ANRUFEN 1-888-553-2256

Finden Sie heraus, inwieweit Sie ISO 27001 einhalten

 

| Ein bereits gespeichertes Formular fortsetzen
Später fortsetzen

Um das Formular zwischenzuspeichern und später fortsetzen zu können, geben Sie bitte Ihre E-Mailadresse ein und wählen Sie ein Passwort.

4.0 KONTEXT DER ORGANISATION
4.1 VERSTÄNDNIS DER ORGANISATION UND IHRES KONTEXTS






4.2 VERSTÄNDNIS FÜR DIE BEDÜRFNISSE UND ERWARTUNGEN VON INTERESSENSGRUPPEN 

Die Organisation muss definieren, welche Interessensgruppen für das Information Security Management System (ISMS) relevant sind (z.B. kritische Kunden und Lieferanten, Mitarbeiter, Aktionäre, Regierungsbehörden, etc.). 

Klicken Sie hier, um ein Beispiel eines Verfahren zur Identifikation der Anforderungen zu sehen.

Anforderungen sind Bedürfnisse und Erwartungen, die auf qualitative oder quantitative Art und Weise evaluiert werden können und für die Interessensgruppen, die Sie als relevant für das ISMS definiert haben, dokumentiert werden müssen. 

Klicken Sie hier, um ein Beispiel einer Liste gesetzlicher, amtlicher, vertraglicher und anderer Anforderungen zu sehen.
4.3 FESTLEGUNG DES UMFANGS DES INFORMATION SECURITY MANAGEMENT SYSTEMS

Sie müssen den Umfang des ISMS unter Berücksichtigung interner und externer Aspekte, der Anforderungen relevanter Interessensgruppen, sowie der Schnittstellen und Abhängigkeiten zwischen den von der Organisation und jenen von anderen Organisationen realisierten Aktivitäten definieren. 

Klicken Sie hier, um ein Beispiel eines Dokument zum ISMS Anwendungsbereich zu sehen.
4.4 INFORMATION SECURITY MANAGEMENT SYSTEM


5.0 LEADERSHIP
5.1 ´LEADERSHIP´ UND ´COMMITMENT´






5.2 RICHTLINIEN

Das Topmanagement muss die Informationssicherheitsrichtlinien im Rahmen des ISMS definieren. Die Richtlinien müssen für Ihre Aktivitäten angemessen sein, eine Verpflichtung zur kontinuierlichen Verbesserung enthalten und Zielsetzungen & Ziele oder die Rahmenbedingungen für deren Schaffung aufweisen. 

Klicken Sie hier, um ein Beispiel für Informationssicherheitspolitik zu sehen.


5.3 ORGANISATORISCHE ROLLEN, VERANTWORTLICHKEITEN UND BEFUGNISSE


6.0 PLANUNG
6.1 MASSNAHMEN ZUR ADRESSIERUNG VON RISIKEN UND GELEGENHEITEN
6.1.1 ALLGEMEINES


6.1.2 RISIKOBEWERTUNG INFORMATIONSSICHERHEIT

Es sollte einen Prozess geben, der Risikokriterien festlegt und wartet, sowie Informationssicherheitsrisiken identifiziert, analysiert und evaluiert. 

Klicken Sie hier, um ein Beispiel der Methodik zur Risikoeinschätzung und Risikobehandlung zu sehen.
6.1.3 RISIKOBEHANDLUNG INFORMATIONSSICHERHEIT 

Es muss einen Prozess zur Behandlung von Sicherheitsrisiken geben, indem die Risikobewertungsergebnisse berücksichtigt werden, sowie zur Erstellung spezifischer Dokumente, wie die Erklärung zur Anwendbarkeit.

6.2 ZIELSETZUNGEN DER INFORMATIONSSICHERHEIT UND PLANUNG ZUR ERREICHUNG DERSELBEN 



Der Plan/die Pläne müssen, einschließlich der bezeichneten Verantwortlichkeiten, der Evaluierungsmethode und des Zeitrahmens für den Plan/die Pläne vorhanden sein, um die Verfügbarkeit von Ressourcen zur Erreichung der Zielsetzungen und Ziele zu gewährleisten. 

