ISO 27001 Audit Checkliste Vorlage
ISO 27001 Audit Checkliste Vorlage
Führe mithilfe der ISO 27001 Audit Checkliste Vorlage regelmäßig ein internes Audit bei einem Verwaltungssystem für Informationssicherheit durch.
ISO 27001 Audit Checkliste Vorlage
Führe mithilfe der ISO 27001 Audit Checkliste Vorlage regelmäßig ein internes Audit bei einem Verwaltungssystem für Informationssicherheit durch.
Kategorien
- Vorlagen für Operative Exzellenz
- Vorlagen für Risikomanagement und Compliance
- Allgemeine Vorlagen
- ISO Vorlagen
- Vorlagen für die Risikobewertung
- Vorlagen für Geschäftsprozesse
- Vorlagen zur Qualitätssicherung
Vorschau der Vorlage
Eröffnungssitzung
Notizen zur Eröffnungssitzung
Überprüfung früherer Prüfungsfeststellungen auf Wirksamkeit
Überprüfung früherer Ergebnisse
Frühere Ergebnisse
Details zur Überprüfung
Ergebnis der Überprüfung
Überprüfung der Wirksamkeit der Empfehlung
Empfehlung, die in einer früheren Prüfung ausgesprochen wurde?
Details zur Empfehlung
Empfehlung Wirksamkeit Ergebnis
Bitte Andere(n) angeben
Schlussfolgerung/Ausgangsdetails:
Abschnitt 4 - Kontext der Organisation
Abschnitt, der für die zu prüfende Funktion gilt
Anwendbare Klauseln
4.1 Die Organisation und ihren Kontext verstehen
Anforderungen:
Die Organisation muss externe und interne Fragen bestimmen, die für ihren Zweck relevant sind und die ihre Fähigkeit beeinflussen, das/die beabsichtigte(n) Ergebnis(e) ihres Informationssicherheits-Managementsystems zu erreichen.
ANMERKUNG Die Bestimmung dieser Punkte bezieht sich auf die Festlegung des externen und internen Kontexts der Organisation, die in Abschnitt 5.3 von ISO 31000:2009[5] betrachtet wird.
Sind die oben genannten Anforderungen für 4.1 erfüllt?
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
4.2 Verstehen der Bedürfnisse und Erwartungen der interessierten Parteien
Anforderungen:
Die Organisation bestimmt:
a) interessierte Parteien, die für das Informationssicherheits-Managementsystem relevant sind; und
b) die für die Informationssicherheit relevanten Anforderungen dieser interessierten Parteien.
ANMERKUNG Die Anforderungen der interessierten Parteien können rechtliche und regulatorische Anforderungen und
vertragliche Verpflichtungen.
Sind die oben genannten Anforderungen für 4.2 erfüllt?
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
4.3 Bestimmung des Umfangs des ISMS
Anforderungen:
Die Organisation soll die Grenzen und die Anwendbarkeit der Informationssicherheit bestimmen
Managementsystem, um seinen Geltungsbereich festzulegen.
Bei der Festlegung dieses Bereichs soll die Organisation in Betracht ziehen:
a) die unter 4.1 genannten externen und internen Fragen;
b) die in 4.2 genannten Anforderungen; und
c) Schnittstellen und Abhängigkeiten zwischen den von der Organisation ausgeführten Aktivitäten und denen, die
die von anderen Organisationen durchgeführt werden.
Der Umfang muss als dokumentierte Information verfügbar sein.
Sind die oben genannten Anforderungen für 4.3 erfüllt?
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
4.4 Managementsystem für Informationssicherheit
Anforderungen:
Die Organisation soll in Übereinstimmung mit den Anforderungen dieser Internationalen Norm ein Informationssicherheits-Managementsystem einführen, implementieren, aufrechterhalten und kontinuierlich verbessern.
Sind die oben genannten Anforderungen für 4.4 erfüllt?
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
Gesamtzahl der Feststellungen in Abschnitt 4
Abschnitt 5 - Führung
Abschnitt, der für die zu prüfende Funktion gilt
Anwendbare Klauseln
5.1 Führung und Engagement
Anforderungen:
Die oberste Führungsebene muss Führung und Engagement in Bezug auf die Informationen zeigen
Sicherheitsmanagementsystem durch:
a) die Gewährleistung der Informationssicherheitspolitik und der Informationssicherheitsziele
und sind mit der strategischen Ausrichtung der Organisation vereinbar;
b) Sicherstellung der Integration der Anforderungen an das Informationssicherheits-Management-System in die
Prozesse der Organisation;
c) Sicherstellung, dass die für das Informationssicherheits-Managementsystem erforderlichen Ressourcen verfügbar sind;
d) Vermittlung der Bedeutung eines wirksamen Informationssicherheitsmanagements und der Einhaltung von
die Anforderungen an das Informationssicherheits-Management-System;
e) Sicherstellung, dass das Informationssicherheits-Managementsystem die beabsichtigten Ergebnisse erreicht;
f) Anweisung und Unterstützung von Personen, um zur Wirksamkeit der Informationssicherheit beizutragen
Managementsystem;
g) die Förderung einer kontinuierlichen Verbesserung; und
h) Unterstützung anderer relevanter Managementfunktionen, um ihre Führungsqualitäten unter Beweis zu stellen, wie es für ihre
Verantwortungsbereiche.
Sind die oben genannten Anforderungen für 5.1 erfüllt?
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
5.2 Politik
Anforderungen:
Die oberste Leitung muss eine Informationssicherheitspolitik festlegen, die:
a) dem Zweck der Organisation angemessen ist;
b) enthält Ziele der Informationssicherheit (siehe 6.2) oder bietet den Rahmen für die Festlegung von Informationen
Sicherheitsziele;
c) eine Verpflichtung zur Erfüllung der geltenden Anforderungen in Bezug auf die Informationssicherheit enthält; und
d) beinhaltet eine Verpflichtung zur kontinuierlichen Verbesserung des Informationssicherheits-Managementsystems.
Die Politik der Informationssicherheit soll:
e) als dokumentierte Information verfügbar sein;
f) innerhalb der Organisation kommuniziert werden; und
g) gegebenenfalls für interessierte Parteien verfügbar sein.
Sind die oben genannten Anforderungen für 5.2 erfüllt?
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
5.3 Organisatorische Rollen, Verantwortlichkeiten und Befugnisse
Anforderungen:
Die oberste Leitung stellt sicher, dass die Verantwortlichkeiten und Befugnisse für die informationsrelevanten Rollen
Sicherheit zugewiesen und kommuniziert werden.
Die oberste Leitung weist die Verantwortung und Befugnis für:
a) Sicherstellung, dass das Informationssicherheits-Managementsystem den Anforderungen dieses Gesetzes entspricht
Internationale Norm; und
b) Berichterstattung über die Leistung des Informationssicherheits-Managementsystems an die oberste Leitung.
ANMERKUNG Die oberste Leitung kann auch Verantwortlichkeiten und Befugnisse für die Berichterstattung über die Leistung der
Informationssicherheits-Managementsystem innerhalb der Organisation.
Sind die oben genannten Anforderungen für 5.3 erfüllt?
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
Gesamtzahl der Feststellungen in Abschnitt 5
Abschnitt 6 - Planung
Abschnitt, der für die zu prüfende Funktion gilt
Anwendbare Klauseln
6.1.1 Allgemeines: Maßnahmen zur Bewältigung von Risiken und Chancen
Anforderungen:
Bei der Planung des Informationssicherheits-Managementsystems berücksichtigt die Organisation die
die in 4.1 genannten Fragen und die in 4.2 genannten Anforderungen und bestimmen die Risiken und Chancen
die angesprochen werden müssen:
a) sicherstellen, dass das Informationssicherheits-Managementsystem die beabsichtigten Ergebnisse erzielen kann;
b) unerwünschte Auswirkungen zu verhindern oder zu verringern und
c) eine kontinuierliche Verbesserung zu erreichen.
Die Organisation soll planen:
d) Maßnahmen zur Bewältigung dieser Risiken und Chancen; und
e) wie man
1) die Maßnahmen in seine Prozesse des Informationssicherheits-Managementsystems zu integrieren und zu implementieren; und
2) die Wirksamkeit dieser Maßnahmen zu bewerten.
Sind die oben genannten Anforderungen für 6.1.1 erfüllt?
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
6.1.2 Risikobewertung der Informationssicherheit
Anforderungen:
Die Organisation soll einen Prozess zur Bewertung des Informationssicherheitsrisikos definieren und anwenden, der
a) erstellt und pflegt Kriterien für das Risiko der Informationssicherheit, die Folgendes umfassen
1) die Risikoakzeptanzkriterien; und
2) Kriterien für die Durchführung von Risikobewertungen der Informationssicherheit;
b) gewährleistet, dass wiederholte Risikobewertungen der Informationssicherheit zu konsistenten, gültigen und
vergleichbare Ergebnisse;
c) identifiziert die Risiken der Informationssicherheit:
1) den Prozess der Risikobewertung der Informationssicherheit anwenden, um die mit dem Verlust verbundenen Risiken zu identifizieren
der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen im Rahmen des Informationsumfangs
Sicherheitsmanagementsystem; und
2) die Risikoeigner zu identifizieren;
d) analysiert die Risiken der Informationssicherheit:
1) die möglichen Folgen abzuschätzen, die sich ergeben würden, wenn die in 6.1.2 c) 1) identifizierten Risiken
zu materialisieren;
2) die realistische Wahrscheinlichkeit des Eintretens der in 6.1.2 c) 1) identifizierten Risiken abschätzen; und
3) das Risikoniveau zu bestimmen;
e) bewertet die Risiken der Informationssicherheit:
1) die Ergebnisse der Risikoanalyse mit den in 6.1.2 a) festgelegten Risikokriterien zu vergleichen; und
2) die analysierten Risiken für die Risikobehandlung zu priorisieren.
Die Organisation muss dokumentierte Informationen über den Prozess der Risikobewertung der Informationssicherheit aufbewahren.
Sind die oben genannten Anforderungen für 6.1.2 erfüllt?
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
6.1.3 Behandlung von Informationssicherheitsrisiken
Anforderungen:
Die Organisation soll einen Prozess zur Behandlung von Informationssicherheitsrisiken definieren und anwenden:
a) geeignete Optionen zur Behandlung von Informationssicherheitsrisiken unter Berücksichtigung des Risikos auszuwählen
Bewertungsergebnisse;
b) alle Kontrollen zu bestimmen, die zur Umsetzung der Behandlung von Informationssicherheitsrisiken notwendig sind
Option(en) gewählt;
ANMERKUNG Organisationen können Kontrollen nach Bedarf entwerfen oder sie aus jeder beliebigen Quelle identifizieren.
c) die in 6.1.3 b) festgelegten Kontrollen mit denen in Anhang A zu vergleichen und zu überprüfen, dass keine
Kontrollen wurden ausgelassen;
ANMERKUNG 1 Anhang A enthält eine umfassende Liste von Kontrollzielen und Kontrollen. Benutzer dieser Internationalen
Die Normen werden in Anhang A aufgeführt, um sicherzustellen, dass keine notwendigen Kontrollen übersehen werden.
ANMERKUNG 2 Kontrollziele sind implizit in den gewählten Kontrollen enthalten. Die Kontrollziele und
Die in Anhang A aufgeführten Kontrollen sind nicht erschöpfend, und es können zusätzliche Kontrollziele und Kontrollen erforderlich sein.
d) eine Erklärung über die Anwendbarkeit erstellen, die die notwendigen Kontrollen enthält (siehe 6.1.3 b) und c)) und
die Begründung für Einschlüsse, unabhängig davon, ob sie umgesetzt werden oder nicht, und die Begründung für Ausschlüsse
von Kontrollen aus Anhang A;
e) einen Plan zur Behandlung von Informationssicherheitsrisiken zu formulieren; und
f) die Zustimmung der Risikoeigentümer zum Behandlungsplan für das Informationssicherheitsrisiko und die Akzeptanz des
verbleibende Risiken der Informationssicherheit.
Die Organisation muss dokumentierte Informationen über die Behandlung von Informationssicherheitsrisiken aufbewahren
Prozess.
ANMERKUNG Der Prozess zur Bewertung und Behandlung von Informationssicherheitsrisiken in diesem internationalen Standard stimmt überein mit
mit den Prinzipien und allgemeinen Richtlinien der ISO 31000[5].
Sind die oben genannten Anforderungen für 6.1.3 erfüllt?
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
6.2 Ziele der Informationssicherheit und Planung zu ihrer Erreichung
Anforderungen:
Die Organisation muss Ziele der Informationssicherheit auf den relevanten Funktionen und Ebenen festlegen.
Die Zielsetzungen der Informationssicherheit müssen:
a) mit der Informationssicherheitspolitik übereinstimmen;
b) messbar sein (falls durchführbar);
c) die anwendbaren Anforderungen an die Informationssicherheit und die Ergebnisse der Risikobewertung zu berücksichtigen
und Risikobehandlung;
d) mitgeteilt werden; und
e) gegebenenfalls aktualisiert werden.
Die Organisation muss dokumentierte Informationen über die Ziele der Informationssicherheit aufbewahren.
Bei der Planung, wie die Ziele der Informationssicherheit erreicht werden sollen, muss die Organisation bestimmen, wie sie diese erreichen will:
f) was getan wird;
g) welche Ressourcen benötigt werden;
h) wer verantwortlich sein wird;
i) wann sie abgeschlossen sein wird; und
j) wie die Ergebnisse ausgewertet werden.
Sind die oben genannten Anforderungen für 6.2 erfüllt?
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
Gesamtzahl der Feststellungen in Abschnitt 6
Abschnitt 7 - Unterstützung
Abschnitt, der für die zu prüfende Funktion gilt
Anwendbare Klauseln
7.1 Ressourcen
Anforderungen:
Die Organisation bestimmt und stellt die für die Einrichtung und Durchführung erforderlichen Ressourcen zur Verfügung,
die Aufrechterhaltung und kontinuierliche Verbesserung des Informationssicherheits-Managementsystems.
Sind die oben genannten Anforderungen für 7.1 erfüllt?
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
7.2 Kompetenz
Anforderungen:
Die Organisation soll:
a) die notwendige Kompetenz der Person(en) zu bestimmen, die unter ihrer Kontrolle Arbeit leistet (leisten), die sich auf ihre
Leistung der Informationssicherheit;
b) sicherstellen, dass diese Personen aufgrund einer angemessenen Ausbildung, Schulung oder Erfahrung kompetent sind;
c) gegebenenfalls Maßnahmen ergreifen, um die erforderliche Kompetenz zu erwerben, und die Wirksamkeit bewerten
der getroffenen Maßnahmen; und
d) geeignete dokumentierte Informationen als Kompetenznachweis aufzubewahren.
ANMERKUNG Zu den anwendbaren Maßnahmen können z.B. gehören: die Bereitstellung von Ausbildung, die Betreuung oder die Versetzung der derzeitigen Mitarbeiter oder die Einstellung oder Beauftragung von kompetenten Personen.
Sind die oben genannten Anforderungen für 7,2
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
7.3 Bewusstsein
Anforderungen:
Personen, die unter der Kontrolle der Organisation arbeiten, müssen sich darüber im Klaren sein:
a) die Informationssicherheitspolitik;
b) ihren Beitrag zur Wirksamkeit des Informationssicherheits-Managementsystems, einschließlich
c) die Vorteile einer verbesserten Leistung der Informationssicherheit und die Auswirkungen der Nichteinhaltung der Anforderungen an das Informationssicherheits-Managementsystem.
Sind die oben genannten Anforderungen für 7,3
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
7.4 Kommunikation
Anforderungen:
Die Organisation soll den Bedarf an interner und externer Kommunikation bestimmen, die für die
Informationssicherheits-Managementsystem einschließlich:
a) über das, was zu kommunizieren ist;
b) wann die Kommunikation erfolgen soll;
c) mit wem Sie kommunizieren sollen;
d) wer kommunizieren soll; und
e) die Verfahren, durch die die Kommunikation erfolgt
Sind die oben genannten Anforderungen für 7,4
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
7.5.1 Allgemeines
Anforderungen:
Das Informationssicherheits-Managementsystem der Organisation muss Folgendes umfassen:
a) dokumentierte Informationen, die von dieser Internationalen Norm gefordert werden; und
b) dokumentierte Informationen, die von der Organisation als notwendig für die Wirksamkeit von
das Informationssicherheits-Managementsystem.
ANMERKUNG Der Umfang der dokumentierten Informationen für ein Informationssicherheits-Managementsystem kann unterschiedlich sein.
von einer Organisation zu einer anderen aufgrund:
1) die Größe der Organisation und die Art ihrer Aktivitäten, Prozesse, Produkte und Dienstleistungen;
2) die Komplexität der Prozesse und ihrer Wechselwirkungen; und
3) die Kompetenz der Personen.
Sind die oben genannten Anforderungen für 7.5.1 erfüllt?
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
7.5.2 Erstellen und Aktualisieren
Anforderungen:
Bei der Erstellung und Aktualisierung dokumentierter Informationen muss die Organisation sicherstellen, dass diese angemessen sind:
a) Identifizierung und Beschreibung (z.B. Titel, Datum, Autor oder Referenznummer);
b) Format (z.B. Sprache, Software-Version, Grafik) und Medien (z.B. Papier, elektronisch) und
c) Überprüfung und Genehmigung der Eignung und Angemessenheit.
Sind die oben genannten Anforderungen für 7.5.2 erfüllt?
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
7.5.3 Kontrolle der dokumentierten Informationen
Anforderungen:
Dokumentierte Informationen, die vom Informationssicherheits-Managementsystem benötigt werden und
Die internationale Norm wird kontrolliert, um sicherzustellen, dass sie eingehalten wird:
a) es verfügbar und geeignet ist, wo und wann es benötigt wird; und
b) sie angemessen geschützt ist (z.B. vor dem Verlust der Vertraulichkeit, der unsachgemäßen Verwendung oder dem Verlust der Integrität).
Für die Kontrolle der dokumentierten Informationen muss die Organisation die folgenden Aktivitäten durchführen,
wie zutreffend:
c) Verteilung, Zugang, Abruf und Nutzung;
d) Lagerung und Konservierung, einschließlich der Erhaltung der Lesbarkeit;
e) Kontrolle von Änderungen (z.B. Versionskontrolle); und
f) Beibehaltung und Disposition.
Dokumentierte Informationen externen Ursprungs, die von der Organisation als notwendig erachtet werden für
die Planung und der Betrieb des Informationssicherheits-Managementsystems, sind zu identifizieren als
angemessen und kontrolliert.
ANMERKUNG Der Zugang impliziert eine Entscheidung bezüglich der Erlaubnis, nur die dokumentierten Informationen einzusehen, oder die
die Erlaubnis und Berechtigung, die dokumentierten Informationen einzusehen und zu ändern usw.
Sind die oben genannten Anforderungen für 7.5.3 erfüllt?
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
Gesamtzahl der Feststellungen in Abschnitt 7
Abschnitt 8 - Betrieb
Abschnitt, der für die zu prüfende Funktion gilt
Anwendbare Klauseln
8.1 Operative Planung und Kontrolle
Anforderungen:
Die Organisation plant, implementiert und kontrolliert die zur Erfüllung der Informationssicherheit erforderlichen Prozesse
Anforderungen zu erfüllen und die in 6.1. festgelegten Maßnahmen umzusetzen. Die Organisation soll außerdem Folgendes umsetzen
Pläne zur Erreichung der in 6.2 festgelegten Ziele der Informationssicherheit.
Die Organisation soll dokumentierte Informationen in dem Umfang aufbewahren, der notwendig ist, um darauf vertrauen zu können, dass
die Prozesse wie geplant durchgeführt wurden.
Die Organisation soll geplante Änderungen kontrollieren und die Folgen unbeabsichtigter Änderungen überprüfen,
Maßnahmen zur Milderung nachteiliger Auswirkungen zu ergreifen, falls erforderlich.
Die Organisation muss sicherstellen, dass ausgelagerte Prozesse festgelegt und kontrolliert werden.
Sind die oben genannten Anforderungen für 8.1 erfüllt?
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
8.2 Risikobewertung der Informationssicherheit
Anforderung:
Die Organisation soll Risikobewertungen zur Informationssicherheit in geplanten Intervallen durchführen oder wenn
unter Berücksichtigung der in 6.1.2 a) festgelegten Kriterien wesentliche Änderungen vorgeschlagen werden oder eintreten.
Die Organisation muss dokumentierte Informationen über die Ergebnisse der Informationssicherheit aufbewahren.
Risikobewertungen.
Sind die oben genannten Anforderungen für 8,2
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
8.3 Behandlung von Informationssicherheitsrisiken
Anforderungen:
Die Organisation soll den Plan zur Behandlung von Informationssicherheitsrisiken umsetzen.
Die Organisation muss dokumentierte Informationen über die Ergebnisse der Informationssicherheit aufbewahren.
Risikobehandlung.
Sind die oben genannten Anforderungen für 8,3
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
Gesamtzahl der Feststellungen in Abschnitt 8
Abschnitt 9 - Leistungsbewertung
Abschnitt, der für die zu prüfende Funktion gilt
Anwendbare Klauseln
9.1 Überwachung, Messung, Analyse und Auswertung
Anforderungen:
Die Organisation soll die Informationssicherheitsleistung und die Wirksamkeit der
Informationssicherheits-Management-System.
Die Organisation bestimmt:
a) was überwacht und gemessen werden muss, einschließlich der Prozesse und Kontrollen der Informationssicherheit;
b) die Methoden für die Überwachung, Messung, Analyse und Bewertung, soweit anwendbar, um Folgendes zu gewährleisten
gültige Ergebnisse;
HINWEIS Die ausgewählten Methoden sollten vergleichbare und reproduzierbare Ergebnisse liefern, um als gültig zu gelten.
c) wann die Überwachung und Messung durchgeführt werden soll;
d) wer überwacht und misst;
e) wann die Ergebnisse der Überwachung und Messung analysiert und ausgewertet werden sollen; und
f) die diese Ergebnisse analysieren und bewerten sollen.
Die Organisation muss geeignete dokumentierte Informationen als Nachweis für die Überwachung und
Messergebnisse.
Sind die oben genannten Anforderungen für 9.1 erfüllt?
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
9.2 Interne Audits
Anforderungen:
Die Organisation soll in geplanten Abständen interne Audits durchführen, um Informationen darüber zu erhalten, ob
das Informationssicherheits-Managementsystem:
a) übereinstimmt mit
1) die eigenen Anforderungen der Organisation an ihr Informationssicherheits-Managementsystem; und
2) die Anforderungen dieser Internationalen Norm;
b) wirksam umgesetzt und aufrechterhalten wird.
Die Organisation soll:
c) ein oder mehrere Auditprogramme zu planen, zu erstellen, umzusetzen und aufrechtzuerhalten, einschließlich der Häufigkeit und der Methoden,
Verantwortlichkeiten, Planungsanforderungen und Berichterstattung. Das (die) Auditprogramm(e) umfasst (umfassen)
die Bedeutung der betreffenden Prozesse und die Ergebnisse früherer Audits berücksichtigen;
d) die Prüfungskriterien und den Umfang für jede Prüfung zu definieren;
e) Auditoren auswählen und Audits durchführen, die die Objektivität und Unparteilichkeit des Auditprozesses gewährleisten;
f) sicherzustellen, dass die Ergebnisse der Audits an das zuständige Management gemeldet werden; und
g) dokumentierte Informationen als Beweis für das/die Auditprogramm(e) und die Auditergebnisse aufzubewahren.
Sind die oben genannten Anforderungen für 9.2 erfüllt?
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
9.3 Management-Reviews
Anforderungen:
Die oberste Leitung muss das Informationssicherheits-Managementsystem der Organisation bei geplanten
Intervalle, um seine fortwährende Eignung, Angemessenheit und Wirksamkeit sicherzustellen.
Bei der Überprüfung durch die Geschäftsführung ist auch Folgendes zu berücksichtigen:
a) den Status von Maßnahmen aus früheren Managementprüfungen;
b) Änderungen in externen und internen Fragen, die für das Informationssicherheitsmanagement relevant sind
System;
c) Rückmeldungen über die Leistung der Informationssicherheit, einschließlich Trends in:
1) Nichtkonformitäten und Korrekturmaßnahmen;
2) Überwachungs- und Messergebnisse;
3) Prüfungsergebnisse; und
4) Erfüllung der Ziele der Informationssicherheit;
d) Feedback von interessierten Parteien;
e) Ergebnisse der Risikobewertung und Status des Risikobehandlungsplans; und
f) Möglichkeiten zur kontinuierlichen Verbesserung.
Die Ergebnisse der Managementprüfung umfassen Entscheidungen im Zusammenhang mit der kontinuierlichen Verbesserung
Möglichkeiten und den Bedarf an Änderungen des Informationssicherheits-Managementsystems.
Die Organisation soll dokumentierte Informationen als Nachweis der Ergebnisse von Managementprüfungen aufbewahren.
Sind die oben genannten Anforderungen für 9,3
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
Gesamtzahl der Feststellungen in Abschnitt 9
Abschnitt 10 - Verbesserung
Abschnitt, der für die zu prüfende Funktion gilt
Anwendbare Klauseln
10.1 Nichtkonformität und Korrekturmaßnahmen
Anforderungen:
Wenn eine Nichtkonformität auftritt, soll die Organisation
a) auf die Nichtkonformität zu reagieren, und zwar gegebenenfalls
1) Maßnahmen zur Kontrolle und Korrektur zu ergreifen; und
2) sich mit den Konsequenzen auseinanderzusetzen;
b) die Notwendigkeit von Maßnahmen zur Beseitigung der Ursachen der Nichtkonformität zu bewerten, damit diese nicht erneut auftreten
oder anderswo auftreten, durch:
1) die Überprüfung der Nichtkonformität;
2) Bestimmung der Ursachen der Nichtkonformität; und
3) Feststellung, ob ähnliche Nichtkonformitäten existieren oder möglicherweise auftreten könnten;
c) alle erforderlichen Maßnahmen durchzuführen;
d) die Wirksamkeit der ergriffenen Korrekturmaßnahmen zu überprüfen; und
e) Änderungen am Informationssicherheits-Managementsystem vorzunehmen, falls erforderlich.
Die Korrekturmaßnahmen müssen den Auswirkungen der festgestellten Nichtkonformitäten angemessen sein.
Die Organisation soll dokumentierte Informationen als Beweis dafür aufbewahren:
f) die Art der Nichtkonformitäten und alle daraufhin ergriffenen Maßnahmen und
g) die Ergebnisse etwaiger Korrekturmaßnahmen.
Sind die oben genannten Anforderungen für 10.1 erfüllt?
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
10.2 Kontinuierliche Verbesserung
Anforderung:
Die Organisation muss die Eignung, Angemessenheit und Wirksamkeit des Informationssicherheits-Managementsystems kontinuierlich verbessern.
Sind die oben genannten Anforderungen für 10,2
Anmerkungen des Rechnungsprüfers
Einhaltungsgrad
Typ finden
Gesamtzahl der Feststellungen in Abschnitt 10
Anhang A (Referenzkontrollziele und -kontrollen)
Abschnitt, der für die zu prüfende Funktion gilt
Anwendbare Kontrollen
A.5.1.1 Richtlinien für die Informationssicherheit
Eine Reihe von Richtlinien für die Informationssicherheit wird definiert, von der Geschäftsleitung genehmigt, veröffentlicht und den Mitarbeitern und relevanten externen Parteien mitgeteilt.
Anmerkungen des Rechnungsprüfers
A.5.1.2 Überprüfung der Richtlinien für die Informationssicherheit
Die Richtlinien für die Informationssicherheit sind in geplanten Abständen oder bei wesentlichen Änderungen zu überprüfen, um ihre fortdauernde Eignung, Angemessenheit und Wirksamkeit sicherzustellen.
Anmerkungen des Rechnungsprüfers
A.6.1.1 Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit
Alle Verantwortlichkeiten für die Informationssicherheit sind zu definieren und zuzuweisen.
Anmerkungen des Rechnungsprüfers
A.6.1.2 Aufgabentrennung
Sich widersprechende Pflichten und Verantwortungsbereiche sind zu trennen, um die Möglichkeiten für unbefugte oder unbeabsichtigte Änderungen oder den Missbrauch der Vermögenswerte der Organisation zu verringern.
Anmerkungen des Rechnungsprüfers
A.6.1.3 Kontakt mit Behörden
Entsprechende Kontakte mit den zuständigen Behörden sind zu pflegen.
Anmerkungen des Rechnungsprüfers
A.6.1.4 Kontakt mit speziellen Interessengruppen
Angemessene Kontakte mit speziellen Interessengruppen oder anderen spezialisierten Sicherheitsforen und Berufsverbänden sind zu pflegen.
Anmerkungen des Rechnungsprüfers
A.6.1.5 Informationssicherheit im Projektmanagement
Die Informationssicherheit ist unabhängig von der Art des Projekts im Projektmanagement zu berücksichtigen.
Anmerkungen des Rechnungsprüfers
A.6.2.1 Richtlinie für mobile Geräte
Es werden eine Richtlinie und unterstützende Sicherheitsmaßnahmen angenommen, um die durch die Verwendung mobiler Geräte eingeführten Risiken zu bewältigen.
Anmerkungen des Rechnungsprüfers
A.6.2.2 Telearbeit
Es werden eine Richtlinie und unterstützende Sicherheitsmaßnahmen umgesetzt, um Informationen zu schützen, auf die an Telearbeitsplätzen zugegriffen wird, die dort verarbeitet oder gespeichert werden.
Anmerkungen des Rechnungsprüfers
A.7.1.1 Abschirmung
"Die Überprüfung des Hintergrundes aller Bewerber für eine Anstellung wird in Übereinstimmung mit den einschlägigen Gesetzen, Vorschriften und ethischen Grundsätzen durchgeführt und ist proportional zu den geschäftlichen Anforderungen, der Einstufung der Informationen, auf die zugegriffen werden soll, und den wahrgenommenen Risiken.
Anmerkungen des Rechnungsprüfers
A.7.1.2 Beschäftigungsbedingungen
In den vertraglichen Vereinbarungen mit Mitarbeitern und Auftragnehmern sind ihre und die Verantwortung der Organisation für die Informationssicherheit festzulegen.
Anmerkungen des Rechnungsprüfers
A.7.2.1 Verantwortlichkeiten des Managements
Das Management muss von allen Mitarbeitern und Auftragnehmern verlangen, dass sie die Informationssicherheit in Übereinstimmung mit den festgelegten Richtlinien und Verfahren der Organisation anwenden.
Anmerkungen des Rechnungsprüfers
A.7.2.2 "Bewusstsein, Ausbildung und Schulung im Bereich der Informationssicherheit".
Anmerkungen des Rechnungsprüfers
A.7.2.3 Disziplinarverfahren
"Es muss ein formelles und kommuniziertes Disziplinarverfahren vorhanden sein, um gegen Mitarbeiter, die eine Verletzung der Informationssicherheit begangen haben, vorzugehen.
Anmerkungen des Rechnungsprüfers
A.7.3.1 Beendigung oder Änderung der Arbeitsverantwortung
Die Verantwortlichkeiten und Pflichten im Bereich der Informationssicherheit, die auch nach Beendigung oder Änderung des Arbeitsverhältnisses gültig bleiben, sind zu definieren, dem Mitarbeiter oder Auftragnehmer mitzuteilen und durchzusetzen.
Anmerkungen des Rechnungsprüfers
A.8.1.1 Bestandsaufnahme der Vermögenswerte
Die mit den Informations- und Informationsverarbeitungseinrichtungen verbundenen Vermögenswerte sind zu identifizieren, und es ist ein Verzeichnis dieser Vermögenswerte zu erstellen und zu führen.
Anmerkungen des Rechnungsprüfers
A.8.1.2 Eigentum an Vermögenswerten
Die im Inventar geführten Vermögenswerte sind Eigentum.
Anmerkungen des Rechnungsprüfers
A.8.1.3 "Akzeptable Nutzung von Vermögenswerten".
Regeln für die akzeptable Nutzung von Informationen und der mit Informationen und Informationsverarbeitungseinrichtungen verbundenen Vermögenswerte sind zu ermitteln, zu dokumentieren und umzusetzen.
Anmerkungen des Rechnungsprüfers
A.8.1.4 Rückgabe von Vermögenswerten
Alle Mitarbeiter und externen Nutzer müssen bei Beendigung ihres Arbeitsverhältnisses, Vertrags oder ihrer Vereinbarung alle in ihrem Besitz befindlichen Vermögenswerte der Organisation zurückgeben.
Anmerkungen des Rechnungsprüfers
A.8.2.1 Klassifizierung von Informationen
"Informationen sind hinsichtlich der rechtlichen Anforderungen, des Wertes, der Kritikalität und der Empfindlichkeit gegenüber unbefugter Offenlegung oder Änderung zu klassifizieren.
Anmerkungen des Rechnungsprüfers
A.8.2.2 Kennzeichnung von Informationen
Ein geeigneter Satz von Verfahren zur Informationsetikettierung wird entwickelt und in Übereinstimmung mit dem von der Organisation angenommenen Informationsklassifizierungsschema umgesetzt.
Anmerkungen des Rechnungsprüfers
A.8.2.3 Handhabung von Vermögenswerten
Die Verfahren für den Umgang mit den Vermögenswerten werden in Übereinstimmung mit dem von der Organisation angenommenen Informationsklassifikationsschema entwickelt und umgesetzt.
Anmerkungen des Rechnungsprüfers
A.8.3.1 "Verwaltung von Wechselmedien".
Es werden Verfahren für die Verwaltung von Wechselmedien in Übereinstimmung mit dem von der Organisation angenommenen Klassifizierungsschema implementiert.
Anmerkungen des Rechnungsprüfers
A.8.3.2 Entsorgung von Medien
Medien werden sicher entsorgt, wenn sie nicht mehr benötigt werden, und zwar unter Anwendung formaler Verfahren.
Anmerkungen des Rechnungsprüfers
A.8.3.3 Physikalische Medienübertragung
Medien, die Informationen enthalten, sind vor unbefugtem Zugriff, Missbrauch oder Korruption während der Beförderung zu schützen.
Anmerkungen des Rechnungsprüfers
A.9.1.1 Politik der Zugangskontrolle
Eine Zugangskontrollpolitik ist auf der Grundlage der Anforderungen an die Geschäfts- und Informationssicherheit festzulegen, zu dokumentieren und zu überprüfen.
Anmerkungen des Rechnungsprüfers
A.9.1.2 "Zugang zu Netzwerken und Netzwerkdiensten".
Die Benutzer erhalten nur Zugang zu dem Netzwerk und den Netzwerkdiensten, zu deren Nutzung sie ausdrücklich autorisiert wurden.
Anmerkungen des Rechnungsprüfers
A.9.2.1 "Benutzeran- und -abmeldung"
Ein formelles Verfahren für die An- und Abmeldung von Benutzern wird implementiert, um die Zuweisung von Zugriffsrechten zu ermöglichen.
Anmerkungen des Rechnungsprüfers
A.9.2.2 Bereitstellung des Benutzerzugriffs
Es wird ein formaler Prozess zur Bereitstellung des Benutzerzugriffs implementiert, um Zugriffsrechte für alle Benutzertypen auf alle Systeme und Dienste zuzuweisen oder zu entziehen.
Anmerkungen des Rechnungsprüfers
A.9.2.3 "Verwaltung der privilegierten Zugriffsrechte".
Die Zuteilung und Nutzung von privilegierten Zugangsrechten wird eingeschränkt und kontrolliert.
Anmerkungen des Rechnungsprüfers
A.9.2.4 "Verwaltung der geheimen Authentifizierungsinformationen der Benutzer".
Die Zuteilung von geheimen Authentifizierungsinformationen wird durch einen formellen Verwaltungsprozess kontrolliert.
Anmerkungen des Rechnungsprüfers
A.9.2.5 Überprüfung der Benutzerzugriffsrechte
Die Eigentümer der Vermögenswerte überprüfen die Zugriffsrechte der Benutzer in regelmäßigen Abständen.
Anmerkungen des Rechnungsprüfers
A.9.2.6 "Entfernung oder Anpassung von Zugriffsrechten".
Die Zugriffsrechte aller Mitarbeiter und externen Nutzer auf Informationen und Informationsverarbeitungseinrichtungen werden bei Beendigung des Arbeitsverhältnisses, des Vertrags oder der Vereinbarung aufgehoben oder bei Änderungen angepasst.
Anmerkungen des Rechnungsprüfers
A.9.3.1 "Verwendung von geheimen Authentifizierungsinformationen"
"Die Benutzer sind verpflichtet, die Praktiken der Organisation bei der Verwendung von geheimen Authentifizierungsinformationen zu befolgen.
Anmerkungen des Rechnungsprüfers
A.9.4.1 "Beschränkung des Informationszugangs".
Der Zugang zu Informationen und Anwendungssystemfunktionen wird gemäß der Zugangskontrollpolitik eingeschränkt.
Anmerkungen des Rechnungsprüfers
A.9.4.2 Sichere Anmeldeverfahren
Wenn es die Zugangskontrollpolitik erfordert, wird der Zugang zu Systemen und Anwendungen durch ein sicheres Anmeldeverfahren kontrolliert.
Anmerkungen des Rechnungsprüfers
A.9.4.3 "System zur Verwaltung von Passwörtern".
Passwortverwaltungssysteme müssen interaktiv sein und qualitativ hochwertige Passwörter gewährleisten.
Anmerkungen des Rechnungsprüfers
A.9.4.4 "Verwendung von privilegierten Hilfsprogrammen"
Die Verwendung von Hilfsprogrammen, die in der Lage sein könnten, System- und Anwendungskontrollen zu übergehen, ist einzuschränken und streng zu kontrollieren.
Anmerkungen des Rechnungsprüfers
A.9.4.5 "Zugriffskontrolle auf den Programm-Quellcode"
Der Zugriff auf den Programm-Quellcode ist zu beschränken.
Anmerkungen des Rechnungsprüfers
A.10.1.1 "Richtlinie für die Verwendung kryptographischer Kontrollen".
Es wird eine Richtlinie über die Verwendung kryptographischer Kontrollen zum Schutz von Informationen entwickelt und implementiert.
Anmerkungen des Rechnungsprüfers
A.10.1.2 Schlüsselverwaltung
Es wird eine Richtlinie über die Verwendung, den Schutz und die Lebensdauer von kryptographischen Schlüsseln entwickelt und über deren gesamten Lebenszyklus hinweg umgesetzt.
Anmerkungen des Rechnungsprüfers
A.11.1.1 Physischer Sicherheitsumfang
Die Sicherheitsumfänge sind festzulegen und zu verwenden, um Bereiche zu schützen, die entweder sensible oder kritische Informationen und Informationsverarbeitungseinrichtungen enthalten.
Anmerkungen des Rechnungsprüfers
A.11.1.2 Physische Einreisekontrollen
Die Sicherheitsbereiche sind durch geeignete Zugangskontrollen zu schützen, um sicherzustellen, dass nur autorisiertem Personal der Zugang gestattet wird.
Anmerkungen des Rechnungsprüfers
A.11.1.3 "Sicherung von Büros, Räumen und Einrichtungen".
"Die physische Sicherheit für Büros, Räume und Einrichtungen ist zu entwerfen und anzuwenden.
Anmerkungen des Rechnungsprüfers
A.11.1.4 "Schutz vor externen und ökologischen Bedrohungen".
"Der physische Schutz gegen Naturkatastrophen, böswillige Angriffe oder Unfälle ist zu konzipieren und anzuwenden.
Anmerkungen des Rechnungsprüfers
A.11.1.5 "Arbeiten in sicheren Bereichen".
"Es sind Verfahren für die Arbeit in sicheren Bereichen zu entwerfen und anzuwenden.
Anmerkungen des Rechnungsprüfers
A.11.1.6 "Anlieferungs- und Verladebereiche"
"Zugangspunkte wie Liefer- und Ladebereiche und andere Punkte, an denen Unbefugte das Gelände betreten könnten, sind zu kontrollieren und, wenn möglich, von den Einrichtungen zur Informationsverarbeitung zu isolieren, um unbefugten Zugang zu vermeiden.
Anmerkungen des Rechnungsprüfers
A.11.2.1 "Standortwahl und Schutz der Ausrüstung"
Die Ausrüstung ist so zu platzieren und zu schützen, dass die Risiken von Umweltbedrohungen und -gefahren sowie die Möglichkeiten für unbefugten Zugang reduziert werden.
Anmerkungen des Rechnungsprüfers
A.11.2.2 Unterstützende Hilfsprogramme
"Die Ausrüstung ist vor Stromausfällen und anderen Störungen zu schützen, die durch Ausfälle der unterstützenden Versorgungseinrichtungen verursacht werden.
Anmerkungen des Rechnungsprüfers
A.11.2.3 Sicherheit der Verkabelung
"Strom- und Telekommunikationskabel, die Daten oder unterstützende Informationsdienste führen, sind vor Abhören, Störungen oder Schäden zu schützen.
Anmerkungen des Rechnungsprüfers
A.11.2.4 Wartung der Ausrüstung
Die Ausrüstung wird ordnungsgemäß gewartet, um ihre kontinuierliche Verfügbarkeit und Integrität zu gewährleisten.
Anmerkungen des Rechnungsprüfers
A.11.2.5 Entfernung von Vermögenswerten
"Ausrüstung, Informationen oder Software dürfen nicht ohne vorherige Genehmigung von der Baustelle entfernt werden.
Anmerkungen des Rechnungsprüfers
A.11.2.6 "Sicherheit von Ausrüstung und Vermögenswerten außerhalb von Gebäuden".
Die Sicherheit ist auf die außerhalb des Geländes befindlichen Vermögenswerte unter Berücksichtigung der verschiedenen Risiken bei der Arbeit außerhalb der Räumlichkeiten der Organisation anzuwenden.
Anmerkungen des Rechnungsprüfers
A.11.2.7 "Sichere Entsorgung oder Wiederverwendung von Geräten".
Alle Ausrüstungsgegenstände, die Speichermedien enthalten, sind zu überprüfen, um sicherzustellen, dass alle sensiblen Daten und lizenzierte Software vor der Entsorgung oder Wiederverwendung entfernt oder sicher überschrieben wurden.
Anmerkungen des Rechnungsprüfers
A.11.2.8 "Unbeaufsichtigte Benutzerausrüstung"
Die Benutzer müssen sicherstellen, dass unbeaufsichtigte Geräte angemessen geschützt sind.
Anmerkungen des Rechnungsprüfers
A.11.2.9 "Klarer Schreibtisch und klare Bildschirmrichtlinie".
Es wird eine klare Schreibtischrichtlinie für Papiere und Wechseldatenträger und eine klare Bildschirmrichtlinie für Informationsverarbeitungseinrichtungen verabschiedet.
Anmerkungen des Rechnungsprüfers
A.12.1.1 "Dokumentierte Betriebsverfahren".
Die Betriebsverfahren sind zu dokumentieren und allen Benutzern, die sie benötigen, zur Verfügung zu stellen.
Anmerkungen des Rechnungsprüfers
A.12.1.2 Änderungsmanagement
Änderungen an der Organisation, den Geschäftsprozessen, den Informationsverarbeitungseinrichtungen und -systemen, die die Informationssicherheit betreffen, sind zu kontrollieren.
Anmerkungen des Rechnungsprüfers
A.12.1.3 Verwaltung der Kapazitäten
Die Nutzung der Ressourcen ist zu überwachen, abzustimmen und Prognosen über den künftigen Kapazitätsbedarf zu erstellen, um die erforderliche Systemleistung zu gewährleisten.
Anmerkungen des Rechnungsprüfers
A.12.1.4 "Trennung von Entwicklungs-, Test- und Betriebsumgebungen".
Entwicklungs-, Test- und Betriebsumgebung sind zu trennen, um die Risiken eines unbefugten Zugriffs oder von Änderungen der Betriebsumgebung zu verringern.
Anmerkungen des Rechnungsprüfers
A.12.2.1 Kontrollen gegen Malware
Kontrollen zur Erkennung, Verhinderung und Wiederherstellung zum Schutz vor Malware sind zu implementieren, kombiniert mit einer angemessenen Sensibilisierung der Benutzer.
Anmerkungen des Rechnungsprüfers
A.12.3.1 Informationssicherung
"Sicherungskopien von Informationen, Software und Systemabbildern sind zu erstellen und regelmäßig gemäß einer vereinbarten Sicherung zu testen.
Politik".
Anmerkungen des Rechnungsprüfers
A.12.4.1 Ereignisprotokollierung
Ereignisprotokolle, die Benutzeraktivitäten, Ausnahmen, Fehler und Ereignisse der Informationssicherheit aufzeichnen, sind zu erstellen, aufzubewahren und regelmäßig zu überprüfen.
Anmerkungen des Rechnungsprüfers
A.12.4.2 Schutz der Log-Informationen
Die Protokollierungseinrichtungen und die Protokollinformationen sind vor Manipulation und unbefugtem Zugriff zu schützen.
Anmerkungen des Rechnungsprüfers
A.12.4.3 "Verwalter- und Betreiberprotokolle".
Die Aktivitäten des Systemadministrators und des Systembetreibers sind zu protokollieren und die Protokolle sind zu schützen und regelmäßig zu überprüfen.
Anmerkungen des Rechnungsprüfers
A.12.4.4 Uhrzeitsynchronisierung
Die Uhren aller relevanten Informationsverarbeitungssysteme innerhalb einer Organisation oder Sicherheitsdomäne müssen mit einer einzigen Referenzzeitquelle synchronisiert werden.
Anmerkungen des Rechnungsprüfers
A.12.5.1 "Installation von Software auf Betriebssystemen".
Es sind Verfahren zur Kontrolle der Installation von Software auf den Betriebssystemen zu implementieren.
Anmerkungen des Rechnungsprüfers
A.12.6.1 "Verwaltung technischer Schwachstellen".
Informationen über technische Schwachstellen der verwendeten Informationssysteme sind rechtzeitig einzuholen, die Gefährdung der Organisation durch solche Schwachstellen ist zu bewerten und es sind geeignete Maßnahmen zu ergreifen, um dem damit verbundenen Risiko zu begegnen.
Anmerkungen des Rechnungsprüfers
A.12.6.2 "Einschränkungen bei der Software-Installation".
Es werden Regeln für die Installation von Software durch die Benutzer aufgestellt und umgesetzt.
Anmerkungen des Rechnungsprüfers
A.12.7.1 "Kontrolle der Informationssysteme".
"Audit-Anforderungen und Aktivitäten, die eine Überprüfung der operativen Systeme beinhalten, sind sorgfältig zu planen und zu vereinbaren, um Störungen der Geschäftsprozesse zu minimieren.
Anmerkungen des Rechnungsprüfers
A.13.1.1 Netzwerksteuerung
"Netzwerke sollen verwaltet und kontrolliert werden, um Informationen in Systemen und Anwendungen zu schützen.
Anmerkungen des Rechnungsprüfers
A.13.1.2 "Sicherheit von Netzwerkdiensten".
Die Sicherheitsmechanismen, Dienstniveaus und Managementanforderungen aller Netzdienste sind zu ermitteln und in die Vereinbarungen über Netzdienste aufzunehmen, unabhängig davon, ob diese Dienste intern oder extern erbracht werden.
Anmerkungen des Rechnungsprüfers
A.13.1.3 Segregation in Netzwerken
"Gruppen von Informationsdiensten, Nutzern und Informationssystemen werden in Netzwerken getrennt.
Anmerkungen des Rechnungsprüfers
A.13.2.1 "Richtlinien und Verfahren zur Informationsübertragung".
Es müssen formelle Übertragungsrichtlinien, -verfahren und -kontrollen vorhanden sein, um die Übertragung von Informationen durch die Nutzung aller Arten von Kommunikationseinrichtungen zu schützen.
Anmerkungen des Rechnungsprüfers
A.13.2.2 "Vereinbarungen über die Informationsweitergabe"
Die Vereinbarungen müssen die sichere Übertragung von Geschäftsinformationen zwischen der Organisation und externen Parteien regeln.
Anmerkungen des Rechnungsprüfers
A.13.2.3 Elektronische Nachrichtenübermittlung
"Informationen, die mit der elektronischen Nachrichtenübermittlung zu tun haben, müssen angemessen geschützt werden.
Anmerkungen des Rechnungsprüfers
A.13.2.4 "Vertraulichkeits- oder Geheimhaltungsvereinbarungen"
Anforderungen an Vertraulichkeits- oder Geheimhaltungsvereinbarungen, die den Bedarf der Organisation an Informationsschutz widerspiegeln, müssen identifiziert, regelmäßig überprüft und dokumentiert werden.
Anmerkungen des Rechnungsprüfers
A.14.1.1 "Analyse und Spezifikation der Anforderungen an die Informationssicherheit".
Die Anforderungen an die Informationssicherheit sind in die Anforderungen für neue Informationssysteme oder Verbesserungen bestehender Informationssysteme aufzunehmen.
Anmerkungen des Rechnungsprüfers
A.14.1.2 "Sicherung von Anwendungsdiensten in öffentlichen Netzwerken".
Informationen, die mit Anwendungsdiensten zu tun haben, die über öffentliche Netzwerke laufen, sind vor betrügerischen Aktivitäten, Vertragsstreitigkeiten und unbefugter Offenlegung und Änderung zu schützen.
Anmerkungen des Rechnungsprüfers
A.14.1.3 "Schutz der Transaktionen von Anwendungsdiensten".
"Informationen, die mit Transaktionen des Anwendungsdienstes zusammenhängen, sind zu schützen, um eine unvollständige Übertragung, eine falsche Weiterleitung, eine unbefugte Änderung der Nachricht, eine unbefugte Offenlegung, eine unbefugte Vervielfältigung oder Wiedergabe der Nachricht zu verhindern.
Anmerkungen des Rechnungsprüfers
A.14.2.1 "Sichere Entwicklungspolitik
Es sollen Regeln für die Entwicklung von Software und Systemen aufgestellt und auf Entwicklungen innerhalb der Organisation angewendet werden.
Anmerkungen des Rechnungsprüfers
A.14.2.2 "Verfahren zur Kontrolle von Systemänderungen".
Änderungen an Systemen innerhalb des Entwicklungslebenszyklus werden durch die Verwendung von formalen Änderungskontrollverfahren kontrolliert.
Anmerkungen des Rechnungsprüfers
A.14.2.3 Technische Überprüfung von Anwendungen nach Änderungen der Betriebsplattform
Bei einem Wechsel der Betriebsplattform sind geschäftskritische Anwendungen zu überprüfen und zu testen, um sicherzustellen, dass es keine nachteiligen Auswirkungen auf den Betrieb oder die Sicherheit der Organisation gibt.
Anmerkungen des Rechnungsprüfers
A.14.2.4 Einschränkungen für Änderungen an Softwarepaketen
Von Änderungen an Softwarepaketen ist abzuraten, sie sind auf notwendige Änderungen zu beschränken, und alle Änderungen sind streng zu kontrollieren.
Anmerkungen des Rechnungsprüfers
A.14.2.5 "Grundsätze der sicheren Systemtechnik".
Die Grundsätze für die Entwicklung sicherer Systeme sind festzulegen, zu dokumentieren, zu pflegen und auf alle Bemühungen zur Implementierung von Informationssystemen anzuwenden.
Anmerkungen des Rechnungsprüfers
A.14.2.6 "Sichere Entwicklungsumgebung"
Organisationen müssen sichere Entwicklungsumgebungen für die Systementwicklung und Integrationsbemühungen einrichten und angemessen schützen, die den gesamten Lebenszyklus der Systementwicklung abdecken.
Anmerkungen des Rechnungsprüfers
A.14.2.7 Ausgelagerte Entwicklung
Die Organisation soll die Tätigkeit der ausgelagerten Systementwicklung beaufsichtigen und überwachen.
Anmerkungen des Rechnungsprüfers
A.14.2.8 Prüfung der Systemsicherheit
Die Prüfung der Sicherheitsfunktionalität wird während der Entwicklung durchgeführt.
Anmerkungen des Rechnungsprüfers
A.14.2.9 "Prüfung der Systemakzeptanz".
Für neue Informationssysteme, Upgrades und neue Versionen werden Akzeptanztestprogramme und damit verbundene Kriterien festgelegt.
Anmerkungen des Rechnungsprüfers
A.14.3.1 Schutz von Testdaten
Die Testdaten sind sorgfältig auszuwählen, zu schützen und zu kontrollieren.
Anmerkungen des Rechnungsprüfers
A.15.1.1 "Informationssicherheitspolitik für Lieferantenbeziehungen".
Die Anforderungen an die Informationssicherheit zur Minderung der Risiken, die mit dem Zugriff des Lieferanten auf die Vermögenswerte der Organisation verbunden sind, müssen mit dem Lieferanten vereinbart und dokumentiert werden.
Anmerkungen des Rechnungsprüfers
A.15.1.2 "Behandlung der Sicherheit innerhalb von Lieferantenvereinbarungen"
Alle relevanten Anforderungen an die Informationssicherheit müssen festgelegt und mit jedem Lieferanten vereinbart werden, der auf die Informationen der Organisation zugreifen, sie verarbeiten, speichern, kommunizieren oder IT-Infrastrukturkomponenten dafür bereitstellen kann.
Anmerkungen des Rechnungsprüfers
A.15.1.3 "Informations- und Kommunikationstechnologie-Lieferkette".
Die Vereinbarungen mit den Lieferanten enthalten Anforderungen, um die mit den Informations- und Kommunikationstechnologie-Dienstleistungen und der Produktlieferkette verbundenen Informationssicherheitsrisiken anzugehen.
Anmerkungen des Rechnungsprüfers
A.15.2.1 "Überwachung und Überprüfung der Dienstleistungen von Lieferanten".
Die Organisationen müssen die Erbringung der Dienstleistungen von Lieferanten regelmäßig überwachen, überprüfen und auditieren.
Anmerkungen des Rechnungsprüfers
A.15.2.2 "Verwaltung von Änderungen an den Dienstleistungen von Lieferanten".
Änderungen bei der Erbringung von Dienstleistungen durch die Anbieter, einschließlich der Aufrechterhaltung und Verbesserung der bestehenden Informationssicherheitsrichtlinien, -verfahren und -kontrollen, sind unter Berücksichtigung der Kritikalität der beteiligten Geschäftsinformationen, -systeme und -prozesse und der Neubewertung von Risiken zu verwalten.
