Scribd Logo
Hochladen

Willkommen bei Scribd!

  • ISO27k SOA 2013 in 3 Languages

    Hochgeladen von

    John
    138 Ansichten41 Seiten
    ISO27k SOA 2013 in 3 Languages

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    ODS, PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden
    ISO27k SOA 2013 in 3 Languages

    Copyright:

    © All Rights Reserved
    Als ODS, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    138 Ansichten41 Seiten

    ISO27k SOA 2013 in 3 Languages

    Hochgeladen von

    John
    ISO27k SOA 2013 in 3 Languages

    Copyright:

    © All Rights Reserved
    Als ODS, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 41

    ISO27k Statement of Applicability

    Originally contributed to the ISO27k Toolkit by Richard O. Regalado, Information Security C

    Updated for the 2013 release of the standards and translated into Spanish by White Hat C
    Control numbering and text corrected: April/July 2015
    German version contributed by Comma Soft AG: August 2015

    This is a template or skeleton SOA, a starting point for use in ISO27k implementations. Ot
    to do it. Feel free to customize or adapt the template to suit your unique circumstances.

    Please consult the ISO/IEC 27000-series standards for more detail about the con
    Security Management System used to manage them. This SoA alone is woefully ina
    the controls, ISO/IEC 27002 provides additional explanation including useful implementatio
    and decide how to treat your information risks: it is not necessarily appropriate to mitigate
    controls. Furthermore, you may need additional or alternative controls, other than those l

    Speak to your certification auditors or ISO27k advisors for further advice, or ask the ISO27

    Copyright

    This work is copyright 2015, ISO27k Forum, some rights reserved. It is licensed under t
    Alike 3.0 License. You are welcome to reproduce, circulate, use and create derivative work
    incorporated into a commercial product, (b) it is properly attributed to the ISO27k Forum a
    published or shared, derivative works are shared under the same terms as this.

    The copyright in parts of this document belong to ISO/IEC. They own the standards! We a
    the goodwill of ISO/IEC to reproduce a small part of their content here.

    Statement of Applicability

    Legend (for Selected Controls and Reasons for controls selection)


    LR: legal requirements, CO: contractual obligations, BR/BP: business requirements/adopted best practices, RRA: results of risk a

    ISO/IEC 27001:2013 Annex A controls


    Clause
    5 Security
    Policies

    Control Objective/Control
    Sec
    5.1 Management direction for information security
    5.1.1 Policies for information
    5.1.2 Review of the policies for information security

    6.1 Internal organisation


    6.1.1 Information security roles and responsibilities
    6.1.2 Segregation of duties
    6 Organisation 6.1.3 Contact with authorities
    of information 6.1.4 Contact with special interest groups
    security
    6.1.5 Information security in project management
    6.2 Mobile devices and teleworking
    6.2.1 Mobile device policy
    6.2.2 Teleworking

    7 Human
    resource
    security

    7.1 Prior to employment


    7.1.1 Screening
    7.1.2 Terms and conditions of employment
    7.2 During employment
    7.2.1 Management responsibilities
    7.2.2 Information security awareness, education and training
    7.2.3 Disciplinary process
    7.3 Termination and change of employment
    7.3.1 Termination or change of employment responsibilities

    Current
    controls

    Remarks (with
    justification for
    exclusions)

    8.1 Responsibility for assets


    8.1.1 Inventory of assets
    8.1.2 Ownership of assets
    8.1.3 Acceptable use of assets
    8.1.4 Return of assets
    8.2 Information classification
    8 Asset
    8.2.1 Classification of information
    management
    8.2.2 Labeling of information
    8.2.3 Handling of assets
    8.3 Media handling
    8.3.1 Management of removable media
    8.3.2 Disposal of media
    8.3.3 Physical media transfer

