Public:IT-Sicherheit-IT-Grundschutz
| Artikelkennung: | BSI GK | Dokumentenverantwortlich | Claus | ||
|---|---|---|---|---|---|
| Version: | 2.1 | WVL (Review): | 2026/04/21 | Vertraulichkeit | vertraulich |
| Fachbereich: | 27kcloud | Compliance: | Änderungen: | CNA | |
__NODISCUSSION__
BSI GK Übersicht
| Nichts geht mehr ohne IT Sicherheit! | ||||
|---|---|---|---|---|
| 47012, OL 1.9 | Wissen | Beispiele | Impulse | Aufgaben |
Excel Transformation
| Dieses Dokument hilft Ihnen, das Toolkit den Kapiteln der ISO27001 und des VDA Assessments zuzuordnen. 47059-22 Ein Dokument des ISMS Toolkits kann mehrere Kapitel einer Norm erfüllen. Die Strukturierung ist praxisorientiert ausgelegt um das Aufspalten von sinnvoll gliederbaren Themengebieten zu vermeiden. Dies hilft Ihnen bei der Umsetzung in der Praxis. | ||||
| Passende Kapitel der ISO27001 Aus: DIN ISO/IEC 27001:2015-03 |
ISMS Toolkit | Passende Kapitel des VDA Assesments Aus: VDA-ISA_DE_4-1-0 | ||
| Abschnitt Informationssicherheit | ||||
| 0 | Einleitung | |||
|---|---|---|---|---|
| 0.1 | Allgemeines | |||
| 0.2 | Kompatibilität mit anderen Normen für Managementsysteme | |||
| 1 | Anwendungsbereich | |||
| 2 | Normative Verweisungen | |||
| 3 | Begriffe | |||
| 4 | Kontext der Organisation | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 1 / 2 Festlegung des Anwendungsbereiches |
1 | General Aspects |
| 4.1 | Verstehen der Organisation und ihres Kontextes | 1.1 | Inwieweit ist ein Information Security Management System durch die Organisationsleitung freigegeben und sein Umfang dokumentiert? | |
| 4.2 | Verstehen der Erfordernisse und Erwartungen interessierter Parteien | |||
| 4.3 | Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems | |||
| 4.4 | Informationssicherheitsmanagementsystem | |||
| 5 | Führung | |||
| 5.1 | Führung und Verpflichtung | |||
| 5.2 | Politik | |||
| 5.3 | Rollen, Verantwortlichkeiten und Befugnisse in der Organisation | |||
| 6 | Planung | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 2.4 B - Steuerdokumente & Verfahren Risikomanagement |
||
| 6.1 | Maßnahmen zum Umgang mit Risiken und Chancen | |||
| 6.1.1 | Allgemeines | |||
| 6.1.2 | Informationssicherheitsrisikobeurteilung | 1.2 | Inwieweit ist ein Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheits-Risiken definiert, dokumentiert und umgesetzt? | |
| 6.1.3 | Informationssicherheitsrisikobehandlung | |||
| 6.2 | Informationssicherheitsziele und Planung zu deren Erreichung | |||
| 7 | Unterstützung | |||
| 7.1 | Ressourcen | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 1 / 2 |
||
| 7.2 | Kompetenz | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 2.3 |
||
| 7.3 | Bewusstsein | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 1 / 2 |
||
| 7.4 | Kommunikation | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 2.3 B - Steuerdokumente & Verfahren Reporting |
||
| 7.5 | Dokumentierte Information | B - Steuerdokumente & Verfahren Verfahren zur Lenkung von Dokumenten |
||
| 7.5.1 | Allgemeines | |||
| 7.5.2 | Erstellen und Aktualisieren | |||
| 7.5.3 | Lenkung dokumentierter Information | |||
| 8 | Betrieb | |||
| 8.1 | Betriebliche Planung und Steuerung | A - Leitdokumente Informationssicherheitsrichtlinie |
||
| 8.2 | Informationssicherheitsrisikobeurteilung | B - Steuerdokumente & Verfahren - Risikomanagement Verfahren zur Bewertung und Behandlung von Risiken |