Klicken Sie hier, um ein Beispiel eines Plan zur Risikobehandlung zu sehen.
7.0 SUPPORT
7.1 RESSOURCEN


7.2 KOMPETENZ

Für Personal, das Aufgaben durchführt, welche sich auf die Informationssicherheit auswirken können, muss die geeignete Kompetenz überprüft werden und bei Bedarf eine Schulung angeboten werden. Es müssen Aufzeichnungen über die Kompetenzen geführt werden.  

Klicken Sie hier, um ein Beispiel eines Plan für Training und Awareness zu sehen.
7.3 SENSIBILISIERUNG

Die Kenntnis der Informationssicherheitsrichtlinien, Verfahren, Risiken, Rollen, Verantwortlichkeiten, Befugnisse und der Konsequenzen bei einer Abweichung von den spezifizierten Verfahren muss gefördert werden. 

Klicken Sie hier, um ein Beispiel eines Plan für Training und Awareness zu sehen.
7.4 KOMMUNIKATION


7.5 DOKUMENTIERTE INFORMATIONEN (7.5.1 ALLGEMEINES; 7.5.2 ERSTELLUNG UND AKTUALISIERUNG; 7.5.3 KONTROLLE DOKUMENTIERTER INFORMATIONEN)



Es sollte ein Verfahren zur Kontrolle von Dokumenten existieren, welches die Genehmigung, Überprüfung und Aktualisierung, Änderungsidentifizierung, Verfügbarkeit relevanter Versionen, Dokumentenlesbarkeit, Kontrolle externer Dokumente und die Vermeidung der Verwendung überholter Dokumente spezifiziert. 

Klicken Sie hier, um ein Beispiel eines Verfahren zur Lenkung von Dokumenten und Aufzeichnungen zu sehen.


8.0 BETRIEB
8.1 OPERATIVE PLANUNG UND KONTROLLE

Dokumentierte Informationen müssen bis zu dem Ausmaß unterhalten werden, das notwendig ist, um darauf vertrauen zu können, dass die Prozesse wie geplant ausgeführt wurden (z.B. Verfahren zur operativen Kontrolle, Betriebskriterien, etc.). 

Klicken Sie hier, um ein Beispiel eines Betriebsverfahren für Informations- und Kommunikationstechnik (IKT) zu sehen.




8.2 RISIKOBEWERTUNG DER INFORMATIONSSICHERHEIT

Es muss eine Sicherheitsbeurteilung vorgenommen werden und Nachweise müssen aufgezeichnet werden. 

Klicken Sie hier, um ein Beispiel einer Verzeichnis der Risikoeinschätzung und einer Verzeichnis der Risikobehandlung zu sehen.
8.3 BEHANDLUNG VON INFORMATIONSRISIKEN

Ein Plan/Pläne müssen vorhanden sein, um die Zielsetzungen und Ziele zu erreichen, und diese müssen die zugeordnete Verantwortlichkeit, die Evaluierungsmethode, sowie die Mittel & den Zeitplan für den Plan/die Pläne enthalten. 

Klicken Sie hier, um ein Beispiel eines Plan zur Risikobehandlung zu sehen.

Es müssen Maßnahmen ergriffen werden, um die als inakzeptabel erachteten Risiken zu behandeln. Diese Maßnahmen müssen implementiert, überprüft und überarbeitet, sowie, soweit praktikabel, periodisch getestet werden. 

Klicken Sie hier, um ein Beispiel einer Verzeichnis der Risikobehandlung und Erklärung zur Anwendbarkeit zu sehen.
9.0 LEISTUNGSBEURTEILUNG
9.1 ÜBERWACHUNG, MESSUNG, ANALYSE UND EVALUIERUNG 




9.2 INTERNER AUDIT

Audit-Verfahren müssen die Verantwortlichkeiten, das Berichtswesen, die Aufzeichnungskriterien, Umfang und Häufigkeit und die Methoden adressieren. Die Verfahren müssen Kriterien für die Auswahl von Auditoren enthalten, um die Unparteilichkeit und Objektivität zu gewährleisten. 

Klicken Sie hier, um ein Beispiel eines Audit-Programms und eines internen Audit-Verfahrens zu sehen.

Es müssen Audit-Verfahren vorhanden sein, um das ISMS gegenüber den geplanten Einteilungen in geplanten Intervallen zu evaluieren (einschließlich der ordnungsgemäßen Implementierung und Wartung) und die Ergebnisse müssen an das Management berichtet werden. 

Klicken Sie hier, um ein Beispiel eines internen Audit-Berichts zu sehen.
9.3 MANAGEMENT REVIEW

Das Topmanagement muss in geplanten Intervallen das ISMS überprüfen, um die Eignung, Angemessenheiten und Effektivität sicherzustellen und Verbesserungsmöglichkeiten festzustellen. Über die Überprüfung müssen Aufzeichnungen geführt werden. 

Klicken Sie hier, um ein Beispiel eines Protokoll zur Managementbewertung zu sehen. 

Die Ergebnisse des Management Review müssen Entscheidungen und Maßnahmen in Bezug auf mögliche Änderungen der Informationssicherheitsrichtlinien, der Zielsetzungen, der Ziele, sowie anderer ISMS-Elemente beinhalten, um das ISMS kontinuierlich zu verbessern.

Klicken Sie hier, um ein Beispiel eine Protokoll zur Managementbewertung zu sehen.
10.0 VERBESSERUNG
10.1 NICHTKONFORMITÄT UND KORREKTURMASSNAHMEN

Ein/mehrere Verfahren zur Behandlung tatsächlicher Nichtkonformitäten, einschließlich des Ergreifens von Korrekturmaßnahmen, muss vorhanden sein.

Klicken Sie hier, um ein Beispiel eines Verfahrens für Korrekturmaßnahmen zu sehen.

Das Verfahren muss die Identifizierung, Untersuchung und Feststellung der Ursachen, sowie Maßnahmen zur Vermeidung eines Wiederauftretens, beinhalten. Diese Maßnahmen müssen der Schwere der Nichtkonformität entsprechen. 

Klicken Sie hier, um ein Beispiel eines Verfahrens für Korrekturmaßnahmen zu sehen. 

Es müssen Aufzeichnungen geführt werden und die Effektivität der Korrekturmaßnahmen evaluiert werden. Erforderliche Änderungen in der ISMS-Dokumentation müssen vorgenommen werden. 

Klicken Sie hier, um ein Beispiel eines Formblatt der Korrekturmaßnahmen zu sehen.
10.2 KONTINUIERLICHE VERBESSERUNG


BEREITSCHAFT DER ANFORDERUNGEN: 
%
A.5 INFORMATIONSSICHERHEITSRICHTLINIEN



A.6 ORGANISATION DER INFORMATIONSSICHERHEIT











Das Management muss Richtlinien für den Umgang mit Mobilgeräten im Rahmen des ISMS definieren. Die Richtlinien müssen zur Unterstützung der Informationssicherheit und der Geschäftsanforderungen geeignet sein.


Das Management muss Richtlinien für den Umgang mit Mobilgeräten im Rahmen des ISMS definieren. Die Richtlinien müssen zur Unterstützung der Informationssicherheit und der Geschäftsanforderungen geeignet sein. 

A.7 PERSONALSICHERHEIT



Vor Erhalt des Zugriffs auf Informationen müssen Mitarbeiter und Auftragnehmer auf ihre Verantwortung hinsichtlich der Informationssicherheit aufmerksam gemacht werden und zustimmen, dieser nachzukommen. 

Klicken Sie hier, um ein Beispiel einer Vertraulichkeitserklärung, einer Erklärung zur Akzeptanz von ISMS-Dokumenten zu sehen.








A.8 MANAGEMENT VON WERTEN

Ein Inventar der Werte soll Ihnen bei der Identifizierung und Organisation von Informationswerten und von Ressourcen des Informationsprozesses helfen. 

Klicken Sie hier, um ein Beispiel eines Inventars der Werte zu sehen.

Zur Sicherstellung der ordnungsgemäßen Handhabung und des Schutzes eines Wertes sollte diesem ein Eigentümer zugewiesen werden. 

