Der Baustein CON.6 „Löschen und Vernichten“ des Bundesamt für Sicherheit in der Informationstechnik beschreibt, wie Organisationen Informationen sicher löschen und Datenträger fachgerecht vernichten sowie ein entsprechendes Konzept dafür entwickeln können. Dabei liegt der Fokus insbesondere auf der sicheren Behandlung vollständiger Datenträger und der Auswahl geeigneter Verfahren, um eine Wiederherstellung der Daten zuverlässig zu verhindern.
Der Baustein CON.3 „Datensicherungskonzept“ des Bundesamt für Sicherheit in der Informationstechnik beschreibt, wie Organisationen ein strukturiertes Konzept zur Sicherung und Wiederherstellung von Daten entwickeln und dabei alle relevanten Anforderungen berücksichtigen. Er hebt die zentrale Rolle der Datensicherung für die Notfallvorsorge hervor und zeigt, dass Maßnahmen wie regelmäßige Sicherungen, definierte Verfahren und Tests notwendig sind, um […]
Der Baustein CON.2 „Datenschutz“ des Bundesamt für Sicherheit in der Informationstechnik stellt die Verbindung zwischen den Anforderungen des Datenschutzes und dem IT-Grundschutz her und orientiert sich dabei am Standard-Datenschutzmodell. Ziel ist es, Datenschutzanforderungen systematisch in die Planung, Umsetzung und Bewertung von Informationssicherheitsmaßnahmen zu integrieren und so den Schutz personenbezogener Daten sicherzustellen.
Der Baustein ORP.5 „Compliance Management“ des Bundesamt für Sicherheit in der Informationstechnik beschreibt, wie Organisationen einen systematischen Überblick über alle relevanten rechtlichen, regulatorischen und internen Anforderungen an die Informationssicherheit behalten und deren Einhaltung sicherstellen. Er legt dar, dass diese Anforderungen strukturiert erfasst, bewertet und kontinuierlich überwacht werden müssen, um Risiken zu minimieren und die Compliance […]
Der Baustein „ISMS.1 Sicherheitsmanagement“ des Bundesamt für Sicherheit in der Informationstechnik zeigt, wie ein Informationssicherheitsmanagementsystem (ISMS) aufgebaut, betrieben und kontinuierlich weiterentwickelt werden kann. Er beschreibt dafür einen systematischen Sicherheitsprozess sowie die Erstellung eines umfassenden Sicherheitskonzepts als Grundlage für die Steuerung der Informationssicherheit in Organisationen.
Mit diesem Baustein werden allgemeine und übergreifende Anforderungen im Bereich Organisation aufgeführt, die dazu beitragen, das Niveau der Informationssicherheit zu erhöhen und zu erhalten. In diesem Zusammenhang sind Informationsflüsse, Prozesse, Rollenverteilungen sowie die Aufbau- und Ablauforganisation zu regeln.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.34 „Protection of Information Systems During Audit Testing“ verlangt, dass Informationen und Systeme bei internen oder externen Prüfungen vor unbeabsichtigten oder beabsichtigten Beeinträchtigungen geschützt werden. Obwohl Audits wichtig sind, können sie selbst Sicherheitsrisiken erzeugen, wenn sie unsachgemäß durchgeführt werden – z. B. durch unsichere Tools, unkontrollierten Zugriff oder […]
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.33 „Test Information“ verlangt, dass alle Informationen, die im Rahmen von Tests verwendet oder erzeugt werden, angemessen geschützt werden. Das betrifft insbesondere Testdaten, Testskripte, Testsysteme und Testergebnisse, da sie sensible Informationen enthalten und ein Sicherheitsrisiko darstellen können, wenn sie kompromittiert werden.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.32 „Change Management“ verlangt von Organisationen, dass alle Änderungen an Informationssystemen, -diensten oder -komponenten gesteuert, dokumentiert und risikobasiert bewertet werden, um ungeplante Störungen, Sicherheitsvorfälle oder Compliance-Verstöße zu vermeiden.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.31 „Separation of Development, Test and Production Environments“ verlangt von Organisationen, dass sie ihre Entwicklungs-, Test- und Produktionsumgebungen klar voneinander trennen, um unbefugte Änderungen, Datenlecks und Sicherheitsvorfälle zu vermeiden.