TOMs in der ISO27001

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
Under construction icon-blue.png Diese Seite ist derzeit noch ein Entwurf.

Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite.


Diese Tabelle stellt eine Zuordnung der Anforderungen der Technischen und Organisatorischen Maßnahmen (TOMs) zu den entsprechenden Anforderungen aus dem Anhang A der ISO 27001:2022 dar. Die Zuordnung dient dazu, die Einhaltung der Datenschutz-Grundverordnung (DSGVO) und anderer relevanter Datenschutzbestimmungen zu unterstützen, indem sie zeigt, welche Maßnahmen aus der ISO 27001 spezifische Anforderungen der TOMs abdecken. Die Tabelle hilft Organisationen dabei, ihre Sicherheitsmaßnahmen systematisch zu überprüfen und sicherzustellen, dass sie sowohl den Anforderungen der TOMs als auch denen der ISO 27001 entsprechen.

TOM ISO 27001 Anforderungen
Datenverschlüsselung 8.24 Verwendung von Kryptographie
8.10 Löschung von Informationen
Eingabekontrolle 7.7 Aufgeräumte Arbeitsumgebung und Bildschirmsperren
8.28 Sichere Codierung
Protokollierung 8.15 Protokollierung
8.16 Überwachung von Aktivitäten
Pseudonymisierung 8.11 Datenmaskierung
Transportkontrolle 8.20 Netzwerksicherheit
8.21 Sicherheit von Netzwerkdiensten
Verfügbarkeitskontrolle 8.14 Redundanz von informationsverarbeitenden Einrichtungen
8.30 IKT-Bereitschaft für Business-Continuity
Wiederherstellbarkeit 8.13 Sicherung von Informationen
8.14 Redundanz von informationsverarbeitenden Einrichtungen
Zugangskontrolle 8.3 Informationszugangsbeschränkung
8.2 Privilegierte Zugangsrechte
Zugriffskontrolle 8.3 Informationszugangsbeschränkung
8.19 Installation von Software auf Systemen im Betrieb
Zutrittskontrolle 7.2 Physischer Zutritt
7.1 Physische Sicherheitsperimeter
Auftragskontrolle 5.19 Informationssicherheit in Lieferantenbeziehungen
5.20 Behandlung von Informationssicherheit in Lieferantenvereinbarungen
Datenschutz-Folgenabschätzung 5.7 Informationen über die Bedrohungslage
5.34 Datenschutz und Schutz von personenbezogenen Daten (PhD)
Schulung und Sensibilisierung 6.3 Informationssicherheitsbewusstsein, -ausbildung und -schulung
5.8 Informationssicherheit im Projektmanagement
Trennungsgebot 8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen
5.3 Aufgabentrennung
Zweckbindung 8.11 Datenmaskierung
5.12 Klassifizierung von Informationen
Vorfallmanagement 5.24 Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen
5.26 Reaktion auf Informationssicherheitsvorfälle
Weitergabekontrolle 8.14 Redundanz von informationsverarbeitenden Einrichtungen
8.10 Löschung von Informationen