Zum Inhalt springen
Zurück zur ISMS-Dokumentation

Statement of Applicability

Statement of Applicability

0/93

Bewertet

0

Anwendbar

0

Ausgeschlossen

0

Umgesetzt

0

Offen

A.5 Organisatorische Maßnahmen

37 Controls

A.5.1InformationssicherheitsrichtlinienVon der Leitung genehmigte, kommunizierte und regelmäßig überprüfte IS-Richtlinien.
Anwendbar für A.5.1
A.5.2Rollen und VerantwortlichkeitenInformationssicherheits-Rollen sind definiert und zugewiesen.
Anwendbar für A.5.2
A.5.3AufgabentrennungWidersprüchliche Aufgaben und Verantwortungsbereiche sind getrennt.
Anwendbar für A.5.3
A.5.4Pflichten der LeitungDie Leitung fordert die Anwendung der IS-Richtlinien von allen Beschäftigten ein.
Anwendbar für A.5.4
A.5.5Kontakt zu BehördenGeeignete Kontakte zu relevanten Behörden sind gepflegt.
Anwendbar für A.5.5
A.5.6Kontakt zu FachgruppenKontakte zu Interessengruppen und Fachforen für Informationssicherheit bestehen.
Anwendbar für A.5.6
A.5.7Threat IntelligenceInformationen zu Bedrohungen werden gesammelt und ausgewertet.
Anwendbar für A.5.7
A.5.8Informationssicherheit im ProjektmanagementInformationssicherheit ist fester Bestandteil des Projektmanagements.
Anwendbar für A.5.8
A.5.9Inventar der WerteInformationen und zugehörige Werte sind identifiziert und in einem Inventar erfasst.
Anwendbar für A.5.9
A.5.10Zulässige Nutzung von WertenRegeln für die zulässige Nutzung von Informationen und Werten sind festgelegt.
Anwendbar für A.5.10
A.5.11Rückgabe von WertenBeschäftigte geben bei Beendigung des Verhältnisses zugeordnete Werte zurück.
Anwendbar für A.5.11
A.5.12Klassifizierung von InformationenInformationen sind nach Schutzbedarf klassifiziert.
Anwendbar für A.5.12
A.5.13Kennzeichnung von InformationenEs gibt Verfahren zur Kennzeichnung von Informationen entsprechend ihrer Klassifizierung.
Anwendbar für A.5.13
A.5.14InformationsübertragungRegeln für die sichere Übertragung von Informationen intern und extern sind festgelegt.
Anwendbar für A.5.14
A.5.15ZugangssteuerungRegeln zur Steuerung des physischen und logischen Zugangs sind festgelegt und umgesetzt.
Anwendbar für A.5.15
A.5.16IdentitätsmanagementDer vollständige Lebenszyklus von Identitäten wird verwaltet.
Anwendbar für A.5.16
A.5.17AuthentisierungsinformationenZuweisung und Verwaltung von Authentisierungsinformationen erfolgt kontrolliert.
Anwendbar für A.5.17
A.5.18ZugangsrechteZugangsrechte werden nach dem festgelegten Regelwerk vergeben, überprüft und entzogen.
Anwendbar für A.5.18
A.5.19Informationssicherheit in LieferantenbeziehungenRisiken durch Lieferantenzugriff auf Werte der Organisation werden gesteuert.
Anwendbar für A.5.19
A.5.20IS-Anforderungen in LieferantenverträgenRelevante Sicherheitsanforderungen sind mit jedem Lieferanten vertraglich vereinbart.
Anwendbar für A.5.20
A.5.21Sicherheit in der ICT-LieferketteRisiken in der ICT-Produkt- und Dienstleistungslieferkette werden gesteuert.
Anwendbar für A.5.21
A.5.22Überwachung von LieferantenleistungenLieferantenleistungen werden regelmäßig überwacht, überprüft und bei Änderungen neu bewertet.
Anwendbar für A.5.22
A.5.23Informationssicherheit bei Cloud-DienstenErwerb, Nutzung und Beendigung von Cloud-Diensten folgen definierten Sicherheitsprozessen.
Anwendbar für A.5.23
A.5.24Planung des VorfallmanagementsRollen, Verantwortlichkeiten und Prozesse für IS-Vorfälle sind geplant und vorbereitet.
Anwendbar für A.5.24
A.5.25Bewertung von IS-EreignissenIS-Ereignisse werden bewertet und als Vorfall eingestuft oder verworfen.
Anwendbar für A.5.25
A.5.26Reaktion auf IS-VorfälleIS-Vorfälle werden gemäß dokumentierten Verfahren bearbeitet.
Anwendbar für A.5.26
A.5.27Erkenntnisse aus IS-VorfällenErkenntnisse aus Vorfällen fließen zur Verbesserung in Steuerungsmaßnahmen ein.
Anwendbar für A.5.27
A.5.28BeweismittelsammlungVerfahren zur Identifizierung, Sammlung und Aufbewahrung von Beweismitteln sind festgelegt.
Anwendbar für A.5.28
A.5.29Informationssicherheit bei StörungenDas erforderliche IS-Niveau wird auch während einer Störung aufrechterhalten.
Anwendbar für A.5.29
A.5.30ICT-Bereitschaft für Business ContinuityDie ICT-Bereitschaft ist auf die Anforderungen der Betriebskontinuität abgestimmt und getestet.
Anwendbar für A.5.30
A.5.31Gesetzliche und vertragliche AnforderungenRelevante rechtliche, regulatorische und vertragliche IS-Anforderungen sind identifiziert und dokumentiert.
Anwendbar für A.5.31
A.5.32Geistiges EigentumAngemessene Verfahren zum Schutz geistigen Eigentums sind umgesetzt.
Anwendbar für A.5.32
A.5.33Schutz von AufzeichnungenAufzeichnungen sind vor Verlust, Zerstörung, Fälschung und unbefugtem Zugriff geschützt.
Anwendbar für A.5.33
A.5.34Datenschutz und Schutz personenbezogener DatenDatenschutzanforderungen entsprechend geltendem Recht sind identifiziert und erfüllt.
Anwendbar für A.5.34
A.5.35Unabhängige Überprüfung der InformationssicherheitDer IS-Ansatz der Organisation wird in geplanten Abständen unabhängig überprüft.
Anwendbar für A.5.35
A.5.36Einhaltung von Richtlinien und StandardsDie Einhaltung der eigenen IS-Richtlinien und -Standards wird regelmäßig überprüft.
Anwendbar für A.5.36
A.5.37Dokumentierte BetriebsabläufeBetriebsabläufe für Informationsverarbeitungseinrichtungen sind dokumentiert und verfügbar.
Anwendbar für A.5.37

A.6 Personelle Maßnahmen

8 Controls

A.6.1SicherheitsüberprüfungBewerber werden vor der Einstellung angemessen überprüft.
Anwendbar für A.6.1
A.6.2BeschäftigungsbedingungenArbeitsverträge enthalten die Verantwortlichkeiten für Informationssicherheit.
Anwendbar für A.6.2
A.6.3Sensibilisierung, Aus- und WeiterbildungBeschäftigte erhalten regelmäßige IS-Awareness-Schulungen entsprechend ihrer Rolle.
Anwendbar für A.6.3
A.6.4DisziplinarverfahrenEin formeller Prozess für Reaktionen auf IS-Regelverstöße existiert.
Anwendbar für A.6.4
A.6.5Verantwortlichkeiten nach BeendigungIS-Pflichten, die über das Beschäftigungsende hinaus gelten, sind definiert und kommuniziert.
Anwendbar für A.6.5
A.6.6VertraulichkeitsvereinbarungenVertraulichkeits- oder Geheimhaltungsvereinbarungen sind identifiziert, dokumentiert und regelmäßig überprüft.
Anwendbar für A.6.6
A.6.7Mobiles ArbeitenSicherheitsmaßnahmen für Remote-Arbeit sind festgelegt und umgesetzt.
Anwendbar für A.6.7
A.6.8Meldung von IS-EreignissenBeschäftigte können beobachtete oder vermutete IS-Ereignisse zeitnah melden.
Anwendbar für A.6.8

A.7 Physische Maßnahmen

14 Controls

A.7.1Physische SicherheitsbereicheSicherheitsbereiche zum Schutz sensibler Bereiche sind definiert und genutzt.
Anwendbar für A.7.1
A.7.2Physischer ZutrittSicherheitsbereiche sind durch geeignete Zutrittskontrollen geschützt.
Anwendbar für A.7.2
A.7.3Sicherung von Büros und RäumenBüros, Räume und Einrichtungen sind physisch gesichert.
Anwendbar für A.7.3
A.7.4Physische SicherheitsüberwachungRäumlichkeiten werden kontinuierlich auf unbefugten physischen Zugriff überwacht.
Anwendbar für A.7.4
A.7.5Schutz vor physischen und UmweltbedrohungenSchutz vor Naturkatastrophen und anderen physischen/Umweltbedrohungen ist konzipiert und umgesetzt.
Anwendbar für A.7.5
A.7.6Arbeiten in SicherheitsbereichenSicherheitsmaßnahmen für das Arbeiten in Sicherheitsbereichen sind festgelegt.
Anwendbar für A.7.6
A.7.7Clear Desk und Clear ScreenRegeln für aufgeräumte Arbeitsplätze und gesperrte Bildschirme sind festgelegt und umgesetzt.
Anwendbar für A.7.7
A.7.8Standort und Schutz von GerätenGeräte sind sicher platziert und geschützt.
Anwendbar für A.7.8
A.7.9Sicherheit von Werten außerhalb der RäumlichkeitenWerte außerhalb der Betriebsräume sind geschützt.
Anwendbar für A.7.9
A.7.10SpeichermedienSpeichermedien werden entsprechend dem Klassifizierungsschema über ihren Lebenszyklus hinweg verwaltet.
Anwendbar für A.7.10
A.7.11VersorgungseinrichtungenInformationsverarbeitungseinrichtungen sind vor Ausfällen der Versorgung (Strom etc.) geschützt.
Anwendbar für A.7.11
A.7.12Sicherheit der VerkabelungStrom- und Datenkabel sind vor Abhören, Störung oder Beschädigung geschützt.
Anwendbar für A.7.12
A.7.13Wartung von GerätenGeräte werden korrekt gewartet, um Verfügbarkeit und Integrität sicherzustellen.
Anwendbar für A.7.13
A.7.14Sichere Entsorgung oder WiederverwendungGeräte mit Speichermedien werden vor Entsorgung oder Wiederverwendung geprüft und Daten sicher entfernt.
Anwendbar für A.7.14

A.8 Technologische Maßnahmen

34 Controls

A.8.1Endgeräte der BenutzerInformationen auf, durch und zugänglich über Endgeräte sind geschützt.
Anwendbar für A.8.1
A.8.2Privilegierte ZugriffsrechteVergabe und Nutzung privilegierter Zugriffsrechte sind eingeschränkt und kontrolliert.
Anwendbar für A.8.2
A.8.3Beschränkung des InformationszugriffsZugriff auf Informationen ist gemäß definierter Zugriffssteuerungsregeln beschränkt.
Anwendbar für A.8.3
A.8.4Zugriff auf QuellcodeLese- und Schreibzugriff auf Quellcode, Entwicklungswerkzeuge und Software-Bibliotheken ist geregelt.
Anwendbar für A.8.4
A.8.5Sichere AuthentisierungSichere Authentisierungstechnologien und -verfahren sind entsprechend Zugriffssteuerung umgesetzt.
Anwendbar für A.8.5
A.8.6KapazitätsmanagementDie Nutzung von Ressourcen wird überwacht und auf zukünftige Kapazitätsanforderungen abgestimmt.
Anwendbar für A.8.6
A.8.7Schutz vor SchadsoftwareSchutz vor Schadsoftware ist umgesetzt und wird durch angemessene Sensibilisierung unterstützt.
Anwendbar für A.8.7
A.8.8Management technischer SchwachstellenInformationen über technische Schwachstellen werden erfasst, bewertet und angemessen behandelt.
Anwendbar für A.8.8
A.8.9KonfigurationsmanagementKonfigurationen von Hard- und Software werden festgelegt, dokumentiert, umgesetzt, überwacht und überprüft.
Anwendbar für A.8.9
A.8.10Löschung von InformationenNicht mehr benötigte Informationen werden bei Bedarf gelöscht.
Anwendbar für A.8.10
A.8.11DatenmaskierungDatenmaskierung wird entsprechend Zugriffssteuerung und rechtlichen Anforderungen eingesetzt.
Anwendbar für A.8.11
A.8.12Verhinderung von DatenabflussMaßnahmen gegen die unbefugte Offenlegung von Informationen sind umgesetzt.
Anwendbar für A.8.12
A.8.13DatensicherungSicherungskopien von Informationen, Software und Systemen werden regelmäßig erstellt und getestet.
Anwendbar für A.8.13
A.8.14Redundanz von VerarbeitungseinrichtungenInformationsverarbeitungseinrichtungen sind mit ausreichender Redundanz für Verfügbarkeitsanforderungen ausgestattet.
Anwendbar für A.8.14
A.8.15ProtokollierungProtokolle über Aktivitäten, Ausnahmen und Ereignisse werden erstellt, aufbewahrt und überprüft.
Anwendbar für A.8.15
A.8.16ÜberwachungsaktivitätenNetzwerke, Systeme und Anwendungen werden auf anomales Verhalten überwacht.
Anwendbar für A.8.16
A.8.17ZeitsynchronisationUhren von Informationsverarbeitungssystemen sind auf zugelassene Zeitquellen synchronisiert.
Anwendbar für A.8.17
A.8.18Nutzung privilegierter HilfsprogrammeDie Nutzung von Hilfsprogrammen, die System- und Anwendungskontrollen umgehen können, ist eingeschränkt.
Anwendbar für A.8.18
A.8.19Installation von Software auf SystemenVerfahren zur sicheren Installation von Software auf Betriebssystemen sind umgesetzt.
Anwendbar für A.8.19
A.8.20NetzwerksicherheitNetzwerke und Netzwerkgeräte sind gesichert, verwaltet und kontrolliert.
Anwendbar für A.8.20
A.8.21Sicherheit von NetzwerkdienstenSicherheitsmechanismen, Dienstgüte und Anforderungen an Netzwerkdienste sind identifiziert und umgesetzt.
Anwendbar für A.8.21
A.8.22Trennung von NetzwerkenGruppen von Informationsdiensten, Benutzern und Systemen sind in Netzwerken getrennt.
Anwendbar für A.8.22
A.8.23Web-FilterungDer Zugriff auf externe Webseiten ist gesteuert, um die Exposition gegenüber schädlichen Inhalten zu reduzieren.
Anwendbar für A.8.23
A.8.24Einsatz von KryptografieRegeln für den wirksamen Einsatz von Kryptografie sind festgelegt und umgesetzt.
Anwendbar für A.8.24
A.8.25Sicherer EntwicklungslebenszyklusRegeln für die sichere Entwicklung von Software und Systemen sind festgelegt und angewendet.
Anwendbar für A.8.25
A.8.26Anforderungen an die AnwendungssicherheitIS-Anforderungen werden bei der Entwicklung oder Beschaffung von Anwendungen identifiziert und spezifiziert.
Anwendbar für A.8.26
A.8.27Sichere SystemarchitekturGrundsätze für sicheres Systems Engineering sind etabliert und in Entwicklungsaktivitäten angewendet.
Anwendbar für A.8.27
A.8.28Sicheres ProgrammierenGrundsätze für sicheres Programmieren werden angewendet.
Anwendbar für A.8.28
A.8.29Sicherheitstests in Entwicklung und AbnahmeSicherheitstestprozesse sind im Entwicklungszyklus definiert und umgesetzt.
Anwendbar für A.8.29
A.8.30Ausgelagerte EntwicklungAusgelagerte Systementwicklung wird gesteuert und überwacht.
Anwendbar für A.8.30
A.8.31Trennung von Entwicklungs-, Test- und ProduktivumgebungenEntwicklungs-, Test- und Produktivumgebungen sind getrennt und abgesichert.
Anwendbar für A.8.31
A.8.32ÄnderungsmanagementÄnderungen an Informationsverarbeitungseinrichtungen und Systemen unterliegen Verfahren des Änderungsmanagements.
Anwendbar für A.8.32
A.8.33TestdatenTestdaten sind angemessen ausgewählt, geschützt und verwaltet.
Anwendbar für A.8.33
A.8.34Schutz von Systemen während Audit-TestsAudit-Tests und andere Prüfaktivitäten sind so geplant, dass Störungen der Geschäftsprozesse minimiert werden.
Anwendbar für A.8.34

Änderungsverlauf

Noch keine Einträge.