    9 Access
    control

    9.1 Business requirements of access control


    9.1.1 Access control policy
    9.1.2 Access to networks and network services
    9.2 User access management
    9.2.1 User registration and de-registration
    9.2.2 User access provisioning
    privileged
    access rights
    9.2.3 Management of secret
    authentication
    information of
    9.2.4 users
    9.2.5 Review of user access rights
    9.2.6 Removal or adjustment of access rights
    9.3 User responsibilities
    9.3.1 Use of secret authentication information
    9.4 System and application access control
    9.4.1 Information access restriction
    9.4.2 Secure log-on procedures
    9.4.3 Password management system
    9.4.4 Use of privileged utility programs
    9.4.5 Access control to program source code

    10.1 Cryptographic controls


    10
    10.1.1 Policy on the use of cryptographic controls
    Cryptography
    10.1.2 Key management
    11.1 Secure areas
    11.1.1 Physical security perimeter
    11.1.2 Physical entry controls
    11.1.3 Securing office, room and facilities
    11.1.4 Protecting against external end environmental threats
    11.1.5 Working in secure areas
    11.1.6 Delivery and loading areas
    11 Physical
    11.2 Equipment
    and
    11.2.1 Equipment siting and protection
    environmental
    11.2.2 Supporting utilities
    security
    11.2.3 Cabling security
    11.2.4 Equipment maintenance
    11.2.5 Removal of assets
    11.2.6 Security of equipment and assets off-premises
    11.2.7 Secure disposal or re-use of equipment
    11.2.8 Unattended user equipment
    11.2.9 Clear desk and clear screen policy
    12.1 Operational procedures and responsibilities
    12.1.1 Documented operating procedures
    12.1.2 Change management
    12.1.3 Capacity management
    Separation of development, testing and operational
    12.1.4
    environments
    12.2 Protection from malware
    12.2.1 Controls against malware
    12.3 Backup
    12.3.1 Information backup
    12 Operations
    security

    12.4 Logging and monitoring


    12 Operations
    security
    12.4.1 Event logging
    12.4.2 Protection of log information
    12.4.3 Administrator and operator logs
    12.4.4 Clock synchronisaton
    12.5 Control of operational software
    12.5.1 Installation of software on operational systems
    12.6 Technical vulnerability management
    12.6.1 Management of technical vulnerabilities
    12.6.2 Restrictions on software installation
    12.7 Information systems audit considerations
    12.7.1 Information systems audit controls
    13.1 Network security management
    13.1.1 Network controls
    13.1.2 Security of network services
    13.1.3 Segregation in networks
    13
    Communicatio
    13.2 Information transfer
    ns security 13.2.1 Information transfer policies and procedures
    13.2.2 Agreements on information transfer
    13.2.3 Electronic messaging
    13.2.4 Confidentiality or non-disclosure agreements
    requirements
    of information
    systems
    14.1 Security
    Information
    security requirements
    analysis
    and
    14.1.1 specification
    14.1.2 Securing applications services on public networks
    14.1.3 Protecting application services transactions
    14.2 Security in development and support processes
    14.2.1 Secure development policy
    14 System 14.2.2 System change control procedures
    acquisition,
    Technical review of applications after operating
    14.2.3
    development
    platform changes
    and
    14.2.4 Restrictions on changes to software packages
    maintenance

    acquisition,
    development
    and
    maintenance 14.2.5 Secure system engineering principles
    14.2.6 Secure development environment
    14.2.7 Outsourced development
    14.2.8 System security testing
    14.2.9 System acceptance testing
    14.3 Test data
    14.3.1 Protection of test data
    15.1 Information security in supplier relationships
    15.1.1 Information security policy for supplier relationships
    Addressing security
    within supplier
    agreements
    15.1.2 Information
    and communication
    technology
    supply
    15 Supplier
    15.1.3 chain
    relationships
    15.2 Supplier service delivery management
    15.2.1 Monitoring and review of supplier services
    15.2.2 Managing changes to supplier services
    Management of information security incidents and
    16.1 improvements
    16.1.1
    16 Information 16.1.2
    security
    16.1.3
    incident
    16.1.4
    management
    16.1.5
    16.1.6
    16.1.7

    Responsibilities and procedures


    Reporting information security events
    Reporting information
    security
    Assessment
    of and decision
    on weaknesses
    information security
    events
    Response to information security incidents
    Learning from information security incidents
    Collection of evidence

    17 Information 17.1 Information security continuity


    17.1.1 Planning information security continuity
    security
    information
    continuity
    17.1.2 Implementing
    aspects of
    Verify, review and
    evaluatesecurity
    information
    security
    business
    17.1.3 continuity
    continuity
    17.2 Redundancies
    management 17.2.1 Availability of information processing facilities

    18.1 Compliance with legal and contractual requirements


    Identification of applicable legislation and contractual
    18.1.1
    requirements
    18.1.2 Intellectual property rights
    records of personally identifiable
    18.1.3 Protection
    Privacy andofprotection
    18 Compliance 18.1.4 information
    18.1.5 Regulation of cryptographic controls
    18.2 Information security reviews
    18.2.1 Independent review of information security
    18.2.2 Compliance with security policies and standards
    18.2.3 Technical compliance review

    Current as of: DD/MM/YYYY

    es, RRA: results of risk assessment, TSE: to some extent


    Selected controls and
    reasons for selection
    LR
    CO BR/BP RRA

    Remarks (overview of
    implementation)

    Declaracin de Aplicabilidad

    Leyenda
    (para la seleccin
    controles
    y razn
    por la que seBR/BP:
    seleccionaron):
    LR: requerimientos
    legales,de
    CO:
    obligaciones
    contractuales,
    requerimientos del neg
    riesgos;
    TSE: hasta cierto punto

    ISO 27001:2013 Controles de Seguridad


    Clusula

    Objetivo de control / control


    Seccin
    Direccin de la alta gerencia para la seguridad de
    5.1
    la informacin
    5 Polticas de
    Seguridad 5.1.1
    Polticas de seguridad
    dede
    la seguridad
    informacin
    Revisin
    las polticas
    de la
    informacin
    5.1.2
    interna
    6.1 Organizacin
    Roles y responsabilidad
    de seguridad de la
    informacin
    6.1.1
    Segregacin de deberes
    6.1.2
    6
    Contacto con autoridades
    Organizacin 6.1.3
    Contacto
    de inters
    especial
    de la
    6.1.4
    Seguridadcon
    de grupos
    la informacin
    en la
    gestin de
    Seguridad de 6.1.5
    proyectos
    la Informacin
    6.2 Dispositivos mviles y teletrabajo
    Poltica de dispositivos mviles
    6.2.1
    Teletrabajo
    6.2.2
    7.1 Previo al empleo
    Verificacin de antecedentes
    7.1.1
    Trminos y condiciones del empleo
    7.1.2
    7.2 Durante el empleo
    7 Seguridad
    Responsabilidades de la Alta Gerencia
    7.2.1
    en los
    Recursos
    Conciencia, educacin y entrenamiento de
    7.2.2
    Humanos
    seguridad de la informacin
    Proceso disciplinario
    7.2.3
    7.3 Terminacin y cambio de empleo
    Termino de responsabilidades o cambio de empleo
    7.3.1

    8 Gestin de
    Activos

    8.1 Responsabilidad de los activos


    Inventario de activos
    8.1.1
    Propiedad de activos
    8.1.2
    Uso aceptable de los activos
    8.1.3
    Devolucin de activos
    8.1.4
    8.2 Clasificacin de la informacin

    8 Gestin de
    Clasificacin de la informacin
    8.2.1
    Activos
    Etiquetado de la informacin
    8.2.2
    Manejo de activos
    8.2.3
    8.3 Manejo de medios
    Gestin de medios removibles
    8.3.1
    Eliminacin de medios
    8.3.2
    Transporte de medios fsicos
    8.3.3
    Requerimientos de negocio para el control de
    9.1 acceso
    Poltica de control de acceso
    9.1.1
    Acceso a redes y servicios de red
    9.1.2
    9.2 Gestin de accesos de usuario
    Registro y baja del usuario
    9.2.1
    Provisin de acceso a usuarios
    9.2.2
    Gestin de derechos de acceso privilegiados
    9.2.3
    Gestin de informacin de autenticacin secreta de
    9.2.4
    usuarios
    Revisin de derechos de acceso de usuarios
    9 Control de Acceso
    9.2.5
    Eliminacin o ajuste de derechos de acceso
    9.2.6
    9.3 Responsabilidades del usuario
    Uso de informacin de autenticacin secreta
    9.3.1
    9.4 Control de acceso de sistemas y aplicaciones
    Restriccin de acceso a la informacin
    9.4.1
    Procedimientos de inicio de sesin seguro
    9.4.2
    Sistema de gestin de contraseas
    9.4.3
    Uso de programas y utilidades privilegiadas
    9.4.4
    Control de acceso al cdigo fuente del programa
    9.4.5
    10.1 Controles criptogrficos
    10 Criptografa10.1.1 Poltica en el uso de controles criptogrficos
    10.1.2 Gestin de llaves
    11.1 reas seguras
    11.1.1 Permetro de seguridad fsico
    11.1.2 Controles fsicos de entrada
    Seguridad de
    oficinas,
    habitaciones
    y facilidades
    11.1.3 Proteccin
    contra
    amenazas
    externas
    y del
    11.1.4 ambiente
    11.1.5 Trabajo en reas seguras
    11.1.6 reas de entrega y carga
    11.2 Equipo
    11 Seguridad
    Fsica y del 11.2.1 Instalacin y proteccin de equipo
    Entorno
    11.2.2 Servicios de soporte
    11.2.3 Seguridad en el cableado

    11 Seguridad
    Fsica y del
    Entorno
    11.2.4
    11.2.5
    11.2.6
    11.2.7
    11.2.8
    11.2.9

    Mantenimiento de equipos
    Retiro de activos
    Seguridad
    del equipo y activos fuera de las
    instalaciones
    Eliminacin segura o reuso del equipo
    Equipo de usuario desatendido
    Poltica de escritorio limpio y pantalla limpia

    12.1 Procedimientos Operacionales y Responsabilidades


    12.1.1 Documentacin de procedimientos operacionales
    12.1.2 Gestin de cambios
    12.1.3 Gestin de la capacidad
    Separacin de los ambientes de desarrollo, pruebas
    12.1.4
    y operacin
    12.2 Proteccin de Software Malicioso
    12.2.1 Controles contra software malicioso
    12.3 Respaldo
    12.3.1 Respaldo de informacin
    12.4 Bitcoras y monitoreo
    12 Seguridad
    en las
    12.4.1 Bitcoras de eventos
    Operaciones 12.4.2 Proteccin de informacin en bitcoras
    12.4.3 Bitcoras de administrador y operador
    12.4.4 Sincronizacin de relojes
    12.5 Control de software operacional
    12.5.1 Instalacin de software en sistemas operacionales
    12.6 Gestin de vulnerabilidades tcnicas
    12.6.1 Gestin de vulnerabilidades tcnicas
    12.6.2 Restricciones en la instalacin de software
    Consideraciones de auditoria de sistemas de
    12.7
    informacin
    12.7.1 Controles de auditora de sistemas de informacin
    13.1 Gestin de seguridad en red
    13.1.1 Controles de red
    13.1.2 Seguridad en los servicios en red
    13 Seguridad 13.1.3 Segregacin en redes
    13.2 Transferencia de informacin
    en las
    Comunicacion
    Polticas y procedimientos para la transferencia de
    13.2.1
    es
    informacin
    13.2.2 Acuerdos en la transferencia de informacin
    13.2.3 Mensajera electrnica
    13.2.4 Acuerdos de confidencialidad o no-revelacin

    Requerimientos de seguridad en sistemas de


    informacin
    Anlisis y especificacin de requerimientos de
    14.1.1 seguridad
    Aseguramiento de servicios de aplicacin en redes
    14.1.2
    pblicas
    Proteccin de transacciones en servicios de
    14.1.3 aplicacin
    14.2 Seguridad en el proceso de desarrollo y soporte
    14.2.1 Poltica de desarrollo seguro
    14
    Adquisicin, 14.2.2 Procedimientos de control de cambios del sistema
    Desarrollo y
    Revisin tcnica de aplicaciones despus de
    14.2.3
    Mantenimient
    cambios a la plataforma operativa
    o de Sistemas 14.2.4 Restriccin de cambios en paquetes de software
    14.2.5 Principios de seguridad en la ingeniera de sistemas
    14.2.6 Entorno de desarrollo seguro
    14.2.7 Desarrollo tercerizado
    14.2.8 Pruebas de seguridad del sistema
    14.2.9 Pruebas de aceptacin del sistema
    14.3 Datos de prueba
    14.3.1 Proteccin de datos de prueba
    14.1

    Seguridad de la informacin en relaciones con el


    proveedor
    Poltica de seguridad de la informacin en las
    15.1.1
    relaciones con el proveedor
    Atencin de tpicos de seguridad en los acuerdos
    15 Relaciones
    15.1.2
    con el proveedor
    con
    Proveedores
    Cadena de suministros de tecnologas de la
    15.1.3
    informacin y comunicaciones
    15.2 Gestin de entrega de servicios de proveedor
    15.2.1 Monitoreo y revisin de servicios del proveedor
    15.2.2 Gestin de cambios a los servicios del proveedor
    15.1

    16.1
    16.1.1
    16.1.2
    16 Gestin de 16.1.3
    Incidentes de
    Seguridad de 16.1.4
    la Informacin
    16.1.5
    16.1.6
    16.1.7

    Gestin de incidentes de seguridad de la


    informacin y mejoras
    Responsabilidades y procedimientos
    eventos de seguridad
    de la
    Reporte de debilidades
    de seguridad
    deinformacin
    la
    informacin
    Valoracin y decisin de eventos de seguridad de la
    informacin
    Respuesta a incidentes de seguridad de la
    informacin
    Aprendizaje de incidentes de seguridad de la
    informacin
    Coleccin de evidencia

    17 Aspectos
    de Seguridad
    de la
    Informacin
    para la
    Gestin de la
    Continuidad
    del Negocio

    17.1 Continuidad de la seguridad de la informacin


    Planeacin de la continuidad de la seguridad de la
    17.1.1
    informacin
    Implementacin de la continuidad de la seguridad
    17.1.2
    de la informacin
    Verificacin, revisin y evaluacin de la continuidad
    17.1.3
    de la seguridad de la informacin
    17.2 Redundancias
    Disponibilidad de facilidades de procesamiento de
    17.2.1
    informacin

    Cumplimiento con Requerimientos Legales y


    Contractuales
    Identificacin de legislacin aplicable y
    18.1.1
    requerimientos contractuales
    18.1.2 Derechos de propiedad intelectual (IPR)
    18.1.3 Proteccin de registros
    18
    Cumplimiento 18.1.4 Privacidad y proteccin de informacin personal
    identificable (PIR)
    18.1.5 Regulacin de controles criptogrficos
    Revisiones
    de seguridadde
    deseguridad
    la informacin
    18.2 Revisin
    independiente
    de la
    18.2.1 informacin
    Cumplimiento con polticas y estndares de
    18.2.2 seguridad
    18.2.3 Revisin del cumplimiento tcnico
    18.1

    ionaron):
    requerimientos del negocio/mejores prcticas adoptadas , RRA: resultado de la valoracin de

    Controle
    s
    actuales

    Comentarios
    (justificacin de
    exclusin)

    Controles
    seleccionados y
    razones de seleccin
    LR
    CO BR/BP RRA

    Vigente para el: dd/mm/aaaa

    RRA: resultado de la valoracin de

    Comentarios (visin
    general de la
    implementacin)

    Statement of Applicability (Erklrung zur Anwendbarkeit)


    Legende (fr ausgewhlte Manahmen und Grnde fr die Auswahl von Manahmen)
    LR: gesetzliche Anforderungen, CO: vertragliche Verpflichtungen, BR/BP: Geschftsanforderungen/angeandte Best Practices,

    DIN ISO/IEC 27001:2015 Annex Amanahmen


    Clause
    Control Objective/Control
    Sec
    5
    5.1 Vorgaben der Leitung fr Informationssicherheit
    Informationssi
    5.1.1 Informationssicherheitsrichtlinien
    cherheitsrichtl
    5.1.2 berprfung der Informationssicherheitsrichtlinien
    inien
    6.1 Interne Organisation
    6.1.1 Informationssicherheitsrollen und -verantwortlichkeiten
    6.1.2 Aufgabentrennung
    6 Organisation 6.1.3 Kontakt mit Behrden
    der
    6.1.4 Kontakt mit speziellen Interessengruppen
    Informationssi
    6.1.5 Informationssicherheit im Projektmanagement
    cherheit
    6.2 Mobilgerte und Telearbeit
    6.2.1 Richtlinie zu Mobilgerten
    6.2.2 Telearbeit
    7.1 Vor der Beschftigung
    7.1.1 Sicherheitsberprfung
    7.1.2 Beschftigungs- und Vertragsbedingungen
    7.2 Whrend der Beschftigung
    7.2.1 Verantwortlichkeiten der Leitung
    7
    Personalsicher
    Informationssicherheitsbewusstsein, -ausbildung und
    7.2.2
    heit
    -schulung
    7.2.3 Maregelungsprozess
    7.3 Beendigung und nderung der Beschftigung

    Aktuell Bemerkungen (mit


    e MaBegrndung fr
    nahmen
    Ausschlsse)

    7.3.1

    Verantwortlichkeiten bei Beendigung oder nderung


    der Beschftigung

    8.1 Verantwortlichkeit fr Werte


    8.1.1 Inventarisierung der Werte
    8.1.2 Zustndigkeit fr Werte
    8.1.3 Zulssiger Gebrauch von Werten
    8.1.4 Rckgabe von Werten
    8.2 Informationsklassifizierung
    8 Verwaltung
    8.2.1 Klassifizierung von Information
    der Werte
    8.2.2 Kennzeichnung von Information
    8.2.3 Handhabung von Werten
    8.3 Handhabung von Datentrgern
    8.3.1 Handhabung von Wechseldatentrgern
    8.3.2 Entsorgung von Datentrgern
    8.3.3 Transport von Datentrgern
    9.1 Geschftsanforderungen an die Zuganssteuerung
    9.1.1 Zugangssteuerungsrichtlinie
    9.1.2 Zugang zu Netzwerken und Netzwerkdiensten
    9.2 Benutzerzugangsverwaltung
    9.2.1 Registrierung und Deregistrierung von Benutzern
    9.2.2 Zuteilung von Benutzerzugngen
    9.2.3 Verwaltung privilegierter Zugangsrechte
    Verwaltung geheimer Authentisierungsinformation von
    9.2.4
    Benutzern
    9
    Zugangssteuer 9.2.5 berprfung von Benutzerzugangsrechten
    ung
    9.2.6 Entzug oder Anpassung von Zugangsrechten
    9.3 Benutzerverantwortlichkeiten
    9.3.1 Gebrauch geheimer Authentisierungsinformation
    9.4 Zugangssteuerung fr Systeme und Anwendungen
    9.4.1 Informationszugangsbeschrnkung
    9.4.2 Sichere Anmeldeverfahren