1.2/1.3 | Inwieweit ist ein Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheits-Risiken definiert, dokumentiert und umgesetzt? / Inwieweit wird die Wirksamkeit des ISMS sichergestellt? |
| 8.3 | Informationssicherheitsrisikobehandlung | |||
| 9 | Bewertung der Leistung | B - Steuerdokumente & Verfahren Audits - Verfahren interne Audits Verfahren zur Umsetzung von Korrekturmaßnahmen Verfahren zur Erfassung von Anforderungen Erklärung der Anwendbarkeit (SOA) und Systemanalyse |
||
| 9.1 | Überwachung, Messung, Analyse und Bewertung | 1.3 | Inwieweit wird die Wirksamkeit des ISMS sichergestellt? | |
| 9.2 | Internes Audit | |||
| 9.3 | Managementbewertung | |||
| 10 | Verbesserung | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 2.2 |
||
| 10.1 | Nichtkonformität und Korrekturmaßnahmen | 1.3 | Inwieweit wird die Wirksamkeit des ISMS sichergestellt? | |
| 10.2 | Fortlaufende Verbesserung | 1.3 | Inwieweit wird die Wirksamkeit des ISMS sichergestellt? | |
| A.5 | Informationssicherheitsrichtlinien | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 1 / 2 B - Steuerdokumente & Verfahren Audits - Verfahren interne Audits Verfahren zur Umsetzung von Korrekturmaßnahmen Verfahren zur Erfassung von Anforderungen |
5 | Information Security Policies |
| A.5.1 | Vorgaben der Leitung für Informationssicherheit | 5.1 | Inwieweit ist eine Richtlinie zur Informationssicherheit erstellt, veröffentlicht bzw. verteilt und wird sie in regelmäßigen Zeitabständen überprüft? | |
| A.5.1.1 | Informationssicherheitsrichtlinien | |||
| A.5.1.2 | Überprüfung derInformationssicherheitsrichtlinien | |||
| A.6 | Organisation derInformationssicherheit | 6 | Organization of Information Security | |
| A.6.1 | Interne Organisation | 6.1 | Inwieweit sind die Verantwortlichkeiten für Informationssicherheit definiert und zugewiesen? | |
| A.6.1.1 | Informationssicherheitsrollen und --verantwortlichkeiten | |||
| A.6.1.2 | Aufgabentrennung | |||
| A.6.1.3 | Kontakt mit Behörden | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.13 |
||
| A.6.1.4 | Kontakt mit speziellenInteressensgruppen | |||
| A.6.1.5 | Informationssicherheit im Projektmanagement | A - Leitdokumente Benutzerrichtlinie (Informationssicherheitsrichtlinie kompakt) - Kapitel 1.4 |
6.2 | Inwieweit werden in Projekten, unabhängig von ihrer Art, Anforderungen an die Informationssicherheit berücksichtigt? |
| A.6.2 | MobilgeräteundTelearbeit | C - Maßnahmen & Richtlinien - A.7 Personalsicherheit Vertragszusatz Informationssicherheit |
||
| A.6.2.1 | Richtliniezu Mobilgeräten | 6.3 | Inwieweit gibt es eine Richtlinie zur Nutzung von mobilen Endgeräten und deren Remote Zugriff auf Daten der Organisation? | |
| A.6.2.2 | Telearbeit | C - Maßnahmen & Richtlinien - A.15 Lieferantenbeziehungen: Lieferanten Sicherheitsrichtlinie |
6.4 | Inwieweit sind die gemeinsamen Rollen und Verantwortlichkeiten zwischen IT-Dienstanbietern (z. B. Cloud Providern) und der eigenen Organisation definiert? |
| A.7 | Personalsicherheit | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.3 |
7 | Human Resources Security |
| A.7.1 | VorderBeschäftigung | |||
| A.7.1.1 | Sicherheitsüberprüfung | |||
| A.7.1.2 | Beschäftigungs- und Vertragsbedingungen | C - Maßnahmen & Richtlinien - A.7 Personalsicherheit Vertragszusatz Informationssicherheit |
7.1 | Inwieweit werden Mitarbeiter vertraglich zur Einhaltung der Richtlinien zur Informationssicherheit verpflichtet? |
| A.7.2 | WährendderBeschäftigung | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.3 |
||
| A.7.2.1 | Verantwortlichkeitender Leitung | 7.2 | Inwieweit werden Mitarbeiter über die Risiken beim Umgang mit Informationen und deren Verarbeitung geschult und sensibilisiert? | |
| A.7.2.2 | Informationssicherheitsbewusstsein, -ausbildung und -schulung | 7.2 | Inwieweit werden Mitarbeiter über die Risiken beim Umgang mit Informationen und deren Verarbeitung geschult und sensibilisiert? | |
| A.7.2.3 | Maßregelungsprozess | |||
| A.7.3 | BeendigungundÄnderungder Beschäftigung | |||
| A.7.3.1 | Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung | 7.1 | Inwieweit werden Mitarbeiter vertraglich zur Einhaltung der Richtlinien zur Informationssicherheit verpflichtet? | |
| A.8 | Verwaltung der Werte | C - Maßnahmen & Richtlinien - A.8 Verwaltung der Werte Richtlinie zur Informationsklassifizierung |
8 | Asset Management |
| A.8.1 | Verantwortlichkeitfür Werte | |||
| 8.1 | Inwieweit gibt es Verzeichnisse für Werte (Assets), die Informationen in verschiedenen Ausprägungen enthalten? | |||
| A.8.1.1 | Inventarisierung derWerte | |||
| A.8.1.2 | Zuständigkeit für Werte | |||
| A.8.1.3 | Zulässiger Gebrauch von Werten | |||
| A.8.1.4 | Rückgabe von Werten | |||
| A.8.2 | Informationsklassifizierung | 8.2 | Inwieweit werden Informationen hinsichtlich ihres Schutzbedarfs eingestuft und gibt es Regeln für Kennzeichnung, Handhabung, Transport, Speicherung, Lagerung, Löschung und Entsorgung? | |
| A.8.2.1 | Klassifizierung von Information | |||
| A.8.2.2 | Kennzeichnungvon lnformation | |||
| A.8.2.3 | Handhabung von Werten | |||
| A.8.3 | Handhabung von Datenträgern | 8.3 | Inwieweit ist ein angemessener Umgang mit gespeicherten Informationen auf mobilen Datenträgern geregelt? | |
| A.8.3.1 | Handhabung von Wechseldatenträgern | |||
| A.8.3.2 | Entsorgung von Datenträgern | |||
| A.8.3.3 | Transport von Datenträgern | |||
| C - Maßnahmen & Richtlinien - A.15 Lieferantenbeziehungen: Lieferanten Sicherheitsrichtlinie |
8.4 | Inwieweit wird das sichere Entfernen von Information-Assets aus den IT-Diensten (insbes. Cloud) gewährleistet? | ||
| A.9 | Zugangssteuerung | 9 | Access Control | |
| A.9.1 | Geschäftsanforderungen an dieZugangssteuerung | C - Maßnahmen & Richtlinien - A.9 Zugangssteuerung Zugangsrichtlinie |
||
| A.9.1.1 | Zugangssteuerungsrichtlinie | |||
| A.9.1.2 | Zugang zu Netzwerken und Netzwerkdiensten | 9.1 | Inwieweit sind Regelungen und Verfahren bezüglich des Benutzerzuganges zu Netzwerkdiensten, IT-Systemen und IT-Anwendungen vorhanden? | |
| A.9.2 | Benutzerzugangssverwaltung | |||
| A.9.2.1 | Registrierung und Deregistrierung von Benutzern | 9.2 | Inwieweit sind Verfahren zur Registrierung, Änderung und Löschung von Benutzern umgesetzt und erfolgt dabei insbesondere ein vertraulicher Umgang mit den Anmeldeinformationen? | |
| A.9.2.2 | Zuteilung von Benutzerzugängen | |||
| A.9.2.3 | Verwaltung privilegierter Zugangsrechte | 9.3 | Inwieweit ist die Zuweisung sowie die Nutzung von privilegierten Benutzer- und technischen Konten geregelt und wird diese überprüft? | |
| A.9.2.4 | Verwaltung geheimer Authentisierungsinformation von Benutzern | 9.2 | Inwieweit sind Verfahren zur Registrierung, Änderung und Löschung von Benutzern umgesetzt und erfolgt dabei insbesondere ein vertraulicher Umgang mit den Anmeldeinformationen? | |
| A.9.2.5 | Überprüfung von Benutzerzugangsrechten | |||
| A.9.2.6 | Entzug oder Anpassung von Zugangsrechten | |||
| A.9.3 | Benutzerverantwortlichkeiten | C - Maßnahmen & Richtlinien - A.9 Zugangssteuerung Kennwortrichtlinie |
||
| A.9.3.1 | Gebrauch geheimer Authentisierungsinformation | 9.4 | Inwieweit gibt es verbindliche Regeln für den Anwender zur Erstellung und im Umgang mit vertraulichen Anmeldeinformationen? | |
| A.9.4 | Zugangssteuerung für Systeme und Anwendungen | C - Maßnahmen & Richtlinien - A.9 Zugangssteuerung Zugangsrichtlinie A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.1.2 / 3.1.1 |
||
| A.9.4.1 | lnformationszugangssbeschränkung | 9.5 | Inwieweit wird der Zugriff auf Informationen und Applikationen auf berechtigte Personen eingeschränkt? | |
| A.9.4.2 | Sichere Anmeldeverfahren | |||
| A.9.4.3 | System zur Verwaltung von Kennwörtern | 9.4 | Inwieweit gibt es verbindliche Regeln für den Anwender zur Erstellung und im Umgang mit vertraulichen Anmeldeinformationen? | |
| A.9.4.4 | Gebrauch von Hilfsprogrammen mit privilegierten Rechten | |||
| A.9.4.5 | Zugangssteuerung für Quellcode von Programmen | C - Maßnahmen & Richtlinien - A.15 Lieferantenbeziehungen: Lieferanten Sicherheitsrichtlinie |
9.6 | Inwieweit ist eine Trennung der Daten innerhalb einer, mit fremden Organisationen gemeinsam genutzten Umgebung gewährleistet? |
| A.10 | Kryptographie | C - Maßnahmen & Richtlinien - A.14 Kryptografie Richtlinie zur Verwendung kryptografischer Maßnahmen |
10 | Cryptography |
| A.10.1 | Kryptographische Maßnahmen | |||
| A.10.1.1 | Richtlinie zum Gebrauch von kryptographischen Maßnahmen | 10.1 | Inwieweit gibt es Regeln zur Verschlüsselung inkl. der Verwaltung des Schlüsselmaterials (kompletter Lifecycle) zum Schutz von Informationen bei Speicherung und Transport und sind diese umgesetzt worden? | |
| A.10.1.2 | Schlüsselvervvaltung | |||
| A.11 | Physische und umgebungsbezogene Sicherheit | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.2 |
11 | Physical and Environmental Security |
| A.11.1 | Sicherheitsbereiche | |||
| A.11.1.1 | Physischer Sicherheitsperimeter | 11.1 | Inwieweit sind Sicherheitszonen für den Schutz von schutzbedürftigen oder kritischen Informationen sowie informationsverarbeitenden Einrichtungen definiert, abgesichert und überwacht (Zutrittssicherungen)? | |
| A.11.1.2 | Physische Zutrittssteuerung | |||
| A.11.1.3 | Sichern von Büros, Räumen und Einrichtungen | |||
| A.11.1.4 | Schutz vorexternen und umweltbedingten Bedrohungen | 11.2 | Inwieweit hat das Unternehmen Maßnahmen gegen die Auswirkungen von Naturkatastrophen, vorsätzlichen Angriffen oder Unfällen getroffen? | |
| A.11.1.5 | Arbeiten in Sicherheitsbereichen | C - Maßnahmen & Richtlinien - A.11 Physische und umgebungsbezogene Sicherheit Richtlinie zur Arbeit in Sicherheitsbereichen |
||
| A.11.1.6 | Anlieferungs- und Ladebereiche | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.2 |
11.3 | Inwieweit werden Schutzmaßnahmen in Anlieferungs- und Versandbereichen bzgl. des Zutritts unbefugter Personen getroffen? |
| A.11.2 | Geräte und Betriebsmittel | |||
| A.11.2.1 | Platzierung und Schutz von Geräten und Betriebsmitteln | |||
| A.11.2.2 | Versorgungseinrichtungen | |||
| A.11.2.3 | Sicherheit der Verkabelung | |||
| A.11.2.4 | lnstandhalten von Geräten und Betriebsmitteln | |||
