TOMs in der ISO27001: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 15: Zeile 15:
|-
|-
| Eingabekontrolle
| Eingabekontrolle
| 7.7 Aufgeräumte Arbeitsumgebung und Bildschirmsperren<br>8.28 Sichere Codierung
| 8.28 Sichere Codierung<br>7.7 Aufgeräumte Arbeitsumgebung und Bildschirmsperren<br>8.4 Zugriff auf den Quellcode
|-
|-
| Protokollierung
| Protokollierung
| 8.15 Protokollierung<br>8.16 Überwachung von Aktivitäten
| 8.15 Protokollierung<br>8.16 Überwachung von Aktivitäten<br>8.34 Tests im Rahmen von Audits
|-
|-
| Pseudonymisierung
| Pseudonymisierung
| 8.11 Datenmaskierung
| 8.11 Datenmaskierung<br>8.10 Löschung von Informationen<br>5.12 Klassifizierung von Informationen
|-
|-
| Transportkontrolle
| Transportkontrolle
| 8.20 Netzwerksicherheit<br>8.21 Sicherheit von Netzwerkdiensten
| 8.20 Netzwerksicherheit<br>8.21 Sicherheit von Netzwerkdiensten<br>8.23 Webfilterung<br>8.22 Trennung von Netzwerken
|-
|-
| Verfügbarkeitskontrolle
| Verfügbarkeitskontrolle
| 8.14 Redundanz von informationsverarbeitenden Einrichtungen<br>8.30 IKT-Bereitschaft für Business-Continuity
| 8.14 Redundanz von informationsverarbeitenden Einrichtungen<br>7.11 Versorgungseinrichtungen<br>8.30 IKT-Bereitschaft für Business-Continuity
|-
|-
| Wiederherstellbarkeit
| Wiederherstellbarkeit
| 8.13 Sicherung von Informationen<br>8.14 Redundanz von informationsverarbeitenden Einrichtungen
| 8.13 Sicherung von Informationen<br>8.14 Redundanz von informationsverarbeitenden Einrichtungen<br>8.32 Änderungssteuerung
|-
|-
| Zugangskontrolle
| Zugangskontrolle
| 8.3 Informationszugangsbeschränkung<br>8.2 Privilegierte Zugangsrechte
| 8.3 Informationszugangsbeschränkung<br>8.2 Privilegierte Zugangsrechte<br>8.5 Sichere Authentisierung<br>7.1 Physische Sicherheitsperimeter
|-
|-
| Zugriffskontrolle
| Zugriffskontrolle
| 8.3 Informationszugangsbeschränkung<br>8.19 Installation von Software auf Systemen im Betrieb
| 8.3 Informationszugangsbeschränkung<br>8.19 Installation von Software auf Systemen im Betrieb<br>8.18 Gebrauch von Hilfsprogrammen mit privilegierten Rechten
|-
|-
| Zutrittskontrolle
| Zutrittskontrolle
| 7.2 Physischer Zutritt<br>7.1 Physische Sicherheitsperimeter
| 7.2 Physischer Zutritt<br>7.1 Physische Sicherheitsperimeter<br>7.6 Arbeiten in Sicherheitsbereichen
|-
|-
| Auftragskontrolle
| Auftragskontrolle
| 5.19 Informationssicherheit in Lieferantenbeziehungen<br>5.20 Behandlung von Informationssicherheit in Lieferantenvereinbarungen
| 5.19 Informationssicherheit in Lieferantenbeziehungen<br>5.20 Behandlung von Informationssicherheit in Lieferantenvereinbarungen<br>5.21 Umgang mit der Informationssicherheit in der Lieferkette der Informations- und Kommunikationstechnologie (IKT)
|-
|-
| Datenschutz-Folgenabschätzung
| Datenschutz-Folgenabschätzung
| 5.7 Informationen über die Bedrohungslage<br>5.34 Datenschutz und Schutz von personenbezogenen Daten (PhD)
| 5.7 Informationen über die Bedrohungslage<br>5.34 Datenschutz und Schutz von personenbezogenen Daten (PhD)<br>5.24 Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen
|-
|-
| Schulung und Sensibilisierung
| Schulung und Sensibilisierung
| 6.3 Informationssicherheitsbewusstsein, -ausbildung und -schulung<br>5.8 Informationssicherheit im Projektmanagement
| 6.3 Informationssicherheitsbewusstsein, -ausbildung und -schulung<br>5.8 Informationssicherheit im Projektmanagement<br>6.4 Maßregelungsprozess
|-
|-
| Trennungsgebot
| Trennungsgebot
Zeile 54: Zeile 54:
|-
|-
| Zweckbindung
| Zweckbindung
| 8.11 Datenmaskierung<br>5.12 Klassifizierung von Informationen
| 8.11 Datenmaskierung<br>5.12 Klassifizierung von Informationen<br>8.10 Löschung von Informationen
|-
|-
| Vorfallmanagement
| Vorfallmanagement
| 5.24 Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen<br>5.26 Reaktion auf Informationssicherheitsvorfälle
| 5.24 Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen<br>5.26 Reaktion auf Informationssicherheitsvorfälle<br>5.25 Beurteilung und Entscheidung über Informationssicherheitsereignisse
|-
|-
| Weitergabekontrolle
| Weitergabekontrolle
| 8.14 Redundanz von informationsverarbeitenden Einrichtungen<br>8.10 Löschung von Informationen
| 8.14 Redundanz von informationsverarbeitenden Einrichtungen<br>8.10 Löschung von Informationen<br>7.10 Speichermedien
|}
|}


[[Kategorie:Kurzartikel]]
[[Kategorie:Kurzartikel]]
[[Kategorie:Datenschutz]]
[[Kategorie:Datenschutz]]
__KEIN_INHALTSVERZEICHNIS__
__KEIN_INHALTSVERZEICHNIS__

Version vom 11. August 2024, 09:16 Uhr

Under construction icon-blue.png Diese Seite ist derzeit noch ein Entwurf.

Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite.


Diese Tabelle stellt eine Zuordnung der Anforderungen der Technischen und Organisatorischen Maßnahmen (TOMs) zu den entsprechenden Anforderungen aus dem Anhang A der ISO 27001:2022 dar. Die Zuordnung dient dazu, die Einhaltung der Datenschutz-Grundverordnung (DSGVO) und anderer relevanter Datenschutzbestimmungen zu unterstützen, indem sie zeigt, welche Maßnahmen aus der ISO 27001 spezifische Anforderungen der TOMs abdecken. Die Tabelle hilft Organisationen dabei, ihre Sicherheitsmaßnahmen systematisch zu überprüfen und sicherzustellen, dass sie sowohl den Anforderungen der TOMs als auch denen der ISO 27001 entsprechen.

TOM ISO 27001 Anforderungen
Datenverschlüsselung 8.24 Verwendung von Kryptographie
8.10 Löschung von Informationen
Eingabekontrolle 8.28 Sichere Codierung
7.7 Aufgeräumte Arbeitsumgebung und Bildschirmsperren
8.4 Zugriff auf den Quellcode
Protokollierung 8.15 Protokollierung
8.16 Überwachung von Aktivitäten
8.34 Tests im Rahmen von Audits
Pseudonymisierung 8.11 Datenmaskierung
8.10 Löschung von Informationen
5.12 Klassifizierung von Informationen
Transportkontrolle 8.20 Netzwerksicherheit
8.21 Sicherheit von Netzwerkdiensten
8.23 Webfilterung
8.22 Trennung von Netzwerken
Verfügbarkeitskontrolle 8.14 Redundanz von informationsverarbeitenden Einrichtungen
7.11 Versorgungseinrichtungen
8.30 IKT-Bereitschaft für Business-Continuity
Wiederherstellbarkeit 8.13 Sicherung von Informationen
8.14 Redundanz von informationsverarbeitenden Einrichtungen
8.32 Änderungssteuerung
Zugangskontrolle 8.3 Informationszugangsbeschränkung
8.2 Privilegierte Zugangsrechte
8.5 Sichere Authentisierung
7.1 Physische Sicherheitsperimeter
Zugriffskontrolle 8.3 Informationszugangsbeschränkung
8.19 Installation von Software auf Systemen im Betrieb
8.18 Gebrauch von Hilfsprogrammen mit privilegierten Rechten
Zutrittskontrolle 7.2 Physischer Zutritt
7.1 Physische Sicherheitsperimeter
7.6 Arbeiten in Sicherheitsbereichen
Auftragskontrolle 5.19 Informationssicherheit in Lieferantenbeziehungen
5.20 Behandlung von Informationssicherheit in Lieferantenvereinbarungen
5.21 Umgang mit der Informationssicherheit in der Lieferkette der Informations- und Kommunikationstechnologie (IKT)
Datenschutz-Folgenabschätzung 5.7 Informationen über die Bedrohungslage
5.34 Datenschutz und Schutz von personenbezogenen Daten (PhD)
5.24 Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen
Schulung und Sensibilisierung 6.3 Informationssicherheitsbewusstsein, -ausbildung und -schulung
5.8 Informationssicherheit im Projektmanagement
6.4 Maßregelungsprozess
Trennungsgebot 8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen
5.3 Aufgabentrennung
Zweckbindung 8.11 Datenmaskierung
5.12 Klassifizierung von Informationen
8.10 Löschung von Informationen
Vorfallmanagement 5.24 Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen
5.26 Reaktion auf Informationssicherheitsvorfälle
5.25 Beurteilung und Entscheidung über Informationssicherheitsereignisse
Weitergabekontrolle 8.14 Redundanz von informationsverarbeitenden Einrichtungen
8.10 Löschung von Informationen
7.10 Speichermedien