TOMs in der ISO27001: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
(Die Seite wurde neu angelegt: „{{Vorlage:Entwurf}} {{#seo: |title=Mapping von TOMs auf Anforderungen der ISO/IEC 27001 |description=Kurzartikel zum Mapping von TOMs auf Anforderungen der ISO/IEC 27001 }}{{SHORTDESC:Mapping von TOMs auf Anforderungen der ISO/IEC 27001.}} Diese Tabelle stellt eine Zuordnung der Anforderungen der Technischen und Organisatorischen Maßnahmen (TOMs) zu den entsprechenden Anforderungen aus dem Anhang A der ISO 27001:2022 dar. Die Zuordnung dient dazu, die E…“)
 
KKeine Bearbeitungszusammenfassung
 
(3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 7: Zeile 7:


{| class="wikitable"
{| class="wikitable"
!Anforderungen der TOMs
!Anforderungen der ISO 27001 Anhang A (2022)
|-
|-
|Zutrittskontrolle
! TOM
|A.7.1 Physische Sicherheitsbereiche
! ISO 27001 Anforderungen
|-
|-
|Zugangskontrolle
| Datenverschlüsselung
|A.8.10 Zugangssteuerung zu Netzwerken und Netzwerkdiensten
|
8.24 Verwendung von Kryptographie
|-
|-
|Zugriffskontrolle
| Eingabekontrolle
|A.8.30 Zugangskontrollen für Endpunkte
|
7.7 Aufgeräumte Arbeitsumgebung und Bildschirmsperren<br>
8.28 Sichere Codierung
|-
|-
|Weitergabekontrolle
| Protokollierung
|A.8.20 Schutz von Daten während der Übertragung
|
8.15 Protokollierung<br>
8.16 Überwachung von Aktivitäten
|-
|-
|Eingabekontrolle
| Pseudonymisierung
|A.8.13 Protokollierung von Aktivitäten
|  
8.11 Datenmaskierung
|-
|-
|Auftragskontrolle
| Transportkontrolle
|A.5.19 Informationssicherheit in Lieferantenbeziehungen
|  
5.14 Informationsübermittlung<br>
8.20 Netzwerksicherheit<br>
8.21 Sicherheit von Netzwerkdiensten<br>
8.22 Trennung von Netzwerken
|-
|-
|Verfügbarkeitskontrolle
| Verfügbarkeitskontrolle
|A.8.12 Backup
|  
A.8.14 Überwachung von Aktivitäten
8.14 Redundanz von informationsverarbeitenden Einrichtungen<br>
7.11 Versorgungseinrichtungen<br>
5.30 IKT-Bereitschaft für Business- Continuity
|-
|-
|Trennungsgebot
| Wiederherstellbarkeit
|A.5.3 Aufgabentrennung
|  
8.13 Sicherung von Informationen<br>
8.14 Redundanz von informationsverarbeitenden Einrichtungen<br>
8.32 Änderungssteuerung
|-
|-
|Pseudonymisierung und Verschlüsselung
| Zugangskontrolle
|A.8.23 Kryptografie
|  
A.8.24 Schlüsselmanagement
5.15 Zugangssteuerung<br>
5.18 Zugangsrechte<br>
8.3 Informationszugangsbeschränkung<br>
8.2 Privilegierte Zugangsrechte<br>
8.5 Sichere Authentisierung<br>
7.1 Physische Sicherheitsperimeter
|-
|-
|Integrität und Vertraulichkeit
| Zugriffskontrolle
|A.8.21 Schutz von Daten bei der Speicherung
|  
5.15 Zugangssteuerung<br>
5.18 Zugangsrechte<br>
8.3 Informationszugangsbeschränkung<br>
8.19 Installation von Software auf Systemen im Betrieb<br>
8.18 Gebrauch von Hilfsprogrammen mit privilegierten Rechten
|-
|-
|Datensicherung
| Zutrittskontrolle
|A.8.12 Backup
|  
7.2 Physischer Zutritt<br>
7.1 Physische Sicherheitsperimeter<br>
7.6 Arbeiten in Sicherheitsbereichen
|-
|-
|Wiederherstellbarkeit
| Auftragskontrolle
|A.8.12 Backup
|  
A.8.34 Audit von Informationssystemen
5.19 Informationssicherheit in Lieferantenbeziehungen<br>
5.20 Behandlung von Informationssicherheit in Lieferantenvereinbarungen<br>
5.21 Umgang mit der Informationssicherheit in der Lieferkette der Informations- und Kommunikationstechnologie (IKT)
|-
|-
|Überprüfbarkeit
| Datenschutz-Folgenabschätzung
|A.8.14 Überwachung von Aktivitäten
|  
5.7 Informationen über die Bedrohungslage<br>
5.34 Datenschutz und Schutz von personenbezogenen Daten (PhD)<br>
5.24 Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen
|-
|-
|Datenschutzmanagementsystem
| Schulung und Sensibilisierung
|A.5.1 Informationssicherheitspolitik und -richtlinien
|  
6.3 Informationssicherheitsbewusstsein, -ausbildung und -schulung<br>
5.8 Informationssicherheit im Projektmanagement<br>
6.4 Maßregelungsprozess
|-
|-
|Überwachung der TOMs
| Trennungsgebot
|A.5.22 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
|
8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen<br>
5.3 Aufgabentrennung
|-
| Zweckbindung
|
5.12 Klassifizierung von Informationen<br>
8.3 Informationszugangsbeschränkung<br>
8.10 Löschung von Informationen
|-
| Vorfallmanagement
|  
5.24 Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen<br>
5.25 Beurteilung und Entscheidung über Informationssicherheitsereignisse<br>
5.26 Reaktion auf Informationssicherheitsvorfälle
|-
| Weitergabekontrolle
|
8.10 Löschung von Informationen<br>
8.12 Verhinderung von Datenlecks<br>
7.10 Speichermedien
|}
|}


Aktuelle Version vom 12. August 2024, 15:20 Uhr

Under construction icon-blue.png Diese Seite ist derzeit noch ein Entwurf.

Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite.

Diese Tabelle stellt eine Zuordnung der Anforderungen der Technischen und Organisatorischen Maßnahmen (TOMs) zu den entsprechenden Anforderungen aus dem Anhang A der ISO 27001:2022 dar. Die Zuordnung dient dazu, die Einhaltung der Datenschutz-Grundverordnung (DSGVO) und anderer relevanter Datenschutzbestimmungen zu unterstützen, indem sie zeigt, welche Maßnahmen aus der ISO 27001 spezifische Anforderungen der TOMs abdecken. Die Tabelle hilft Organisationen dabei, ihre Sicherheitsmaßnahmen systematisch zu überprüfen und sicherzustellen, dass sie sowohl den Anforderungen der TOMs als auch denen der ISO 27001 entsprechen.

TOM ISO 27001 Anforderungen
Datenverschlüsselung

8.24 Verwendung von Kryptographie

Eingabekontrolle

7.7 Aufgeräumte Arbeitsumgebung und Bildschirmsperren
8.28 Sichere Codierung

Protokollierung

8.15 Protokollierung
8.16 Überwachung von Aktivitäten

Pseudonymisierung

8.11 Datenmaskierung

Transportkontrolle

5.14 Informationsübermittlung
8.20 Netzwerksicherheit
8.21 Sicherheit von Netzwerkdiensten
8.22 Trennung von Netzwerken

Verfügbarkeitskontrolle

8.14 Redundanz von informationsverarbeitenden Einrichtungen
7.11 Versorgungseinrichtungen
5.30 IKT-Bereitschaft für Business- Continuity

Wiederherstellbarkeit

8.13 Sicherung von Informationen
8.14 Redundanz von informationsverarbeitenden Einrichtungen
8.32 Änderungssteuerung

Zugangskontrolle

5.15 Zugangssteuerung
5.18 Zugangsrechte
8.3 Informationszugangsbeschränkung
8.2 Privilegierte Zugangsrechte
8.5 Sichere Authentisierung
7.1 Physische Sicherheitsperimeter

Zugriffskontrolle

5.15 Zugangssteuerung
5.18 Zugangsrechte
8.3 Informationszugangsbeschränkung
8.19 Installation von Software auf Systemen im Betrieb
8.18 Gebrauch von Hilfsprogrammen mit privilegierten Rechten

Zutrittskontrolle

7.2 Physischer Zutritt
7.1 Physische Sicherheitsperimeter
7.6 Arbeiten in Sicherheitsbereichen

Auftragskontrolle

5.19 Informationssicherheit in Lieferantenbeziehungen
5.20 Behandlung von Informationssicherheit in Lieferantenvereinbarungen
5.21 Umgang mit der Informationssicherheit in der Lieferkette der Informations- und Kommunikationstechnologie (IKT)

Datenschutz-Folgenabschätzung

5.7 Informationen über die Bedrohungslage
5.34 Datenschutz und Schutz von personenbezogenen Daten (PhD)
5.24 Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen

Schulung und Sensibilisierung

6.3 Informationssicherheitsbewusstsein, -ausbildung und -schulung
5.8 Informationssicherheit im Projektmanagement
6.4 Maßregelungsprozess

Trennungsgebot

8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen
5.3 Aufgabentrennung

Zweckbindung

5.12 Klassifizierung von Informationen
8.3 Informationszugangsbeschränkung
8.10 Löschung von Informationen

Vorfallmanagement

5.24 Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen
5.25 Beurteilung und Entscheidung über Informationssicherheitsereignisse
5.26 Reaktion auf Informationssicherheitsvorfälle

Weitergabekontrolle

8.10 Löschung von Informationen
8.12 Verhinderung von Datenlecks
7.10 Speichermedien

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=TOMs_in_der_ISO27001&oldid=1183