close
lumiform

Lumiform

Audits & Prüfungen per App
App herunterladenApp herunterladen

ISO 27001:2013 Interner Audit-Bericht

Bewertet mit 4.8/5 Sternen auf Capterra

Verabschiede dich von Papier-Checklisten!

Lumiform ermöglicht es dir, digitale Prüfungen via App einfacher als je zuvor durchzuführen
  • Reduziere die Prüfzeit um 50%
  • Decke mehr Probleme auf und löse sie 4x schneller
  • Select from over 5,000 expert-proofed templates
Jetzt teilen

Digitalisiere jetzt dieses Papierformular

Registriere dich kostenlos auf lumiformapp.com und führe Prüfungen über unsere mobile App durch

  • Reduziere die Prüfzeit um 50%
  • Decke mehr Probleme auf und löse sie 4x schneller
  • Wähle von über 4000 Experten-geprüften Vorlagen aus
Bewertet mit 4.8/5 Sternen auf Capterra
App StorePlay Store

ISO 27001:2013 Interner Audit-Bericht

Eröffnungssitzung

Notizen zur Eröffnungssitzung

Überprüfung früherer Prüfungsfeststellungen auf Wirksamkeit

Überprüfung früherer Ergebnisse

Frühere Ergebnisse

Details zur Überprüfung

Ergebnis der Überprüfung

Überprüfung der Wirksamkeit der Empfehlung

Empfehlung, die in einer früheren Prüfung ausgesprochen wurde?

Details zur Empfehlung

Empfehlung Wirksamkeit Ergebnis

Bitte Andere(n) angeben

Schlussfolgerung/Ausgangsdetails:

Abschnitt 4 - Kontext der Organisation

Abschnitt, der für die zu prüfende Funktion gilt

Anwendbare Klauseln

4.1 Die Organisation und ihren Kontext verstehen

Anforderungen:Die Organisation muss externe und interne Fragen bestimmen, die für ihren Zweck relevant sind und die ihre Fähigkeit beeinflussen, das/die beabsichtigte(n) Ergebnis(e) ihres Informationssicherheits-Managementsystems zu erreichen.ANMERKUNG Die Bestimmung dieser Punkte bezieht sich auf die Festlegung des externen und internen Kontexts der Organisation, die in Abschnitt 5.3 von ISO 31000:2009[5] betrachtet wird.

Sind die oben genannten Anforderungen für 4.1 erfüllt?

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

4.2 Verstehen der Bedürfnisse und Erwartungen der interessierten Parteien

Anforderungen:Die Organisation bestimmt:a) interessierte Parteien, die für das Informationssicherheits-Managementsystem relevant sind; undb) die für die Informationssicherheit relevanten Anforderungen dieser interessierten Parteien.ANMERKUNG Die Anforderungen der interessierten Parteien können rechtliche und regulatorische Anforderungen undvertragliche Verpflichtungen.

Sind die oben genannten Anforderungen für 4.2 erfüllt?

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

4.3 Bestimmung des Umfangs des ISMS

Anforderungen:Die Organisation soll die Grenzen und die Anwendbarkeit der Informationssicherheit bestimmenManagementsystem, um seinen Geltungsbereich festzulegen.Bei der Festlegung dieses Bereichs soll die Organisation in Betracht ziehen:a) die unter 4.1 genannten externen und internen Fragen;b) die in 4.2 genannten Anforderungen; undc) Schnittstellen und Abhängigkeiten zwischen den von der Organisation ausgeführten Aktivitäten und denen, diedie von anderen Organisationen durchgeführt werden.Der Umfang muss als dokumentierte Information verfügbar sein.

Sind die oben genannten Anforderungen für 4.3 erfüllt?

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

4.4 Managementsystem für Informationssicherheit

Anforderungen:Die Organisation soll in Übereinstimmung mit den Anforderungen dieser Internationalen Norm ein Informationssicherheits-Managementsystem einführen, implementieren, aufrechterhalten und kontinuierlich verbessern.

Sind die oben genannten Anforderungen für 4.4 erfüllt?

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

Gesamtzahl der Feststellungen in Abschnitt 4

Abschnitt 5 - Führung

Abschnitt, der für die zu prüfende Funktion gilt

Anwendbare Klauseln

5.1 Führung und Engagement

Anforderungen:Die oberste Führungsebene muss Führung und Engagement in Bezug auf die Informationen zeigenSicherheitsmanagementsystem durch:a) die Gewährleistung der Informationssicherheitspolitik und der Informationssicherheitszieleund sind mit der strategischen Ausrichtung der Organisation vereinbar;b) Sicherstellung der Integration der Anforderungen an das Informationssicherheits-Management-System in dieProzesse der Organisation;c) Sicherstellung, dass die für das Informationssicherheits-Managementsystem erforderlichen Ressourcen verfügbar sind;d) Vermittlung der Bedeutung eines wirksamen Informationssicherheitsmanagements und der Einhaltung vondie Anforderungen an das Informationssicherheits-Management-System;e) Sicherstellung, dass das Informationssicherheits-Managementsystem die beabsichtigten Ergebnisse erreicht;f) Anweisung und Unterstützung von Personen, um zur Wirksamkeit der Informationssicherheit beizutragenManagementsystem;g) die Förderung einer kontinuierlichen Verbesserung; undh) Unterstützung anderer relevanter Managementfunktionen, um ihre Führungsqualitäten unter Beweis zu stellen, wie es für ihreVerantwortungsbereiche.