Klicken Sie hier, um ein Beispiel eines Inventars der Werte, einer Richtlinie zum zulässigen Gebrauch zu sehen.

Um die ordnungsgemäße Handhabung und den Schutz eines Wertes sicherzustellen, sollten eine Reihe von Vorschriften definiert werden. 

Klicken Sie hier, um ein Beispiel einer Richtlinie zum zulässigen Gebrauch zu sehen.

Um die ordnungsgemäße Handhabung und den Schutz eines Wertes sicherzustellen, sollten eine Reihe von Vorschriften definiert werden. 

Klicken Sie hier, um ein Beispiel einer Richtlinie zum zulässigen Gebrauch zu sehen.

Das Vorhandensein definierter Klassifizierungskriterien stellt sicher, dass alle Informationen den Grad an Schutz erhalten, der ihrem Wert für die Organisation entspricht. 

Klicken Sie hier, um ein Beispiel einer Informationsklassifizierungs-Richtlinie zu sehen.

Das Vorhandensein von Kennzeichnungs- und Handhabungsverfahren stellt sicher, dass alle klassifizierten Informationen die ihrem Klassifizierungsgrad entsprechende Behandlung erfahren.

Klicken Sie hier, um ein Beispiel einer Informationsklassifizierungs-Richtlinie zu sehen.

Das Vorhandensein eines Verfahrens zur Handhabung von Werten stellt sicher, dass alle Werte eine Behandlung erfahren, die der von ihnen behandelten klassifizierten Information entsprechen. 

Klicken Sie hier, um ein Beispiel einer Informationsklassifizierungs-Richtlinie zu sehen.

Das Vorhandensein eines Verfahrens zur Handhabung von entfernbaren Datenträgern stellt sicher, dass alle entfernbaren Datenträger die Behandlung erfahren, die der von ihnen behandelten klassifizierten Information entspricht. 

Klicken Sie hier, um ein Beispiel einer Informationsklassifizierungs-Richtlinie zu sehen.

Es sollten formelle Verfahren vorhanden sein, um sicherzustellen, dass nicht mehr gebrauchte Datenträger nicht wiederverwendet werden können und dass darauf enthaltene Informationen gelöscht oder unzugänglich gemacht werden. 


Das Vorhandensein von Handhabungsverfahren für Wechseldatenträger stellt sicher, dass alle Wechseldatenträger die den klassifizierten Informationen, welche sie enthalten, entsprechende Behandlung erfahren. 

Klicken Sie hier, um ein Beispiel einer Informationsklassifizierungs-Richtlinie zu sehen.
A.9 ACCESS CONTROL

Das Management muss eine Zugangskontrollrichtlinie im Rahmen des ISMS definieren. Die Richtlinie muss für die Unterstützung der Informationssicherheit und der Geschäftsanforderungen geeignet sein. 

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie zu sehen. 

Die Anwender dürfen nur Zugang zu jenen Netzwerken und Services haben, für die sie ausdrücklich autorisiert sind. 

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie zu sehen. 

Es muss ein formeller Prozess für die Erstellung/Ausschließung von Anwenderkonten und die Zuordnung von Anwender-Zugriffsrechten vorhanden sein. 

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie, einer Kennwort-Richtlinie zu sehen.

Ein formeller Prozess für die Erteilung/Entziehung von Anwenderzugriffen für alle Arten von Anwendern aller Systeme und Services muss vorhanden sein.

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie, einer Kennwort-Richtlinie zu sehen.

Ein formeller Prozess für die Erteilung/Entziehung von Anwenderzugriffen mit privilegierten Rechten muss vorhanden sein. 

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie zu sehen.

Alle Informationen im Zusammenhang mit Anwender-Authentifizierung sollten auf eine Art und Weise zur Verfügung gestellt werden, dass nur den Anwendern die Authentifizierungsinformationen bekannt sind (z.B. Passwörter, Passphrasen etc.). 

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie, einer Kennwort-Richtlinie zu sehen.

Es muss ein formeller Prozess vorhanden sein, um periodisch Anwender-Zugangsrechte und privilegierte Rechte zu überprüfen. 

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie zu sehen.

Ein formeller Prozess für die Änderung/Entziehung von Anwenderzugriffen für alle Arten von Anwendern aller Systeme und Service, wenn eine Veränderung ihrer Situation eintritt, muss vorhanden sein. 

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie zu sehen.

Alle Informationen im Zusammenhang mit Anwender-Authentifizierung müssen geschützt werden (z.B. Passwörter, Passphrasen etc.). 


Der Zugriff auf Datenbanken und Anwendungsfunktionen muss entsprechend der Zugangssteuerungsrichtlinien eingeschränkt werden. 

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie zu sehen.



Das von der Organisation angewandte Passwort-Verwaltungssystem muss interaktiv sein und die Erstellung sicherer Passwörter sicherstellen. 

Klicken Sie hier, um ein Beispiel einer Zugangssteuerungsrichtlinie, einer Kennwort-Richtlinie zu sehen.




A.10 KRYPTOGRAFIE

Das Management sollte im Rahmen des ISMS eine Richtlinie für kryptografische Kontrolle definieren. Die Richtlinie muss für die Unterstützung der Informationssicherheit und der Geschäftsanforderungen geeignet sein. 

Klicken Sie hier, um ein Beispiel einer Richtlinie zur Anwendung kryptografischer Maßnahmen zu sehen.

Kryptografische Kontrollen sind so stark wie deren Schlüssel gesichert werden, die Handhabung von kryptografischen Schlüssel muss daher ordnungsgemäß erfolgen. 

Klicken Sie hier, um ein Beispiel einer Richtlinie zur Anwendung kryptografischer Maßnahmen zu sehen.>
A.11 PHYSISCHE SICHERHEIT UND UMWELTSICHERHEIT









Spezifische Arbeitsabläufe im Verhältnis zur Sensibilität der Sicherheitsbereiche sollten vorhanden sein, um Vorfälle in Bezug auf unangemessene Aktionen zu minimieren. 

Klicken Sie hier, um ein Beispiel eines Verfahrens zur Arbeit in sicheren Bereichen zu sehen.











Die Autorisierung für Informationen und andere Werte, die vom Betriebsgelände entfernt werden sollen, sollte jeweils dann erfolgen, wenn diese benötigt wird.

Klicken Sie hier, um ein Beispiel einer Richtlinie zum zulässigen Gebrauch zu sehen.

Werte außerhalb der Räumlichkeiten der Organisation sind mehr Risiken ausgesetzt, es sollten daher strengere Kontrollen erwogen werden. 

Klicken Sie hier, um ein Beispiel einer Richtlinie zum zulässigen Gebrauch, und einer Richtlinie zu Mobilgeräten und Telearbeit zu sehen.

Alle Informationen und lizenzierte Software muss von Datenträgern und Geräten, die Datenträger enthalten, gelöscht werden, ehe diese Datenträger entsorgt werden. 


Es sollten keine Geräte unbeaufsichtigt gelassen werden, wenn es jedoch keine Alternative gibt, sollte es Empfehlungen für das Verhalten des Anwenders geben.


Eine Richtlinie sollte definieren, dass Anwender Papiere und Datenträger entfernen und ihre Bildschirme sperren sollten, wenn sie sich nicht an ihrem Arbeitsplatz befinden.

A.12 OPERATIVE SICHERHEIT

Eine zur Verfügung stehende Dokumentation sollte helfen, den ordnungsgemäßen Betrieb und die Sicherheit von Ressourcen der Informationsverarbeitung sicherzustellen. 

Klicken Sie hier, um ein Beispiel eines Betriebsverfahren für Informations- und Kommunikationstechnik (IKT) zu sehen.

Alle Änderungen an IT-Systemen und allen anderen Prozessen, welche die Informationssicherheit beeinträchtigen könnten, sollten strikt kontrolliert werden. 






Antivirus-Software und andere Software zum Schutz vor Schadprogrammen sollte eingesetzt  und entsprechend konfiguriert und aktualisiert sein. 

Klicken Sie hier, um ein Beispiel einer Richtlinie zum zulässigen Gebrauch zu sehen.

