Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.24 „Use of Cryptography“ verpflichtet Organisationen dazu, Kryptografie systematisch und angemessen einzusetzen, um Vertraulichkeit, Integrität und ggf. Authentizität von Informationen zu gewährleisten – sowohl bei Speicherung als auch bei Übertragung.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.23 „Web Filtering“ fordert, dass Organisationen den Zugriff auf das Internet kontrollieren, um den Zugriff auf bösartige, unangemessene oder riskante Webinhalte zu verhindern. Ziel ist es, Sicherheitsrisiken durch Webnutzung zu reduzieren, z. B. durch Malware, Phishing oder Datenabfluss.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.22 „Segregation of Networks“ verlangt, dass Organisationen ihre Netzwerke sicherheitsbasiert segmentieren und voneinander trennen, um das Risiko unautorisierter Zugriffe und lateraler Bewegungen innerhalb der Infrastruktur zu reduzieren.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.21 „Security of Network Services“ verpflichtet Organisationen dazu, sicherzustellen, dass alle bereitgestellten Netzwerkdienste – insbesondere durch Dritte – sicher konzipiert, implementiert und überwacht werden, um Risiken wie Datenabfluss, Manipulation oder Dienstunterbrechung zu minimieren.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.20 „Network Security“ verpflichtet Organisationen, ihre Netzwerke systematisch abzusichern, um Vertraulichkeit, Integrität und Verfügbarkeit der übermittelten Informationen zu schützen und unbefugten Zugriff, Manipulation oder Unterbrechung zu verhindern.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.19 „Installation of Software on Operational Systems“ verlangt, dass Organisationen sicherstellen, dass nur autorisierte und kontrollierte Softwareinstallationen auf produktiven Systemen erfolgen. Ziel ist es, Risiken wie Malware, Lizenzverstöße, Systeminstabilitäten oder Sicherheitslücken zu vermeiden.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.18 „Use of Privileged Utility Programs“ fordert, dass Organisationen den Zugriff auf Programme mit erweiterten Rechten („Privileged Utility Programs“) streng reglementieren und absichern, da diese Programme erhebliches Missbrauchspotenzial besitzen – z. B. zur Manipulation, Umgehung von Zugriffskontrollen oder Datenextraktion.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.17 „Clock Synchronization“ stellt sicher, dass alle Systeme in einer Organisation synchronisierte Uhrzeiten verwenden, um genaue, vertrauenswürdige und nachvollziehbare Zeitstempel in Protokolldaten und sicherheitsrelevanten Prozessen zu gewährleisten.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.16 „Monitoring Activities“ verlangt, dass Organisationen IT-Systeme, Netzwerke und Benutzeraktivitäten kontinuierlich überwachen, um sicherheitsrelevante Ereignisse zu erkennen, Risiken zu minimieren und schnell auf Vorfälle reagieren zu können.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.15 „Logging“ fordert, dass Organisationen geeignete Protokollierungsmaßnahmen (Logs) umsetzen, um sicherheitsrelevante Ereignisse nachvollziehbar zu machen, Vorfälle zu erkennen und deren Ursachen zu analysieren. Logging ist ein zentrales Element für Transparenz, Reaktion und Nachweisfähigkeit im Sicherheitsmanagement.