Dieses erste Überwachungsaudit findet bereits nach der neuesten Ausgabe der ISO 27001 statt. Es sind 11 neue Controls dazu gekommen. Einige andere Controls wurden ebenfalls verändert, z.b zusammengefasst. Für Unternehmen bedeutet dies zuerst einmal mehr Arbeit, jedoch dadurch mehr Sicherheit, um die Schutzziele zu erreichen. Denn neue Situationen benötigen neue Maßnahmen. Und die ISO 27001:2022 liefert diese.
Die Controls sind nachfolgend beschreiben:
- Threat Intelligence (Bedrohungsinformationen): Sammlung und Analyse von Informationen über aktuelle Bedrohungen, um das Sicherheitsniveau zu erhöhen.
- Information Security for Use of Cloud Services (Informationssicherheit bei der Nutzung von Cloud-Diensten): Schutz von Daten und Diensten, die in Cloud-Umgebungen gehostet werden.
- ICT Readiness for Business Continuity (IKT-Bereitschaft für die Geschäftskontinuität): Sicherstellung der Informations- und Kommunikationstechnologie (IKT)-Bereitschaft zur Aufrechterhaltung der Geschäftskontinuität.
- Physical Security Monitoring (Physische Sicherheitsüberwachung): Überwachung physischer Sicherheitsmaßnahmen zur Verhinderung von unbefugtem Zutritt und physischen Angriffen.
- Configuration Management (Konfigurationsmanagement): Verwaltung und Kontrolle der Konfigurationen von Informationssystemen zur Aufrechterhaltung ihrer Integrität und Sicherheit.
- Information Deletion (Informationslöschung): Sichere Löschung von Informationen, wenn sie nicht mehr benötigt werden.
- Data Masking (Datenmaskierung): Verbergen von echten Daten durch Ersetzung mit fiktiven Daten, um die Vertraulichkeit zu wahren.
- Data Leakage Prevention (Datenverlustprävention): Maßnahmen zur Verhinderung des ungewollten Abflusses sensibler Daten aus dem Unternehmen.
- Monitoring Activities (Überwachung von Aktivitäten): Kontinuierliche Überwachung von Informationssystemen und Benutzeraktivitäten zur Erkennung und Reaktion auf Sicherheitsvorfälle.
- Web Filtering (Web-Filterung): Kontrolle des Zugriffs auf Webinhalte, um die Exposition gegenüber Bedrohungen aus dem Internet zu verringern.
- Secure Coding (Sicheres Programmieren): Implementierung sicherer Programmierpraktiken zur Vermeidung von Schwachstellen in Softwareanwendungen.
Das Audit beim Kunden hat mir Spaß gemacht. Vielen Dank für die Gute Zusammenarbeit.
Die internationale Norm ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation. Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation.[2] Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt. Die Norm wurde auch als DIN-Norm veröffentlicht und ist Teil der ISO/IEC 2700x-Familie.
Quelle: https://de.wikipedia.org/wiki/ISO/IEC_27001
English below 🇬🇧:
Information security audit in Nuremberg – ISO 27001
This first surveillance audit is already being conducted in accordance with the latest edition of ISO 27001. 11 new controls have been added. Some other controls have also been changed, e.g. summarised. For companies, this means more work at first, but also more security in order to achieve the protection goals. Because new situations require new measures. And ISO 27001:2022 provides these.
The controls are described below:
- Threat intelligence (threat information): Collecting and analysing information about current threats in order to increase the level of security.
- Information Security for Use of Cloud Services: Protection of data and services hosted in cloud environments.
- ICT Readiness for Business Continuity: Ensuring information and communication technology (ICT) readiness to maintain business continuity.
- Physical Security Monitoring: Monitoring physical security measures to prevent unauthorised access and physical attacks.
- Configuration Management: Managing and controlling the configurations of information systems to maintain their integrity and security.
- Information Deletion: Secure deletion of information when it is no longer needed.
- Data Masking: Hiding real data by replacing it with fictitious data to maintain confidentiality.
- Data leakage prevention: Measures to prevent the unintentional outflow of sensitive data from the company.
- Monitoring Activities: Continuous monitoring of information systems and user activities to detect and respond to security incidents.
- Web Filtering: Control access to web content to reduce exposure to threats from the Internet.
- Secure Coding: Implementing secure programming practices to avoid vulnerabilities in software applications.
ISO/IEC 27001 is an international standard to manage information security. The standard was originally published jointly by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC) in 2005,[1] revised in 2013,[2] and again most recently in 2022.[3] There are also numerous recognized national variants of the standard. It details requirements for establishing, implementing, maintaining and continually improving an information security management system (ISMS) – the aim of which is to help organizations make the information assets they hold more secure.[4] Organizations that meet the standard’s requirements can choose to be certified by an accredited certification body following successful completion of an audit. A SWOT analysis of the ISO/IEC 27001 certification process was conducted in 2020.
Source: https://en.wikipedia.org/wiki/ISO/IEC_27001