– auf Autopilot
Mit TrustSpace automatisieren Sie das Management Ihrer Informationssicherheit.
Ihre All-in-One Lösung für IT Compliance.
Wenn Sie sich bereits mit der Zertifizierung nach ISO 27001 auseinandergesetzt haben, werden Sie sicherlich auf den Anhang A gestoßen sein. Doch was genau sagt dieser aus und warum ist er so wichtig?
Im Allgemeinen geht es bei der Zertifizierung nach ISO 27001 um die Einführung eines wirksames Informationssicherheitsmanagementsystems. Der Fokus liegt dabei auf der Identifikation und Bekämpfung von Risiken, die die Integrität, Vertraulichkeit oder Verfügbarkeit von Informationen und Daten gefährden. Dafür bietet der ISO-Standard im Anhang A eine Reihe an Maßnahmen, die Unternehmen umsetzen können, um dieses Ziel zu erreichen.
Die 114 Maßnahmen (ISO 27001:2013) werden in 14 Kategorien unterteilt, die unter anderem HR, IT oder rechtliche Aspekte abdecken. Sie sind keineswegs verpflichtet alle Maßnahmen während einer Zertifizierung umzusetzen, müssen die In- und Exklusion jedoch in einem “Statement of Applicability” begründen.
Ein Update der Norm (ISO 27001:2022) zu Beginn des Jahres führte zu umfangreichen Änderungen – dies betraf insbesondere den Anhang. Eine kostenlose Übersicht aller Änderungen erhalten Sie hier.
Da die 2013er Version der ISO 27001 noch vermehrt Anwendung findet, beziehen sich die folgenden Angaben auch auf diese Version.
Nach dem 2013er-Standard enthält der Anhang A der ISO-Norm 114 Maßnahmen, die implementiert werden können, um die Informationssicherheit eines Unternehmens zu gewährleisten. Die Erläuterung aller Maßnahmen würde einerseits den Rahmen dieses Beitrags sprengen und andererseits zu urheberrechtlichen Probleme führen. Aus diesem Grund werde ich im folgenden Kurz auf die 14 Kategorien eingehen, in die die Maßnahmen des Anhang A eingeordnet werden.
In diesem Abschnitt geht es im Allgemeinem um die Erstellung und regelmäßige Aktualisierung von Informationssicherheitsrichtlinien. Diese sollten, um ihren Zweck zu erfüllen, im Einklang mit den allgemeinen Anforderungen einer Organisation stehen.
Die Maßnahmen dieser Kategorie betreffen vor allem die Managementebene eines Unternehmens. So sind es Maßnahmen, die beispielsweise die Definition konkreter Rollen und Verantwortlichkeiten im Rahmen der Informationssicherheit vorsehen. Darüber hinaus geht es um den Kontakt mit Strafverfolgungs-, Regulierungs- sowie Aufsichtsbehörden.
Der Fokus der Maßnahmen dieser Kategorie liegt auf der Informationssicherheit in Bezug auf das Personal eines Unternehmens. So umfassen die Maßnahmen einerseits die Prüfung von Mitarbeitern, aber auch die Sensibilisierung für Informationssicherheit sowie Schulungen.
Diese Kategorien umfasst Maßnahmen, die mit den Informationsbeständen innerhalb eines Unternehmens zusammenhängen. Dabei geht es nicht nur um die vollständige Erfassung von Informationsbeständen, sondern unter anderem auch um die Implementierung entsprechenden Nutzungsrechten.
Der Fokus dieser Kategorie liegt auf der Zugangs- und Identitätsverwaltung. Dazu gehören unter anderem klar definierte Zugangsrechte, eindeutige Benutzererkennungen sowie Authentifizierungsverfahren.
Bei den Maßnahmen dieser Kategorie geht es um den Einsatz von Kryptografie, um die Integrität, Verfügbarkeit und Vertraulichkeit von Informationen (Schutzziele der IT) sicherzustellen.
Der Schutz von Informationsbeständen erfolgt nicht rein digital. Einerseits gibt es Orte, an denen Informationen gespeichert und verarbeitet werden (z.B. Rechenzentren / Server) andererseits gibt es in den meisten Unternehmen auch physische Informationsbestände (Akten etc.). Der Zugang zu diesen beständen muss durch entsprechende Maßnahmen sachgerecht geregelt und geschützt werden.
In diesem Abschnitt werden eine Reihe von Maßnahmen vorgestellt, die mit der betrieblichen Sicherheit zusammenhängen. So geht es z.B. um Sicherheitskontrollen wie dem Schutz vor Schadsoftware, Datensicherung oder technisches Schwachstellenmanagement.
In dieser Kategorie werden Maßnahmen für die sichere Informationsübertragung, insbesondere per Mail, dokumentiert.
In diesem Abschnitt werden Maßnahmen definiert, die mit der Beschaffung und Wartung von Informationsbeständen zusammenhängen. Dazu gehören beispielsweise die Kontrolle von Systemänderungen oder die Sicherung der Systemtechnik.
Auch Lieferanten und Dienstleister können Zugang zu sensiblen Informationen haben. Aus diesem Grund werden in dieser Kategorie Maßnahmen vorgestellt, die die Sicherung von Informationsbeständen im Umgang mit Drittparteien betreffen.
Auch wenn Dein Unternehmen über ausreichend Maßnahmen verfügt, kann es zu Informationssichehreitsvorfällen (z.B. Datenverlust) kommen. Um in solchen Fällen eine adäquate Reaktion zu gewährleisten, schlägt der Standard einige Maßnahmen vor.
Die hier vorgestellten Maßnahmen beziehen sich auf die Einbettung der Informationssicherheit in die Geschäftskontinuität.
Im Zusammenhang mit der Informationssicherheit eines Unternehmens stehen in vielen Fällen regulatorische oder gesetzliche Anforderungen. Zur Einhaltung dieser Anforderungen werden in diesem Abschnitt entsprechende Kontrollen vorgestellt.
Sie möchten die Informationssicherheit Ihres Unternehmen automatisieren und Ihnen somit nicht nur einen Wettbewerbsvorteil schaffen, sondern sich optimal gegen Cyberangriffe und Datenpannen absichern? Dann besuchen Sie unsere Website oder vereinbaren Sie direkt ein unverbindliches und kostenloses Erstgespräch mit einem unserer Experten.
In Zeiten zunehmend aggressiver Cyberattacken, sorgen sich immer mehr Unternehmen um die Sicherheit ihrer internen Prozesse und Systeme. Dabei sollte der Fokus nicht nur auf der eigenen IT-Sicherheit liegen, sondern auch entsprechende Vorkehrungen der Zulieferer und Dienstleister überprüft werden.
Die TISAX®️ (Trusted Information Security Assessment Exchange) beschreibt ein Prüf- und Austauschverfahren, welches die Informationssicherheit in der Automobilindustrie sicherstellen soll. Bei einem Assessment wird die Konformität mit den Anforderungen des VDA Information Security Assessment (VDA ISA) überprüft.
Die TISAX®️ -Zertifizierung (Trusted Information Security Assessment Exchange) beschreibt ein Prüf- und Austauschverfahren, welches die Informationssicherheit in der Automobilindustrie sicherstellen soll. Bei einem Assessment wird die Konformität mit den Anforderungen des VDA Information Security Assessment (VDA ISA) überprüft.
Chausseestraße 16
10115 Berlin
info@trustspace.io
