Die Einhaltung von Unternehmensrichtlinien und -praktiken ist ein wesentlicher Aspekt bei der Ausrichtung am ISO 27001-Standard und zur Stärkung der Informationssicherheit in Ihrer Organisation.
In diesem Artikel wird erläutert, wie Anhang A.18 zur Entwicklung und Umsetzung eines soliden Informationssicherheits-Frameworks beiträgt, warum die Compliance für Ihre Organisation eine wichtige Rolle spielt, sowie die einzelnen Maßnahmen, die Sie erfüllen müssen, um Vorgaben sowohl intern als auch extern einzuhalten.
Was ist Anhang A.18?
In Anhang A.18 wird dargelegt, wie eine Organisation gesetzliche und vertragliche Anforderungen gewährleisten sollte. Diese Anforderungen betreffen u. a. die Installation von Software, die Informationsübertragung, Verschlüsselungsanforderungen sowie Rechte an geistigem Eigentum. Dabei wird von den Einzelpersonen verlangt, dass sie die Verantwortung für den Schutz vertraulicher Informationen übernehmen.
Zunächst ist wichtig zu verstehen, was Compliance im Hinblick auf die ISO 27001 Zertifizierung für die Informationssicherheit bedeutet und was in Anhang A.18 enthalten ist.
Was bedeutet Compliance?
In Anhang A.18 der Maßnahmen aus Anhang A wird im Rahmen der Compliance vorausgesetzt, dass eine Organisation alle relevanten Maßnahmenziele, Maßnahmen, Richtlinien, Verfahren und Prozesse einhält – unabhängig davon, ob es sich um gesetzliche, behördliche, vertragliche oder selbst auferlegte Maßnahmen handelt, um die Gewährleistung und das Management der Informationssicherheit zu gewährleisten.
Im Folgenden erfahren Sie, warum eine ordnungsgemäße Compliance für Sie und Ihre Organisation wichtig ist.
Weshalb ist Compliance für Ihre Organisation wichtig?
Die gemeinsame Netzwerknutzung sowie die Installation von Software gelten als Einfallstor für Hacker. Dadurch sind personenbezogene Daten und vertrauliche Geschäftsunterlagen der Gefahr der unbefugten Weitergabe, des Verlusts und der Verfälschung ausgesetzt. Durch die Festlegung und Aufrechterhaltung eines strengen Compliance-Frameworks kann der unbefugte Zugriff auf die verschiedenen Informationsbestände einer Organisation unterbunden werden.
Im Folgenden sollen die verschiedenen Anforderungen von Anhang A.18 bei der Entwicklung und Umsetzung von Compliance-Initiativen betrachtet werden.
Was sind die Maßnahmen nach Anhang A.18?
In Anhang A.18 sind 8 Maßnahmen aufgeführt, die sowohl die externe als auch die interne Compliance betreffen. In diesem Abschnitt wird dargelegt, wie eine Organisation die einschlägigen Rechtsvorschriften ermittelt und einhält, die Gesetze zum Schutz des geistigen Eigentums und die Lizenzanforderungen beachtet, Geschäftsunterlagen und personenbezogene Daten schützt und die Compliance mit den geltenden Informationssicherheitsmaßnahmen in regelmäßigen Abständen überprüft.
A.18.1 Einhaltung gesetzlicher und vertraglicher Anforderungen
Mit Anhang A.18.1 soll sichergestellt werden, dass die Compliance aller Informationssysteme Ihrer Organisation mit Gesetzen, Vorschriften und Verträgen gewährleistet ist.
18.1.1 Bestimmung der anwendbaren Gesetzgebung und der vertraglichen Anforderungen
Maßnahme: Die Organisation muss die Anforderungen regelmäßig ermitteln, dokumentieren und aktualisieren sowie den Ansatz der Organisation zu deren Compliance mit einbeziehen.
Umsetzung: Die individuellen Verpflichtungen (d. h. die Rolle bestimmter Einzelpersonen bei der Einhaltung der Anforderungen) müssen ermittelt und dokumentiert werden. Alle einschlägigen Rechtsvorschriften sollten ermittelt und eingehalten werden, auch wenn die Geschäfte in einem anderen Land abgewickelt werden.
