Die digitale Welt wandelt sich rasant. Damit ändern sich auch die Anforderungen an den Umgang mit Informationswerten – und ihre Sicherung. Denn der Schutz sensibler Daten ist heutzutage so wichtig wie nie. Insbesondere Technologie steht im Fokus ständiger Neuerungen. Deswegen enthält der Anhang A der ISO 27001 eine Reihe von Maßnahmen, die speziell für die Sicherung und den Umgang mit Technologie und digitaler Sicherheit in Unternehmen entwickelt wurden.
Die ISO 27001 ist eine internationale Norm für Informationssicherheit. Sie definiert Anforderungen an die Implementierung, Umsetzung und Aufrechterhaltung eines Informationssicherheits-Managementsystem (ISMS), um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen.
Ein nach ISO 27001 zertifiziertes Informationssicherheits-Managementsystem (ISMS) ist eine weltweit anerkannte Möglichkeit, Informationen einer Organisationen angemessen zu schützen. Dabei besteht ein ISMS aus einer Reihe von Maßnahmen, die dazu beitragen, die Sicherheit von Informationen zu gewährleisten.
Technologische Controls sind ein wichtiger Bestandteil eines ISMS. Die Maßnahmen dieser Kategorie sorgen dafür, dass Daten auch digital angemessen gesichert und Zugriffe sowie Netzwerke kontrolliert werden.
Control Kategorien aus Anhang A: Technologisch, organisatorisch, personalbezogen und physisch
Anhang A der ISO 27001:2022 enthält eine Liste von 93 Controls, die in vier Kategorien organisiert sind. Unternehmen können die entsprechenden Maßnahmen je nach Kontext aus den passenden Kategorien wählen. So werden die Controls an die aktuellen Sicherheitsanforderungen angepasst:
- Organisatorische Controls
- Menschliche Controls
- Technologische Controls
- Physische Controls
Dieser Artikel konzentriert sich auf die technologischen Controls aus Anhang A der ISO 27001:2022.
Was sind technologische Controls?
Zu den technologischen Controls gehören die Authentifizierung und Verschlüsselung von Daten sowie die Verhinderung von Datenverlusten. Zum Schutz der Daten muss auch die Technik entsprechend gesichert werden. Zugriffsrechte, Netzwerksicherheit und Datenmaskierung helfen dabei, diese Sicherheit zu erreichen.
Das heißt: Mit diesen Controls soll sichergestellt werden, dass technische Anfälligkeiten verhindert werden, Software und Systeme gegen Malware geschützt sind. Der Zugang zu Software und Services wird dafür reglementiert und dokumentiert und alle nicht mehr verwendeten Informationen werden gelöscht.
Technologische Controls umfassen unter anderem:
- Die Löschung aller nicht mehr notwendigen Informationen
- Die Verwaltung technischer Anfälligkeiten und den entsprechenden Schutz
- Schutzmaßnahmen gegen Malware
- Maßnahmen zur Maskierung von Daten
Reduzieren Sie die manuelle Arbeit um bis zu 75%.
100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001
ISO 27001: Neue technologische Controls
Die ISO 27001:2022 umfasst im Vergleich zu ihrer Vorgängerversion neue technologische Maßnahmen, die auf die aktuellen Herausforderungen der Informationssicherheit reagieren:
Zu den neuen technologischen Controls gehören:
8.1: Data masking
8.9: Configuration management
8.10: Information deletion
8.12: Data leakage prevention
8.16: Monitoring activities
8.23: Web filtering
8.28: Secure coding
Welche physischen Controls gibt es?
Technologische Controls sind ein wichtiger Bestandteil einer umfassenden Informationssicherheitsstrategie, der insbesondere auf die angemessene Sicherung der Technik, Daten, Zugänge und Aufbewahrung von Informationen ausgerichtet ist.