| A.11.2.5 | Entfernen von Werten | C - Maßnahmen & Richtlinien - A.6 Organisation der Informationssicherheit Richtlinie für mobile Geräte und Telearbeit |
11.4 | Inwieweit sind Richtlinien und Verfahren für den Gebrauch von Assets, einschließlich ihrer Mitnahme, Entsorgung und Wiederverwendung vorhanden und umgesetzt? |
| A.11.2.6 | Sicherheit von Geräten, Betriebsmitteln und Werten außerhalb der Räumlichkeiten | C - Maßnahmen & Richtlinien - A.6 Organisation der Informationssicherheit Richtlinie für mobile Geräte und Telearbeit |
||
| A.11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln | C - Maßnahmen & Richtlinien - A.11 Physische und umgebungsbezogene Sicherheit Entsorgungsrichtlinie |
||
| A.11.2.8 | Unbeaufsichtigte Benutzergeräte | |||
| A.11.2.9 | Richtlinie für eine aufgeräumte Arbeitsumgebung und Bildschirmsperren | C - Maßnahmen & Richtlinien - A.11 Physische und umgebungsbezogene Sicherheit Richtlinie Aufgeräumter Arbeitsplatz - Clean Desk Policy |
||
| A.12 | Betriebssicherheit | 12 | Operations Security | |
| A.12.1 | Betriebsabläufe und -verantwortlichkeiten | A - Leitdokumente Informationssicherheitsrichtlinie |
||
| A.12.1.1 | Dokumentierte Bedienabläufe | A - Leitdokumente Benutzerrichtlinie (Informationssicherheitsrichtlinie kompakt) (Ergänzend zu Ihren beschriebenen Betriebsabläufen) |
||
| A.12.1.2 | Änderungssteuerung | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.8.4 C - Maßnahmen & Richtlinien - A.15 Lieferantenbeziehungen Backuprichtlinie |
12.1 | Inwieweit werden Änderungen von Organisation, Geschäftsprozessen, informationsverarbeitenden Einrichtungen und Systemen bzgl. ihrer Sicherheitsrelevanz gesteuert und umgesetzt? |
| A.12.1.3 | Kapazitätssteuerung | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.10 |
||
| A.12.1.4 | Trennung von Entwicklungs-, Test- und Betriebsumgebungen | C - Maßnahmen & Richtlinien - A.12 Betriebssicherheit Richtlinie zum Änderungsmanagement |
12.2 | Inwieweit sind die Entwicklungs- und Testumgebungen von den Produktivumgebungen getrennt? |
| A.12.2 | Schutz vor Schadsoftware | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.8.6 |
||
| A.12.2.1 | Maßnahmen gegen Schadsoftware | 12.3 | Inwieweit ist der Schutz (z.B. "end-point security") vor Schadsoftware (Viren, Würmer, Trojaner, Spyware, …) in Verbindung mit der Sensibilisierung von Benutzern ausgeprägt? | |
| A.12.3 | Datensicherung | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.8.5 C - Maßnahmen & Richtlinien - A.15 Lieferantenbeziehungen Backuprichtlinie |
||
| A.12.3.1 | Sicherung von Information | 12.4 | Inwieweit werden Datensicherungen unter Berücksichtigung einer entsprechenden Regelung erstellt und regelmäßig getestet? | |
| A.12.4 | Protokollierung und Überwachung | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.8.7 |
||
| A.12.4.1 | Ereignisprotokollierung | 12.5 | Inwieweit werden Ereignis-Logs, die z.B. Benutzeraktivitäten, Ausnahmen, Fehler und Sicherheitsereignisse beinhalten können, erzeugt, aufbewahrt, überprüft und gegen Veränderungen abgesichert? | |
| A.12.4.2 | Schutz der Protokollinformation | |||
| A.12.4.3 | Administratoren- und Bedienerprotokolle | 12.6 | Inwieweit werden die Aktivitäten von Systemadministratoren und -operatoren protokolliert, die Ablage der Protokolle gegen Veränderungen abgesichert und regelmäßig überprüft? | |
| A.12.4.4 | Uhrensynchronisation | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.8.9 |
||
| A.12.5 | Steuerung von Software im Betrieb | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.8.6 |
||
| A.12.5.1 | Installation von Software auf Systemen im Betrieb | |||
| A.12.6 | Handhabung technischer Schwachstellen | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.8.3 |
||
| A.12.6.1 | Handhabung von technischen Schwachstellen | 12.7 | Inwieweit werden Informationen über technische Schwachstellen der IT-Systeme zeitnah beschafft, beurteilt und geeignete Maßnahmen ergriffen (z.B. Patch-Management)? | |
| A.12.6.2 | Einschränkung von Softwareinstallation | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.8.6 |
||
| A.12.7 | Audit von Informationssystemen | B - Steuerdokumente & Verfahren Verfahren interne Audits |
||
| A.12.7.1 | Maßnahmen für Audits von lnformationssystemen | 12.8 | Inwieweit werden Auditanforderungen und -aktivitäten, die zur Überprüfung von IT-Systemen dienen, geplant, abgestimmt, und die IT-Systeme in der Folge technisch überprüft (Systemaudit)? | |
| A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.8 / 3.9 |
12.9 | Inwieweit wurden Auswirkungen kritischer Funktionen von Cloud-Diensten berücksichtigt? | ||
| A.13 | Kommunikationssicherheit | C - Maßnahmen & Richtlinien - A.13 Kommunikationssicherheit Richtlinie zur Kommunikationssicherheit |
13 | Communications Security |
| A.13.1 | Netzwerksicherheitsmanagement | |||
| A.13.1.1 | Netzwerksteuerungsmaßnahmen | 13.1 | Inwieweit werden Netzwerke verwaltet und gesteuert, um Informationen in IT-Systemen und Anwendungen zu schützen? | |
| A.13.1.2 | Sicherheit von Netzwerkdiensten | 13.2 | Inwieweit werden Anforderungen an Sicherheitsmechanismen sowie Service Levels und Managementanforderungen an Netzwerkdienste identifiziert und in Service-Level-Agreements dokumentiert? | |
| A.13.1.3 | Trennung in Netzwerken | 13.3 | Inwieweit werden Gruppen von Informationsdiensten, Benutzer und Informationssysteme innerhalb des Netzwerks segmentiert? | |
| A.13.2 | Informationsübertragung | |||
| A.13.2.1 | Richtlinien und Verfahren zur Informationsübertragung | 13.4 | Inwieweit werden Informationen während des Austauschs oder der Übermittlung geschützt? | |
| A.13.2.2 | Vereinbarungen zur Informationsübertragung | |||
| A.13.2.3 | Elektronische Nachrichtenübermittlung | 13.4 | Inwieweit werden Informationen während des Austauschs oder der Übermittlung geschützt? | |
| A.13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen | C - Maßnahmen & Richtlinien - A.15 Lieferantenbeziehungen Lieferanten Sicherheitsrichtlinie |
13.5 | Inwieweit werden vor dem Austausch von Informationen Geheimhaltungsvereinbarungen abgeschlossen und werden die Anforderungen bzw. Erfordernisse zum Schutz der Informationen dokumentiert und regelmäßig überprüft? |
| A.14 | Anschaffung, Entwicklung und lnstandhalten von Systemen | 14 | System acquisition, development and maintenance | |
| A.14.1 | Sicherheitsanforderungen an Informationssysteme | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.9 C - Maßnahmen & Richtlinien - A.14 Anschaffung, Entwicklung und Instand halten von Systemen Entwicklungsrichtlinie |
14.1 | Inwieweit werden sicherheitsspezifische Anforderungen bei neuen IT-Systemen (einschließlich öffentlich zugänglicher IT-Systeme) und bei Erweiterungen für bestehende IT-Systeme berücksichtigt? |
| A.14.1.1 | Analyse und Spezifikation von Informationsicherheitsanforderungen | |||
