Übersicht

Business:Logo 27k grau kleiner.PNG
Dieses Dokument hilft Ihnen, das Toolkit den Kapiteln der ISO27001 und des VDA Assessments zuzuordnen. 47059-22Ein Dokument des ISMS Toolkits kann mehrere Kapitel einer Norm erfüllen. Die Strukturierung ist praxisorientiert ausgelegt um das Aufspalten von sinnvoll gliederbaren Themengebieten zu vermeiden. Dies hilft Ihnen bei der Umsetzung in der Praxis.
Passende Kapitel der ISO27001

Aus: DIN ISO/IEC 27001:2015-03

ISMS Toolkit Passende Kapitel des VDA Assesments

Aus: VDA-ISA_DE_4-1-0

Abschnitt Informationssicherheit
0 Einleitung
0.1 Allgemeines
0.2 Kompatibilität mit anderen Normen für Managementsysteme
1 Anwendungsbereich
2 Normative Verweisungen
3 Begriffe
4 Kontext der Organisation A - LeitdokumenteInformationssicherheitsrichtlinie - Kapitel 1 / 2

Festlegung des Anwendungsbereiches

1 General Aspects
4.1 Verstehen der Organisation und ihres Kontextes 1.1 Inwieweit ist ein Information Security Management System durch die Organisationsleitung freigegeben und sein Umfang dokumentiert?
4.2 Verstehen der Erfordernisse und Erwartungen interessierter Parteien
4.3 Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems
4.4 Informationssicherheitsmanagementsystem
5 Führung
5.1 Führung und Verpflichtung
5.2 Politik
5.3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation
6 Planung A - LeitdokumenteInformationssicherheitsrichtlinie - Kapitel 2.4
B - Steuerdokumente & Verfahren

Risikomanagement

6.1 Maßnahmen zum Umgang mit Risiken und Chancen
6.1.1 Allgemeines
6.1.2 Informationssicherheitsrisikobeurteilung 1.2 Inwieweit ist ein Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheits-Risiken definiert, dokumentiert und umgesetzt?
6.1.3 Informationssicherheitsrisikobehandlung
6.2 Informationssicherheitsziele und Planung zu deren Erreichung
7 Unterstützung
7.1 Ressourcen A - LeitdokumenteInformationssicherheitsrichtlinie - Kapitel 1 / 2
7.2 Kompetenz A - LeitdokumenteInformationssicherheitsrichtlinie - Kapitel 2.3
7.3 Bewusstsein A - LeitdokumenteInformationssicherheitsrichtlinie - Kapitel 1 / 2
7.4 Kommunikation A - LeitdokumenteInformationssicherheitsrichtlinie - Kapitel 2.3

B - Steuerdokumente & Verfahren Reporting

7.5 Dokumentierte Information B - Steuerdokumente & VerfahrenVerfahren zur Lenkung von Dokumenten
7.5.1 Allgemeines
7.5.2 Erstellen und Aktualisieren
7.5.3 Lenkung dokumentierter Information
8 Betrieb
8.1 Betriebliche Planung und Steuerung A - Leitdokumente

Informationssicherheitsrichtlinie

8.2 Informationssicherheitsrisikobeurteilung B - Steuerdokumente & Verfahren - Risikomanagement

Verfahren zur Bewertung und Behandlung von Risiken

1.2/1.3 Inwieweit ist ein Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheits-Risiken definiert, dokumentiert und umgesetzt? / Inwieweit wird die Wirksamkeit des ISMS sichergestellt?
8.3 Informationssicherheitsrisikobehandlung
9 Bewertung der Leistung B - Steuerdokumente & Verfahren

Audits - Verfahren interne Audits Verfahren zur Umsetzung von Korrekturmaßnahmen Verfahren zur Erfassung von Anforderungen Erklärung der Anwendbarkeit (SOA) und Systemanalyse

9.1 Überwachung, Messung, Analyse und Bewertung 1.3 Inwieweit wird die Wirksamkeit des ISMS sichergestellt?
9.2 Internes Audit
9.3 Managementbewertung
10 Verbesserung A - Leitdokumente

Informationssicherheitsrichtlinie - Kapitel 2.2

10.1 Nichtkonformität und Korrekturmaßnahmen 1.3 Inwieweit wird die Wirksamkeit des ISMS sichergestellt?
10.2 Fortlaufende Verbesserung 1.3 Inwieweit wird die Wirksamkeit des ISMS sichergestellt?
A.5 Informationssicherheitsrichtlinien A - Leitdokumente

Informationssicherheitsrichtlinie - Kapitel 1 / 2 B - Steuerdokumente & Verfahren Audits - Verfahren interne Audits Verfahren zur Umsetzung von Korrekturmaßnahmen Verfahren zur Erfassung von Anforderungen

5 Information Security Policies
A.5.1 Vorgaben der Leitung für Informationssicherheit 5.1 Inwieweit ist eine Richtlinie zur Informationssicherheit erstellt, veröffentlicht bzw. verteilt und wird sie in regelmäßigen Zeitabständen überprüft?
A.5.1.1 Informationssicherheitsrichtlinien
A.5.1.2 Überprüfung derInformationssicherheitsrichtlinien
A.6 Organisation derInformationssicherheit 6 Organization of Information Security
A.6.1 Interne Organisation 6.1 Inwieweit sind die Verantwortlichkeiten für Informationssicherheit definiert und zugewiesen?
A.6.1.1 Informationssicherheitsrollen und --verantwortlichkeiten
A.6.1.2 Aufgabentrennung
A.6.1.3 Kontakt mit Behörden A - Leitdokumente

Informationssicherheitsrichtlinie - Kapitel 3.13

A.6.1.4 Kontakt mit speziellenInteressensgruppen
A.6.1.5 Informationssicherheit im Projektmanagement A - Leitdokumente

Benutzerrichtlinie (Informationssicherheitsrichtlinie kompakt) - Kapitel 1.4

6.2 Inwieweit werden in Projekten, unabhängig von ihrer Art, Anforderungen an die Informationssicherheit berücksichtigt?
A.6.2 MobilgeräteundTelearbeit C - Maßnahmen & Richtlinien - A.7 Personalsicherheit

Vertragszusatz Informationssicherheit

A.6.2.1 Richtliniezu Mobilgeräten 6.3 Inwieweit gibt es eine Richtlinie zur Nutzung von mobilen Endgeräten und deren Remote Zugriff auf Daten der Organisation?
A.6.2.2 Telearbeit C - Maßnahmen & Richtlinien - A.15 Lieferantenbeziehungen:

Lieferanten Sicherheitsrichtlinie

6.4 Inwieweit sind die gemeinsamen Rollen und Verantwortlichkeiten zwischen IT-Dienstanbietern (z. B. Cloud Providern) und der eigenen Organisation definiert?
A.7 Personalsicherheit A - Leitdokumente

Informationssicherheitsrichtlinie - Kapitel 3.3

7 Human Resources Security
A.7.1 VorderBeschäftigung
A.7.1.1 Sicherheitsüberprüfung
A.7.1.2 Beschäftigungs- und Vertragsbedingungen C - Maßnahmen & Richtlinien - A.7 Personalsicherheit

Vertragszusatz Informationssicherheit

7.1 Inwieweit werden Mitarbeiter vertraglich zur Einhaltung der Richtlinien zur Informationssicherheit verpflichtet?
A.7.2 WährendderBeschäftigung A - LeitdokumenteInformationssicherheitsrichtlinie - Kapitel 3.3
A.7.2.1 Verantwortlichkeitender Leitung 7.2 Inwieweit werden Mitarbeiter über die Risiken beim Umgang mit Informationen und deren Verarbeitung geschult und sensibilisiert?
A.7.2.2 Informationssicherheitsbewusstsein, -ausbildung und -schulung 7.2 Inwieweit werden Mitarbeiter über die Risiken beim Umgang mit Informationen und deren Verarbeitung geschult und sensibilisiert?
A.7.2.3 Maßregelungsprozess
A.7.3 BeendigungundÄnderungder Beschäftigung
A.7.3.1 Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung 7.1 Inwieweit werden Mitarbeiter vertraglich zur Einhaltung der Richtlinien zur Informationssicherheit verpflichtet?
A.8 Verwaltung der Werte C - Maßnahmen & Richtlinien - A.8 Verwaltung der Werte