Der Bereich umfasst 34 Maßnahmen, die Sie umsetzen können. Wir haben Ihnen eine Liste mit einem umfassenden Überblick über alle technologischen Controls aus Anhang A der ISO 27001 erstellt:
Technological Controls |
Annex A 8.1 |
User Endpoint Devices |
Technological Controls |
Annex A 8.2 |
Privileged Access Rights |
Technological Controls |
Annex A 8.3 |
Information Access Restriction |
Technological Controls |
Annex A 8.4 |
Access to Source Code |
Technological Controls |
Annex A 8.5 |
Secure Authentication |
Technological Controls |
Annex A 8.6 |
Capacity Management |
Technological Controls |
Annex A 8.7 |
Protection Against Malware |
Technological Controls |
Annex A 8.8 |
Management of Technical Vulnerabilities |
Technological Controls |
Annex A 8.9 |
Configuration Management |
Technological Controls |
Annex A 8.10 |
Information Deletion |
Technological Controls |
Annex A 8.11 |
Data Masking |
Technological Controls |
Annex A 8.12 |
Data Leakage Prevention |
Technological Controls |
Annex A 8.13 |
Information Backup |
Technological Controls |
Annex A 8.14 |
Redundancy of Information Processing Facilities |
Technological Controls |
Annex A 8 |
Logging |
Technological Controls |
Annex A 8.16 |
Monitoring Activities |
Technological Controls |
Annex A 8.17 |
Clock Synchronization |
Technological Controls |
Annex A 8.18 |
Use of Privileged Utility Programs |
Technological Controls |
Annex A 8.19 |
Installation of Software on Operational Systems |
Technological Controls |
Annex A 8.20 |
Networks Security |
Technological Controls |
Annex A 8.21 |
Security of Network Services |
Technological Controls |
Annex A 8.22 |
Segregation of Networks |
Technological Controls |
Annex A 8.23 |
Web filtering |
Technological Controls |
Annex A 8.24 |
Use of Cryptography |
Technological Controls |
Annex A 8.25 |
Secure Development Life Cycle |
Technological Controls |
Annex A 8.26 |
Application Security Requirements |
Technological Controls |
Annex A 8.27 |
Secure System Architecture and Engineering Principles |
Technological Controls |
Annex A 8.28 |
Secure Coding |
Technological Controls |
Annex A 8.29 |
Security Testing in Development and Acceptance |
Technological Controls |
Annex A 8.30 |
Outsourced Development |
Technological Controls |
Annex A 8.31 |
Separation of Development, Test and Production Environments |
Technological Controls |
Annex A 8.32 |
Change Management |
Technological Controls |
Annex A 8.33 |
Test Information |
Technological Controls |
Annex A 8.34 |
Protection of Information Systems During Audit Testing |
Wie werden technologische Controls implementiert?
Die Implementierung von technologischen Controls basiert auf einer Risikobewertung. Die Organisation sollte die potenziellen Bedrohungen für ihre Informationen und Informationssysteme durch technologische Angriffe identifizieren und dann die geeigneten Controls implementieren, um diese Bedrohungen zu mindern.
Der Prozess der Implementierung von technologischen Controls kann in folgende Schritte unterteilt werden:
Risikoidentifikation
Die erste Phase besteht darin, die potenziellen Bedrohungen für die Informationen und Informationssysteme der Organisation durch technologische Angriffe zu identifizieren. Dazu können folgende Faktoren berücksichtigt werden:
- Externe Bedrohungen: Cyberangriffe, Malware, Phishing
- Interne Bedrohungen: Mitarbeiterfehler, Betrug, Spionage
Controlauswahl
Nach der Risikobewertung kann die Organisation innerhalb der Risikobehandlung die geeigneten Controls auswählen, um die identifizierten Risiken zu mindern. Dabei ist es wichtig, die Kosten und den Nutzen der Controls abzuwägen.
Controldesign
In der dritten Phase wird das Design der Controls festgelegt. Dazu gehören die Spezifikation der technischen und organisatorischen Maßnahmen, die zur Umsetzung der Controls erforderlich sind.
Controlimplementierung
In der vierten Phase werden die Controls implementiert. Dazu gehören die Beschaffung und Installation der erforderlichen Hardware und Software sowie die Schulung der Mitarbeiter.
Controlüberwachung
Die Controls müssen regelmäßig überwacht werden, um sicherzustellen, dass sie ordnungsgemäß funktionieren und die gewünschten Ergebnisse erzielen. Dazu gehören regelmäßige Audits und Tests der Controls.
Technologische Controls zur Stärkung Ihrer Informationssicherheit
Technologische Controls sind Maßnahmen, die die Sicherheit von Informationen und Informationssystemen verbessern. Sie helfen dabei, Informationen und Informationssysteme vor unbefugtem Zugriff, Manipulation, Zerstörung und Verlust zu schützen.
Mit der Version der ISO 27001 aus 2022 werden die aktuellen Herausforderungen der Informationssicherheit berücksichtigt und Möglichkeiten geboten, einen angemessenen Umgang mit aktuellen Bedingungen zu etablieren.
Finden Sie die richtigen Controls für Ihr Unternehmen und informieren Sie sich in unserer ISO 27001 Checkliste darüber, welche Maßnahmen Sie zur Umsetzung der ISO 27001 implementieren müssen.
P I C
PRIVACY
Externer DSB
Audit und Risikoanalyse
Betroffenenanfragen
Online-Trainings
Cookie & Preference Manager
Beratung durch zertifizierte Experten
INFOSEC
Vorbereitung auf ISO 27001
Aufbau eines ISMS
Cybersecurity
Asset-Management
Risikominimierung
Internes Audit
COMPLIANCE
Digitales Whistleblowing-System
Whistleblowing-Support
Compliance-Audit
Risikominimierung
Online-Trainings
Geprüfte Vorlagen
ISO 27001:2022 Anforderungen
ISO 27001 Anhang A
A.5 Informationssicherheitsrichtlinien A.6 Organisation der Informationssicherheit A.9 Zugangssteuerung |
A.14 Anschaffung, Entwicklung und Instandhaltung von Systemen |
Bereits Unternehmen vertrauen uns
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.