| A.14.1.2 | Sicherung von Anwendungsdiensten in öffentlichen Netzwerken | |||
| A.14.1.3 | Schutz der Transaktionen bei Anwendungsdiensten | |||
| A.14.2 | Sicherheit in Entwicklungs- und Unterstützungsprozessen | 14.2 | Inwieweit werden sicherheitsrelevante Aspekte im Software-Entwicklungsprozess (inkl. Change Management) berücksichtigt? | |
| A.14.2.1 | Richtlinie für sichere Entwicklung | C - Maßnahmen & Richtlinien - A.14 Anschaffung, Entwicklung und Instand halten von Systemen Entwicklungsrichtlinie | ||
| A.14.2.2 | Verfahren zur Verwaltung von Systemänderungen | |||
| A.14.2.3 | Technische Überprüfung von Anwendungen nach Änderungen an der Betriebsplattform | |||
| A.14.2.4 | Beschränkung von Änderungen an Softwarepaketen | |||
| A.14.2.5 | Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme | |||
| A.14.2.6 | Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme | |||
| A.14.2.7 | Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme | |||
| A.14.2.8 | Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme | |||
| A.14.2.9 | Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme | |||
| A.14.3 | Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme | |||
| A.14.3.1 | Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme | 14.3 | Inwieweit wird sichergestellt, dass Testdaten sorgfältig erstellt, geschützt und kontrolliert eingesetzt werden? | |
| A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.8 / 3.9 |
14.4 | Inwieweit wird sichergestellt, dass nur evaluierte und freigegebene externe IT-Dienste (insbes. Cloud-Dienste) zum Verarbeiten von Unternehmensdaten eingesetzt werden? | ||
| A.15 | Lieferantenbeziehungen | C - Maßnahmen & Richtlinien - A.15 Lieferantenbeziehungen: Lieferanten Sicherheitsrichtlinie |
||
| A.15.1 | lnformationssicherheit in Lieferantenbeziehungen | 15.1 | Inwieweit werden Anforderungen an die Informationssicherheit bei einem Lieferanten zur Risikoreduzierung vertraglich vereinbart, wenn dieser Zugriff auf Unternehmenswerte erhält (insbesondere Informations- und Kommunikationsdienste sowie beim Einsatz von Unterauftragnehmern)? | |
| A.15.1.1 | Informationssicherheitsrichtlinie für Lieferantenbeziehungen | |||
| A.15.1.2 | Behandlung von Sicherheit in Lieferantenvereinbarungen | |||
| A.15.1.3 | Lieferkette für lnformations- und Kommunikationstechnologie | |||
| A.15.2 | Steuerung der Dienstleistungserbringung von Lieferanten | |||
| A.15.2.1 | Überwvachung und Überprüfung von Lieferantendienstleistungen | 15.2 | Inwieweit werden die erbrachten Leistungen eines Lieferanten bzw. beim Unterauftragnehmer regelmäßig überwacht, überprüft und auditiert? | |
| A.15.2.2 | Handhabung der Änderungen von Lieferantendienstleistungen | |||
| A.16 | Handhabung von lnformationssicherheitsvorfällen | C - Maßnahmen & Richtlinien - A.16 Handhabung von Informationssicherheitsvorfällen: Handhabung von Vorfällen |
16 | Information Security Incident Management |
| A.16.1 | Handhabung von lnformationssicherheitsvorfällen und Verbesserungen | |||
| A.16.1.1 | Verantwortlichkeiten und Verfahren | 16.1 | Inwieweit sind Verantwortlichkeiten, Verfahren, Meldewege und Kritikalitäts-Stufen im Umgang mit Informationssicherheitsereignissen oder -schwachstellen festgelegt? | |
| A.16.1.2 | Meldung von lnformationssicherheitsereignissen | |||
| A.16.1.3 | Meldung von Schwächen in der lnformationssicherheit | |||
| A.16.1.4 | Beurteilung von und Entscheidung über lnformationssicherheitsereignisse | 16.2 | Inwieweit erfolgt eine Bearbeitung von Informationssicherheitsereignissen? | |
| A.16.1.5 | Reaktion auf lnformationssicherheitsvorfälle | |||
| A.16.1.6 | Erkenntnisse aus lnformationssicherheitsvorfällen | |||
| A.16.1.7 | Sammeln von Beweismaterial | |||
| A.17 | Informationssicherheitsaspekte beim Business Continuity Management | C - Maßnahmen & Richtlinien - A.17 Informationssicherheitsaspekte beim Business Continuity Management: Richtlinie Business Continuity Management Notfallplan Notfallplan_Anhang Vorgehen |
17 | Information Security Aspects of Business Continuity Management |
| A.17.1 | Aufrechterhalten der Informationssicherheit | 17.1 | Inwieweit werden die Anforderungen an Informationssicherheit (inkl. Redundanz entsprechender Einrichtungen) und die Weiterführung eines ISMS in Krisensituationen definiert, umgesetzt, überprüft und beurteilt? | |
| A.17.1.1 | Planung zur Aufrechterhaltung der lnformationssicherheit | |||
| A.17.1.2 | Umsetzen der Aufrechterhaltung der Informationssicherheit | |||
| A.17.1.3 | Überprüfen und Bewerten der Aufrechterhaltung der lnformationssicherheit | |||
| A.17.2 | Redundanzen | |||
| A.17.2.1 | Verfügbarkeit von informationsverarbeitenden Einrichtungen | |||
| A.18 | Compliance | A - Leitdokumente Informationssicherheitsrichtlinie - Kapitel 3.13 |
18 | Compliance |
| A.18.1 | Einhaltung gesetzlicher und vertraglicher Anforderungen | |||
| A.18.1.1 | Bestimmung der anwendbaren Gesetzgebung und der vertraglichen Anforderungen | 18.1 | Inwieweit wird die Einhaltung gesetzlicher (länderspezifisch) und vertraglicher Bestimmungen sichergestellt (z.B. Schutz des geistiges Eigentums, Einsatz von Verschlüsselungstechniken und Schutz von Aufzeichnungen)? | |
| A.18.1.2 | Geistige Eigentumsrechte | |||
| A.18.1.3 | Schutz von Aufzeichnungen | |||
| A.18.1.4 | Privatsphäre und Schutz von personenbezogener Information | 18.2 | Inwieweit werden Vertraulichkeit und Schutz von personenbezogenen Informationen gewährleistet (abhängig von nationalen Gesetzgebungen)? Hinweis: Bei Vorliegen einer Auftragsverarbeitung nach Art. 28 DSGVO ist das Modul "Datenschutz (24)" aufzunehmen und zu bewerten. | |
| A.18.1.5 | Regelungen bezüglich kryptographischer Maßnahmen | 18.1 | Inwieweit wird die Einhaltung gesetzlicher (länderspezifisch) und vertraglicher Bestimmungen sichergestellt (z.B. Schutz des geistiges Eigentums, Einsatz von Verschlüsselungstechniken und Schutz von Aufzeichnungen)? | |
| A.18.2 | Überprüfungen der lnformationssicherheit | |||
| A.18.2.1 | Unabhängige Überprüfung der lnformationssicherheit | 18.3 | Inwieweit wird das ISMS von einer unabhängigen Instanz in regelmäßigen Abständen oder bei signifikanten Änderungen geprüft? | |
| A.18.2.2 | Einhaltung von Sicherheitsrichtlinien und -standards | 18.4 | Inwieweit wird sichergestellt, dass Richtlinien, Regelungen und andere relevante Informationssicherheitsstandards in Verfahren und Prozessen eingehalten werden? | |
| A.18.2.3 | Überprüfung der Einhaltung von technischen Vorgaben | 12.8 / 18.4 | Inwieweit werden Auditanforderungen und -aktivitäten, die zur Überprüfung von IT-Systemen dienen, geplant, abgestimmt, und die IT-Systeme in der Folge technisch überprüft (Systemaudit)? / Inwieweit wird sichergestellt, dass Richtlinien, Regelungen und andere relevante Informationssicherheitsstandards in Verfahren und Prozessen eingehalten werden? | |