    9.4.3
    9.4.4
    9.4.5

    System
    zurvon
    Verwaltung
    von Kennwrtern
    Gebrauch
    Hilfsprogrammen
    mit privilegierten
    Rechten
    Zugangssteuerung fr Quellcode von Programmen

    Manahmen
    10.1 Kryptographische
    Richtlinie zum Gebrauch
    von kryptographischen
    10
    10.1.1 Manahmen
    Kryptographie
    10.1.2 Schlsselverwaltung
    11.1 Sicherheitsbereiche
    11.1.1 Physische Sicherheitsperimeter
    11.1.2 Physische Zutrittssteuerung
    Sichernvor
    vonexternen
    Bros, Rumen
    und Einrichtungen
    11.1.3 Schutz
    und umweltbedingten
    11.1.4 Bedrohungen
    11.1.5 Arbeiten in Sicherheitsbereichen
    11.1.6 Anlieferungs- und Ladebereiche
    und und
    Betriebsmittel
    11.2 Gerte
    Platzierung
    Schutz von Gerten und
    11 Physische 11.2.1 Betriebsmitteln
    und
    11.2.2 Versorgungseinrichtungen
    umgebungsbe
    11.2.3 Sicherheit der Verkabelung
    zogene
    11.2.4 Instandhaltung von Gerten und Betriebsmitteln
    Sicherheit
    11.2.5 Entfernen von Werten
    Sicherheit von Gerten, Betriebsmitteln und Werten
    11.2.6
    auerhalb der Rumlichkeiten
    Sichere Entsorgung oder Wiederverwendung von
    11.2.7
    Gerten und Betriebsmitteln
    11.2.8 Unbeaufsichtigte Benutzergerte
    Richtlinie fr eine aufgerumte Arbeitsumgebung und
    11.2.9
    Bildschirmsperren
    12.1 Betriebsablufe und -verantwortlichkeiten
    12.1.1 Dokumentierte Bedienablufe
    12.1.2 nderungssteuerung
    12.1.3 Kapazittssteuerung

    Trennung von Entwicklungs-, Test- und


    12.1.4 Betriebsumgebungen
    12.2 Schutz vor Schadsoftware
    12.2.1 Manahmen gegen Schadsoftware
    12.3 Datensicherung
    12.3.1 Sicherung von Information
    12.4 Protokollierung und berwachung
    12
    Betriebssicher 12.4.1 Ereignisprotokollierung
    heit
    12.4.2 Schutz der Protokollinformation
    12.4.3 Administratoren- und Bedienerprotokolle
    12.4.4 Uhrensynchronisation
    12.5 Steuerung von Software im Betrieb
    12.5.1 Installation von Software auf Systemen im Betrieb
    12.6 Handhabung technischer Schwachstellen
    12.6.1 Handhabung von technischen Schwachstellen
    12.6.2 Einschrnkung von Softwareinstallation
    12.7 Audit von Informationssystemen
    12.7.1 Manahmen fr Audits von Informationssystemen
    13.1 Netzwerksicherheitsmanagement
    13.1.1 Netzwerksteuerungsmanahmen
    13.1.2 Sicherheit von Netzwerkdiensten
    13.1.3 Trennung in Netzwerken
    13
    Kommunikatio
    13.2 Informationsbertragung
    nssicherheit 13.2.1 Richtlinien und Verfahren zur Informationsbertragung
    13.2.2 Vereinbarungen zur Informationsbertragung
    13.2.3 Elektronische Nachrichtenbermittlung
    13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen
    an Informationssysteme
    14.1 Sicherheitsanforderungen
    Analyse und Spezifikation von
    14.1.1 Informationssicherheitsanforderungen
    Sicherung von Anwendungsdiensten in ffentlichen
    Netzwerken
    14.1.3 Schutz der Transaktionen bei Anwendungsdiensten
    14.1.2