Anmerkungen des Rechnungsprüfers
A.16.1.1 "Verantwortlichkeiten und Verfahren"
Es werden Managementverantwortlichkeiten und -verfahren festgelegt, um eine schnelle, wirksame und geordnete Reaktion auf Vorfälle der Informationssicherheit zu gewährleisten.
Anmerkungen des Rechnungsprüfers
A.16.1.2 "Meldung von Ereignissen der Informationssicherheit".
Ereignisse im Bereich der Informationssicherheit sind so schnell wie möglich über geeignete Managementkanäle zu melden.
Anmerkungen des Rechnungsprüfers
A.16.1.3 "Meldung von Schwachstellen der Informationssicherheit".
"Mitarbeiter und Auftragnehmer, die die Informationssysteme und -dienste der Organisation nutzen, sind verpflichtet, alle beobachteten oder vermuteten Informationssicherheitsschwächen in den Systemen oder Diensten zu beachten und zu melden.
Anmerkungen des Rechnungsprüfers
A.16.1.4 "Bewertung von und Entscheidung über Ereignisse der Informationssicherheit".
Informationssicherheitsereignisse sind zu bewerten, und es ist zu entscheiden, ob sie als Informationssicherheitsvorfälle einzustufen sind.
Anmerkungen des Rechnungsprüfers
A.16.1.5 "Reaktion auf Vorfälle der Informationssicherheit".
Auf Informationssicherheitsvorfälle ist gemäß den dokumentierten Verfahren zu reagieren.
Anmerkungen des Rechnungsprüfers
A.16.1.6 Aus Informationssicherheitsvorfällen lernen
Die aus der Analyse und Lösung von Informationssicherheitsvorfällen gewonnenen Erkenntnisse sollen dazu dienen, die Wahrscheinlichkeit oder die Auswirkungen künftiger Vorfälle zu verringern.
Anmerkungen des Rechnungsprüfers
A.16.1.7 Sammlung von Beweisen
Die Organisation soll Verfahren für die Identifizierung, Sammlung, Beschaffung und Bewahrung von Informationen, die als Beweismittel dienen können, definieren und anwenden.
Anmerkungen des Rechnungsprüfers
A.17.1.1 Planung der Kontinuität der Informationssicherheit
Die Organisation muss ihre Anforderungen an die Informationssicherheit und die Kontinuität des Informationssicherheitsmanagements in widrigen Situationen, z.B. während einer Krise oder Katastrophe, festlegen.
Anmerkungen des Rechnungsprüfers
A.17.1.2 "Implementierung der Kontinuität der Informationssicherheit
Die Organisation muss Prozesse, Verfahren und Kontrollen einführen, dokumentieren, implementieren und aufrechterhalten, um das erforderliche Maß an Kontinuität für die Informationssicherheit während einer ungünstigen Situation zu gewährleisten.
Anmerkungen des Rechnungsprüfers
A.17.1.3 "Verifizierung, Überprüfung und Bewertung der Kontinuität der Informationssicherheit".
Die Organisation muss die etablierten und implementierten Kontrollen der Kontinuität der Informationssicherheit in regelmäßigen Abständen überprüfen, um sicherzustellen, dass sie in ungünstigen Situationen gültig und wirksam sind.
Anmerkungen des Rechnungsprüfers
A.17.2.1 "Verfügbarkeit von Einrichtungen zur Informationsverarbeitung".
Die Informationsverarbeitungseinrichtungen sind mit einer ausreichenden Redundanz zu implementieren, um die Verfügbarkeitsanforderungen zu erfüllen.
Anmerkungen des Rechnungsprüfers
A.18.1.1 "Identifizierung der anwendbaren Gesetzgebung und der vertraglichen Anforderungen".
"Alle relevanten gesetzlichen, behördlichen und vertraglichen Anforderungen und der Ansatz der Organisation zur Erfüllung dieser Anforderungen müssen für jedes Informationssystem und die Organisation explizit identifiziert, dokumentiert und auf dem neuesten Stand gehalten werden.
Anmerkungen des Rechnungsprüfers
A.18.1.2 "Rechte an geistigem Eigentum".
"Es werden geeignete Verfahren eingeführt, um die Einhaltung der gesetzlichen, behördlichen und vertraglichen Anforderungen in Bezug auf die Rechte an geistigem Eigentum und die Nutzung proprietärer Softwareprodukte zu gewährleisten.
Anmerkungen des Rechnungsprüfers
A.18.1.3 Schutz von Aufzeichnungen
Die Aufzeichnungen sind vor Verlust, Zerstörung, Verfälschung, unbefugtem Zugriff und unbefugter Freigabe zu schützen, in Übereinstimmung mit den gesetzlichen, behördlichen, vertraglichen und geschäftlichen Anforderungen.
Anmerkungen des Rechnungsprüfers
A.18.1.4 Datenschutz und Schutz personenbezogener Daten
Die Privatsphäre und der Schutz personenbezogener Daten werden, wie in den einschlägigen Gesetzen und Vorschriften, soweit anwendbar, gefordert, gewährleistet.
Anmerkungen des Rechnungsprüfers
A.18.1.5 "Regelung der kryptographischen Kontrollen".
Kryptographische Kontrollen sind in Übereinstimmung mit allen relevanten Vereinbarungen, Gesetzen und Vorschriften zu verwenden.
Anmerkungen des Rechnungsprüfers
A.18.2.1 "Unabhängige Überprüfung der Informationssicherheit".
"Der Ansatz der Organisation für das Management der Informationssicherheit und ihre Umsetzung (d.h. Kontrollziele, Kontrollen, Richtlinien, Prozesse und Verfahren für die Informationssicherheit) sind in geplanten Abständen oder bei wesentlichen Änderungen unabhängig zu überprüfen.
auftreten".
Anmerkungen des Rechnungsprüfers
A18.2.2 Einhaltung von Sicherheitsrichtlinien und -standards
Die Manager müssen regelmäßig die Übereinstimmung der Informationsverarbeitung und der Verfahren in ihrem Verantwortungsbereich mit den entsprechenden Sicherheitsrichtlinien, -standards und anderen Sicherheitsanforderungen überprüfen.
Anmerkungen des Rechnungsprüfers
A18.2.3 Überprüfung der technischen Konformität
Informationssysteme sind regelmäßig auf die Einhaltung der Informationssicherheitsrichtlinien und -standards der Organisation zu überprüfen.
Anmerkungen des Rechnungsprüfers
Ergebnisse erhoben
Nicht-Konformität ROT
Nicht-Konformität AMBER
Beobachtung ROT
Beobachtung AMBER
Beobachtung GRÜN
Empfehlung GRÜN
Gesamtzahl der Feststellungen in Anhang A Kontrollziele und Kontrollen
Abschlusssitzung
Anmerkungen zur Abschlusssitzung
Positiv
Zusammenfassung der Gesamtprüfung
Ergebnisse erhoben
Nicht-Konformität ROT
Nicht-Konformität AMBER
Beobachtung ROT
Beobachtung AMBER
Beobachtung GRÜN
Rückmeldung GRÜN
Audit-Abstimmung
Audit-Team abmelden
Leitender Revisor
Unterstützen Sie den Auditor
Auditor in Ausbildung
Funktionaler Eigentümer
Geprüftes Team
Signatur hinzufügen
Diese Vorlage wurde 125 Mal heruntergeladen
Diese Vorlage, bereitgestellt von Lumiform, dient als hypothetisches Beispiel und Ausgangspunkt für Unternehmen, die unsere Plattform nutzen. Sie ist kein Ersatz für professionellen Rat. Unternehmen sollten qualifizierte Fachleute konsultieren, um die Angemessenheit und Rechtmäßigkeit dieser Vorlage in ihrem spezifischen Kontext sicherzustellen. Lumiform haftet nicht für Fehler, Auslassungen oder Handlungen, die auf der Grundlage dieser Vorlage vorgenommen werden.