Übersicht der ISO 27001 Compliance Richtlinie aus Anhang A.18

Die Einhaltung von Unternehmensrichtlinien und -praktiken ist ein wesentlicher Aspekt bei der Ausrichtung am ISO 27001-Standard und zur Stärkung der Informationssicherheit in Ihrer Organisation.

In diesem Artikel wird erläutert, wie Anhang A.18 zur Entwicklung und Umsetzung eines soliden Informationssicherheits-Frameworks beiträgt, warum die Compliance für Ihre Organisation eine wichtige Rolle spielt, sowie die einzelnen Maßnahmen, die Sie erfüllen müssen, um Vorgaben sowohl intern als auch extern einzuhalten.

Was ist Anhang A.18?

In Anhang A.18 wird dargelegt, wie eine Organisation gesetzliche und vertragliche Anforderungen gewährleisten sollte. Diese Anforderungen betreffen u. a. die Installation von Software, die Informationsübertragung, Verschlüsselungsanforderungen sowie Rechte an geistigem Eigentum. Dabei wird von den Einzelpersonen verlangt, dass sie die Verantwortung für den Schutz vertraulicher Informationen übernehmen.

Zunächst ist wichtig zu verstehen, was Compliance im Hinblick auf die ISO 27001 Zertifizierung für die Informationssicherheit bedeutet und was in Anhang A.18 enthalten ist.

Was bedeutet Compliance?

In Anhang A.18 der Maßnahmen aus Anhang A wird im Rahmen der Compliance vorausgesetzt, dass eine Organisation alle relevanten Maßnahmenziele, Maßnahmen, Richtlinien, Verfahren und Prozesse einhält – unabhängig davon, ob es sich um gesetzliche, behördliche, vertragliche oder selbst auferlegte Maßnahmen handelt, um die Gewährleistung und das Management der Informationssicherheit zu gewährleisten.

Im Folgenden erfahren Sie, warum eine ordnungsgemäße Compliance für Sie und Ihre Organisation wichtig ist. 

Weshalb ist Compliance für Ihre Organisation wichtig?

Die gemeinsame Netzwerknutzung sowie die Installation von Software gelten als Einfallstor für Hacker. Dadurch sind personenbezogene Daten und vertrauliche Geschäftsunterlagen der Gefahr der unbefugten Weitergabe, des Verlusts und der Verfälschung ausgesetzt. Durch die Festlegung und Aufrechterhaltung eines strengen Compliance-Frameworks kann der unbefugte Zugriff auf die verschiedenen Informationsbestände einer Organisation unterbunden werden.

Im Folgenden sollen die verschiedenen Anforderungen von Anhang A.18 bei der Entwicklung und Umsetzung von Compliance-Initiativen betrachtet werden.

Was sind die Maßnahmen nach Anhang A.18?

In Anhang A.18 sind 8 Maßnahmen aufgeführt, die sowohl die externe als auch die interne Compliance betreffen. In diesem Abschnitt wird dargelegt, wie eine Organisation die einschlägigen Rechtsvorschriften ermittelt und einhält, die Gesetze zum Schutz des geistigen Eigentums und die Lizenzanforderungen beachtet, Geschäftsunterlagen und personenbezogene Daten schützt und die Compliance mit den geltenden Informationssicherheitsmaßnahmen in regelmäßigen Abständen überprüft.

A.18.1 Einhaltung gesetzlicher und vertraglicher Anforderungen

Mit Anhang A.18.1 soll sichergestellt werden, dass die Compliance aller Informationssysteme Ihrer Organisation mit Gesetzen, Vorschriften und Verträgen gewährleistet ist.

18.1.1 Bestimmung der anwendbaren Gesetzgebung und der vertraglichen Anforderungen

Maßnahme: Die Organisation muss die Anforderungen regelmäßig ermitteln, dokumentieren und aktualisieren sowie den Ansatz der Organisation zu deren Compliance mit einbeziehen.

Umsetzung: Die individuellen Verpflichtungen (d. h. die Rolle bestimmter Einzelpersonen bei der Einhaltung der Anforderungen) müssen ermittelt und dokumentiert werden. Alle einschlägigen Rechtsvorschriften sollten ermittelt und eingehalten werden, auch wenn die Geschäfte in einem anderen Land abgewickelt werden.