    14

    14
    Anschaffung,
    Entwicklung
    und
    Instandhalten
    von Systemen

    Sicherheit in Entwicklungs- und


    14.2 Untersttzungsprozessen
    14.2.1 Richtlinie fr sichere Entwicklung
    14.2.2 System change control procedures
    Technische berprfung von Anwendungen nach
    14.2.3
    nderungen an der Betriebsplattform
    an Softwarepaketen
    14.2.4 Beschrnkung
    Grundstze frvon
    die nderungen
    Analyse, Entwicklung
    und Pflege
    14.2.5 sicherer Systeme
    14.2.6 Sichere Entwicklungsumgebung
    14.2.7 Ausgegliederte Entwicklung
    14.2.8 Testen der Systemsicherheit
    14.2.9 Systemabnahmetest
    14.3 Testdaten
    14.3.1 Schutz von Testdaten

    15.1 Informationssicherheit in Lieferantenbeziehungen


    Informationssicherheitsrichtlinie fr
    15.1.1
    Lieferantenbeziehungen
    Behandlung von Sicherheit in
    15.1.2 Lieferantenvereinbarungen
    Lieferkette fr Informations- und
    15
    15.1.3
    Kommunikationstechnologie
    Lieferantenbez
    Steuerung der Dienstleistungserbringung von
    iehungen
    15.2 Lieferanten
    berwachung und berprfung von
    15.2.1
    Lieferantendienstleistungen
    Handhabung der nderungen von
    15.2.2
    Lieferantendienstleistungen
    16.1
    16
    Handhabung
    von
    Informationssi
    cherheitsvorf
    llen

    16.1.1
    16.1.2
    16.1.3
    16.1.4

    Handhabung von Informationssicherheitsvorfllen und


    Verbesserungen
    Verantwortlichkeiten und Verfahren
    Meldung von Informationssichrheitsereignissen
    Meldung von Schwchen in der Informationssicherheit
    Beurteilung von und Entscheidung ber
    Informationssicherheitsereignisse

    von
    Informationssi
    cherheitsvorf
    llen
    16.1.5 Reaktion auf Informationssicherheitsvorflle
    16.1.6 Erkenntnisse aus Informationssicherheitsvorfllen
    16.1.7 Sammeln von Beweismaterial
    17
    Informationssi
    cherheitsaspe
    kte beim
    Business
    Continuity
    Management

    der Informationssicherheit
    17.1 Aufrechterhaltung
    Planung zur Aufrechterhaltung
    der
    17.1.1 Informationssicherheit
    Umsetzen der Aufrechterhaltung der
    17.1.2 Informationssicherheit
    berprfen und Bewerten der Aufrechterhaltung der
    17.1.3
    Informationssicherheit
    Redundanzen von informationsverarbeitenden
    17.2 Verfgbarkeit
    17.2.1 Einrichtungen

    18.1 Einhalten gesetzlicher und vertraglicher Anforderungen


    Bestimmung der anwendbaren Gesetzgebung und der
    18.1.1
    vertraglichen Anforderungen
    18.1.2 Geistige Eigentumsrechte
    von Aufzeichnungen
    18.1.3 Schutz
    Privatsphre
    und Schutz personenbezogener
    18 Compliance 18.1.4 Information
    18.1.5 Regelungen bezglich kryptographischer Manahmen
    18.2 berprfungen der Informationssicherheit
    18.2.1 Unabhngige berprfung der Informationssicherheit
    18.2.2 Einhaltung von Sicherheitsrichtlinien und -standards
    18.2.3 berprfung der Einhaltung von technischen Vorgaben

    Gltig ab: DD/MM/YYYY

    andte Best Practices,


    RRA: Ergebnisse der Risikobeurteilung, TSE: zum Teil
    Ausgewhlte
    Manahmen und
    Grnde fr die
    Bemerkungen (berblick
    Auswahl
    der Implementierung)
    LR
    CO BR/BP RRA

    Das könnte Ihnen auch gefallen