Zusammenfassung
Die Controls im Anhang A der ISO 27001 sind normativ, d. h. sie sind allesamt zu bearbeiten – was nicht zwangsläufig heißt, dass alle umgesetzt werden müssen. Nach einem kurzen Überblick kommentieren wir alle Controls der neuen Normfassung und geben Hinweise und Beispiele zu ihrer Umsetzung.
This is a preview of subscription content, log in via an institution to check access.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Notes
- 1.
Beachten Sie zu diesem Punkt auch die Ausführung in Abschn. 8.3.
- 2.
Genauer: Informationssicherheitsleitlinie, gelegentlich auch IT-Sicherheitsleitlinie genannt; englische Bezeichnung: (Information) Security Policy.
- 3.
Solche Richtlinien werden im Englischen ebenfalls unter Policy einsortiert, z. B. die ISMS-Richtlinie wird ISMS Policy genannt.
- 4.
Diese Richtlinie aus der früheren Normfassung beschreibt u. a. die Aufbau- und Ablauforganisation des ISMS, anzuwendende Risikoklassen und Akzeptanzkriterien.
- 5.
Institutionen, die Schwachstelleninformationen liefern (Übersicht unter www.cert-verbund.de).
- 6.
Weitere Informationen zu diesem Themenbereich der Klassifizierung findet man z. B. in [6].
- 7.
Hieran schließen sich eine Reihe von Vorkehrungen an wie das Anmelden von Besuchern, das Tragen sichtbarer Ausweise oder das Mitführen von Berechtigungen.
- 8.
Falls der Finder z. B. einer entsorgten Festplatte die installierte Software weiternutzt, könnte dies einen Lizenzverstoß für die Organisation zur Folge haben.
- 9.
Bei den Maßnahmen bzw. Maßnahmenzielen steht im englischen Originaltext Controls bzw. Control Objectives, was besser mit (Sicherheits-)Anforderungen und Ziel der Anforderungen übersetzt würde.
Literatur
BSI 100-4 (2008): Notfallmanagement, www.bsi.de, unter: IT-Grundschutz
Common Criteria for Information Technology Security Evaluation, www.commoncriteriaportal.org
DIN ISO/IEC 27001 (2017-06) Informationstechnik – IT-Sicherheitsverfahren: Informationssicherheits-Managementsysteme – Anforderungen
DIN ISO/IEC 27002 (2017-06) Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management
ISO/IEC 27033 (mit 6 Teilen; 2016-2018) Information technology – Security techniques – Network security
Kersten H, Klett G. (2015) Der IT Security Manager. Springer Vieweg, Wiesbaden
Kersten H, Klett G. (2017) Business Continuity und IT-Notfallmanagement: Grundlagen, Methoden und Konzepte. Springer Vieweg, Wiesbaden
DIN EN ISO 22301 (2014-12) Sicherheit und Schutz des Gemeinwesens – Business Continuity Management System – Anforderungen
Kersten H, Klett G. (2013) Data Leakage Prevention: Datenlecks im Unternehmen erkennen und vermeiden. mitp, Frechen
BDSG: Bundesdatenschutzgesetz vom 30. Juni 2017 (BGBl. I S. 2097)
Datenschutz-Grundverordnung: VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, Amtsblatt der Europäischen Union L 119/1 vom 4.5.2016
DIN 66399 – Büro- und Datentechnik – Vernichten von Datenträgern, dreiteilige Norm, 2012/2013
Author information
Authors and Affiliations
Rights and permissions
Copyright information
© 2020 Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature
About this chapter
Cite this chapter
Kersten, H., Klett, G., Reuter, J., Schröder, KW. (2020). Die Controls im Anhang A. In: IT-Sicherheitsmanagement nach der neuen ISO 27001. Edition <kes>. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-27692-8_6
Download citation
DOI: https://doi.org/10.1007/978-3-658-27692-8_6
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-27691-1
Online ISBN: 978-3-658-27692-8
eBook Packages: Computer Science and Engineering (German Language)