Verzeichnis der Maßnahmen aus Anhang A der ISO 27001⌗
A.5 Sicherheitsleitlinie …………………………………………………………………………….. 132 A.5.1 Informationssicherheitsleitlinie ................................................. 132A.5.1.1 Leitlinie zur Informationssicherheit....................... 132A.5.1.2 Überprüfung der Informationssicherheitsleitlinie.............................. 132` A.6 Organisation der Informationssicherheit..................................................... 133
A6.1 Interne Organisation………………………………………………………… 133A.6.1.1 Engagement des Managements für Informationssicherheit…………………………………….. 133A.6.1.2 Koordination der Informationssicherheit………….. 133A.6.1.3 Zuweisung der Verantwortlichkeiten für Informationssicherheit…………………………………….. 134A.6.1.4 Genehmigungsverfahren für informationsverarbeitende Einrichtungen…………. 134A.6.1.5 Vertraulichkeitsvereinbarungen……………………….. 134A.6.1.6 Kontakt zu Behörden……………………………………… 135A.6.1.7 Kontakt zu speziellen Interessengruppen ………… 135A.6.1.8 Unabhängige Überprüfung der Informationssicherheit…………………………………….. 136 A.6.2 Externe Parteien ........................................................................ 136A.6.2.1 Identifizierung von Risiken in Zusammenhang mit Externen ............................... 137A.6.2.2 Adressieren von Sicherheit im Umgang mit Kunden ................................................................... 137A.6.2.3 Adressieren von Sicherheit in Vereinbarungen mit Dritten............................................................... 138
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 242 ` A.7 Management von organisationseigenen Werten......................................... 138
A.7.1 Verantwortung für organisationseigene Werte…………………… 138A.7.1.1 Inventar der organisationseigenen Werte…………. 138A.7.1.2 Eigentum von organisationseigenen Werten…….. 139A.7.1.3 Zulässiger Gebrauch von organisationseigenen Werten ………………………….. 139 A.7.2 Klassifizierung von Informationen ........................................... 139A.7.2.1 Regelungen für die Klassifizierung ....................... 139A.7.2.2 Kennzeichnung von und Umgang mit Informationen ......................................................... 140` A.8 Personalsicherheit ......................................................................................... 141
A.8.1 Vor der Anstellung ………………………………………………………….. 141A.8.1.1 Aufgaben und Verantwortlichkeiten ………………… 142A.8.1.2 Überprüfung ………………………………………………….. 142A.8.1.3 Arbeitsvertragsklauseln …………………………………… 143 A.8.2 Während der Anstellung ........................................................... 144A.8.2.1 Verantwortung des Managements......................... 144A.8.2.2 Sensibilisierung, Ausbildung und Schulung für Informationssicherheit...................................... 144A.8.2.3 Disziplinarverfahren ............................................... 145
A.8.3 Beendigung oder Änderung der Anstellung………………………. 145A.8.3.1 Verantwortlichkeiten bei der Beendigung………… 146A.8.3.2 Rückgabe von organisationseigenen Werten ……. 146A.8.3.3 Aufheben von Zugangsrechten ……………………….. 146 A.9 Physische und umgebungsbezogene Sicherheit......................................... 147`` A.9.1 Sicherheitsbereiche.................................................................... 147A.9.1.1 Sicherheitszonen..................................................... 147A.9.1.2 Zutrittskontrolle ...................................................... 148A.9.1.3 Sicherung von Büros, Räumen und Einrichtungen ......................................................... 149A.9.1.4 Schutz vor Bedrohungen von Außen und aus der Umgebung........................................................ 149A.9.1.5 Arbeit in Sicherheitszonen..................................... 149
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 243 A.9.1.6 Öffentlicher Zugang, Anlieferungs- und Ladezonen............................................................... 150`` A.9.2 Sicherheit von Betriebsmitteln.................................................. 150A.9.2.1 Platzierung und Schutz von Betriebsmitteln ........ 151A.9.2.2 Unterstützende Versorgungseinrichtungen........... 151A.9.2.3 Sicherheit der Verkabelung ................................... 152A.9.2.4 Instandhaltung von Gerätschaften ........................ 152A.9.2.5 Sicherheit von außerhalb des Standorts befindlicher Ausrüstung......................................... 152A.9.2.6 Sichere Entsorgung oder Weiterverwendung von Betriebsmitteln ................................................ 153A.9.2.7 Entfernung von Eigentum...................................... 153
A.10 Betriebs- und Kommunikationsmanagement………………………………………. 154 A.10.1 Verfahren und Verantwortlichkeiten........................................ 154A.10.1.1 Dokumentierte Betriebsprozesse .......................... 154A.10.1.2 Änderungsverwaltung ............................................ 155A.10.1.3 Aufteilung von Verantwortlichkeiten .................... 155A.10.1.4 Aufteilung von Entwicklungs-, Test- und Produktiveinrichtungen.......................................... 156
A.10.2 Management der Dienstleistungs-Erbringung von Dritten ….. 156A.10.2.1 Erbringung von Dienstleistungen…………………….. 157A.10.2.2 Überwachung und Überprüfung der Dienstleistungen von Dritten…………………………… 157A.10.2.3 Management von Änderungen an Dienstleistungen von Dritten…………………………… 158 A.10.3 Systemplanung und Abnahme.................................................. 158A.10.3.1 Kapazitätsplanung .................................................. 158A.10.3.2 System-Abnahme.................................................... 159
A.10.4 Schutz vor Schadsoftware und mobilem Programmcode ……. 159A.10.4.1 Maßnahmen gegen Schadsoftware ………………….. 159A.10.4.2 Schutz vor mobiler Software (mobilen Agenten) ……………………………………………………….. 160A.10.5 Backup ....................................................................................... 161A.10.5.1 Backup von Informationen.................................... 161
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 244
A.10.6 Management der Netzsicherheit ……………………………………….. 161A.10.6.1 Maßnahmen für Netze ……………………………………. 161A.10.6.2 Sicherheit von Netzdiensten ……………………………. 162 A.10.7 Handhabung von Speicher- und Aufzeichnungsmedien ........ 163A.10.7.1 Verwaltung von Wechselmedien .......................... 163A.10.7.2 Entsorgung von Medien......................................... 163A.10.7.3 Umgang mit Informationen ................................... 164A.10.7.4 Sicherheit der Systemdokumentation.................... 165
A.10.8 Austausch von Informationen…………………………………………… 165A.10.8.1 Regelwerke und Verfahren zum Austausch von Informationen …………………………………………. 166A.10.8.2 Vereinbarungen zum Austausch von Informationen ………………………………………………… 167A.10.8.3 Transport physischer Medien ………………………….. 167A.10.8.4 Elektronische Mitteilungen / Nachrichten (Messaging)……………………………………………………. 168A.10.8.5 Geschäftsinformationssysteme…………………………. 169 A.10.9 E-Commerce-Anwendungen..................................................... 169A.10.9.1 E-Commerce ........................................................... 170A.10.9.2 Online-Transaktionen ............................................ 171A.10.9.3 Öffentlich verfügbare Informationen .................... 172
A.10.10 Überwachung………………………………………………………………….. 172A.10.10.1 Auditprotokolle ……………………………………………… 172A.10.10.2 Überwachung der Systemnutzung …………………… 173A.10.10.3 Schutz von Protokollinformationen …………………. 174A.10.10.4 Administrator- und Betreiberprotokolle……………. 174A.10.10.5 Fehlerprotokolle …………………………………………….. 175A.10.10.6 Zeitsynchronisation ………………………………………… 175A.11 Zugangskontrolle .......................................................................................... 175`` A.11.1 Geschäftsanforderungen für Zugangskontrolle ....................... 175A.11.1.1 Regelwerk zur Zugangskontrolle .......................... 176`` A.11.2 Management des Benutzerzugriffs ........................................... 177A.11.2.1 Benutzerregistrierung............................................. 177
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 245 A.11.2.2 Verwaltung von Sonderrechten............................. 177A.11.2.3 Verwaltung von Benutzerpasswörtern.................. 178A.11.2.4 Überprüfung von Benutzerberechtigungen.......... 179`` A.11.3 Benutzerverantwortung............................................................. 179A.11.3.1 Passwortverwendung ............................................. 179A.11.3.2 Unbeaufsichtigte Benutzerausstattung .................. 180A.11.3.3 Der Grundsatz des aufgeräumten Schreibtischs und des leeren Bildschirms............. 180`` A.11.4 Zugangskontrolle für Netze ...................................................... 180A.11.4.1 Regelwerk zur Nutzung von Netzen..................... 181A.11.4.2 Benutzerauthentisierung für externe Verbindungen......................................................... 181A.11.4.3 Geräteidentifikation in Netzen .............................. 182A.11.4.4 Schutz der Diagnose- und Konfigurationsports................................................ 182A.11.4.5 Trennung in Netzwerken....................................... 182A.11.4.6 Kontrolle von Netzverbindungen.......................... 183A.11.4.7 Routingkontrolle für Netze .................................... 183`` A.11.5 Zugriffskontrolle auf Betriebssysteme...................................... 183A.11.5.1 Verfahren für sichere Anmeldung......................... 184A.11.5.2 Benutzeridentifikation und Authentisierung......... 184A.11.5.3 Systeme zur Verwaltung von Passwörtern ........... 185A.11.5.4 Verwendung von Systemwerkzeugen................... 185A.11.5.5 Session Time-out .................................................... 186A.11.5.6 Begrenzung der Verbindungszeit.......................... 186`` A.11.6 Zugangskontrolle zu Anwendungen und Informationen ....... 187A.11.6.1 Einschränkung von Informationszugriff ............... 187A.11.6.2 Isolation sensibler Systeme.................................... 187`` A.11.7 Mobile Computing und Telearbeit ........................................... 187A.11.7.1 Mobile Computing und Kommunikation.............. 188A.11.7.2 Telearbeit ................................................................ 188
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 246
A.12 Beschaffung, Entwicklung und Wartung von Informationssystemen ……. 189 A.12.1 Sicherheitsanforderungen von Informationssystemen ............ 189A.12.1.1 Analyse und Spezifikation von Sicherheitsanforderungen ...................................... 189
A.12.2 Korrekte Verarbeitung in Anwendungen…………………………… 190A.12.2.1 Überprüfung von Eingabedaten………………………. 190A.12.2.2 Kontrolle der internen Verarbeitung………………… 190A.12.2.3 Integrität von Nachrichten ………………………………. 191A.12.2.4 Überprüfung von Ausgabedaten ……………………… 191 A.12.3 Kryptografische Maßnahmen.................................................... 191A.12.3.1 Leitlinie zur Anwendung von Kryptografie .......... 192A.12.3.2 Verwaltung kryptografischer Schlüssel ................. 192
A.12.4 Sicherheit von Systemdateien …………………………………………… 193A.12.4.1 Kontrolle von Software im Betrieb ………………….. 193A.12.4.2 Schutz von Test-Daten ……………………………………. 194A.12.4.3 Zugangskontrolle zu Quellcode ………………………. 194 A.12.5 Sicherheit bei Entwicklungs- und Unterstützungsprozessen .......................................................... 194A.12.5.1 Änderungskontrollverfahren.................................. 195A.12.5.2 Technische Kontrolle von Anwendungen nach Änderungen am Betriebssystem................... 195A.12.5.3 Einschränkung von Änderungen an Softwarepaketen..................................................... 196A.12.5.4 Ungewollte Preisgabe von Informationen ............ 196A.12.5.5 Ausgelagerte Softwareentwicklung ....................... 197
A.12.6 Schwachstellenmanagement …………………………………………….. 197A.12.6.1 Kontrolle technischer Schwachstellen ……………… 197 A.13 Umgang mit Informationssicherheitsvorfällen ............................................ 198`` A.13.1 Melden von Informationssicherheitsereignissen und Schwachstellen .......................................................................... 198A.13.1.1 Melden von Informationssicherheitsereignissen ....................... 198A.13.1.2 Melden von Sicherheitsschwachstellen................. 198
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 247 `` A.13.2 Umgang mit Informationssicherheitsvorfällen und Verbesserungen ......................................................................... 199A.13.2.1 Verantwortlichkeiten und Verfahren..................... 199A.13.2.2 Lernen von Informationssicherheitsvorfällen ....... 199A.13.2.3 Sammeln von Beweisen......................................... 200
A.14 Sicherstellung des Geschäftsbetriebs (Business Continuity Management) …………………………………………………………………………………… 200 A.14.1 Informationssicherheitsaspekte bei der Sicherstellung des Geschäftsbetriebs....................................................................... 201A.14.1.1 Einbeziehen von Informationssicherheit in den Prozess zur Sicherstellung des Geschäftsbetriebs ................................................... 201A.14.1.2 Sicherstellung des Geschäftsbetriebs und Risikoeinschätzung................................................. 202A.14.1.3 Entwickeln und Umsetzen von Plänen zur Sicherstellung des Geschäftsbetriebs, die Informationssicherheit enthalten........................... 202A.14.1.4 Rahmenwerk für die Pläne zur Sicherstellung des Geschäftsbetriebs............................................. 202A.14.1.5 Testen, Instandhaltung und Neubewertung von Plänen zur Sicherstellung des Geschäftsbetriebs ................................................... 203` A.15 Einhaltung von Vorgaben (Compliance)..................................................... 204
A.15.1 Einhaltung gesetzlicher Vorgaben…………………………………….. 204A.15.1.1 Identifikation der anwendbaren Gesetze …………. 204A.15.1.2 Rechte an geistigem Eigentum ………………………… 205A.15.1.3 Schutz von organisationseigenen Aufzeichnungen …………………………………………….. 205A.15.1.4 Datenschutz und Vertraulichkeit von personenbezogenen Informationen …………………. 206A.15.1.5 Verhinderung des Missbrauchs von informationsverarbeitenden Einrichtungen ………. 207A.15.1.6 Regelungen zu kryptografischen Maßnahmen….. 207 A.15.2 Übereinstimmung mit Sicherheitspolitiken und Standards und technische Übereinstimmung............................................ 208A.15.2.1 Einhaltung von Sicherheitsregelungen und -standards................................................................ 208
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 248 A.15.2.2 Prüfung der Einhaltung technischer Vorgaben .... 209
A.15.3 Überlegungen zu Revisionsprüfungen von Informationssystemen ……………………………………………………… 209A.15.3.1 Maßnahmen für Revisionen von Informationssystemen …………………………………….. 209A.15.3.2 Schutz von Revisionswerkzeugen für Informationssysteme ………………………………………. 2