18.1.2 Geistige Eigentumsrechte

Maßnahme: Es müssen alle Rechtsvorschriften über geistige Eigentumsrechte und Eigentumslizenzen eingehalten werden sowie die entsprechenden Compliance-Anforderungen erfüllt werden.

Folgende Punkte sind zu berücksichtigen, bevor Materialien als schutzbedürftiges geistiges Eigentum deklariert werden: 

  • Die angemessene/legitime Nutzung von Software und Informationsprodukten muss in einem Leitfaden festgehalten werden.
  • Software darf nur von vertrauenswürdigen Quellen erworben werden, um das Risiko von Korruption oder Verstößen zu vermeiden.
  • Bei Verletzungen der Rechte an geistigem Eigentum müssen nach vorheriger Ankündigung disziplinarische Maßnahmen ergriffen werden.
  • Alle Assets müssen unter Angabe der erforderlichen Rechte am geistigen Eigentum registriert werden.
  • Ein Nachweis über den Besitz der Lizenz muss festgehalten werden.
  • Falls eine Höchstzahl von Benutzern festgelegt ist, sind Maßnahmen vorzusehen, mit denen sichergestellt wird, dass diese Zahl nicht überschritten wird.
  • Installierte Produkte und Software müssen auf den Nachweis der Exklusivität der Lizenz überprüft werden.
  • Die angemessene Nutzung/Bedingungen von Lizenzen müssen in einem Grundsatzdokument dargelegt und durchgesetzt werden.
  • Die Informationen/Richtlinien zur Veräußerung und Weitergabe von Informationen sind im Rahmen einer Strategie zu kommunizieren
  • Die allgemeinen Geschäftsbedingungen für installierte Software und öffentliche Netzwerke müssen eingehalten werden.
  • Die Vervielfältigung, Umwandlung und die auszugsweise Nutzung von Audio- und Videoaufzeichnungen müssen sich auf das urheberrechtlich zulässige Maß beschränken.
  • Schriftträger und Dokumente dürfen nur in dem vom Urheberrechtsgesetz zugelassenen Umfang kopiert werden.
 

 

18.1.3 Schutz von Geschäftsunterlagen

Maßnahme: Die Geschäftsunterlagen der Organisation sollten vor unbefugtem Zugriff und Freigabe sowie vor Verlust, Zerstörung und Fälschung unter Beachtung aller einschlägigen Rechtsvorschriften geschützt werden.

Umsetzung: Aus dem Klassifizierungsschema der Organisation sollte hervorgehen, welche Dokumente geschützt werden müssen. Die Geschäftsunterlagen sollten nach ihrem Typ sowie mit ihren Aufbewahrungsfristen, Einzelheiten zur Verschlüsselung und zulässigen Speicherformaten kategorisiert werden. Bei der Aufbewahrung sollte die Möglichkeit zur Vernichtung der Datenträger in Betracht gezogen werden, falls sie nicht mehr benötigt werden.

18.1.4 Privatsphäre und Schutz von personenbezogenen Daten

Maßnahme: Der Datenschutz und die Wahrung der Privatsphäre müssen in allen einschlägigen Rechtsvorschriften verankert sein und als solche eingehalten werden.

Umsetzung: Es muss eine Datenschutzrichtlinie ausgearbeitet und umgesetzt werden, in der die Anforderungen an die Privatsphäre und den Schutz personenbezogener Daten dargelegt sind. Alle an der Verarbeitung dieser Informationen beteiligten Personen müssen über diese Richtlinie aufgeklärt werden.

Es muss ein Datenschutzbeauftragter bestellt werden, der die Verantwortung für den Schutz personenbezogener Daten und die Anleitung des Personals bei der Umsetzung dieser Aufgabe übernimmt. Darüber hinaus sind Maßnahmen zu ergreifen, mit denen der Datenschutz und der Schutz von personenbezogenen Daten gewährleistet werden können.

18.1.5 Regelungen bezüglich kryptographischer Maßnahmen

Maßnahme: Die kryptografischen Maßnahmen müssen im Einklang mit den geschäftlichen Anforderungen umgesetzt werden.

Bei der Implementierung kryptographischer Maßnahmen sind folgende Punkte zu beachten: 

  • Der Import und Export von Hard- und Software, die zur Durchführung kryptographischer Funktionen verwendet werden, muss eingeschränkt werden.
  • Der Import und Export von Hard- und Software, die mit kryptografischen Funktionen ausgestattet sind, muss eingeschränkt werden.
  • Der Einsatz von Verschlüsselungsverfahren muss eingeschränkt werden.
  • Für Informationen, die durch Verschlüsselungshardware und -software geschützt sind, müssen definierte Zugriffsmethoden zur Verfügung stehen.

Bevor Informationen (über Länder-/Gerichtsgrenzen hinweg) übermittelt werden, muss rechtlicher Rat eingeholt werden, um die Compliance mit den jeweiligen nationalen Behörden sicherzustellen.

A.18.2 Überprüfungen der Informationssicherheit

Mit Anhang A.18.2 soll sichergestellt werden, dass alle Anforderungen an die Informationssicherheit gemäß den Richtlinien und Verfahren der Organisation eingehalten und umgesetzt werden.

18.2.1 Unabhängige Überprüfung der Informationssicherheit

Maßnahme: Es müssen interne Maßnahmen ergriffen werden, um das Informationssicherheits-Management der Organisation zu verbessern. Dieser Ansatz umfasst Strategien, Verfahren und Maßnahmen u. v. m.

Umsetzung: Es sollte eine unabhängige Überprüfung (durch eine entsprechend qualifizierte Einzelperson) durchgeführt werden, um kohärente, angemessene und effiziente Verfahren im Bereich der Informationssicherheit in der Organisation sicherzustellen. In dieser Analyse müssen Ziele und Verbesserungsmöglichkeiten aufgeführt werden. 

Die Ergebnisse dieser Überprüfung sind den betroffenen Parteien mitzuteilen und entsprechend zu dokumentieren. Falls die Compliance-Anforderungen nicht erfüllt werden, sollten im Einklang mit der Informationssicherheitsrichtlinie Abhilfemaßnahmen ergriffen werden.

18.2.2 Einhaltung von Sicherheitsrichtlinien und -standards

Maßnahme: Die Spezifikationen und Verfahren für die Informationsverarbeitung müssen von den Verantwortlichen regelmäßig hinsichtlich ihrer Compliance überprüft werden. 

Umsetzung: Die vorgeschriebenen Kriterien im Bereich der Informationssicherheit müssen auf einer im Voraus festgelegten Grundlage bewertet werden – bei Bedarf unter Einsatz automatischer Mess- und Reporting-Tools.

Im Falle von Compliance-Verstößen gilt es, den Ursachen auf den Grund zu gehen und entsprechende Abhilfemaßnahmen zu kommunizieren.

18.2.3 Überprüfung der Compliance mit technischen Vorgaben

Maßnahme: Informationssysteme müssen regelmäßig überprüft werden, um die Einhaltung der Sicherheitsrichtlinien und -standards der Organisation zu gewährleisten.

Umsetzung: Die Bewertung der technischen Compliance sollte idealerweise mit automatisierten Tools erfolgen. Bei der Durchführung manueller Bewertungen ist Vorsicht geboten, um die Systemsicherheit zu wahren. Bewertungen müssen von oder unter der Aufsicht einschlägiger Fachleute durchgeführt werden und müssen sorgfältig geplant und dokumentiert werden.

Fazit 

Zwar ist es nicht zwingend erforderlich, alle 114 Maßnahmen des Anhangs A einzuhalten, doch müssen die für die Ziele Ihrer Organisation relevanten Maßnahmen ermittelt und umgesetzt werden.

In Anhang A.18 werden Best Practices für Compliance- und Informationssicherheits-Reviews anhand von 8 potenziellen Maßnahmen vorgestellt, mit denen sichergestellt wird, dass der Zugang zu personenbezogenen Daten und Geschäftsunterlagen (z. B. Buchhaltungsunterlagen und Protokolle) nicht ohne Autorisierung erfolgen kann. A.18 schreibt vor, wie Organisationen Gesetze, Vorschriften, Verträge und Richtlinien langfristig einhalten und gleichzeitig ihren Ansatz für das Informationssicherheits-Management stärken können.

Vereinbaren Sie eine unverbindliche Erstberatung mit einem unserer Experten bei DataGuard, um Ihre Organisation fit für die ISO 27001 zu machen.

Kostenlose Erstberatung vereinbaren

 
ISo 27001 Roadmap

Roadmap zur ISO 27001 Zertifizierung

Mit unserem kostenlosen Leitfaden behalten Sie den Überblick auf dem Weg zur Zertifizierung Ihres ISMS nach ISO 27001. 

Jetzt kostenlos herunterladen

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren