren für Informations- und Kommunikationstechnik (IKT) zu sehen.

113. Sind die Sicherheitsanforderungen für Netzwerk-Services definiert und in Vereinbarungen/Verträgen verankert?

JaNein

Betriebsinterne und externe Netzwerk-Services sollten über klare Regeln verfügen, um Informationen und Systeme zu schützen und diese Regeln sollten definiert und in Vereinbarungen inkludiert sein.

Klicken Sie hier, um ein Beispiel eines Betriebsverfahren für Informations- und Kommunikationstechnik (IKT) zu sehen.

114. Sind die Netzwerke unter Berücksichtigung von Risiken und der Klassifizierung von Werten getrennt? Sind Anwendergruppen, Services und Systeme aufgetrennt auf verschiedene Netzwerke?

JaNein

Anwender, Services und Systeme sollten auf unterschiedliche Netzwerke aufgetrennt sein, um das Risiko einer Gefährdung von Informationen zu minimieren.

115. Ist der Informationstransfer ausreichend geschützt?

JaNein

Es sollten formelle Richtlinien und Verfahren vorhanden sein, um den Schutz des Informationstransfers zu verstärken.

Klicken Sie hier, um ein Beispiel eines Betriebsverfahren für Informations- und Kommunikationstechnik (IKT), Richtlinie zur Informationsübertragung, Bring Your Own Device (BYOD) Richtlinie zu sehen.

116. Berücksichtigen Vereinbarungen mit Drittparteien den Schutz während des Informationstransfers?

JaNein

Um der Anwendung der Richtlinien und Verfahren zum Schutz des Informationstransfers durch Drittparteien Geltung zu verschaffen, sollten spezifische Klauseln in den Vereinbarungen definiert werden.

Klicken Sie hier, um ein Beispiel eines Betriebsverfahren für Informations- und Kommunikationstechnik (IKT), Richtlinie zur Informationsübertragung zu sehen.

117. Sind über Netzwerke ausgetauschte Nachrichten angemessen geschützt?

JaNein

Die über Netzwerke ausgetauschten Nachrichten sollten gegen unautorisierten Zugriff und Modifikationen geschützt werden.

Klicken Sie hier für ein Beispiel eines Richtlinie zum zulässigen Gebrauch, Richtlinie zur Klassifizierung von Informationen.

118. Führt die Firma eine Liste aller Vertraulichkeitsklauseln, die in mit Drittparteien geschlossene Vereinbarungen aufgenommen werden müssen?

JaNein

Die Organisation muss sicherstellen, dass alle relevanten, in Vereinbarungen mit Drittparteien aufzunehmenden Vertraulichkeitsklauseln identifiziert, überprüft und dokumentiert werden.

Klicken Sie hier für ein Beispiel einer Vertraulichkeitserklärung.

A.14 SYSTEMAKQUISITION, ENTWICKLUNG UND WARTUNG

119. Sind die Sicherheitsanforderungen für neue Informationssysteme oder Änderungen an denselben definiert?

JaNein

Sicherheitsanforderungen sollten Teil der Anforderungsbeurteilung neuer Informationssysteme, sowie aller geplanten Änderungen an allen bereits vorhandenen Systeme sein.

Klicken Sie hier für ein Beispiel einer Spezifikation der Sicherheitsanforderungen.

120. Werden Informationen in Anwendungen, die über öffentliche Netzwerke übertragen werden, angemessen geschützt?

JaNein

Öffentliche Netzwerke sollten als unsicher betrachtet werden und es sollten ausreichende Kontrollen vorhanden sein, um Informationen aus Anwendungen, die darüber übertragen werden, zu schützen.

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.

121. Werden Informationen über Transaktionen, die über öffentliche Netzwerke übertragen werden, angemessen geschützt?

JaNein

Öffentliche Netzwerke sollten als unsicher betrachtet werden und es sollten ausreichende Kontrollen vorhanden sein, um Informationen aus Transaktionen, die darüber übertragen werden, zu schützen.

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.

122. Sind die Vorschriften für sichere Entwicklung von Software und Systemen definiert?

JaNein

Software und Systeme sollten ab dem frühen Entwicklungsstadium die Sicherheit miteinbeziehen, orientiert an Regeln, die berücksichtigen, welchen Risiken diese Software und Systeme ausgesetzt sein werden.

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.

123. Werden Änderungen an neuen oder bestehenden Systemen ausreichend kontrolliert?

JaNein

Formelle Change Control-Verfahren sollten vorhanden sein, um Risiken der Informationssicherheit bei Änderungen an neuen oder bestehenden Systemen zu minimieren.

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.

124. Werden kritische wichtige Anwendungen getestet, nachdem Änderungen an den Betriebssystemen durchgeführt wurden?

JaNein

Geschäftskritische Anwendungen könnten durch vorgenommene Änderungen am Betriebssystem negativ beeinflusst werden, sie sollten daher getestet werden, um sicherzustellen, dass sie nach wie vor wie erwartet funktionieren.

Klicken Sie hier, um ein Beispiel eines Betriebsverfahren für Informations- und Kommunikationstechnik (IKT), sowie einer Richtlinie zum Änderungsmanagement zu sehen.

125. Werden ausschließlich unumgänglich notwendige Änderungen an Informationssystemen durchgeführt?

JaNein

Es sollte nur erlaubt sein, kritische und relevante Änderungen an Informationssystemen zu machen, um Risiken der Gefährdung der Systeme zu minimieren.

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.

126. Werden die Prinzipien des Engineerings von sicheren System im Systementwicklungsprozess der Organisation angewandt?

JaNein

Systeme sollten ab dem Frühstadium der Entwicklung die Sicherheit, gesteuert durch Prinzipien des Engineerings von Sicherheit in ihren Komponenten und Funktionen, miteinbeziehen.

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.

127. Ist die Entwicklungsumgebung ausreichend geschützt?

JaNein

Die Entwicklungsumgebung sollte gegen unautorisierten Zugriff und Änderungen geschützt werden.

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.

128. Wird die ausgelagerte Entwicklung von Systemen überwacht?

JaNein

Die ausgelagerte Entwicklung von Systemen sollte überwacht werden, um sicherzustellen, dass die Anforderungen an die Geschäftssicherheit ordnungsgemäß erfüllt werden.

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit, Sicherheitspolitik für Lieferanten, Sicherheitsabschnitte für Lieferanten und Partner.

129. Wird die Implementierung von Sicherheitsanforderungen bei der Systementwicklung getestet?

JaNein

Ein ordnungsgemäßes Testen der Implementierung der Sicherheitsanforderungen ist entscheidend und muss durchgeführt werden, um sicherzustellen, dass ein System die Geschäfts- und Sicherheitsziele erzielen kann.

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.

130. Sind die Kriterien für die Systemabnahme definiert?

JaNein

Es sollten Kriterien für die Abnahme der Systeme definiert werden, um eine klare Vorgangsweise der Überprüfung, ob alle Sicherheits- und Geschäftsanforderungen erfüllt wurden, sicherzustellen.

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.

131. Werden Testdaten sorgfältig ausgewählt und geschützt?

JaNein

Testdaten sollten so ausgewählt werden, dass keine Beeinträchtigung von sensiblen Geschäftsdaten erfolgt und sie dennoch zur Überprüfung eines Systems zweckdienlich sind.

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.

A.15 LIEFERANTENBEZIEHUNGEN

132. Gibt es eine Richtlinie, wie mit Risiken in Bezug auf Lieferanten und Partner umzugehen ist?

JaNein

Richtlinien, wie mit Risiken in Bezug auf Lieferanten und Partner umzugehen ist, sollten als Hilfe bei der Führung von Lieferanten- und Partnerbeziehungen dokumentiert sein.

Klicken Sie hier für ein Beispiel von einer Sicherheitspolitik für Lieferanten.

133. Sind alle relevanten Sicherheitsanforderungen in den Vereinbarungen mit Lieferanten und Partnern verankert?

JaNein

Alle relevanten Sicherheitsanforderungen sollten in den Vereinbarungen mit Lieferanten und Partnern enthalten sein, um sicherzustellen, dass sich diese dem selben Sicherheitsgrad verpflichtet fühlen, wie dieser für die Organisation definiert wurde.

Klicken Sie hier für ein Beispiel von Sicherheitspolitik für Lieferanten, Vertraulichkeitserklärung, Sicherheitsabschnitte für Lieferanten und Partner.

134. Sind in den Vereinbarungen mit Providern und Lieferanten die Sicherheitsanforderungen verankert?

JaNein

Vereinbarungen mit Providern und Lieferanten sollten die Sicherheitsanforderungen enthalten, um eine zuverlässige Bereitstellung von Services sicherzustellen.

Klicken Sie hier für ein Beispiel von Sicherheitspolitik für Lieferanten, Sicherheitsabschnitte für Lieferanten und Partner.

135. Werden Lieferanten regelmäßig überwacht?

JaNein

Lieferanten sollten regelmäßig hinsichtlich der Übereinstimmung mit den Sicherheitsanforderungen überwacht und, falls zweckmäßig, auditiert werden.

Klicken Sie hier für ein Beispiel von einer Sicherheitspolitik für Lieferanten.

136. Berücksichtigen Änderungen, die auch Übereinkommen und Verträge mit Lieferanten und Partnern einbeziehen, die Risiken und bestehende Prozesse?

JaNein

Jede Änderung in der Bereitstellung von Services durch den Lieferanten müssen muss gemanagt werden und eine Neubewertung veranlassen.

Klicken Sie hier für ein Beispiel von einer Sicherheitspolitik für Lieferanten.

A.16 INFORMATIONSSICHERHEITS-EREIGNISMANAGEMENT

137. Werden Störfälle korrekt gemanagt?

JaNein

Es sollten Verfahren und die Verantwortlichkeiten für das Management von Ereignissen eingerichtet sein, um eine ordnungsgemäße und prompte Reaktion zu gewährleisten.

Klicken Sie hier für ein Beispiel von einem Verfahren zum Vorfallsmanagement.

138. Werden alle Informationssicherheitsereignisse ordnungsgemäß gemeldet?

JaNein

Informationssicherheitsereignisse sollten zeitgerecht gemeldet werden, um die Beschädigung von Informationen, Systemen und einen Schaden für das Geschäft zu minimieren.

139. Melden Mitarbeiter und Auftragnehmer Sicherheitsschwachstellen?

JaNein

Meldungen von Sicherheitsschwachstellen sind eine der Hauptquellen zur Minimierung von Risiken, sie sollten daher so gemeldet werden, dass die zweckdienlichsten Informationen gegeben werden.

Klicken Sie hier für ein Beispiel von einem Verfahren zum Vorfallsmanagement.

140. Werden alle Sicherheitsereignisse bewertet und ordnungsgemäß klassifiziert?

JaNein

Sicherheitsereignisse sollten bewertet und ordnungsgemäß klassifiziert werden, um die verfügbaren Ressourcen besser zuteilen zu können und eine prompte Reaktion zu gewährleisten.

Klicken Sie hier für ein Beispiel von einem Verfahren zum Vorfallsmanagement.

141. Sind die Verfahren zur Reaktion auf Ereignisse dokumentiert?

JaNein

Verfahren, wie auf Ereignisse reagiert werden soll, müssen dokumentiert werden, um eine standardisierte Reaktion auf Sicherheitsereignisse sicherzustellen.

Klicken Sie hier für ein Beispiel von einem Verfahren zum Vorfallsmanagement.

142. Werden Sicherheitsereignisse richtig analysiert?

JaNein

Sicherheitsereignisse sollten analysiert werden, um Erfahrungen zu sammeln wie ein Wiederauftreten verhindert werden kann.

Klicken Sie hier für ein Beispiel von Verfahren zum Vorfallsmanagement, Verzeichnis der Vorfälle

143. Existieren Verfahren, die definieren, wie Beweise zu sammeln sind?

JaNein

Es sollten Verfahren eingerichtet werden, wie Beweise zu sammeln sind, um sicherzustellen, dass diese anerkannt werden, falls sie in einem Gerichtsverfahren gefordert werden.

Klicken Sie hier für ein Beispiel von einem Verfahren zum Vorfallsmanagement.

A.17.INFORMATIONSSICHERHEITSASPEKTE DES MANAGEMENTS DER GESCHÄFTSKONTINUITÄT

144. Sind die Anforderungen für die Kontinuität der Informationssicherheit definiert?

JaNein

Die Anforderungen für die Kontinuität der Informationssicherheit sollten definiert werden, um sicherzustellen, dass diese zur Unterstützung des Geschäftsbetriebs beitragen, selbst im Falle einer Störung.

Klicken Sie hier für ein Beispiel von Verfahren für die Geschäftskontinuität, Methodik der Geschäftsauswirkungsanalyse (GAA).

145. Existieren Verfahren, welche die Kontinuität der Informationssicherheit während einer Krisensituation oder eines Notfalls sicherstellen?

JaNein

Es sollten Verfahren zur Sicherstellung der Kontinuität der Informationssicherheit während einer Krisensituation oder eines Notfalls verfügbar sein, die helfen, die Wiederherstellung des normalen Geschäftsbetriebs zu beschleunigen und eine Unterstützung beim Schutz der Informationen bei der Wiederaufnahme des Betriebs sind.

Klicken Sie hier für ein Beispiel von einem Plan für die Geschäftskontinuität.

146. Werden Übungen und Tests der Kontinuität durchgeführt?

JaNein

Übungen und Tests sollten durchgeführt werden, um eine effiziente Reaktion im Falle eines echten Vorfalls zu gewährleisten.

Klicken Sie hier für ein Beispiel von einem Übungs- und Test-Plan.

147. Verfügt die IT-Infrastruktur über Redundanzen (z.B. sekundärer Standort), einschließlich der Planung und des Betriebs?

JaNein

Die IT-Infrastruktur sollte über eine Redundanz verfügen, um zu helfen, die Erwartungen während eines Notfalls zu erfüllen.

Klicken Sie hier für ein Beispiel von einem Notfallplan.

A.18 COMPLIANCE

148. Sind alle gesetzlichen, behördlichen, vertraglichen und anderen Sicherheitsanforderungen bekannt?

JaNein

Alle gesetzlichen, behördlichen, vertraglichen und anderen Sicherheitsanforderungen sollten aufgelistet und dokumentiert sein, um eine Grundlage für die Definition von Kontrollen und Compliance-Aktivitäten zu gewährleisten.

Klicken Sie hier für ein Beispiel von einer Liste gesetzlicher, behördlicher und anderer Anforderungen.

149. Existieren Verfahren zum Schutz von geistigen Eigentumsrechten?

JaNein

Es sollten Verfahren verfügbar sein zur Sicherstellung der Durchsetzung geistiger Eigentumsrechte, insbesondere der Nutzung von lizenzierter Software.

Klicken Sie hier für ein Beispiel einer Richtlinie zum zulässigen Gebrauch.

150. Werden Aufzeichnungen ausreichend geschützt?

JaNein

Alle Aufzeichnungen sollten entsprechend den identifizierten gesetzlichen, behördlichen, vertraglichen und anderen Anforderungen geschützt werden.

151. Sind personenbezogene Informationen ausreichend geschützt?

JaNein

Personenbezogene Informationen sollten den Gesetzen und Bestimmungen entsprechend geschützt werden.

152. Werden kryptografische Kontrollen korrekt angewandt?

JaNein

Kryptografische Kontrollen sollten entsprechend den Gesetzen und Bestimmungen angewandt werden.

Klicken Sie für ein Beispiel eines Verfahrens zur Anwendung kryptografischer Kontrollen.

153. Wird die Informationssicherheit regelmäßig durch einen unabhängigen Auditor überprüft?

JaNein

Die Informationssicherheit sollte regelmäßig durch einen unabhängigen Auditor geprüft werden, um die Eignung, Adäquatheit und Effektivität des Management Systems zu gewährleisten und Verbesserungsmöglichkeiten zu beurteilen.

Klicken Sie hier für ein Beispiel eines Verfahrens für interne Audits.

154. Überprüft das Management regelmäßig, ob die Sicherheitsrichtlinien und –verfahren in ihren jeweiligen Verantwortungsbereichen angemessen umgesetzt werden?

JaNein

Die Manager sollten regelmäßig überprüfen, ob die Sicherheitsrichtlinien und Verfahren in ihren Verantwortungsbereichen ordnungsgemäß durchgeführt werden, um deren Eignung, Adäquatheit und Effektivität sicherzustellen und Verbesserungsmöglichkeiten festzustellen.

155. Werden die Informationssysteme regelmäßig hinsichtlich ihrer Einhaltung der Informationssicherheitsrichtlinien und Standards überprüft?

JaNein

Informationssysteme sollten regelmäßig überprüft werden, um deren Einhaltung der Informationssicherheitsrichtlinien und Standards, sowie deren Eignung, Adäquatheit und Effektivität zu gewährleisten und Verbesserungsmöglichkeiten festzustellen.

Anzahl der eingehalteten Kontrollen:

ANMERKUNG: Um alle Ihre Antworten per E-Mail versendet zu bekommen, öffnen Sie bitte alle Abschnitte, auf die Sie antworteten.

E-Mail-Adresse eingeben

[Die Ergebnisse werden an die eingegebene E-Mail-Adresse gesendet]

Meinen Fortschritt speichern und später fortsetzen | Ein bereits gespeichertes Formular fortsetzen

Kontaktinformation

Weitere Informationen darüber, welche persönlichen Daten wir sammeln, warum wir diese benötigen, was wir mit ihnen machen, wie lange wir sie aufbewahren und welche Rechte Sie haben, finden Sie in dieser Datenschutzerklärung.

Dejan Kosutic
Führender Experte für ISO 27001/ISO 22301

Haben Sie weitere Fragen?

Sprechen Sie kostenlos mit unseren Beratern

KOSTENLOSE BERATUNG VEREINBAREN

Deutsch

English
Español

Produkte

Conformio

Toolkits

Schulungen

Experta

Company Training Academy
Ressourcen

Artikel

Webinare

Kurse

Kostenlose Downloads

Tools

Podcast

Live Beratungen

Berater Verzeichnis
Standards und Vorschriften

ISO 27001

ISO 22301

ISO 9001

ISO 13485

ISO 14001

ISO 45001

ISO 20000

ISO 17025

NIS-2

DORA

EU DSGVO

EU MDR

IATF 16949

AS9100

Compliance im Allgemeinen
Advisera

Über uns

Für Berater

Verkauf

Nutzungsbedingungen
Hilfe

Hilfe Center

Unterstützung

Partnerschaften

Produkte nach Rahmen:

Nach Typ

Wo fängt man an

Sonstiges

Lösungen für die Industrie:

Dejan Kosutic

Finden Sie heraus, inwieweit Sie ISO 27001 einhalten

Haben Sie weitere Fragen?

Produkte

Ressourcen

Standards und Vorschriften

Advisera

Hilfe