18.1.2 Geistige Eigentumsrechte
Maßnahme: Es müssen alle Rechtsvorschriften über geistige Eigentumsrechte und Eigentumslizenzen eingehalten werden sowie die entsprechenden Compliance-Anforderungen erfüllt werden.
Folgende Punkte sind zu berücksichtigen, bevor Materialien als schutzbedürftiges geistiges Eigentum deklariert werden:
- Die angemessene/legitime Nutzung von Software und Informationsprodukten muss in einem Leitfaden festgehalten werden.
- Software darf nur von vertrauenswürdigen Quellen erworben werden, um das Risiko von Korruption oder Verstößen zu vermeiden.
- Bei Verletzungen der Rechte an geistigem Eigentum müssen nach vorheriger Ankündigung disziplinarische Maßnahmen ergriffen werden.
- Alle Assets müssen unter Angabe der erforderlichen Rechte am geistigen Eigentum registriert werden.
- Ein Nachweis über den Besitz der Lizenz muss festgehalten werden.
- Falls eine Höchstzahl von Benutzern festgelegt ist, sind Maßnahmen vorzusehen, mit denen sichergestellt wird, dass diese Zahl nicht überschritten wird.
- Installierte Produkte und Software müssen auf den Nachweis der Exklusivität der Lizenz überprüft werden.
- Die angemessene Nutzung/Bedingungen von Lizenzen müssen in einem Grundsatzdokument dargelegt und durchgesetzt werden.
- Die Informationen/Richtlinien zur Veräußerung und Weitergabe von Informationen sind im Rahmen einer Strategie zu kommunizieren
- Die allgemeinen Geschäftsbedingungen für installierte Software und öffentliche Netzwerke müssen eingehalten werden.
- Die Vervielfältigung, Umwandlung und die auszugsweise Nutzung von Audio- und Videoaufzeichnungen müssen sich auf das urheberrechtlich zulässige Maß beschränken.
- Schriftträger und Dokumente dürfen nur in dem vom Urheberrechtsgesetz zugelassenen Umfang kopiert werden.
18.1.3 Schutz von Geschäftsunterlagen
Maßnahme: Die Geschäftsunterlagen der Organisation sollten vor unbefugtem Zugriff und Freigabe sowie vor Verlust, Zerstörung und Fälschung unter Beachtung aller einschlägigen Rechtsvorschriften geschützt werden.
Umsetzung: Aus dem Klassifizierungsschema der Organisation sollte hervorgehen, welche Dokumente geschützt werden müssen. Die Geschäftsunterlagen sollten nach ihrem Typ sowie mit ihren Aufbewahrungsfristen, Einzelheiten zur Verschlüsselung und zulässigen Speicherformaten kategorisiert werden. Bei der Aufbewahrung sollte die Möglichkeit zur Vernichtung der Datenträger in Betracht gezogen werden, falls sie nicht mehr benötigt werden.
18.1.4 Privatsphäre und Schutz von personenbezogenen Daten
Maßnahme: Der Datenschutz und die Wahrung der Privatsphäre müssen in allen einschlägigen Rechtsvorschriften verankert sein und als solche eingehalten werden.
Umsetzung: Es muss eine Datenschutzrichtlinie ausgearbeitet und umgesetzt werden, in der die Anforderungen an die Privatsphäre und den Schutz personenbezogener Daten dargelegt sind. Alle an der Verarbeitung dieser Informationen beteiligten Personen müssen über diese Richtlinie aufgeklärt werden.
Es muss ein Datenschutzbeauftragter bestellt werden, der die Verantwortung für den Schutz personenbezogener Daten und die Anleitung des Personals bei der Umsetzung dieser Aufgabe übernimmt. Darüber hinaus sind Maßnahmen zu ergreifen, mit denen der Datenschutz und der Schutz von personenbezogenen Daten gewährleistet werden können.
18.1.5 Regelungen bezüglich kryptographischer Maßnahmen
Maßnahme: Die kryptografischen Maßnahmen müssen im Einklang mit den geschäftlichen Anforderungen umgesetzt werden.
Bei der Implementierung kryptographischer Maßnahmen sind folgende Punkte zu beachten:
- Der Import und Export von Hard- und Software, die zur Durchführung kryptographischer Funktionen verwendet werden, muss eingeschränkt werden.
- Der Import und Export von Hard- und Software, die mit kryptografischen Funktionen ausgestattet sind, muss eingeschränkt werden.
