Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 6.6 „Confidentiality or Non-Disclosure Agreements (NDAs)” stellt sicher, dass Vertraulichkeitspflichten formell, klar und durchsetzbar geregelt sind – insbesondere beim Umgang mit sensiblen Informationen durch Mitarbeitende, Auftragnehmende oder andere Dritte.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 6.5 „Responsibilities After Termination or Change of Employment“ stellt sicher, dass bei Austritt oder Rollenwechsel von Mitarbeitenden oder externen Parteien alle Zugriffsrechte, Verantwortlichkeiten und sicherheitsrelevanten Verpflichtungen angemessen und rechtzeitig angepasst oder entzogen werden.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 6.4 „Disciplinary Process“ fordert, dass Organisationen einen festgelegten disziplinarischen Prozess haben, um unangemessenes oder sicherheitswidriges Verhalten angemessen und nachvollziehbar zu behandeln – ohne Willkür, aber mit klarer Konsequenz.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 6.3 „Information Security Awareness, Education and Training“ stellt sicher, dass alle relevanten Personen in einer Organisation die notwendige Sensibilisierung, Schulung und Ausbildung erhalten, um ihre Rolle für die Informationssicherheit zu verstehen und wahrzunehmen.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 6.2 „Terms and Conditions of Employment“ fordert, dass Sicherheitsverantwortlichkeiten und -pflichten von Mitarbeitenden, Auftragnehmenden oder Dritten bereits im Arbeits- oder Dienstverhältnis formal geregelt sind – also vertraglich oder durch ähnliche bindende Vereinbarungen.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 6.1 „Screening“ zielt darauf ab, sicherzustellen, dass Personen, die Zugang zu sensiblen Informationen oder Systemen erhalten, geeignet und vertrauenswürdig sind, bevor sie eingestellt oder in sicherheitsrelevante Rollen versetzt werden.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 5.37 „Documented Operating Procedures“ fordert, dass Organisationen formale, dokumentierte Verfahren für den sicheren Betrieb ihrer informationsverarbeitenden Systeme entwickeln, pflegen und anwenden.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 5.36 „Compliance with Policies, Rules and Standards for Information Security“ verlangt, dass Organisationen sicherstellen, dass interne Informationssicherheitsvorgaben auch tatsächlich eingehalten werden – durch wirksame Überwachung, Durchsetzung und ggf. Sanktionen.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 5.35 „Independent Review of Information Security“ stellt sicher, dass das Informationssicherheitsmanagementsystem (ISMS) regelmäßig, objektiv und unabhängig überprüft wird, um seine Wirksamkeit, Angemessenheit und Konformität zu bewerten.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 5.34 „Privacy and Protection of Personally Identifiable Information (PII)” verlangt, dass Organisationen personenbezogene Daten (PII) gemäß rechtlichen, regulatorischen und vertraglichen Anforderungen schützen. Sie adressiert den systematischen Datenschutz innerhalb des ISMS.