Sind die oben genannten Anforderungen für 5.1 erfüllt?

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

5.2 Politik

Anforderungen:Die oberste Leitung muss eine Informationssicherheitspolitik festlegen, die:a) dem Zweck der Organisation angemessen ist;b) enthält Ziele der Informationssicherheit (siehe 6.2) oder bietet den Rahmen für die Festlegung von InformationenSicherheitsziele;c) eine Verpflichtung zur Erfüllung der geltenden Anforderungen in Bezug auf die Informationssicherheit enthält; undd) beinhaltet eine Verpflichtung zur kontinuierlichen Verbesserung des Informationssicherheits-Managementsystems.Die Politik der Informationssicherheit soll:e) als dokumentierte Information verfügbar sein;f) innerhalb der Organisation kommuniziert werden; undg) gegebenenfalls für interessierte Parteien verfügbar sein.

Sind die oben genannten Anforderungen für 5.2 erfüllt?

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

5.3 Organisatorische Rollen, Verantwortlichkeiten und Befugnisse

Anforderungen:Die oberste Leitung stellt sicher, dass die Verantwortlichkeiten und Befugnisse für die informationsrelevanten RollenSicherheit zugewiesen und kommuniziert werden.Die oberste Leitung weist die Verantwortung und Befugnis für:a) Sicherstellung, dass das Informationssicherheits-Managementsystem den Anforderungen dieses Gesetzes entsprichtInternationale Norm; undb) Berichterstattung über die Leistung des Informationssicherheits-Managementsystems an die oberste Leitung.ANMERKUNG Die oberste Leitung kann auch Verantwortlichkeiten und Befugnisse für die Berichterstattung über die Leistung derInformationssicherheits-Managementsystem innerhalb der Organisation.

Sind die oben genannten Anforderungen für 5.3 erfüllt?

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

Gesamtzahl der Feststellungen in Abschnitt 5

Abschnitt 6 - Planung

Abschnitt, der für die zu prüfende Funktion gilt

Anwendbare Klauseln

6.1.1 Allgemeines: Maßnahmen zur Bewältigung von Risiken und Chancen

Anforderungen:Bei der Planung des Informationssicherheits-Managementsystems berücksichtigt die Organisation diedie in 4.1 genannten Fragen und die in 4.2 genannten Anforderungen und bestimmen die Risiken und Chancendie angesprochen werden müssen:a) sicherstellen, dass das Informationssicherheits-Managementsystem die beabsichtigten Ergebnisse erzielen kann;b) unerwünschte Auswirkungen zu verhindern oder zu verringern undc) eine kontinuierliche Verbesserung zu erreichen.Die Organisation soll planen:d) Maßnahmen zur Bewältigung dieser Risiken und Chancen; unde) wie man1) die Maßnahmen in seine Prozesse des Informationssicherheits-Managementsystems zu integrieren und zu implementieren; und2) die Wirksamkeit dieser Maßnahmen zu bewerten.

Sind die oben genannten Anforderungen für 6.1.1 erfüllt?

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

6.1.2 Risikobewertung der Informationssicherheit

Anforderungen:Die Organisation soll einen Prozess zur Bewertung des Informationssicherheitsrisikos definieren und anwenden, dera) erstellt und pflegt Kriterien für das Risiko der Informationssicherheit, die Folgendes umfassen1) die Risikoakzeptanzkriterien; und2) Kriterien für die Durchführung von Risikobewertungen der Informationssicherheit;b) gewährleistet, dass wiederholte Risikobewertungen der Informationssicherheit zu konsistenten, gültigen undvergleichbare Ergebnisse;c) identifiziert die Risiken der Informationssicherheit:1) den Prozess der Risikobewertung der Informationssicherheit anwenden, um die mit dem Verlust verbundenen Risiken zu identifizierender Vertraulichkeit, Integrität und Verfügbarkeit von Informationen im Rahmen des InformationsumfangsSicherheitsmanagementsystem; und2) die Risikoeigner zu identifizieren;d) analysiert die Risiken der Informationssicherheit:1) die möglichen Folgen abzuschätzen, die sich ergeben würden, wenn die in 6.1.2 c) 1) identifizierten Risikenzu materialisieren;2) die realistische Wahrscheinlichkeit des Eintretens der in 6.1.2 c) 1) identifizierten Risiken abschätzen; und3) das Risikoniveau zu bestimmen;e) bewertet die Risiken der Informationssicherheit:1) die Ergebnisse der Risikoanalyse mit den in 6.1.2 a) festgelegten Risikokriterien zu vergleichen; und2) die analysierten Risiken für die Risikobehandlung zu priorisieren.Die Organisation muss dokumentierte Informationen über den Prozess der Risikobewertung der Informationssicherheit aufbewahren.

Sind die oben genannten Anforderungen für 6.1.2 erfüllt?

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

6.1.3 Behandlung von Informationssicherheitsrisiken

Anforderungen:Die Organisation soll einen Prozess zur Behandlung von Informationssicherheitsrisiken definieren und anwenden:a) geeignete Optionen zur Behandlung von Informationssicherheitsrisiken unter Berücksichtigung des Risikos auszuwählenBewertungsergebnisse;b) alle Kontrollen zu bestimmen, die zur Umsetzung der Behandlung von Informationssicherheitsrisiken notwendig sindOption(en) gewählt;ANMERKUNG Organisationen können Kontrollen nach Bedarf entwerfen oder sie aus jeder beliebigen Quelle identifizieren.c) die in 6.1.3 b) festgelegten Kontrollen mit denen in Anhang A zu vergleichen und zu überprüfen, dass keineKontrollen wurden ausgelassen;ANMERKUNG 1 Anhang A enthält eine umfassende Liste von Kontrollzielen und Kontrollen. Benutzer dieser InternationalenDie Normen werden in Anhang A aufgeführt, um sicherzustellen, dass keine notwendigen Kontrollen übersehen werden.ANMERKUNG 2 Kontrollziele sind implizit in den gewählten Kontrollen enthalten. Die Kontrollziele undDie in Anhang A aufgeführten Kontrollen sind nicht erschöpfend, und es können zusätzliche Kontrollziele und Kontrollen erforderlich sein.d) eine Erklärung über die Anwendbarkeit erstellen, die die notwendigen Kontrollen enthält (siehe 6.1.3 b) und c)) unddie Begründung für Einschlüsse, unabhängig davon, ob sie umgesetzt werden oder nicht, und die Begründung für Ausschlüssevon Kontrollen aus Anhang A;e) einen Plan zur Behandlung von Informationssicherheitsrisiken zu formulieren; undf) die Zustimmung der Risikoeigentümer zum Behandlungsplan für das Informationssicherheitsrisiko und die Akzeptanz desverbleibende Risiken der Informationssicherheit.Die Organisation muss dokumentierte Informationen über die Behandlung von Informationssicherheitsrisiken aufbewahrenProzess.ANMERKUNG Der Prozess zur Bewertung und Behandlung von Informationssicherheitsrisiken in diesem internationalen Standard stimmt überein mitmit den Prinzipien und allgemeinen Richtlinien der ISO 31000[5].

Sind die oben genannten Anforderungen für 6.1.3 erfüllt?

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

6.2 Ziele der Informationssicherheit und Planung zu ihrer Erreichung

Anforderungen:Die Organisation muss Ziele der Informationssicherheit auf den relevanten Funktionen und Ebenen festlegen.Die Zielsetzungen der Informationssicherheit müssen:a) mit der Informationssicherheitspolitik übereinstimmen;b) messbar sein (falls durchführbar);c) die anwendbaren Anforderungen an die Informationssicherheit und die Ergebnisse der Risikobewertung zu berücksichtigenund Risikobehandlung;d) mitgeteilt werden; unde) gegebenenfalls aktualisiert werden.Die Organisation muss dokumentierte Informationen über die Ziele der Informationssicherheit aufbewahren.Bei der Planung, wie die Ziele der Informationssicherheit erreicht werden sollen, muss die Organisation bestimmen, wie sie diese erreichen will:f) was getan wird;g) welche Ressourcen benötigt werden;h) wer verantwortlich sein wird;i) wann sie abgeschlossen sein wird; undj) wie die Ergebnisse ausgewertet werden.

Sind die oben genannten Anforderungen für 6.2 erfüllt?

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

Gesamtzahl der Feststellungen in Abschnitt 6

Abschnitt 7 - Unterstützung

Abschnitt, der für die zu prüfende Funktion gilt

Anwendbare Klauseln

7.1 Ressourcen

Anforderungen:Die Organisation bestimmt und stellt die für die Einrichtung und Durchführung erforderlichen Ressourcen zur Verfügung,die Aufrechterhaltung und kontinuierliche Verbesserung des Informationssicherheits-Managementsystems.

Sind die oben genannten Anforderungen für 7.1 erfüllt?

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

7.2 Kompetenz

Anforderungen:Die Organisation soll:a) die notwendige Kompetenz der Person(en) zu bestimmen, die unter ihrer Kontrolle Arbeit leistet (leisten), die sich auf ihreLeistung der Informationssicherheit;b) sicherstellen, dass diese Personen aufgrund einer angemessenen Ausbildung, Schulung oder Erfahrung kompetent sind;c) gegebenenfalls Maßnahmen ergreifen, um die erforderliche Kompetenz zu erwerben, und die Wirksamkeit bewertender getroffenen Maßnahmen; undd) geeignete dokumentierte Informationen als Kompetenznachweis aufzubewahren.ANMERKUNG Zu den anwendbaren Maßnahmen können z.B. gehören: die Bereitstellung von Ausbildung, die Betreuung oder die Versetzung der derzeitigen Mitarbeiter oder die Einstellung oder Beauftragung von kompetenten Personen.

Sind die oben genannten Anforderungen für 7,2

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

7.3 Bewusstsein

Anforderungen:Personen, die unter der Kontrolle der Organisation arbeiten, müssen sich darüber im Klaren sein:a) die Informationssicherheitspolitik;b) ihren Beitrag zur Wirksamkeit des Informationssicherheits-Managementsystems, einschließlichc) die Vorteile einer verbesserten Leistung der Informationssicherheit und die Auswirkungen der Nichteinhaltung der Anforderungen an das Informationssicherheits-Managementsystem.

Sind die oben genannten Anforderungen für 7,3

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

7.4 Kommunikation

Anforderungen:Die Organisation soll den Bedarf an interner und externer Kommunikation bestimmen, die für dieInformationssicherheits-Managementsystem einschließlich:a) über das, was zu kommunizieren ist;b) wann die Kommunikation erfolgen soll;c) mit wem Sie kommunizieren sollen;d) wer kommunizieren soll; und e) die Verfahren, durch die die Kommunikation erfolgt

Sind die oben genannten Anforderungen für 7,4

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

7.5.1 Allgemeines

Anforderungen:Das Informationssicherheits-Managementsystem der Organisation muss Folgendes umfassen:a) dokumentierte Informationen, die von dieser Internationalen Norm gefordert werden; undb) dokumentierte Informationen, die von der Organisation als notwendig für die Wirksamkeit vondas Informationssicherheits-Managementsystem.ANMERKUNG Der Umfang der dokumentierten Informationen für ein Informationssicherheits-Managementsystem kann unterschiedlich sein.von einer Organisation zu einer anderen aufgrund:1) die Größe der Organisation und die Art ihrer Aktivitäten, Prozesse, Produkte und Dienstleistungen;2) die Komplexität der Prozesse und ihrer Wechselwirkungen; und3) die Kompetenz der Personen.

Sind die oben genannten Anforderungen für 7.5.1 erfüllt?

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

7.5.2 Erstellen und Aktualisieren

Anforderungen:Bei der Erstellung und Aktualisierung dokumentierter Informationen muss die Organisation sicherstellen, dass diese angemessen sind:a) Identifizierung und Beschreibung (z.B. Titel, Datum, Autor oder Referenznummer);b) Format (z.B. Sprache, Software-Version, Grafik) und Medien (z.B. Papier, elektronisch) undc) Überprüfung und Genehmigung der Eignung und Angemessenheit.

Sind die oben genannten Anforderungen für 7.5.2 erfüllt?

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

7.5.3 Kontrolle der dokumentierten Informationen

Anforderungen:Dokumentierte Informationen, die vom Informationssicherheits-Managementsystem benötigt werden undDie internationale Norm wird kontrolliert, um sicherzustellen, dass sie eingehalten wird:a) es verfügbar und geeignet ist, wo und wann es benötigt wird; undb) sie angemessen geschützt ist (z.B. vor dem Verlust der Vertraulichkeit, der unsachgemäßen Verwendung oder dem Verlust der Integrität).Für die Kontrolle der dokumentierten Informationen muss die Organisation die folgenden Aktivitäten durchführen,wie zutreffend:c) Verteilung, Zugang, Abruf und Nutzung;d) Lagerung und Konservierung, einschließlich der Erhaltung der Lesbarkeit;e) Kontrolle von Änderungen (z.B. Versionskontrolle); undf) Beibehaltung und Disposition.Dokumentierte Informationen externen Ursprungs, die von der Organisation als notwendig erachtet werden fürdie Planung und der Betrieb des Informationssicherheits-Managementsystems, sind zu identifizieren alsangemessen und kontrolliert.ANMERKUNG Der Zugang impliziert eine Entscheidung bezüglich der Erlaubnis, nur die dokumentierten Informationen einzusehen, oder diedie Erlaubnis und Berechtigung, die dokumentierten Informationen einzusehen und zu ändern usw.

Sind die oben genannten Anforderungen für 7.5.3 erfüllt?

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

Gesamtzahl der Feststellungen in Abschnitt 7

Abschnitt 8 - Betrieb

Abschnitt, der für die zu prüfende Funktion gilt

Anwendbare Klauseln

8.1 Operative Planung und Kontrolle

Anforderungen:Die Organisation plant, implementiert und kontrolliert die zur Erfüllung der Informationssicherheit erforderlichen ProzesseAnforderungen zu erfüllen und die in 6.1. festgelegten Maßnahmen umzusetzen. Die Organisation soll außerdem Folgendes umsetzenPläne zur Erreichung der in 6.2 festgelegten Ziele der Informationssicherheit.Die Organisation soll dokumentierte Informationen in dem Umfang aufbewahren, der notwendig ist, um darauf vertrauen zu können, dassdie Prozesse wie geplant durchgeführt wurden.Die Organisation soll geplante Änderungen kontrollieren und die Folgen unbeabsichtigter Änderungen überprüfen,Maßnahmen zur Milderung nachteiliger Auswirkungen zu ergreifen, falls erforderlich.Die Organisation muss sicherstellen, dass ausgelagerte Prozesse festgelegt und kontrolliert werden.

Sind die oben genannten Anforderungen für 8.1 erfüllt?

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

8.2 Risikobewertung der Informationssicherheit

Anforderung:Die Organisation soll Risikobewertungen zur Informationssicherheit in geplanten Intervallen durchführen oder wennunter Berücksichtigung der in 6.1.2 a) festgelegten Kriterien wesentliche Änderungen vorgeschlagen werden oder eintreten.Die Organisation muss dokumentierte Informationen über die Ergebnisse der Informationssicherheit aufbewahren.Risikobewertungen.

Sind die oben genannten Anforderungen für 8,2

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

8.3 Behandlung von Informationssicherheitsrisiken

Anforderungen:Die Organisation soll den Plan zur Behandlung von Informationssicherheitsrisiken umsetzen.Die Organisation muss dokumentierte Informationen über die Ergebnisse der Informationssicherheit aufbewahren.Risikobehandlung.

Sind die oben genannten Anforderungen für 8,3

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

Gesamtzahl der Feststellungen in Abschnitt 8

Abschnitt 9 - Leistungsbewertung

Abschnitt, der für die zu prüfende Funktion gilt

Anwendbare Klauseln

9.1 Überwachung, Messung, Analyse und Auswertung

Anforderungen:Die Organisation soll die Informationssicherheitsleistung und die Wirksamkeit derInformationssicherheits-Management-System.Die Organisation bestimmt:a) was überwacht und gemessen werden muss, einschließlich der Prozesse und Kontrollen der Informationssicherheit;b) die Methoden für die Überwachung, Messung, Analyse und Bewertung, soweit anwendbar, um Folgendes zu gewährleistengültige Ergebnisse;HINWEIS Die ausgewählten Methoden sollten vergleichbare und reproduzierbare Ergebnisse liefern, um als gültig zu gelten.c) wann die Überwachung und Messung durchgeführt werden soll;d) wer überwacht und misst;e) wann die Ergebnisse der Überwachung und Messung analysiert und ausgewertet werden sollen; undf) die diese Ergebnisse analysieren und bewerten sollen.Die Organisation muss geeignete dokumentierte Informationen als Nachweis für die Überwachung undMessergebnisse.

Sind die oben genannten Anforderungen für 9.1 erfüllt?

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

9.2 Interne Audits

Anforderungen:Die Organisation soll in geplanten Abständen interne Audits durchführen, um Informationen darüber zu erhalten, obdas Informationssicherheits-Managementsystem:a) übereinstimmt mit1) die eigenen Anforderungen der Organisation an ihr Informationssicherheits-Managementsystem; und2) die Anforderungen dieser Internationalen Norm;b) wirksam umgesetzt und aufrechterhalten wird.Die Organisation soll:c) ein oder mehrere Auditprogramme zu planen, zu erstellen, umzusetzen und aufrechtzuerhalten, einschließlich der Häufigkeit und der Methoden,Verantwortlichkeiten, Planungsanforderungen und Berichterstattung. Das (die) Auditprogramm(e) umfasst (umfassen)die Bedeutung der betreffenden Prozesse und die Ergebnisse früherer Audits berücksichtigen;d) die Prüfungskriterien und den Umfang für jede Prüfung zu definieren;e) Auditoren auswählen und Audits durchführen, die die Objektivität und Unparteilichkeit des Auditprozesses gewährleisten;f) sicherzustellen, dass die Ergebnisse der Audits an das zuständige Management gemeldet werden; undg) dokumentierte Informationen als Beweis für das/die Auditprogramm(e) und die Auditergebnisse aufzubewahren.

Sind die oben genannten Anforderungen für 9.2 erfüllt?

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

9.3 Management-Reviews

Anforderungen:Die oberste Leitung muss das Informationssicherheits-Managementsystem der Organisation bei geplantenIntervalle, um seine fortwährende Eignung, Angemessenheit und Wirksamkeit sicherzustellen.Bei der Überprüfung durch die Geschäftsführung ist auch Folgendes zu berücksichtigen:a) den Status von Maßnahmen aus früheren Managementprüfungen;b) Änderungen in externen und internen Fragen, die für das Informationssicherheitsmanagement relevant sindSystem;c) Rückmeldungen über die Leistung der Informationssicherheit, einschließlich Trends in:1) Nichtkonformitäten und Korrekturmaßnahmen;2) Überwachungs- und Messergebnisse;3) Prüfungsergebnisse; und4) Erfüllung der Ziele der Informationssicherheit;d) Feedback von interessierten Parteien;e) Ergebnisse der Risikobewertung und Status des Risikobehandlungsplans; undf) Möglichkeiten zur kontinuierlichen Verbesserung.Die Ergebnisse der Managementprüfung umfassen Entscheidungen im Zusammenhang mit der kontinuierlichen VerbesserungMöglichkeiten und den Bedarf an Änderungen des Informationssicherheits-Managementsystems.Die Organisation soll dokumentierte Informationen als Nachweis der Ergebnisse von Managementprüfungen aufbewahren.

Sind die oben genannten Anforderungen für 9,3

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

Gesamtzahl der Feststellungen in Abschnitt 9

Abschnitt 10 - Verbesserung

Abschnitt, der für die zu prüfende Funktion gilt

Anwendbare Klauseln

10.1 Nichtkonformität und Korrekturmaßnahmen

Anforderungen:Wenn eine Nichtkonformität auftritt, soll die Organisationa) auf die Nichtkonformität zu reagieren, und zwar gegebenenfalls1) Maßnahmen zur Kontrolle und Korrektur zu ergreifen; und2) sich mit den Konsequenzen auseinanderzusetzen;b) die Notwendigkeit von Maßnahmen zur Beseitigung der Ursachen der Nichtkonformität zu bewerten, damit diese nicht erneut auftretenoder anderswo auftreten, durch:1) die Überprüfung der Nichtkonformität;2) Bestimmung der Ursachen der Nichtkonformität; und3) Feststellung, ob ähnliche Nichtkonformitäten existieren oder möglicherweise auftreten könnten;c) alle erforderlichen Maßnahmen durchzuführen;d) die Wirksamkeit der ergriffenen Korrekturmaßnahmen zu überprüfen; unde) Änderungen am Informationssicherheits-Managementsystem vorzunehmen, falls erforderlich.Die Korrekturmaßnahmen müssen den Auswirkungen der festgestellten Nichtkonformitäten angemessen sein.Die Organisation soll dokumentierte Informationen als Beweis dafür aufbewahren:f) die Art der Nichtkonformitäten und alle daraufhin ergriffenen Maßnahmen undg) die Ergebnisse etwaiger Korrekturmaßnahmen.

Sind die oben genannten Anforderungen für 10.1 erfüllt?

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

10.2 Kontinuierliche Verbesserung

Anforderung:Die Organisation muss die Eignung, Angemessenheit und Wirksamkeit des Informationssicherheits-Managementsystems kontinuierlich verbessern.

Sind die oben genannten Anforderungen für 10,2

Anmerkungen des Rechnungsprüfers

Einhaltungsgrad

Typ finden

Gesamtzahl der Feststellungen in Abschnitt 10

Anhang A (Referenzkontrollziele und -kontrollen)

Abschnitt, der für die zu prüfende Funktion gilt

Anwendbare Kontrollen

A.5.1.1 Richtlinien für die InformationssicherheitEine Reihe von Richtlinien für die Informationssicherheit wird definiert, von der Geschäftsleitung genehmigt, veröffentlicht und den Mitarbeitern und relevanten externen Parteien mitgeteilt.

Anmerkungen des Rechnungsprüfers

A.5.1.2 Überprüfung der Richtlinien für die InformationssicherheitDie Richtlinien für die Informationssicherheit sind in geplanten Abständen oder bei wesentlichen Änderungen zu überprüfen, um ihre fortdauernde Eignung, Angemessenheit und Wirksamkeit sicherzustellen.

Anmerkungen des Rechnungsprüfers

A.6.1.1 Rollen und Verantwortlichkeiten im Bereich der InformationssicherheitAlle Verantwortlichkeiten für die Informationssicherheit sind zu definieren und zuzuweisen.

Anmerkungen des Rechnungsprüfers

A.6.1.2 AufgabentrennungSich widersprechende Pflichten und Verantwortungsbereiche sind zu trennen, um die Möglichkeiten für unbefugte oder unbeabsichtigte Änderungen oder den Missbrauch der Vermögenswerte der Organisation zu verringern.

Anmerkungen des Rechnungsprüfers

A.6.1.3 Kontakt mit BehördenEntsprechende Kontakte mit den zuständigen Behörden sind zu pflegen.

Anmerkungen des Rechnungsprüfers

A.6.1.4 Kontakt mit speziellen InteressengruppenAngemessene Kontakte mit speziellen Interessengruppen oder anderen spezialisierten Sicherheitsforen und Berufsverbänden sind zu pflegen.

Anmerkungen des Rechnungsprüfers

A.6.1.5 Informationssicherheit im ProjektmanagementDie Informationssicherheit ist unabhängig von der Art des Projekts im Projektmanagement zu berücksichtigen.

Anmerkungen des Rechnungsprüfers

A.6.2.1 Richtlinie für mobile GeräteEs werden eine Richtlinie und unterstützende Sicherheitsmaßnahmen angenommen, um die durch die Verwendung mobiler Geräte eingeführten Risiken zu bewältigen.

Anmerkungen des Rechnungsprüfers

A.6.2.2 TelearbeitEs werden eine Richtlinie und unterstützende Sicherheitsmaßnahmen umgesetzt, um Informationen zu schützen, auf die an Telearbeitsplätzen zugegriffen wird, die dort verarbeitet oder gespeichert werden.

Anmerkungen des Rechnungsprüfers

A.7.1.1 Abschirmung"Die Überprüfung des Hintergrundes aller Bewerber für eine Anstellung wird in Übereinstimmung mit den einschlägigen Gesetzen, Vorschriften und ethischen Grundsätzen durchgeführt und ist proportional zu den geschäftlichen Anforderungen, der Einstufung der Informationen, auf die zugegriffen werden soll, und den wahrgenommenen Risiken.

Anmerkungen des Rechnungsprüfers

A.7.1.2 BeschäftigungsbedingungenIn den vertraglichen Vereinbarungen mit Mitarbeitern und Auftragnehmern sind ihre und die Verantwortung der Organisation für die Informationssicherheit festzulegen.

Anmerkungen des Rechnungsprüfers

A.7.2.1 Verantwortlichkeiten des ManagementsDas Management muss von allen Mitarbeitern und Auftragnehmern verlangen, dass sie die Informationssicherheit in Übereinstimmung mit den festgelegten Richtlinien und Verfahren der Organisation anwenden.

Anmerkungen des Rechnungsprüfers

A.7.2.2 "Bewusstsein, Ausbildung und Schulung im Bereich der Informationssicherheit".

Anmerkungen des Rechnungsprüfers

A.7.2.3 Disziplinarverfahren"Es muss ein formelles und kommuniziertes Disziplinarverfahren vorhanden sein, um gegen Mitarbeiter, die eine Verletzung der Informationssicherheit begangen haben, vorzugehen.

Anmerkungen des Rechnungsprüfers

A.7.3.1 Beendigung oder Änderung der ArbeitsverantwortungDie Verantwortlichkeiten und Pflichten im Bereich der Informationssicherheit, die auch nach Beendigung oder Änderung des Arbeitsverhältnisses gültig bleiben, sind zu definieren, dem Mitarbeiter oder Auftragnehmer mitzuteilen und durchzusetzen.

Anmerkungen des Rechnungsprüfers

A.8.1.1 Bestandsaufnahme der VermögenswerteDie mit den Informations- und Informationsverarbeitungseinrichtungen verbundenen Vermögenswerte sind zu identifizieren, und es ist ein Verzeichnis dieser Vermögenswerte zu erstellen und zu führen.

Anmerkungen des Rechnungsprüfers

A.8.1.2 Eigentum an VermögenswertenDie im Inventar geführten Vermögenswerte sind Eigentum.

Anmerkungen des Rechnungsprüfers

A.8.1.3 "Akzeptable Nutzung von Vermögenswerten".Regeln für die akzeptable Nutzung von Informationen und der mit Informationen und Informationsverarbeitungseinrichtungen verbundenen Vermögenswerte sind zu ermitteln, zu dokumentieren und umzusetzen.

Anmerkungen des Rechnungsprüfers

A.8.1.4 Rückgabe von VermögenswertenAlle Mitarbeiter und externen Nutzer müssen bei Beendigung ihres Arbeitsverhältnisses, Vertrags oder ihrer Vereinbarung alle in ihrem Besitz befindlichen Vermögenswerte der Organisation zurückgeben.

Anmerkungen des Rechnungsprüfers

A.8.2.1 Klassifizierung von Informationen"Informationen sind hinsichtlich der rechtlichen Anforderungen, des Wertes, der Kritikalität und der Empfindlichkeit gegenüber unbefugter Offenlegung oder Änderung zu klassifizieren.

Anmerkungen des Rechnungsprüfers

A.8.2.2 Kennzeichnung von InformationenEin geeigneter Satz von Verfahren zur Informationsetikettierung wird entwickelt und in Übereinstimmung mit dem von der Organisation angenommenen Informationsklassifizierungsschema umgesetzt.

Anmerkungen des Rechnungsprüfers

A.8.2.3 Handhabung von VermögenswertenDie Verfahren für den Umgang mit den Vermögenswerten werden in Übereinstimmung mit dem von der Organisation angenommenen Informationsklassifikationsschema entwickelt und umgesetzt.

Anmerkungen des Rechnungsprüfers

A.8.3.1 "Verwaltung von Wechselmedien".Es werden Verfahren für die Verwaltung von Wechselmedien in Übereinstimmung mit dem von der Organisation angenommenen Klassifizierungsschema implementiert.

Anmerkungen des Rechnungsprüfers

A.8.3.2 Entsorgung von MedienMedien werden sicher entsorgt, wenn sie nicht mehr benötigt werden, und zwar unter Anwendung formaler Verfahren.

Anmerkungen des Rechnungsprüfers

A.8.3.3 Physikalische MedienübertragungMedien, die Informationen enthalten, sind vor unbefugtem Zugriff, Missbrauch oder Korruption während der Beförderung zu schützen.

