Your-ultimate-guide-to-ISO-27001-Certification-Background

Navigating ISO 27001

Personenbezogene Controls der ISO 27001

Die wichtigsten Maßnahmen für die Informationssicherheit

Kostenlosen Leitfaden herunterladen

 

Get your free guide

Der Schutz sensibler Informationen und Daten ist heutzutage so wichtig wie nie. Zu den Risiken gehören technologische und physische Bedrohungen – ein großer Risikofaktor ist aber vor allem der Mensch. Deswegen enthält die ISO 27001 im Anhang A eine Reihe von Maßnahmen, die speziell für den Umgang mit Mitarbeitern entwickelt wurden.

Damit Informationen in Organisationen geschützt werden können, ist es wichtig ein umfassendes Informationssicherheits-Managementsystem (ISMS) zu implementieren. Ein ISMS besteht aus einer Reihe von Maßnahmen, die dazu beitragen, die Sicherheit von Informationen zu gewährleisten.

Personalbezogene Controls sind ein wichtiger Bestandteil eines ISMS. Sie konzentrieren sich auf den menschlichen Faktor in der Informationssicherheit. Personalbezogene Controls sollen sicherstellen, dass Mitarbeiter die richtigen Kenntnisse und Fähigkeiten haben, um Informationen sicher zu handhaben.

Control Kategorien aus Anhang A: Organisatorisch, personalbezogen, physisch und technologisch

Die ISO 27001 definiert 93 Controls in Anhang A, die dazu beitragen, die Informationssicherheit einer Organisation zu verbessern. Diese Controls sind in vier Kategorien unterteilt:

Die vier Kategorien erleichtern die Planung und Implementierung von Referenzmaßnamen und die Wahl der richtigen Controls für den Kontext der Organisation. 2022 wurden die Kategorien neu strukturiert, um den aktuellen Sicherheitsanforderungen gerecht zu werden – Seitdem gibt es die Version ISO 27001:2022. Die Kernprozesse des ISMS-Managements bleiben unverändert, aber die Controls in Anhang A wurde aktualisiert, um modernere Risiken und die damit verbundenen Maßnahmen zu berücksichtigen.

Erfahren Sie mehr über den Übergang zu den neuen Controls der ISO 27001 in unserem Übergangsleitfaden.

 

H2: Was sind personalbezogene Controls?

People Controls sind Maßnahmen, die darauf abzielen, das Verhalten von Mitarbeitern in Bezug auf Informationssicherheit zu beeinflussen und das Personal zu schützen.

Die personalbezogenen Controls der ISO 27001 aus Anhang A stellen sicher, dass Mitarbeiter und andere Personen, die Zugang zu Informationssystemen und Daten haben, ein angemessenes Verständnis der Informationssicherheit haben und diese einhalten.

Das heißt: Sie definiert Verantwortlichkeiten, angemessene Trainings und den Zugang zu Wissen sowie Verpflichtungen von Organisation und Mitarbeitenden gegenüber dem Umgang mit sensiblen Informationen. Dazu gehören auch Themen wie Telearbeit, Geheimhaltungsvereinbarungen, On- und Offboarding-Prozesse sowie die Verantwortung für die Meldung von Vorfällen.

Sie umfassen unter anderem:

  • Schulungen und Awareness-Kampagnen zur Sensibilisierung von Mitarbeitern für Informationssicherheitsrisiken

  • Richtlinien und Verfahren, die die sichere Handhabung von Informationen regeln

  • Prozesse zur Auswahl, Einstellung und Überwachung von Mitarbeitern

  • Maßnahmen zur Förderung einer Kultur der Informationssicherheit in der Organisation

Schnell zur ISO 27001-Zertifizierung mit Experten an Ihrer Seite

Reduzierung der manuellen Arbeit um bis zu 75 % 

Reduzieren Sie Ihre Kosten um die Hälfte, indem Sie bis zu 40 % Arbeitskraft einsparen 

Demo buchen
DG Seal ISO 27001

Warum sind personalbezogene Controls wichtig?

Menschen sind oft der Schwachpunkt in der Informationssicherheit. Sie können unbeabsichtigt Informationen preisgeben oder durch Phishing- oder Social-Engineering-Attacken angegriffen werden.

Personalbezogene Controls helfen, diese Risiken zu minimieren, indem sie Mitarbeiter dazu befähigen, Informationen sicher zu handhaben.

 

ISO 27001 personalbezogene Controls: Welche gibt es?

Personalbezogene Controls sind ein essentieller Bestandteil einer umfassenden Informationssicherheitsstrategie. Von Vorteil: Der Bereich umfasst nur acht Maßnahmen, die Sie umsetzen können. Wir haben Ihnen eine Liste mit einem umfassenden Überblick über alle personalbezogenen Controls aus Anhang A der ISO 27001 erstellt:

People Controls

Annex A 6.1

Screening

People Controls

Annex A 6.2

Terms and Conditions of Employment

People Controls

Annex A 6.3

Information Security Awareness, Education and Training

People Controls

Annex A 6.4

Disciplinary Process

People Controls

Annex A 6.5

Responsibilities After Termination or Change of Employment

People Controls

Annex A 6.6

Confidentiality or Non-Disclosure Agreements

People Controls

Annex A 6.7

Remote Working

People Controls

Annex A 6.8

Information Security Event Reporting

Wie implementiert man People Controls?

Die Implementierung von People Controls ist ein Prozess, der in mehrere Schritte unterteilt werden kann:

  1. Risikomanagement: Identifizierung der Risiken für Informationssicherheit und Auswahl der geeigneten Controls

  2. Planung: In diesem Schritt wird ein Plan zur Implementierung der People Controls erstellt.

  3. Implementierung: In diesem Schritt werden die People Controls umgesetzt.

  4. Überwachung und Verbesserung: In diesem Schritt wird die Wirksamkeit der People Controls überwacht und bei Bedarf verbessert.

Risikomanagement

Die Grundlage zur Implementierung aller Controls der ISO 27001 ist immer das Risikomanagement.

Die ISO 27001 fordert von Organisationen, dass sie ein Informationssicherheitsmanagementsystem (ISMS) implementieren. Dieses ISMS soll die Informationssicherheit der Organisation gewährleisten. Die Controls der ISO 27001 sind dabei die Maßnahmen, die zur Umsetzung des ISMS erforderlich sind.

Das Risikomanagement ist der Prozess, der die Risiken für die Informationssicherheit identifiziert, bewertet und behandelt. Die Ergebnisse des Risikomanagements bilden die Grundlage für die Auswahl der Controls.

Planung

Der erste Schritt bei der Implementierung von personalbezogenen Controls ist die Planung. In diesem Schritt wird ein Plan erstellt, der die folgenden Aspekte umfasst:

  • Ziele: Welche Ziele sollen mit der Implementierung der People Controls erreicht werden?

  • Umfang: Welche People Controls sollen implementiert werden?

  • Verantwortlichkeiten: Wer ist für die Implementierung und den Betrieb der People Controls verantwortlich?

  • Ressourcen: Welche Ressourcen sind für die Implementierung der People Controls erforderlich?

Die Planung sollte eng mit den anderen Bereichen des Informationssicherheitsmanagementsystems (ISMS) abgestimmt sein. So können sich die personalbezogenen Controls nahtlos in das ISMS integrieren und die gewünschten Ziele erreichen.

Implementierung

In diesem Schritt werden die personalbezogenen Controls umgesetzt. Dazu gehören unter anderem:

  • Erstellung von Richtlinien und Verfahren: Richtlinien und Verfahren definieren die Anforderungen an die People Controls.

  • Schulung und Sensibilisierung: Mitarbeiter werden in Bezug auf die Informationssicherheit geschult und sensibilisiert.

  • Implementierung technischer Maßnahmen: Technische Maßnahmen können die Wirksamkeit der People Controls unterstützen.

Die Implementierung der personalbezogenen Controls sollte in einem angemessenen Zeitraum erfolgen. Dabei ist es wichtig, die Auswirkungen der neuen Maßnahmen auf die Mitarbeiter und die Organisation zu berücksichtigen.

Überwachung und Verbesserung

Die Wirksamkeit der personalbezogenen Controls sollte regelmäßig überwacht werden. Dazu können unter anderem folgende Maßnahmen ergriffen werden:

  • Audits: Audits können die Einhaltung der personalbezogenen Controls überprüfen.

  • Feedback von Mitarbeitern: Mitarbeiter können Feedback zu den personalbezogenen Controls geben.

  • Analyse von Sicherheitsvorfällen: Die Analyse von Sicherheitsvorfällen kann Aufschluss über mögliche Schwachstellen in den personalbezogenen Controls geben.

Die Ergebnisse der Überwachung und Verbesserung sollten genutzt werden, um die personalbezogenen Controls zu optimieren. So kann die Informationssicherheit der Organisation kontinuierlich verbessert werden.

Zusätzliche Tipps für die Implementierung von People Controls

  • Involvieren Sie die Mitarbeiter: Die Mitarbeiter sollten von Anfang an in die Planung und Umsetzung der personalbezogenen Controls einbezogen werden. So können sie sich mit den neuen Maßnahmen identifizieren und diese besser akzeptieren.

  • Kommunizieren Sie die People Controls klar und verständlich: Die Mitarbeiter sollten verstehen, warum die personalbezogenen Controls wichtig sind und wie sie diese umsetzen können.

  • Bieten Sie Schulung und Sensibilisierung an: Schulung und Sensibilisierung tragen dazu bei, dass die Mitarbeiter die Informationssicherheit verstehen und diese einhalten.

  • Stellen Sie Ressourcen bereit: Stellen Sie den Mitarbeitern die erforderlichen Ressourcen zur Verfügung, damit sie die personalbezogenen Controls umsetzen und aufrechterhalten können.

Durch die Implementierung von personalbezogenen Controls kann die Informationssicherheit einer Organisation verbessert werden. Die personalbezogenen Controls helfen dabei, sicherzustellen, dass Mitarbeiter und andere Personen, die Zugang zu Informationssystemen und Daten haben, ein angemessenes Verständnis der Informationssicherheit haben und diese einhalten.

 

Personalbezogene Controls zur Stärkung Ihrer Informationssicherheit

Personalbezogene Controls sind ein wichtiger Bestandteil eines ISMS. Sie helfen, das Verhalten von Mitarbeitern in Bezug auf Informationssicherheit zu beeinflussen und so die Sicherheit von Informationen zu gewährleisten.

Personalbezogene Maßnahmen geben Unternehmen Richtlinien an die Hand, die die Auswahl der Mitarbeiter beeinflusst, sie im Umgang mit sensiblen Informationen schult und einen sicheren Umgang mit entsprechenden Regeln fördert.

Dabei werden die aktuellen Herausforderungen der Informationssicherheit in der ISO 27001:2022 berücksichtigt und Möglichkeiten geboten, einen angemessenen Umgang mit modernen Bedingungen wie Remote Work und digitalen Prozessen zu etablieren.

Finden Sie die richtigen Controls für Ihr Unternehmen und informieren Sie sich in unserer ISO 27001 Checkliste darüber, welche Maßnahmen Sie zur Umsetzung der ISO 27001 implementieren müssen.

Save Money with ISO 27001

Bis zu 50%

Günstiger als externe Berater

Opt-in

Bis zu 300%

Erhöhen Sie Ihre Opt-in-Rate mit Consent & Preference Management

Scale Fast with ISO 27001

3 Monate

In nur drei Monaten bereit für den Audit

ISO 27001 Certificate

100%

Bislang haben alle unsere Kunden beim ersten Versuch bestanden

ISO 27001 certification to reduce Workload

Spart bis zu 100 Std.

an manueller Arbeit für die ISO 27001-Zertifizierung oder Label für eine Zertifizierung nach TISAX®

ISO 27001 Certification creates trust

Viele namhafte Marken vertrauen auf uns

Demo buchen

P I C

p

PRIVACY

Externer DSB
Audit und Risikoanalyse
Betroffenenanfragen
Online-Trainings
Cookie & Preference Manager
Beratung durch zertifizierte Experten

i

INFOSEC

Vorbereitung auf ISO 27001
Aufbau eines ISMS
Cybersecurity
Asset-Management
Risikominimierung
Internes Audit

c

COMPLIANCE

Digitales Whistleblowing-System
Whistleblowing-Support
Compliance-Audit
Risikominimierung
Online-Trainings
Geprüfte Vorlagen

ISO 27001:2022 Anforderungen

4.1 Verstehen der Organisation und ihres Kontextes

4.2 Verständnis für die Bedürfnisse und Erwartungen der interessierten Parteien

4.3 Der Geltungsbereich des ISMS

4.4 Prozess des Informationssicherheits-Managementsystems

5.1 Führung und Verpflichtung

5.2 Informationssicherheitsrichtlinie

5.3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation

6.1 Tätigkeiten zur Adressierung von Risiken und Chancen

6.2 Informationssicherheitsziele und Planung zur Zielerreichung

7.1 Ressourcen

7.2 Kompetenzen

7.3 Aufmerksamkeit

7.4 Kommunikation

7.5 Dokumentierte Informationen

8.1 Operative Planung und Kontrolle

8.2 Informationssicherheits-Risikobewertung

8.3 Informationssicherheits-Risikobehandlung

9.1 Überwachung, Messung, Analyse und Bewertung

9.2 Internes Audit

9.3 Management Review

10.1 Nicht-Konformität und berichtigende Maßnahmen

10.2 Fortlaufende Verbesserungen

 

ISO 27001 Anhang A

 

Bereits Unternehmen vertrauen uns

Canon-4 Hyatt-3 Burger King Unicef UK-1 Free Now

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.