Richtlinie zur Informationsklassifizierung

8 Asset Management
A.8.1 Verantwortlichkeitfür Werte
8.1 Inwieweit gibt es Verzeichnisse für Werte (Assets), die Informationen in verschiedenen Ausprägungen enthalten?
A.8.1.1 Inventarisierung derWerte
A.8.1.2 Zuständigkeit für Werte
A.8.1.3 Zulässiger Gebrauch von Werten
A.8.1.4 Rückgabe von Werten
A.8.2 Informationsklassifizierung 8.2 Inwieweit werden Informationen hinsichtlich ihres Schutzbedarfs eingestuft und gibt es Regeln für Kennzeichnung, Handhabung, Transport, Speicherung, Lagerung, Löschung und Entsorgung?
A.8.2.1 Klassifizierung von Information
A.8.2.2 Kennzeichnungvon lnformation
A.8.2.3 Handhabung von Werten
A.8.3 Handhabung von Datenträgern 8.3 Inwieweit ist ein angemessener Umgang mit gespeicherten Informationen auf mobilen Datenträgern geregelt?
A.8.3.1 Handhabung von Wechseldatenträgern
A.8.3.2 Entsorgung von Datenträgern
A.8.3.3 Transport von Datenträgern
C - Maßnahmen & Richtlinien - A.15 Lieferantenbeziehungen:

Lieferanten Sicherheitsrichtlinie

8.4 Inwieweit wird das sichere Entfernen von Information-Assets aus den IT-Diensten (insbes. Cloud) gewährleistet?
A.9 Zugangssteuerung 9 Access Control
A.9.1 Geschäftsanforderungen an dieZugangssteuerung C - Maßnahmen & Richtlinien - A.9 Zugangssteuerung

Zugangsrichtlinie

A.9.1.1 Zugangssteuerungsrichtlinie
A.9.1.2 Zugang zu Netzwerken und Netzwerkdiensten 9.1 Inwieweit sind Regelungen und Verfahren bezüglich des Benutzerzuganges zu Netzwerkdiensten, IT-Systemen und IT-Anwendungen vorhanden?
A.9.2 Benutzerzugangssverwaltung
A.9.2.1 Registrierung und Deregistrierung von Benutzern 9.2 Inwieweit sind Verfahren zur Registrierung, Änderung und Löschung von Benutzern umgesetzt und erfolgt dabei insbesondere ein vertraulicher Umgang mit den Anmeldeinformationen?
A.9.2.2 Zuteilung von Benutzerzugängen
A.9.2.3 Verwaltung privilegierter Zugangsrechte 9.3 Inwieweit ist die Zuweisung sowie die Nutzung von privilegierten Benutzer- und technischen Konten geregelt und wird diese überprüft?
A.9.2.4 Verwaltung geheimer Authentisierungsinformation von Benutzern 9.2 Inwieweit sind Verfahren zur Registrierung, Änderung und Löschung von Benutzern umgesetzt und erfolgt dabei insbesondere ein vertraulicher Umgang mit den Anmeldeinformationen?
A.9.2.5 Überprüfung von Benutzerzugangsrechten
A.9.2.6 Entzug oder Anpassung von Zugangsrechten
A.9.3 Benutzerverantwortlichkeiten C - Maßnahmen & Richtlinien - A.9 Zugangssteuerung