Es sollte eine Backup-Richtlinie erstellt sein und Backups sollten entsprechend dieser Richtlinie vorgenommen werden. 


Anwender-Protokolle, Fehler und andere relevante Vorfälle von IT-Systemen sollten protokolliert und von jemandem periodisch überprüft werden. 

Klicken Sie hier, um ein Beispiel eines Betriebsverfahren für Informations- und Kommunikationstechnik (IKT) zu sehen.



Administrator-Protokolle sollten gegen unautorisierten Zugriff und Modifikationen geschützt und regelmäßig überprüft werden.  

Klicken Sie hier, um ein Beispiel eines Betriebsverfahren für Informations- und Kommunikationstechnik (IKT) zu sehen.



Es sollten Regeln und Verfahren definiert werden, um sicherzustellen, dass Software-Installationen ordnungsgemäß und auf kontrollierte Weise vorgenommen werden. 

Klicken Sie hier, um ein Beispiel einer Richtlinie zum zulässigen Gebrauch zu sehen.



Es sollten Regeln und Verfahren definiert werden, um sicherzustellen, dass Software-Installationen durch Anwender ordnungsgemäß und auf kontrollierte Weise vorgenommen werden.

Klicken Sie hier, um ein Beispiel einer Richtlinie zum zulässigen Gebrauch zu sehen.


A.13 KOMMUNIKATIONSSICHERHEIT

Netzwerke sollten kontrolliert werden, um eine Gefährdung von Informationen und Systemen zu vermeiden. 

Klicken Sie hier, um ein Beispiel eines Betriebsverfahren für Informations- und Kommunikationstechnik (IKT) zu sehen.

Betriebsinterne und externe Netzwerk-Services sollten über klare Regeln verfügen, um Informationen und Systeme zu schützen und diese Regeln sollten definiert und in Vereinbarungen inkludiert sein. 

Klicken Sie hier, um ein Beispiel eines Betriebsverfahren für Informations- und Kommunikationstechnik (IKT) zu sehen.



Es sollten formelle Richtlinien und Verfahren vorhanden sein, um den Schutz des Informationstransfers zu verstärken.


Um der Anwendung der Richtlinien und Verfahren zum Schutz des Informationstransfers durch Drittparteien Geltung zu verschaffen, sollten spezifische Klauseln in den Vereinbarungen definiert werden.


Die über Netzwerke ausgetauschten Nachrichten sollten gegen unautorisierten Zugriff und Modifikationen geschützt werden. 


Die Organisation muss sicherstellen, dass alle relevanten, in Vereinbarungen mit Drittparteien aufzunehmenden Vertraulichkeitsklauseln identifiziert, überprüft und dokumentiert werden. 

Klicken Sie hier für ein Beispiel einer Vertraulichkeitserklärung.
A.14 SYSTEMAKQUISITION, ENTWICKLUNG UND WARTUNG

Sicherheitsanforderungen sollten Teil der Anforderungsbeurteilung neuer Informationssysteme, sowie aller geplanten Änderungen an allen bereits vorhandenen Systeme sein. 

Klicken Sie hier für ein Beispiel einer Spezifikation der Sicherheitsanforderungen.

Öffentliche Netzwerke sollten als unsicher betrachtet werden und es sollten ausreichende Kontrollen vorhanden sein, um Informationen aus Anwendungen, die darüber übertragen werden, zu schützen. 

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.

Öffentliche Netzwerke sollten als unsicher betrachtet werden und es sollten ausreichende Kontrollen vorhanden sein, um Informationen aus Transaktionen, die darüber übertragen werden, zu schützen. 

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.

Software und Systeme sollten ab dem frühen Entwicklungsstadium die Sicherheit miteinbeziehen, orientiert an Regeln, die berücksichtigen, welchen Risiken diese Software und Systeme ausgesetzt sein werden. 

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.

Formelle Change Control-Verfahren sollten vorhanden sein, um Risiken der Informationssicherheit bei Änderungen an neuen oder bestehenden Systemen zu minimieren. 

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.

Geschäftskritische Anwendungen könnten durch vorgenommene Änderungen am Betriebssystem negativ beeinflusst werden, sie sollten daher getestet werden, um sicherzustellen, dass sie nach wie vor wie erwartet funktionieren.


Es sollte nur erlaubt sein, kritische und relevante Änderungen an Informationssystemen zu machen, um Risiken der Gefährdung der Systeme zu minimieren.

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.

Systeme sollten ab dem Frühstadium der Entwicklung die Sicherheit, gesteuert durch Prinzipien des Engineerings von Sicherheit in ihren Komponenten und Funktionen, miteinbeziehen. 

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.

Die Entwicklungsumgebung sollte gegen unautorisierten Zugriff und Änderungen geschützt werden. 

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.

Die ausgelagerte Entwicklung von Systemen sollte überwacht werden, um sicherzustellen, dass die Anforderungen an die Geschäftssicherheit ordnungsgemäß erfüllt werden. 


Ein ordnungsgemäßes Testen der Implementierung der Sicherheitsanforderungen ist entscheidend und muss durchgeführt werden, um sicherzustellen, dass ein System die Geschäfts- und Sicherheitsziele erzielen kann.

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.

Es sollten Kriterien für die Abnahme der Systeme definiert werden, um eine klare Vorgangsweise der Überprüfung, ob alle Sicherheits- und Geschäftsanforderungen erfüllt wurden, sicherzustellen.

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.

Testdaten sollten so ausgewählt werden, dass keine Beeinträchtigung von sensiblen Geschäftsdaten erfolgt und sie dennoch zur Überprüfung eines Systems zweckdienlich sind.

Klicken Sie hier für ein Beispiel einer Richtlinie zur Entwicklungssicherheit.
A.15 LIEFERANTENBEZIEHUNGEN

Richtlinien, wie mit Risiken in Bezug auf Lieferanten und Partner umzugehen ist, sollten als Hilfe bei der Führung von Lieferanten- und Partnerbeziehungen dokumentiert sein.

Klicken Sie hier für ein Beispiel von einer Sicherheitspolitik für Lieferanten.

Alle relevanten Sicherheitsanforderungen sollten in den Vereinbarungen mit Lieferanten und Partnern enthalten sein, um sicherzustellen, dass sich diese dem selben Sicherheitsgrad verpflichtet fühlen, wie dieser für die Organisation definiert wurde.


Vereinbarungen mit Providern und Lieferanten sollten die Sicherheitsanforderungen enthalten, um eine zuverlässige Bereitstellung von Services sicherzustellen. 


Lieferanten sollten regelmäßig hinsichtlich der Übereinstimmung mit den Sicherheitsanforderungen überwacht und, falls zweckmäßig, auditiert werden. 

Klicken Sie hier für ein Beispiel von einer Sicherheitspolitik für Lieferanten.

Jede Änderung in der Bereitstellung von Services durch den Lieferanten müssen muss gemanagt werden und eine Neubewertung veranlassen.

Klicken Sie hier für ein Beispiel von einer Sicherheitspolitik für Lieferanten.
A.16 INFORMATIONSSICHERHEITS-EREIGNISMANAGEMENT

Es sollten Verfahren und die Verantwortlichkeiten für das Management von Ereignissen eingerichtet sein, um eine ordnungsgemäße und prompte Reaktion zu gewährleisten. 

Klicken Sie hier für ein Beispiel von einem Verfahren zum Vorfallsmanagement.



Meldungen von Sicherheitsschwachstellen sind eine der Hauptquellen zur Minimierung von Risiken, sie sollten daher so gemeldet werden, dass die zweckdienlichsten Informationen gegeben werden. 

Klicken Sie hier für ein Beispiel von einem Verfahren zum Vorfallsmanagement.

Sicherheitsereignisse sollten bewertet und ordnungsgemäß klassifiziert werden, um die verfügbaren Ressourcen besser zuteilen zu können und eine prompte Reaktion zu gewährleisten.

Klicken Sie hier für ein Beispiel von einem Verfahren zum Vorfallsmanagement.

Verfahren, wie auf Ereignisse reagiert werden soll, müssen dokumentiert werden, um eine standardisierte Reaktion auf Sicherheitsereignisse sicherzustellen. 

Klicken Sie hier für ein Beispiel von einem Verfahren zum Vorfallsmanagement.

Sicherheitsereignisse sollten analysiert werden, um Erfahrungen zu sammeln wie ein Wiederauftreten verhindert werden kann. 

Klicken Sie hier für ein Beispiel von Verfahren zum Vorfallsmanagement, Verzeichnis der Vorfälle

Es sollten Verfahren eingerichtet werden, wie Beweise zu sammeln sind, um sicherzustellen, dass diese anerkannt werden,  falls sie in einem Gerichtsverfahren gefordert werden. 

Klicken Sie hier für ein Beispiel von einem Verfahren zum Vorfallsmanagement.
A.17.INFORMATIONSSICHERHEITSASPEKTE DES MANAGEMENTS DER GESCHÄFTSKONTINUITÄT

Die Anforderungen für die Kontinuität der Informationssicherheit sollten definiert werden, um sicherzustellen, dass diese zur Unterstützung des Geschäftsbetriebs beitragen, selbst im Falle einer Störung.


Es sollten Verfahren zur Sicherstellung der Kontinuität der Informationssicherheit während einer Krisensituation oder eines Notfalls verfügbar sein, die helfen, die Wiederherstellung des normalen Geschäftsbetriebs zu beschleunigen und eine Unterstützung beim Schutz der Informationen bei der Wiederaufnahme des Betriebs sind. 

Klicken Sie hier für ein Beispiel von einem Plan für die Geschäftskontinuität.

Übungen und Tests sollten durchgeführt werden, um eine effiziente Reaktion im Falle eines echten Vorfalls zu gewährleisten.

Klicken Sie hier für ein Beispiel von einem Übungs- und Test-Plan.

Die IT-Infrastruktur sollte über eine Redundanz verfügen, um zu helfen, die Erwartungen während eines Notfalls zu erfüllen.

Klicken Sie hier für ein Beispiel von einem Notfallplan
A.18 COMPLIANCE

Alle gesetzlichen, behördlichen, vertraglichen und anderen Sicherheitsanforderungen sollten aufgelistet und dokumentiert sein, um eine Grundlage für die Definition von Kontrollen und Compliance-Aktivitäten zu gewährleisten.

Klicken Sie hier für ein Beispiel von einer Liste gesetzlicher, behördlicher und anderer Anforderungen

Es sollten Verfahren verfügbar sein zur Sicherstellung der Durchsetzung geistiger Eigentumsrechte, insbesondere der Nutzung von lizenzierter Software.

Klicken Sie hier für ein Beispiel einer Richtlinie zum zulässigen Gebrauch.





Kryptografische Kontrollen sollten entsprechend den Gesetzen und Bestimmungen angewandt werden.

Klicken Sie für ein Beispiel eines Verfahrens zur Anwendung kryptografischer Kontrollen.

Die Informationssicherheit sollte regelmäßig durch einen unabhängigen Auditor geprüft werden, um die Eignung, Adäquatheit und Effektivität des Management Systems zu gewährleisten und Verbesserungsmöglichkeiten zu beurteilen. 

Klicken Sie hier für ein Beispiel eines Verfahrens für interne Audits.





ANMERKUNG: Um alle Ihre Antworten per E-Mail versendet zu bekommen, öffnen Sie bitte alle Abschnitte, auf die Sie antworteten.

[Die Ergebnisse werden an die eingegebene E-Mail-Adresse gesendet]
dejan-circle-new

Dejan Kosutic
Führender Experte für ISO 27001/ISO 22301

Haben Sie weitere Fragen?

Sprechen Sie kostenlos mit unseren Beratern

KOSTENLOSE BERATUNG VEREINBAREN

UNSERE KUNDEN

UNSERE PARTNER

  • Advisera ist ein von Exemplar Global zertifizierter TPECS-Anbieter für die IS, QM, EM, TL und AU Kompetenzeinheiten.
  • ITIL® ist ein eingetragenes Warenzeichen von AXELOS Limited. Wird unter der Lizenz von AXELOS Limited verwendet. Alle Rechte vorbehalten.
  • DNV GL Business Assurance ist einer der führenden Anbieter von akkreditierten Managementsystemzertifizierungen.