- Der Einsatz von Verschlüsselungsverfahren muss eingeschränkt werden.
- Für Informationen, die durch Verschlüsselungshardware und -software geschützt sind, müssen definierte Zugriffsmethoden zur Verfügung stehen.
Bevor Informationen (über Länder-/Gerichtsgrenzen hinweg) übermittelt werden, muss rechtlicher Rat eingeholt werden, um die Compliance mit den jeweiligen nationalen Behörden sicherzustellen.
A.18.2 Überprüfungen der Informationssicherheit
Mit Anhang A.18.2 soll sichergestellt werden, dass alle Anforderungen an die Informationssicherheit gemäß den Richtlinien und Verfahren der Organisation eingehalten und umgesetzt werden.
18.2.1 Unabhängige Überprüfung der Informationssicherheit
Maßnahme: Es müssen interne Maßnahmen ergriffen werden, um das Informationssicherheits-Management der Organisation zu verbessern. Dieser Ansatz umfasst Strategien, Verfahren und Maßnahmen u. v. m.
Umsetzung: Es sollte eine unabhängige Überprüfung (durch eine entsprechend qualifizierte Einzelperson) durchgeführt werden, um kohärente, angemessene und effiziente Verfahren im Bereich der Informationssicherheit in der Organisation sicherzustellen. In dieser Analyse müssen Ziele und Verbesserungsmöglichkeiten aufgeführt werden.
Die Ergebnisse dieser Überprüfung sind den betroffenen Parteien mitzuteilen und entsprechend zu dokumentieren. Falls die Compliance-Anforderungen nicht erfüllt werden, sollten im Einklang mit der Informationssicherheitsrichtlinie Abhilfemaßnahmen ergriffen werden.
18.2.2 Einhaltung von Sicherheitsrichtlinien und -standards
Maßnahme: Die Spezifikationen und Verfahren für die Informationsverarbeitung müssen von den Verantwortlichen regelmäßig hinsichtlich ihrer Compliance überprüft werden.
Umsetzung: Die vorgeschriebenen Kriterien im Bereich der Informationssicherheit müssen auf einer im Voraus festgelegten Grundlage bewertet werden – bei Bedarf unter Einsatz automatischer Mess- und Reporting-Tools.
Im Falle von Compliance-Verstößen gilt es, den Ursachen auf den Grund zu gehen und entsprechende Abhilfemaßnahmen zu kommunizieren.
18.2.3 Überprüfung der Compliance mit technischen Vorgaben
Maßnahme: Informationssysteme müssen regelmäßig überprüft werden, um die Einhaltung der Sicherheitsrichtlinien und -standards der Organisation zu gewährleisten.
Umsetzung: Die Bewertung der technischen Compliance sollte idealerweise mit automatisierten Tools erfolgen. Bei der Durchführung manueller Bewertungen ist Vorsicht geboten, um die Systemsicherheit zu wahren. Bewertungen müssen von oder unter der Aufsicht einschlägiger Fachleute durchgeführt werden und müssen sorgfältig geplant und dokumentiert werden.
Fazit
Zwar ist es nicht zwingend erforderlich, alle 114 Maßnahmen des Anhangs A einzuhalten, doch müssen die für die Ziele Ihrer Organisation relevanten Maßnahmen ermittelt und umgesetzt werden.
In Anhang A.18 werden Best Practices für Compliance- und Informationssicherheits-Reviews anhand von 8 potenziellen Maßnahmen vorgestellt, mit denen sichergestellt wird, dass der Zugang zu personenbezogenen Daten und Geschäftsunterlagen (z. B. Buchhaltungsunterlagen und Protokolle) nicht ohne Autorisierung erfolgen kann. A.18 schreibt vor, wie Organisationen Gesetze, Vorschriften, Verträge und Richtlinien langfristig einhalten und gleichzeitig ihren Ansatz für das Informationssicherheits-Management stärken können.
Vereinbaren Sie eine unverbindliche Erstberatung mit einem unserer Experten bei DataGuard, um Ihre Organisation fit für die ISO 27001 zu machen.
Roadmap zur ISO 27001 Zertifizierung
Mit unserem kostenlosen Leitfaden behalten Sie den Überblick auf dem Weg zur Zertifizierung Ihres ISMS nach ISO 27001.
Jetzt kostenlos herunterladen