Speicherfehler: Änderungen konnten nicht gespeichert werden (z.B. Private Mode oder Speicher voll).
Statement of Applicability
Statement of Applicability
0/93
Bewertet
0
Anwendbar
0
Ausgeschlossen
0
Umgesetzt
0
Offen
A.5 Organisatorische Maßnahmen
37 Controls
A.5.1InformationssicherheitsrichtlinienVon der Leitung genehmigte, kommunizierte und regelmäßig überprüfte IS-Richtlinien.
A.5.2Rollen und VerantwortlichkeitenInformationssicherheits-Rollen sind definiert und zugewiesen.
A.5.3AufgabentrennungWidersprüchliche Aufgaben und Verantwortungsbereiche sind getrennt.
A.5.4Pflichten der LeitungDie Leitung fordert die Anwendung der IS-Richtlinien von allen Beschäftigten ein.
A.5.5Kontakt zu BehördenGeeignete Kontakte zu relevanten Behörden sind gepflegt.
A.5.6Kontakt zu FachgruppenKontakte zu Interessengruppen und Fachforen für Informationssicherheit bestehen.
A.5.7Threat IntelligenceInformationen zu Bedrohungen werden gesammelt und ausgewertet.
A.5.8Informationssicherheit im ProjektmanagementInformationssicherheit ist fester Bestandteil des Projektmanagements.
A.5.9Inventar der WerteInformationen und zugehörige Werte sind identifiziert und in einem Inventar erfasst.
A.5.10Zulässige Nutzung von WertenRegeln für die zulässige Nutzung von Informationen und Werten sind festgelegt.
A.5.11Rückgabe von WertenBeschäftigte geben bei Beendigung des Verhältnisses zugeordnete Werte zurück.
A.5.12Klassifizierung von InformationenInformationen sind nach Schutzbedarf klassifiziert.
A.5.13Kennzeichnung von InformationenEs gibt Verfahren zur Kennzeichnung von Informationen entsprechend ihrer Klassifizierung.
A.5.14InformationsübertragungRegeln für die sichere Übertragung von Informationen intern und extern sind festgelegt.
A.5.15ZugangssteuerungRegeln zur Steuerung des physischen und logischen Zugangs sind festgelegt und umgesetzt.
A.5.16IdentitätsmanagementDer vollständige Lebenszyklus von Identitäten wird verwaltet.
A.5.17AuthentisierungsinformationenZuweisung und Verwaltung von Authentisierungsinformationen erfolgt kontrolliert.
A.5.18ZugangsrechteZugangsrechte werden nach dem festgelegten Regelwerk vergeben, überprüft und entzogen.
A.5.19Informationssicherheit in LieferantenbeziehungenRisiken durch Lieferantenzugriff auf Werte der Organisation werden gesteuert.
A.5.20IS-Anforderungen in LieferantenverträgenRelevante Sicherheitsanforderungen sind mit jedem Lieferanten vertraglich vereinbart.
A.5.21Sicherheit in der ICT-LieferketteRisiken in der ICT-Produkt- und Dienstleistungslieferkette werden gesteuert.
A.5.22Überwachung von LieferantenleistungenLieferantenleistungen werden regelmäßig überwacht, überprüft und bei Änderungen neu bewertet.
A.5.23Informationssicherheit bei Cloud-DienstenErwerb, Nutzung und Beendigung von Cloud-Diensten folgen definierten Sicherheitsprozessen.
A.5.24Planung des VorfallmanagementsRollen, Verantwortlichkeiten und Prozesse für IS-Vorfälle sind geplant und vorbereitet.
A.5.25Bewertung von IS-EreignissenIS-Ereignisse werden bewertet und als Vorfall eingestuft oder verworfen.
A.5.26Reaktion auf IS-VorfälleIS-Vorfälle werden gemäß dokumentierten Verfahren bearbeitet.
A.5.27Erkenntnisse aus IS-VorfällenErkenntnisse aus Vorfällen fließen zur Verbesserung in Steuerungsmaßnahmen ein.
A.5.28BeweismittelsammlungVerfahren zur Identifizierung, Sammlung und Aufbewahrung von Beweismitteln sind festgelegt.
A.5.29Informationssicherheit bei StörungenDas erforderliche IS-Niveau wird auch während einer Störung aufrechterhalten.
A.5.30ICT-Bereitschaft für Business ContinuityDie ICT-Bereitschaft ist auf die Anforderungen der Betriebskontinuität abgestimmt und getestet.
A.5.31Gesetzliche und vertragliche AnforderungenRelevante rechtliche, regulatorische und vertragliche IS-Anforderungen sind identifiziert und dokumentiert.
A.5.32Geistiges EigentumAngemessene Verfahren zum Schutz geistigen Eigentums sind umgesetzt.
A.5.33Schutz von AufzeichnungenAufzeichnungen sind vor Verlust, Zerstörung, Fälschung und unbefugtem Zugriff geschützt.
A.5.34Datenschutz und Schutz personenbezogener DatenDatenschutzanforderungen entsprechend geltendem Recht sind identifiziert und erfüllt.
A.5.35Unabhängige Überprüfung der InformationssicherheitDer IS-Ansatz der Organisation wird in geplanten Abständen unabhängig überprüft.
A.5.36Einhaltung von Richtlinien und StandardsDie Einhaltung der eigenen IS-Richtlinien und -Standards wird regelmäßig überprüft.
A.5.37Dokumentierte BetriebsabläufeBetriebsabläufe für Informationsverarbeitungseinrichtungen sind dokumentiert und verfügbar.
A.6 Personelle Maßnahmen
8 Controls
A.6.1SicherheitsüberprüfungBewerber werden vor der Einstellung angemessen überprüft.
A.6.2BeschäftigungsbedingungenArbeitsverträge enthalten die Verantwortlichkeiten für Informationssicherheit.
A.6.3Sensibilisierung, Aus- und WeiterbildungBeschäftigte erhalten regelmäßige IS-Awareness-Schulungen entsprechend ihrer Rolle.
A.6.4DisziplinarverfahrenEin formeller Prozess für Reaktionen auf IS-Regelverstöße existiert.
A.6.5Verantwortlichkeiten nach BeendigungIS-Pflichten, die über das Beschäftigungsende hinaus gelten, sind definiert und kommuniziert.
A.6.6VertraulichkeitsvereinbarungenVertraulichkeits- oder Geheimhaltungsvereinbarungen sind identifiziert, dokumentiert und regelmäßig überprüft.
A.6.7Mobiles ArbeitenSicherheitsmaßnahmen für Remote-Arbeit sind festgelegt und umgesetzt.
A.6.8Meldung von IS-EreignissenBeschäftigte können beobachtete oder vermutete IS-Ereignisse zeitnah melden.
A.7 Physische Maßnahmen
14 Controls
A.7.1Physische SicherheitsbereicheSicherheitsbereiche zum Schutz sensibler Bereiche sind definiert und genutzt.
A.7.2Physischer ZutrittSicherheitsbereiche sind durch geeignete Zutrittskontrollen geschützt.
A.7.3Sicherung von Büros und RäumenBüros, Räume und Einrichtungen sind physisch gesichert.
A.7.4Physische SicherheitsüberwachungRäumlichkeiten werden kontinuierlich auf unbefugten physischen Zugriff überwacht.
A.7.5Schutz vor physischen und UmweltbedrohungenSchutz vor Naturkatastrophen und anderen physischen/Umweltbedrohungen ist konzipiert und umgesetzt.
A.7.6Arbeiten in SicherheitsbereichenSicherheitsmaßnahmen für das Arbeiten in Sicherheitsbereichen sind festgelegt.
A.7.7Clear Desk und Clear ScreenRegeln für aufgeräumte Arbeitsplätze und gesperrte Bildschirme sind festgelegt und umgesetzt.
A.7.8Standort und Schutz von GerätenGeräte sind sicher platziert und geschützt.
A.7.9Sicherheit von Werten außerhalb der RäumlichkeitenWerte außerhalb der Betriebsräume sind geschützt.
A.7.10SpeichermedienSpeichermedien werden entsprechend dem Klassifizierungsschema über ihren Lebenszyklus hinweg verwaltet.
A.7.11VersorgungseinrichtungenInformationsverarbeitungseinrichtungen sind vor Ausfällen der Versorgung (Strom etc.) geschützt.
A.7.12Sicherheit der VerkabelungStrom- und Datenkabel sind vor Abhören, Störung oder Beschädigung geschützt.
A.7.13Wartung von GerätenGeräte werden korrekt gewartet, um Verfügbarkeit und Integrität sicherzustellen.
A.7.14Sichere Entsorgung oder WiederverwendungGeräte mit Speichermedien werden vor Entsorgung oder Wiederverwendung geprüft und Daten sicher entfernt.
A.8 Technologische Maßnahmen
34 Controls
A.8.1Endgeräte der BenutzerInformationen auf, durch und zugänglich über Endgeräte sind geschützt.
A.8.2Privilegierte ZugriffsrechteVergabe und Nutzung privilegierter Zugriffsrechte sind eingeschränkt und kontrolliert.
A.8.3Beschränkung des InformationszugriffsZugriff auf Informationen ist gemäß definierter Zugriffssteuerungsregeln beschränkt.
A.8.4Zugriff auf QuellcodeLese- und Schreibzugriff auf Quellcode, Entwicklungswerkzeuge und Software-Bibliotheken ist geregelt.
A.8.5Sichere AuthentisierungSichere Authentisierungstechnologien und -verfahren sind entsprechend Zugriffssteuerung umgesetzt.
A.8.6KapazitätsmanagementDie Nutzung von Ressourcen wird überwacht und auf zukünftige Kapazitätsanforderungen abgestimmt.
A.8.7Schutz vor SchadsoftwareSchutz vor Schadsoftware ist umgesetzt und wird durch angemessene Sensibilisierung unterstützt.
A.8.8Management technischer SchwachstellenInformationen über technische Schwachstellen werden erfasst, bewertet und angemessen behandelt.
A.8.9KonfigurationsmanagementKonfigurationen von Hard- und Software werden festgelegt, dokumentiert, umgesetzt, überwacht und überprüft.
A.8.10Löschung von InformationenNicht mehr benötigte Informationen werden bei Bedarf gelöscht.
A.8.11DatenmaskierungDatenmaskierung wird entsprechend Zugriffssteuerung und rechtlichen Anforderungen eingesetzt.
A.8.12Verhinderung von DatenabflussMaßnahmen gegen die unbefugte Offenlegung von Informationen sind umgesetzt.
A.8.13DatensicherungSicherungskopien von Informationen, Software und Systemen werden regelmäßig erstellt und getestet.
A.8.14Redundanz von VerarbeitungseinrichtungenInformationsverarbeitungseinrichtungen sind mit ausreichender Redundanz für Verfügbarkeitsanforderungen ausgestattet.
A.8.15ProtokollierungProtokolle über Aktivitäten, Ausnahmen und Ereignisse werden erstellt, aufbewahrt und überprüft.
A.8.16ÜberwachungsaktivitätenNetzwerke, Systeme und Anwendungen werden auf anomales Verhalten überwacht.
A.8.17ZeitsynchronisationUhren von Informationsverarbeitungssystemen sind auf zugelassene Zeitquellen synchronisiert.
A.8.18Nutzung privilegierter HilfsprogrammeDie Nutzung von Hilfsprogrammen, die System- und Anwendungskontrollen umgehen können, ist eingeschränkt.
A.8.19Installation von Software auf SystemenVerfahren zur sicheren Installation von Software auf Betriebssystemen sind umgesetzt.
A.8.20NetzwerksicherheitNetzwerke und Netzwerkgeräte sind gesichert, verwaltet und kontrolliert.
A.8.21Sicherheit von NetzwerkdienstenSicherheitsmechanismen, Dienstgüte und Anforderungen an Netzwerkdienste sind identifiziert und umgesetzt.
A.8.22Trennung von NetzwerkenGruppen von Informationsdiensten, Benutzern und Systemen sind in Netzwerken getrennt.
A.8.23Web-FilterungDer Zugriff auf externe Webseiten ist gesteuert, um die Exposition gegenüber schädlichen Inhalten zu reduzieren.
A.8.24Einsatz von KryptografieRegeln für den wirksamen Einsatz von Kryptografie sind festgelegt und umgesetzt.
A.8.25Sicherer EntwicklungslebenszyklusRegeln für die sichere Entwicklung von Software und Systemen sind festgelegt und angewendet.
A.8.26Anforderungen an die AnwendungssicherheitIS-Anforderungen werden bei der Entwicklung oder Beschaffung von Anwendungen identifiziert und spezifiziert.
A.8.27Sichere SystemarchitekturGrundsätze für sicheres Systems Engineering sind etabliert und in Entwicklungsaktivitäten angewendet.
A.8.28Sicheres ProgrammierenGrundsätze für sicheres Programmieren werden angewendet.
A.8.29Sicherheitstests in Entwicklung und AbnahmeSicherheitstestprozesse sind im Entwicklungszyklus definiert und umgesetzt.
A.8.30Ausgelagerte EntwicklungAusgelagerte Systementwicklung wird gesteuert und überwacht.
A.8.31Trennung von Entwicklungs-, Test- und ProduktivumgebungenEntwicklungs-, Test- und Produktivumgebungen sind getrennt und abgesichert.
A.8.32ÄnderungsmanagementÄnderungen an Informationsverarbeitungseinrichtungen und Systemen unterliegen Verfahren des Änderungsmanagements.
A.8.33TestdatenTestdaten sind angemessen ausgewählt, geschützt und verwaltet.
A.8.34Schutz von Systemen während Audit-TestsAudit-Tests und andere Prüfaktivitäten sind so geplant, dass Störungen der Geschäftsprozesse minimiert werden.
Änderungsverlauf
Noch keine Einträge.