Your-ultimate-guide-to-ISO-27001-Certification-Background

Navigating ISO 27001

Technologische Controls der ISO 27001

Die wichtigsten Maßnahmen für die Informationssicherheit

Kostenlosen Leitfaden herunterladen

 

Get your free guide

Die digitale Welt wandelt sich rasant. Damit ändern sich auch die Anforderungen an den Umgang mit Informationswerten – und ihre Sicherung. Denn der Schutz sensibler Daten ist heutzutage so wichtig wie nie. Insbesondere Technologie steht im Fokus ständiger Neuerungen. Deswegen enthält der Anhang A der ISO 27001 eine Reihe von Maßnahmen, die speziell für die Sicherung und den Umgang mit Technologie und digitaler Sicherheit in Unternehmen entwickelt wurden.

Die ISO 27001 ist eine internationale Norm für Informationssicherheit. Sie definiert Anforderungen an die Implementierung, Umsetzung und Aufrechterhaltung eines Informationssicherheits-Managementsystem (ISMS), um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen.

Ein nach ISO 27001 zertifiziertes Informationssicherheits-Managementsystem (ISMS) ist eine weltweit anerkannte Möglichkeit, Informationen einer Organisationen angemessen zu schützen. Dabei besteht ein ISMS aus einer Reihe von Maßnahmen, die dazu beitragen, die Sicherheit von Informationen zu gewährleisten.

Technologische Controls sind ein wichtiger Bestandteil eines ISMS. Die Maßnahmen dieser Kategorie sorgen dafür, dass Daten auch digital angemessen gesichert und Zugriffe sowie Netzwerke kontrolliert werden.


Control Kategorien aus Anhang A: Technologisch, organisatorisch, personalbezogen und physisch

Anhang A der ISO 27001:2022 enthält eine Liste von 93 Controls, die in vier Kategorien organisiert sind. Unternehmen können die entsprechenden Maßnahmen je nach Kontext aus den passenden Kategorien wählen. So werden die Controls an die aktuellen Sicherheitsanforderungen angepasst:

Dieser Artikel konzentriert sich auf die technologischen Controls aus Anhang A der ISO 27001:2022.

 

Was sind technologische Controls?

Zu den technologischen Controls gehören die Authentifizierung und Verschlüsselung von Daten sowie die Verhinderung von Datenverlusten. Zum Schutz der Daten muss auch die Technik entsprechend gesichert werden. Zugriffsrechte, Netzwerksicherheit und Datenmaskierung helfen dabei, diese Sicherheit zu erreichen.

Das heißt: Mit diesen Controls soll sichergestellt werden, dass technische Anfälligkeiten verhindert werden, Software und Systeme gegen Malware geschützt sind. Der Zugang zu Software und Services wird dafür reglementiert und dokumentiert und alle nicht mehr verwendeten Informationen werden gelöscht.

Technologische Controls umfassen unter anderem:

  • Die Löschung aller nicht mehr notwendigen Informationen

  • Die Verwaltung technischer Anfälligkeiten und den entsprechenden Schutz

  • Schutzmaßnahmen gegen Malware

  • Maßnahmen zur Maskierung von Daten

Reduzieren Sie die manuelle Arbeit um bis zu 75%.


100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001  

Demo buchen
DG Seal ISO 27001

ISO 27001: Neue technologische Controls

Die ISO 27001:2022 umfasst im Vergleich zu ihrer Vorgängerversion neue technologische Maßnahmen, die auf die aktuellen Herausforderungen der Informationssicherheit reagieren:

Zu den neuen technologischen Controls gehören:

8.1: Data masking

8.9: Configuration management

8.10: Information deletion

8.12: Data leakage prevention

8.16: Monitoring activities

8.23: Web filtering

8.28: Secure coding

 

Welche physischen Controls gibt es?

Technologische Controls sind ein wichtiger Bestandteil einer umfassenden Informationssicherheitsstrategie, der insbesondere auf die angemessene Sicherung der Technik, Daten, Zugänge und Aufbewahrung von Informationen ausgerichtet ist.

Der Bereich umfasst 34 Maßnahmen, die Sie umsetzen können. Wir haben Ihnen eine Liste mit einem umfassenden Überblick über alle technologischen Controls aus Anhang A der ISO 27001 erstellt:

Technological Controls

Annex A 8.1

User Endpoint Devices 

Technological Controls

Annex A 8.2

Privileged Access Rights 

Technological Controls

Annex A 8.3

Information Access Restriction 

Technological Controls

Annex A 8.4

Access to Source Code 

Technological Controls

Annex A 8.5

Secure Authentication 

Technological Controls

Annex A 8.6

Capacity Management 

Technological Controls

Annex A 8.7

Protection Against Malware 

Technological Controls

Annex A 8.8

Management of Technical Vulnerabilities 

Technological Controls

Annex A 8.9

Configuration Management 

Technological Controls

Annex A 8.10

Information Deletion 

Technological Controls

Annex A 8.11

Data Masking 

Technological Controls

Annex A 8.12

Data Leakage Prevention 

Technological Controls

Annex A 8.13

Information Backup 

Technological Controls

Annex A 8.14

Redundancy of Information Processing Facilities 

Technological Controls

Annex A 8

Logging 

Technological Controls

Annex A 8.16

Monitoring Activities 

Technological Controls

Annex A 8.17

Clock Synchronization 

Technological Controls

Annex A 8.18

Use of Privileged Utility Programs 

Technological Controls

Annex A 8.19

Installation of Software on Operational Systems 

Technological Controls

Annex A 8.20

Networks Security 

Technological Controls

Annex A 8.21

Security of Network Services 

Technological Controls

Annex A 8.22

Segregation of Networks 

Technological Controls

Annex A 8.23

Web filtering 

Technological Controls

Annex A 8.24

Use of Cryptography 

Technological Controls

Annex A 8.25

Secure Development Life Cycle 

Technological Controls

Annex A 8.26

Application Security Requirements 

Technological Controls

Annex A 8.27

Secure System Architecture and Engineering Principles 

Technological Controls

Annex A 8.28

Secure Coding 

Technological Controls

Annex A 8.29

Security Testing in Development and Acceptance 

Technological Controls

Annex A 8.30

Outsourced Development 

Technological Controls

Annex A 8.31

Separation of Development, Test and Production Environments 

Technological Controls

Annex A 8.32

Change Management 

Technological Controls

Annex A 8.33

Test Information 

Technological Controls

Annex A 8.34

Protection of Information Systems During Audit Testing 

Wie werden technologische Controls implementiert?

Die Implementierung von technologischen Controls basiert auf einer Risikobewertung. Die Organisation sollte die potenziellen Bedrohungen für ihre Informationen und Informationssysteme durch technologische Angriffe identifizieren und dann die geeigneten Controls implementieren, um diese Bedrohungen zu mindern.

Der Prozess der Implementierung von technologischen Controls kann in folgende Schritte unterteilt werden:

Risikoidentifikation

Die erste Phase besteht darin, die potenziellen Bedrohungen für die Informationen und Informationssysteme der Organisation durch technologische Angriffe zu identifizieren. Dazu können folgende Faktoren berücksichtigt werden:

  • Externe Bedrohungen: Cyberangriffe, Malware, Phishing

  • Interne Bedrohungen: Mitarbeiterfehler, Betrug, Spionage

Controlauswahl

Nach der Risikobewertung kann die Organisation innerhalb der Risikobehandlung die geeigneten Controls auswählen, um die identifizierten Risiken zu mindern. Dabei ist es wichtig, die Kosten und den Nutzen der Controls abzuwägen.

Controldesign

In der dritten Phase wird das Design der Controls festgelegt. Dazu gehören die Spezifikation der technischen und organisatorischen Maßnahmen, die zur Umsetzung der Controls erforderlich sind.

Controlimplementierung

In der vierten Phase werden die Controls implementiert. Dazu gehören die Beschaffung und Installation der erforderlichen Hardware und Software sowie die Schulung der Mitarbeiter.

Controlüberwachung

Die Controls müssen regelmäßig überwacht werden, um sicherzustellen, dass sie ordnungsgemäß funktionieren und die gewünschten Ergebnisse erzielen. Dazu gehören regelmäßige Audits und Tests der Controls.

 

Technologische Controls zur Stärkung Ihrer Informationssicherheit

Technologische Controls sind Maßnahmen, die die Sicherheit von Informationen und Informationssystemen verbessern. Sie helfen dabei, Informationen und Informationssysteme vor unbefugtem Zugriff, Manipulation, Zerstörung und Verlust zu schützen.

Mit der Version der ISO 27001 aus 2022 werden die aktuellen Herausforderungen der Informationssicherheit berücksichtigt und Möglichkeiten geboten, einen angemessenen Umgang mit aktuellen Bedingungen zu etablieren.

Finden Sie die richtigen Controls für Ihr Unternehmen und informieren Sie sich in unserer ISO 27001 Checkliste darüber, welche Maßnahmen Sie zur Umsetzung der ISO 27001 implementieren müssen.



Sprechen Sie uns an

P I C

p

PRIVACY

Externer DSB
Audit und Risikoanalyse
Betroffenenanfragen
Online-Trainings
Cookie & Preference Manager
Beratung durch zertifizierte Experten

i

INFOSEC

Vorbereitung auf ISO 27001
Aufbau eines ISMS
Cybersecurity
Asset-Management
Risikominimierung
Internes Audit

c

COMPLIANCE

Digitales Whistleblowing-System
Whistleblowing-Support
Compliance-Audit
Risikominimierung
Online-Trainings
Geprüfte Vorlagen

Bereits Unternehmen vertrauen uns

Canon-4 Hyatt-3 Burger King Unicef UK-1 Free Now

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.

 

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren