Your-ultimate-guide-to-ISO-27001-Certification-Background

Navigating ISO 27001

Technologische Controls der ISO 27001

Die wichtigsten Maßnahmen für die Informationssicherheit

 

Die digitale Welt wandelt sich rasant. Damit ändern sich auch die Anforderungen an den Umgang mit Informationswerten – und ihre Sicherung. Denn der Schutz sensibler Daten ist heutzutage so wichtig wie nie. Insbesondere Technologie steht im Fokus ständiger Neuerungen. Deswegen enthält der Anhang A der ISO 27001 eine Reihe von Maßnahmen, die speziell für die Sicherung und den Umgang mit Technologie und digitaler Sicherheit in Unternehmen entwickelt wurden.

Die ISO 27001 ist eine internationale Norm für Informationssicherheit. Sie definiert Anforderungen an die Implementierung, Umsetzung und Aufrechterhaltung eines Informationssicherheits-Managementsystem (ISMS), um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen.

Ein nach ISO 27001 zertifiziertes Informationssicherheits-Managementsystem (ISMS) ist eine weltweit anerkannte Möglichkeit, Informationen einer Organisationen angemessen zu schützen. Dabei besteht ein ISMS aus einer Reihe von Maßnahmen, die dazu beitragen, die Sicherheit von Informationen zu gewährleisten.

Technologische Controls sind ein wichtiger Bestandteil eines ISMS. Die Maßnahmen dieser Kategorie sorgen dafür, dass Daten auch digital angemessen gesichert und Zugriffe sowie Netzwerke kontrolliert werden.


Control Kategorien aus Anhang A: Technologisch, organisatorisch, personalbezogen und physisch

Anhang A der ISO 27001:2022 enthält eine Liste von 93 Controls, die in vier Kategorien organisiert sind. Unternehmen können die entsprechenden Maßnahmen je nach Kontext aus den passenden Kategorien wählen. So werden die Controls an die aktuellen Sicherheitsanforderungen angepasst:

Dieser Artikel konzentriert sich auf die technologischen Controls aus Anhang A der ISO 27001:2022.

 

Was sind technologische Controls?

Zu den technologischen Controls gehören die Authentifizierung und Verschlüsselung von Daten sowie die Verhinderung von Datenverlusten. Zum Schutz der Daten muss auch die Technik entsprechend gesichert werden. Zugriffsrechte, Netzwerksicherheit und Datenmaskierung helfen dabei, diese Sicherheit zu erreichen.

Das heißt: Mit diesen Controls soll sichergestellt werden, dass technische Anfälligkeiten verhindert werden, Software und Systeme gegen Malware geschützt sind. Der Zugang zu Software und Services wird dafür reglementiert und dokumentiert und alle nicht mehr verwendeten Informationen werden gelöscht.

Technologische Controls umfassen unter anderem:

  • Die Löschung aller nicht mehr notwendigen Informationen

  • Die Verwaltung technischer Anfälligkeiten und den entsprechenden Schutz

  • Schutzmaßnahmen gegen Malware

  • Maßnahmen zur Maskierung von Daten

Reduzieren Sie die manuelle Arbeit um bis zu 75%.


100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001  

DG Seal ISO 27001

ISO 27001: Neue technologische Controls

Die ISO 27001:2022 umfasst im Vergleich zu ihrer Vorgängerversion neue technologische Maßnahmen, die auf die aktuellen Herausforderungen der Informationssicherheit reagieren:

Zu den neuen technologischen Controls gehören:

8.1: Data masking

8.9: Configuration management

8.10: Information deletion

8.12: Data leakage prevention

8.16: Monitoring activities

8.23: Web filtering

8.28: Secure coding

 

Welche physischen Controls gibt es?

Technologische Controls sind ein wichtiger Bestandteil einer umfassenden Informationssicherheitsstrategie, der insbesondere auf die angemessene Sicherung der Technik, Daten, Zugänge und Aufbewahrung von Informationen ausgerichtet ist.

Der Bereich umfasst 34 Maßnahmen, die Sie umsetzen können. Wir haben Ihnen eine Liste mit einem umfassenden Überblick über alle technologischen Controls aus Anhang A der ISO 27001 erstellt:

Technological Controls

Annex A 8.1

User Endpoint Devices 

Technological Controls

Annex A 8.2

Privileged Access Rights 

Technological Controls

Annex A 8.3

Information Access Restriction 

Technological Controls

Annex A 8.4

Access to Source Code 

Technological Controls

Annex A 8.5

Secure Authentication 

Technological Controls

Annex A 8.6

Capacity Management 

Technological Controls

Annex A 8.7

Protection Against Malware 

Technological Controls

Annex A 8.8

Management of Technical Vulnerabilities 

Technological Controls

Annex A 8.9

Configuration Management 

Technological Controls

Annex A 8.10

Information Deletion 

Technological Controls

Annex A 8.11

Data Masking 

Technological Controls

Annex A 8.12

Data Leakage Prevention 

Technological Controls

Annex A 8.13

Information Backup 

Technological Controls

Annex A 8.14

Redundancy of Information Processing Facilities 

Technological Controls

Annex A 8

Logging 

Technological Controls

Annex A 8.16

Monitoring Activities 

Technological Controls

Annex A 8.17

Clock Synchronization 

Technological Controls

Annex A 8.18

Use of Privileged Utility Programs 

Technological Controls

Annex A 8.19

Installation of Software on Operational Systems 

Technological Controls

Annex A 8.20

Networks Security 

Technological Controls

Annex A 8.21

Security of Network Services 

Technological Controls

Annex A 8.22

Segregation of Networks 

Technological Controls

Annex A 8.23

Web filtering 

Technological Controls

Annex A 8.24

Use of Cryptography 

Technological Controls

Annex A 8.25

Secure Development Life Cycle 

Technological Controls

Annex A 8.26

Application Security Requirements 

Technological Controls

Annex A 8.27

Secure System Architecture and Engineering Principles 

Technological Controls

Annex A 8.28

Secure Coding 

Technological Controls

Annex A 8.29

Security Testing in Development and Acceptance 

Technological Controls

Annex A 8.30

Outsourced Development 

Technological Controls

Annex A 8.31

Separation of Development, Test and Production Environments 

Technological Controls

Annex A 8.32

Change Management 

Technological Controls

Annex A 8.33

Test Information 

Technological Controls

Annex A 8.34

Protection of Information Systems During Audit Testing 

Wie werden technologische Controls implementiert?

Die Implementierung von technologischen Controls basiert auf einer Risikobewertung. Die Organisation sollte die potenziellen Bedrohungen für ihre Informationen und Informationssysteme durch technologische Angriffe identifizieren und dann die geeigneten Controls implementieren, um diese Bedrohungen zu mindern.

Der Prozess der Implementierung von technologischen Controls kann in folgende Schritte unterteilt werden:

Risikoidentifikation

Die erste Phase besteht darin, die potenziellen Bedrohungen für die Informationen und Informationssysteme der Organisation durch technologische Angriffe zu identifizieren. Dazu können folgende Faktoren berücksichtigt werden:

  • Externe Bedrohungen: Cyberangriffe, Malware, Phishing

  • Interne Bedrohungen: Mitarbeiterfehler, Betrug, Spionage

Controlauswahl

Nach der Risikobewertung kann die Organisation innerhalb der Risikobehandlung die geeigneten Controls auswählen, um die identifizierten Risiken zu mindern. Dabei ist es wichtig, die Kosten und den Nutzen der Controls abzuwägen.

Controldesign

In der dritten Phase wird das Design der Controls festgelegt. Dazu gehören die Spezifikation der technischen und organisatorischen Maßnahmen, die zur Umsetzung der Controls erforderlich sind.

Controlimplementierung

In der vierten Phase werden die Controls implementiert. Dazu gehören die Beschaffung und Installation der erforderlichen Hardware und Software sowie die Schulung der Mitarbeiter.

Controlüberwachung

Die Controls müssen regelmäßig überwacht werden, um sicherzustellen, dass sie ordnungsgemäß funktionieren und die gewünschten Ergebnisse erzielen. Dazu gehören regelmäßige Audits und Tests der Controls.

 

Technologische Controls zur Stärkung Ihrer Informationssicherheit

Technologische Controls sind Maßnahmen, die die Sicherheit von Informationen und Informationssystemen verbessern. Sie helfen dabei, Informationen und Informationssysteme vor unbefugtem Zugriff, Manipulation, Zerstörung und Verlust zu schützen.

Mit der Version der ISO 27001 aus 2022 werden die aktuellen Herausforderungen der Informationssicherheit berücksichtigt und Möglichkeiten geboten, einen angemessenen Umgang mit aktuellen Bedingungen zu etablieren.

Finden Sie die richtigen Controls für Ihr Unternehmen und informieren Sie sich in unserer ISO 27001 Checkliste darüber, welche Maßnahmen Sie zur Umsetzung der ISO 27001 implementieren müssen.


Warum Unternhemen DataGuard vertrauen

sucess

3 Monate

In nur 3 Monaten bereit für das Audit

workload-1

75%

Bis zu 75% weniger Arbeitsaufwand im Vergleich zur manuellen Bearbeitung

save

50%

Bis zu 50% günstiger als externe Berater

certified-2

100%

Bislang haben alle unsere Kunden bei externen Audits zu ISO 27001 und TISAX® beim ersten Versuch bestanden

reduce_risks

50%

Beseitigen Sie bis zu 50% der größten Risiken Ihres Unternehmens bereits in den ersten 8 Wochen

customer_experience

4.000+

Viele namhafte Marken mit 4.000+ Kunden vertrauen uns.



P I C

p

PRIVACY

Externer DSB
Audit und Risikoanalyse
Betroffenenanfragen
Online-Trainings
Cookie & Preference Manager
Beratung durch zertifizierte Experten

i

INFOSEC

Vorbereitung auf ISO 27001
Aufbau eines ISMS
Cybersecurity
Asset-Management
Risikominimierung
Internes Audit

c

COMPLIANCE

Digitales Whistleblowing-System
Whistleblowing-Support
Compliance-Audit
Risikominimierung
Online-Trainings
Geprüfte Vorlagen

Bereits 4.000+ Unternehmen vertrauen uns

Canon-4 Hyatt-3 Burger King Unicef UK-1 Free Now

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.