ISO 27001

1 Informationen zu erhalten ob ergriffene Maßnahmen zu dem gewünschten Ziel führen / wirksam sind und aufrechterhalten wird

Informationssicherheitsrichtlinien

1 Gruppe

2 Controlls

Informationssicherheitsrichtlinien

• Informationssicherheitsrichtlinien sind festgelegt und zur Umsetzung an die Beschäftigten und relevanten externen Parteien weitergegeben

Überprüfung der Informationssicherheitsrichtlinien

• Die Informationssicherheitsrichtlinien werden in geplanten Abständen oder jeweils nach erheblichen Änderungen auf Ihre Wirksamkeit überprüft

Organisation der Informationssicherheit

• 2 Gruppen

  • 6.1 Interne Organisation

  • 6.2 Mobilgeräte und Telearbeit

• Insgesamt 7 Controlls

Informationssicherheitsrollen und Verantwortlichkeiten

• Alle Informationssicherheitsverantwortlichkeiten sind festgelegt und zugeordnet

Aufgabentrennung

• Miteinander in Konflikt stehende Aufgaben und Verantwortlichkeitsbereiche sind getrennt, um die Möglichkeiten zu unbefugter oder unbeabsichtigter Änderung oder zum Missbrauch der Werte der Organisation zu reduzieren

Kontakt mit Behörden

• Angemessener Kontakt mit relevanten Behörden werden gepflegt

Kontakt mit speziellen Interessensgruppen

• angemessener Kontakt zu speziellen Interessensgruppen oder sonstigen sicherheitsorientieren Expertenforen und Fachverbänden werden gepflegt

Informationssicherheit im Projektmanagement

• Informationssicherheit wird im Projektmanagement berücksichtigt, ungeachtet der Art des Projektes

Richtlinien zu Mobilgeräten

• Eine Richtlinie und unterstützende Sicherheitsmaßnahmen sind umgesetzt, um die Risiken von Handy zu reduzieren und handelbar macht

Telearbeit

• Eine Richtlinie und unterstützende Sicherheitsmaßnahmen zum Schutz von Information, auf die von Telearbeitsplätzen aus zugegriffen wird oder die dort verarbeitet oder gespeichert werden, sind umgesetzt

Personalsicherheit

• 3 Gruppen

  • Vor der Beschäftigung (2)

  • Während der Beschäftigung (3)

  • Beendigung und Änderung der Beschäftigung (1)

Sicherheitsüberprüfung

• alle Bewerber werden einer Sicherheitsüberrpüfung unterzogen, die im Einklang mit den relevanten Gesetzten, Vorschriften und ethischen Grundsätzen sowie in einem angemessenen Verhältnis zu geschäftlichen Anforderungen

Beschäftigungs und Vertragsbedingungen

• In den vertraglichen Vereinbarungen mit angestellten und Auftragnehmer (Kunden) sind die Verantwortlichkeiten und diejenigen der Organisation festgelegt

Maßregelungsprozess

• formal festgelegt und veröffentlichter (intern) Maßregelungsprozess der bei Verstößen gegen Informationssicheit angewendet wird

Verantwortlichkeiten der Leitung

• Die Leitung verlangt von allen Beschäftigten und Auftragnehmern, dass die Informationssicherheit im Einklang mit den eingeführten Richtlinien und Verfahren der Organisation umsetzten

Informationssicherheitsbewusstsein, - Ausbildung - Schulung

• Alle Beschäftigten der Organisation und, wenn relevant, Auftragnehmer bekommen ein angemessenes Bewusstsein durch Ausbildung und Schulung sowie regelmäßige Aktualisierungen zu den Richtlinien und Verfahren der organisation die für ihr berufliches Arbeitsgebiet relevant sind

Verantwortlichkeiten und Pflichten im Bereich der Informationssicherheit die auch nach Beendigung oder Änderung der Beschäftigung bestehen bleiben sind festgelegt, dem Beschäftigten oder Auftragnehmer mitgeteilt und durchgesetzt

Verwaltung der Werte

• 3 Gruppen

  • Verantwortlichkeit für Werte (4)

  • Informationsklassifizierung (3)

  • Handhabung von Datenträgern (3)

Inventarisierung der Werte (erkennen der Werte)

• Information und andere Werte, die mit Information und informationsverarbeitunden Einrichtungen in Zusammenhang stehen, sind erfasst und ein Inventar dieser Werte ist erstellt und wird gepflegt

Zuständigkeit für Werte

• Für alle Werte, die im Inventar geführt werden gibt es Zuständige

zulässiger Gebrauch von Werten

• Regeln für den zulässigen Gebrauch von Information und Werten, die mit Information und informationsverarbeitenden Einrichtungen in Zusammenhang stehen, sind aufgestellt, dokumentiert und angewendet

Rückgabe von Werten

• Alle beschäftigten und sonstige Benutzer, die zu externen Parteien gehören, geben bei Beendigung des Beschäftigungsverhältnisses, sämtliche in ihrem Besitz befindlichen Werte, die der Organisation gehören zurück

Klassifizierung von Information

• Information ist anhand der gesetzlichen Anforderungen, ihres Wertes, Kritikalität und Empfindlichkeit gegenüber unbefugter Offenlegung oder Veränderung klassifiziert

Kennzeichnung von Information

• Ein angemessener Satz von Verfahren zur Kennzeichnung von Information ist entsprechend dem von der Organisation eingesetzten Informationsklassifizierungsschema entwickelt und umgesetzt

Handhabung von Werten

• Verfahren für die Handhabung von Werten sind entsprechend dem on der Organisation eingesetzten Informationsklassifizierungsschema entwickelt und umgesetzt

Handhabung von Wechseldatenträger

• verfahren zur Handhabung jener wird entsprechend dem von der Organisation eingesetzten Informationsklassifizierungsschema umgesetzt

Entsorgung von Wechseldatenträgern

• Nicht mehr benötigte Datenträger werden sicher und unter Anwendung formaler Verfahren entsorgt

Transport von Datenträger

• Datenträger sind während des transports vor unbefugtem Zugriff, Missbrauch oder Verfälschung zu schützen

Zugangssteuerung

• Geschäftsanforderungen an die Zugangssteuerung ( 2)

• Benutzer Zugangs Verwaltung (6)

• Benutzer Verantwortlichkeiten (1)

• Zugangssteuerung für Systeme und Anwendungen (4)

Zugangsseuerungsrichtilinien

• Eine Zugangssteuerungsrichtlinie ist auf Grundlage der geschäftlichen und sicherheitsrelevanten Anforderungen erstellt, dokumentiert und überprüft

—> Anhang welcher Kriterien haben sie die Zugangssteuerung erstellt? (Für welche Bereiche/Sektoren)

Nach welchen Kriterien

• wie

Zugang zu Netzwerken und Netzwerkdiensten

• Benutzer haben ausschließlich Zugang zu denjenigen Netzwerken und Netzwerkdiensten zu deren Nutzung sie ausdrücklich befugt sind

Registrierung und Deregistrierung von Benutzern

• Ein Formaler Prozess für die Registrierung und Deregistrierung von Benutzern ist umgesetzt, um die Zuordnung von Zugangsrechten zu ermöglichen

Zuteilung von Benutzerzugängen

• Ein formaler Prozess zur Zuteilung von Benutzerzugängen ist umgesetzt, um die Zugangsrechte für alle Benutzerarten zu allen Systemen und Diensten zuzuweisen oder zu entziehen

— wie Werden Benutzerzugängen verwaltet?

Verwaltung privilegierter Zugangsrechte

• Zuteilung und Gebrauch von privilegierten Zugangsrechten ist eingeschränkt und wird gesteuert

Verwaltung geheimer Authentisierungsinformation von Benutzern

• Die Zuordnung von geheimer Authentisierungsinformation wird über einen formalen Verwaltungsprozess gesteuert?

Überprüfung von Benutzerzugangsrechten

• Die für Werte Zuständigen überprüfen in regelmäßigen Abständen die Benutzerzugangsrechte

Entzug oder Anpassung von Zugangsrechten

• Die Zugangsrechte aller Beschäftigten und Benutzer, die zur externen Parteien gehören, auf Information und informationsverarbeitenden Einrichtungen werden bei Beendigung des Beschäftigungsverhältnisses, des Vertrages oder der Vereinbarung entzogen oder bei einer Änderung angepasst

Wie werden bei Veränderungen des Beschäftigungsverhältnisses Anpassungen an den Zugangsrechten vorgenommen?

Gebrauch geheimer Authentisierungsinformation

• Benutzer sind verpflichtet, die Regeln der Organisation zur Verwendung geheimer Authentisierungsinformation zu befolgen

Informationszugangsbeschränkung

• Zugang zu Information und Anwendungssystemfunktion ist entsprechend der Zugangssteuerungrichtlinie eingeschränkt

Sichere Anmeldeverfahren

• Soweit es die Zugangssteuerungsrichtlinie erfordert, wird der Zugang zu Systemen und Anwendungen durch ein sicheres Anmeldeverfahren gesteuert

System zur Verwaltung von Kennwörtern

• System zur Verwaltung von Kennwörtern sind interaktiv und stellen starke Kennwörter sicher

Gebrauch von Hilfsprogrammen mit privilegierten Rechten

• Der Gebrauch von Hilfsprogrammen, die fähig sein könnten, System- und Anwendungsschutzmaßnahmen zu umgehen, ist eingeschränkt und streng überwacht

Zugangssteuerung für Quellcode von Programmen

• Zugang zu Quellcode von Programmen ist eingeschränkt

Kryptographie

• Kryptographische Maßnahmen (2)

Richtlinie zum Gebrauch von kryptographischen Maßnahmen

• eine Richtlinie für kryptographische Maßnahme zum Schutz von Informationen ist entwickelt und umgesetzt

Schlüsselverwaltung

• Richtlinie für den Gebrauch zum Schutz und zur Lebensdauer von kryptographischen Schlüssseln ist entwickelt und wird über deren gesamten

Physische und umgebungsbezogene Sicherheit

• 11.1 Sicherheitsbereiche (6)

• 11.2 Geräte und Betriebsmittel (9)

Physischer Sicherheitsperimeter

• Sicherheitsperimeter für kritische und sensible Informationen und deren Verarbeitung sind festgelegt und werden verwendet

Physiche Zutrittsteuerung:

• Sicherheitsbereiche sind durch angemesse Zutrittssteuerungsmaßnahmen geschützt

Sichern von Büros, Räumen und Einrichtungen

• Ein Konzept für physische Sicherheit wird angewendet

Schutz vor externen und umweltbedingten Bedrohungen

• Physischer Schutz vor anthropogenen und Umweltkatastrophen

Arbeiten in Sichereheitbereichen

• Verfahren für das Arbeiten in Sicherehitsbereichen sind konzipiert und werden angewendet