Kennwortrichtlinie

A.9.3.1 Gebrauch geheimer Authentisierungsinformation 9.4 Inwieweit gibt es verbindliche Regeln für den Anwender zur Erstellung und im Umgang mit vertraulichen Anmeldeinformationen?
A.9.4 Zugangssteuerung für Systeme und Anwendungen C - Maßnahmen & Richtlinien - A.9 Zugangssteuerung

Zugangsrichtlinie A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.1.2 / 3.1.1

A.9.4.1 lnformationszugangssbeschränkung 9.5 Inwieweit wird der Zugriff auf Informationen und Applikationen auf berechtigte Personen eingeschränkt?
A.9.4.2 Sichere Anmeldeverfahren
A.9.4.3 System zur Verwaltung von Kennwörtern 9.4 Inwieweit gibt es verbindliche Regeln für den Anwender zur Erstellung und im Umgang mit vertraulichen Anmeldeinformationen?
A.9.4.4 Gebrauch von Hilfsprogrammen mit privilegierten Rechten
A.9.4.5 Zugangssteuerung für Quellcode von Programmen C - Maßnahmen & Richtlinien - A.15 Lieferantenbeziehungen:

Lieferanten Sicherheitsrichtlinie

9.6 Inwieweit ist eine Trennung der Daten innerhalb einer, mit fremden Organisationen gemeinsam genutzten Umgebung gewährleistet?
A.10 Kryptographie C - Maßnahmen & Richtlinien - A.14 Kryptografie

Richtlinie zur Verwendung kryptografischer Maßnahmen

10 Cryptography
A.10.1 Kryptographische Maßnahmen
A.10.1.1 Richtlinie zum Gebrauch von kryptographischen Maßnahmen 10.1 Inwieweit gibt es Regeln zur Verschlüsselung inkl. der Verwaltung des Schlüsselmaterials (kompletter Lifecycle) zum Schutz von Informationen bei Speicherung und Transport und sind diese umgesetzt worden?
A.10.1.2 Schlüsselvervvaltung
A.11 Physische und umgebungsbezogene Sicherheit A - Leitdokumente

Informationssicherheitsrichtlinie - Kapitel 3.2

11 Physical and Environmental Security
A.11.1 Sicherheitsbereiche
A.11.1.1 Physischer Sicherheitsperimeter 11.1 Inwieweit sind Sicherheitszonen für den Schutz von schutzbedürftigen oder kritischen Informationen sowie informationsverarbeitenden Einrichtungen definiert, abgesichert und überwacht (Zutrittssicherungen)?
A.11.1.2 Physische Zutrittssteuerung
A.11.1.3 Sichern von Büros, Räumen und Einrichtungen
A.11.1.4 Schutz vorexternen und umweltbedingten Bedrohungen 11.2 Inwieweit hat das Unternehmen Maßnahmen gegen die Auswirkungen von Naturkatastrophen, vorsätzlichen Angriffen oder Unfällen getroffen?
A.11.1.5 Arbeiten in Sicherheitsbereichen C - Maßnahmen & Richtlinien - A.11 Physische und umgebungsbezogene Sicherheit

Richtlinie zur Arbeit in Sicherheitsbereichen

A.11.1.6 Anlieferungs- und Ladebereiche A - Leitdokumente

Informationssicherheitsrichtlinie - Kapitel 3.2

11.3 Inwieweit werden Schutzmaßnahmen in Anlieferungs- und Versandbereichen bzgl. des Zutritts unbefugter Personen getroffen?
A.11.2 Geräte und Betriebsmittel
A.11.2.1 Platzierung und Schutz von Geräten und Betriebsmitteln
A.11.2.2 Versorgungseinrichtungen
A.11.2.3 Sicherheit der Verkabelung
A.11.2.4 lnstandhalten von Geräten und Betriebsmitteln
A.11.2.5 Entfernen von Werten C - Maßnahmen & Richtlinien - A.6 Organisation der Informationssicherheit

Richtlinie für mobile Geräte und Telearbeit

11.4 Inwieweit sind Richtlinien und Verfahren für den Gebrauch von Assets, einschließlich ihrer Mitnahme, Entsorgung und Wiederverwendung vorhanden und umgesetzt?
A.11.2.6 Sicherheit von Geräten, Betriebsmitteln und Werten außerhalb der Räumlichkeiten C - Maßnahmen & Richtlinien - A.6 Organisation der Informationssicherheit

Richtlinie für mobile Geräte und Telearbeit

A.11.2.7 Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln C - Maßnahmen & Richtlinien - A.11 Physische und umgebungsbezogene Sicherheit

Entsorgungsrichtlinie

A.11.2.8 Unbeaufsichtigte Benutzergeräte
A.11.2.9 Richtlinie für eine aufgeräumte Arbeitsumgebung und Bildschirmsperren C - Maßnahmen & Richtlinien - A.11 Physische und umgebungsbezogene Sicherheit

Richtlinie Aufgeräumter Arbeitsplatz - Clean Desk Policy

A.12 Betriebssicherheit 12 Operations Security
A.12.1 Betriebsabläufe und -verantwortlichkeiten A - Leitdokumente

Informationssicherheitsrichtlinie

A.12.1.1 Dokumentierte Bedienabläufe A - Leitdokumente

Benutzerrichtlinie (Informationssicherheitsrichtlinie kompakt) (Ergänzend zu Ihren beschriebenen Betriebsabläufen)

A.12.1.2 Änderungssteuerung A - Leitdokumente

Informationssicherheitsrichtlinie - Kapitel 3.8.4 C - Maßnahmen & Richtlinien - A.15 Lieferantenbeziehungen Backuprichtlinie

12.1 Inwieweit werden Änderungen von Organisation, Geschäftsprozessen, informationsverarbeitenden Einrichtungen und Systemen bzgl. ihrer Sicherheitsrelevanz gesteuert und umgesetzt?
A.12.1.3 Kapazitätssteuerung A - Leitdokumente

Informationssicherheitsrichtlinie - Kapitel 3.10

A.12.1.4 Trennung von Entwicklungs-, Test- und Betriebsumgebungen C - Maßnahmen & Richtlinien - A.12 Betriebssicherheit

Richtlinie zum Änderungsmanagement

12.2 Inwieweit sind die Entwicklungs- und Testumgebungen von den Produktivumgebungen getrennt?
A.12.2 Schutz vor Schadsoftware A - Leitdokumente

Informationssicherheitsrichtlinie - Kapitel 3.8.6

A.12.2.1 Maßnahmen gegen Schadsoftware 12.3 Inwieweit ist der Schutz (z.B. "end-point security") vor Schadsoftware (Viren, Würmer, Trojaner, Spyware, …) in Verbindung mit der Sensibilisierung von Benutzern ausgeprägt?
A.12.3 Datensicherung A - Leitdokumente

Informationssicherheitsrichtlinie - Kapitel 3.8.5 C - Maßnahmen & Richtlinien - A.15 Lieferantenbeziehungen Backuprichtlinie

A.12.3.1 Sicherung von Information 12.4 Inwieweit werden Datensicherungen unter Berücksichtigung einer entsprechenden Regelung erstellt und regelmäßig getestet?
A.12.4 Protokollierung und Überwachung A - Leitdokumente

Informationssicherheitsrichtlinie - Kapitel 3.8.7

A.12.4.1 Ereignisprotokollierung 12.5 Inwieweit werden Ereignis-Logs, die z.B. Benutzeraktivitäten, Ausnahmen, Fehler und Sicherheitsereignisse beinhalten können, erzeugt, aufbewahrt, überprüft und gegen Veränderungen abgesichert?
A.12.4.2 Schutz der Protokollinformation
A.12.4.3 Administratoren- und Bedienerprotokolle 12.6 Inwieweit werden die Aktivitäten von Systemadministratoren und -operatoren protokolliert, die Ablage der Protokolle gegen Veränderungen abgesichert und regelmäßig überprüft?
A.12.4.4 Uhrensynchronisation A - Leitdokumente

Informationssicherheitsrichtlinie - Kapitel 3.8.9

A.12.5 Steuerung von Software im Betrieb A - Leitdokumente

Informationssicherheitsrichtlinie - Kapitel 3.8.6

A.12.5.1 Installation von Software auf Systemen im Betrieb
A.12.6 Handhabung technischer Schwachstellen A - Leitdokumente

Informationssicherheitsrichtlinie - Kapitel 3.8.3

A.12.6.1 Handhabung von technischen Schwachstellen 12.7 Inwieweit werden Informationen über technische Schwachstellen der IT-Systeme zeitnah beschafft, beurteilt und geeignete Maßnahmen ergriffen (z.B. Patch-Management)?
A.12.6.2 Einschränkung von Softwareinstallation A - LeitdokumenteInformationssicherheitsrichtlinie - Kapitel 3.8.6
A.12.7 Audit von Informationssystemen B - Steuerdokumente & Verfahren

Verfahren interne Audits

A.12.7.1 Maßnahmen für Audits von lnformationssystemen 12.8 Inwieweit werden Auditanforderungen und -aktivitäten, die zur Überprüfung von IT-Systemen dienen, geplant, abgestimmt, und die IT-Systeme in der Folge technisch überprüft (Systemaudit)?
A - LeitdokumenteInformationssicherheitsrichtlinie - Kapitel 3.8 / 3.9 12.9 Inwieweit wurden Auswirkungen kritischer Funktionen von Cloud-Diensten berücksichtigt?
A.13 Kommunikationssicherheit C - Maßnahmen & Richtlinien - A.13 Kommunikationssicherheit

Richtlinie zur Kommunikationssicherheit

13 Communications Security
A.13.1 Netzwerksicherheitsmanagement
A.13.1.1 Netzwerksteuerungsmaßnahmen 13.1 Inwieweit werden Netzwerke verwaltet und gesteuert, um Informationen in IT-Systemen und Anwendungen zu schützen?
A.13.1.2 Sicherheit von Netzwerkdiensten 13.2 Inwieweit werden Anforderungen an Sicherheitsmechanismen sowie Service Levels und Managementanforderungen an Netzwerkdienste identifiziert und in Service-Level-Agreements dokumentiert?
A.13.1.3 Trennung in Netzwerken 13.3 Inwieweit werden Gruppen von Informationsdiensten, Benutzer und Informationssysteme innerhalb des Netzwerks segmentiert?
A.13.2 Informationsübertragung
A.13.2.1 Richtlinien und Verfahren zur Informationsübertragung 13.4 Inwieweit werden Informationen während des Austauschs oder der Übermittlung geschützt?
A.13.2.2 Vereinbarungen zur Informationsübertragung
A.13.2.3 Elektronische Nachrichtenübermittlung 13.4 Inwieweit werden Informationen während des Austauschs oder der Übermittlung geschützt?
A.13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen C - Maßnahmen & Richtlinien - A.15 Lieferantenbeziehungen

Lieferanten Sicherheitsrichtlinie

13.5 Inwieweit werden vor dem Austausch von Informationen Geheimhaltungsvereinbarungen abgeschlossen und werden die Anforderungen bzw. Erfordernisse zum Schutz der Informationen dokumentiert und regelmäßig überprüft?
A.14 Anschaffung, Entwicklung und lnstandhalten von Systemen 14 System acquisition, development and maintenance
A.14.1 Sicherheitsanforderungen an Informationssysteme A - Leitdokumente

Informationssicherheitsrichtlinie - Kapitel 3.9 C - Maßnahmen & Richtlinien - A.14 Anschaffung, Entwicklung und Instand halten von Systemen Entwicklungsrichtlinie

14.1 Inwieweit werden sicherheitsspezifische Anforderungen bei neuen IT-Systemen (einschließlich öffentlich zugänglicher IT-Systeme) und bei Erweiterungen für bestehende IT-Systeme berücksichtigt?
A.14.1.1 Analyse und Spezifikation von Informationsicherheitsanforderungen
A.14.1.2 Sicherung von Anwendungsdiensten in öffentlichen Netzwerken
A.14.1.3 Schutz der Transaktionen bei Anwendungsdiensten
A.14.2 Sicherheit in Entwicklungs- und Unterstützungsprozessen 14.2 Inwieweit werden sicherheitsrelevante Aspekte im Software-Entwicklungsprozess (inkl. Change Management) berücksichtigt?
A.14.2.1 Richtlinie für sichere Entwicklung C - Maßnahmen & Richtlinien - A.14 Anschaffung, Entwicklung und Instand halten von Systemen

Entwicklungsrichtlinie

A.14.2.2 Verfahren zur Verwaltung von Systemänderungen
A.14.2.3 Technische Überprüfung von Anwendungen nach Änderungen an der Betriebsplattform
A.14.2.4 Beschränkung von Änderungen an Softwarepaketen
A.14.2.5 Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme
A.14.2.6 Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme
A.14.2.7 Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme
A.14.2.8 Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme
A.14.2.9 Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme
A.14.3 Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme
A.14.3.1 Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme 14.3 Inwieweit wird sichergestellt, dass Testdaten sorgfältig erstellt, geschützt und kontrolliert eingesetzt werden?
A - LeitdokumenteInformationssicherheitsrichtlinie - Kapitel 3.8 / 3.9 14.4 Inwieweit wird sichergestellt, dass nur evaluierte und freigegebene externe IT-Dienste (insbes. Cloud-Dienste) zum Verarbeiten von Unternehmensdaten eingesetzt werden?
A.15 Lieferantenbeziehungen C - Maßnahmen & Richtlinien - A.15 Lieferantenbeziehungen:

Lieferanten Sicherheitsrichtlinie

A.15.1 lnformationssicherheit in Lieferantenbeziehungen 15.1 Inwieweit werden Anforderungen an die Informationssicherheit bei einem Lieferanten zur Risikoreduzierung vertraglich vereinbart, wenn dieser Zugriff auf Unternehmenswerte erhält (insbesondere Informations- und Kommunikationsdienste sowie beim Einsatz von Unterauftragnehmern)?
A.15.1.1 Informationssicherheitsrichtlinie für Lieferantenbeziehungen
A.15.1.2 Behandlung von Sicherheit in Lieferantenvereinbarungen
A.15.1.3 Lieferkette für lnformations- und Kommunikationstechnologie
A.15.2 Steuerung der Dienstleistungserbringung von Lieferanten
A.15.2.1 Überwvachung und Überprüfung von Lieferantendienstleistungen 15.2 Inwieweit werden die erbrachten Leistungen eines Lieferanten bzw. beim Unterauftragnehmer regelmäßig überwacht, überprüft und auditiert?
A.15.2.2 Handhabung der Änderungen von Lieferantendienstleistungen
A.16 Handhabung von lnformationssicherheitsvorfällen C - Maßnahmen & Richtlinien - A.16 Handhabung von Informationssicherheitsvorfällen:

Handhabung von Vorfällen

16 Information Security Incident Management
A.16.1 Handhabung von lnformationssicherheitsvorfällen und Verbesserungen
A.16.1.1 Verantwortlichkeiten und Verfahren 16.1 Inwieweit sind Verantwortlichkeiten, Verfahren, Meldewege und Kritikalitäts-Stufen im Umgang mit Informationssicherheitsereignissen oder -schwachstellen festgelegt?
A.16.1.2 Meldung von lnformationssicherheitsereignissen
A.16.1.3 Meldung von Schwächen in der lnformationssicherheit
A.16.1.4 Beurteilung von und Entscheidung über lnformationssicherheitsereignisse 16.2 Inwieweit erfolgt eine Bearbeitung von Informationssicherheitsereignissen?
A.16.1.5 Reaktion auf lnformationssicherheitsvorfälle
A.16.1.6 Erkenntnisse aus lnformationssicherheitsvorfällen
A.16.1.7 Sammeln von Beweismaterial
A.17 Informationssicherheitsaspekte beim Business Continuity Management C - Maßnahmen & Richtlinien - A.17 Informationssicherheitsaspekte beim Business Continuity Management:

Richtlinie Business Continuity Management Notfallplan Notfallplan_Anhang Vorgehen

17 Information Security Aspects of Business Continuity Management
A.17.1 Aufrechterhalten der Informationssicherheit 17.1 Inwieweit werden die Anforderungen an Informationssicherheit (inkl. Redundanz entsprechender Einrichtungen) und die Weiterführung eines ISMS in Krisensituationen definiert, umgesetzt, überprüft und beurteilt?
A.17.1.1 Planung zur Aufrechterhaltung der lnformationssicherheit
A.17.1.2 Umsetzen der Aufrechterhaltung der Informationssicherheit
A.17.1.3 Überprüfen und Bewerten der Aufrechterhaltung der lnformationssicherheit
A.17.2 Redundanzen
A.17.2.1 Verfügbarkeit von informationsverarbeitenden Einrichtungen
A.18 Compliance A - Leitdokumente

Informationssicherheitsrichtlinie - Kapitel 3.13

18 Compliance
A.18.1 Einhaltung gesetzlicher und vertraglicher Anforderungen
A.18.1.1 Bestimmung der anwendbaren Gesetzgebung und der vertraglichen Anforderungen 18.1 Inwieweit wird die Einhaltung gesetzlicher (länderspezifisch) und vertraglicher Bestimmungen sichergestellt (z.B. Schutz des geistiges Eigentums, Einsatz von Verschlüsselungstechniken und Schutz von Aufzeichnungen)?
A.18.1.2 Geistige Eigentumsrechte
A.18.1.3 Schutz von Aufzeichnungen
A.18.1.4 Privatsphäre und Schutz von personenbezogener Information 18.2 Inwieweit werden Vertraulichkeit und Schutz von personenbezogenen Informationen gewährleistet (abhängig von nationalen Gesetzgebungen)?

Hinweis: Bei Vorliegen einer Auftragsverarbeitung nach Art. 28 DSGVO ist das Modul "Datenschutz (24)" aufzunehmen und zu bewerten.

A.18.1.5 Regelungen bezüglich kryptographischer Maßnahmen 18.1 Inwieweit wird die Einhaltung gesetzlicher (länderspezifisch) und vertraglicher Bestimmungen sichergestellt (z.B. Schutz des geistiges Eigentums, Einsatz von Verschlüsselungstechniken und Schutz von Aufzeichnungen)?
A.18.2 Überprüfungen der lnformationssicherheit
A.18.2.1 Unabhängige Überprüfung der lnformationssicherheit 18.3 Inwieweit wird das ISMS von einer unabhängigen Instanz in regelmäßigen Abständen oder bei signifikanten Änderungen geprüft?
A.18.2.2 Einhaltung von Sicherheitsrichtlinien und -standards 18.4 Inwieweit wird sichergestellt, dass Richtlinien, Regelungen und andere relevante Informationssicherheitsstandards in Verfahren und Prozessen eingehalten werden?
A.18.2.3 Überprüfung der Einhaltung von technischen Vorgaben 12.8 / 18.4 Inwieweit werden Auditanforderungen und -aktivitäten, die zur Überprüfung von IT-Systemen dienen, geplant, abgestimmt, und die IT-Systeme in der Folge technisch überprüft (Systemaudit)? / Inwieweit wird sichergestellt, dass Richtlinien, Regelungen und andere relevante Informationssicherheitsstandards in Verfahren und Prozessen eingehalten werden?
Keine Kategorien vergebenBearbeiten

Diskussionen