Anmerkungen des Rechnungsprüfers

A.9.1.1 Politik der ZugangskontrolleEine Zugangskontrollpolitik ist auf der Grundlage der Anforderungen an die Geschäfts- und Informationssicherheit festzulegen, zu dokumentieren und zu überprüfen.

Anmerkungen des Rechnungsprüfers

A.9.1.2 "Zugang zu Netzwerken und Netzwerkdiensten".Die Benutzer erhalten nur Zugang zu dem Netzwerk und den Netzwerkdiensten, zu deren Nutzung sie ausdrücklich autorisiert wurden.

Anmerkungen des Rechnungsprüfers

A.9.2.1 "Benutzeran- und -abmeldung"Ein formelles Verfahren für die An- und Abmeldung von Benutzern wird implementiert, um die Zuweisung von Zugriffsrechten zu ermöglichen.

Anmerkungen des Rechnungsprüfers

A.9.2.2 Bereitstellung des BenutzerzugriffsEs wird ein formaler Prozess zur Bereitstellung des Benutzerzugriffs implementiert, um Zugriffsrechte für alle Benutzertypen auf alle Systeme und Dienste zuzuweisen oder zu entziehen.

Anmerkungen des Rechnungsprüfers

A.9.2.3 "Verwaltung der privilegierten Zugriffsrechte".Die Zuteilung und Nutzung von privilegierten Zugangsrechten wird eingeschränkt und kontrolliert.

Anmerkungen des Rechnungsprüfers

A.9.2.4 "Verwaltung der geheimen Authentifizierungsinformationen der Benutzer".Die Zuteilung von geheimen Authentifizierungsinformationen wird durch einen formellen Verwaltungsprozess kontrolliert.

Anmerkungen des Rechnungsprüfers

A.9.2.5 Überprüfung der BenutzerzugriffsrechteDie Eigentümer der Vermögenswerte überprüfen die Zugriffsrechte der Benutzer in regelmäßigen Abständen.

Anmerkungen des Rechnungsprüfers

A.9.2.6 "Entfernung oder Anpassung von Zugriffsrechten".Die Zugriffsrechte aller Mitarbeiter und externen Nutzer auf Informationen und Informationsverarbeitungseinrichtungen werden bei Beendigung des Arbeitsverhältnisses, des Vertrags oder der Vereinbarung aufgehoben oder bei Änderungen angepasst.

Anmerkungen des Rechnungsprüfers

A.9.3.1 "Verwendung von geheimen Authentifizierungsinformationen""Die Benutzer sind verpflichtet, die Praktiken der Organisation bei der Verwendung von geheimen Authentifizierungsinformationen zu befolgen.

Anmerkungen des Rechnungsprüfers

A.9.4.1 "Beschränkung des Informationszugangs".Der Zugang zu Informationen und Anwendungssystemfunktionen wird gemäß der Zugangskontrollpolitik eingeschränkt.

Anmerkungen des Rechnungsprüfers

A.9.4.2 Sichere AnmeldeverfahrenWenn es die Zugangskontrollpolitik erfordert, wird der Zugang zu Systemen und Anwendungen durch ein sicheres Anmeldeverfahren kontrolliert.

Anmerkungen des Rechnungsprüfers

A.9.4.3 "System zur Verwaltung von Passwörtern".Passwortverwaltungssysteme müssen interaktiv sein und qualitativ hochwertige Passwörter gewährleisten.

Anmerkungen des Rechnungsprüfers

A.9.4.4 "Verwendung von privilegierten Hilfsprogrammen"Die Verwendung von Hilfsprogrammen, die in der Lage sein könnten, System- und Anwendungskontrollen zu übergehen, ist einzuschränken und streng zu kontrollieren.

Anmerkungen des Rechnungsprüfers

A.9.4.5 "Zugriffskontrolle auf den Programm-Quellcode"Der Zugriff auf den Programm-Quellcode ist zu beschränken.

Anmerkungen des Rechnungsprüfers

A.10.1.1 "Richtlinie für die Verwendung kryptographischer Kontrollen".Es wird eine Richtlinie über die Verwendung kryptographischer Kontrollen zum Schutz von Informationen entwickelt und implementiert.

Anmerkungen des Rechnungsprüfers

A.10.1.2 SchlüsselverwaltungEs wird eine Richtlinie über die Verwendung, den Schutz und die Lebensdauer von kryptographischen Schlüsseln entwickelt und über deren gesamten Lebenszyklus hinweg umgesetzt.

Anmerkungen des Rechnungsprüfers

A.11.1.1 Physischer SicherheitsumfangDie Sicherheitsumfänge sind festzulegen und zu verwenden, um Bereiche zu schützen, die entweder sensible oder kritische Informationen und Informationsverarbeitungseinrichtungen enthalten.

Anmerkungen des Rechnungsprüfers

A.11.1.2 Physische EinreisekontrollenDie Sicherheitsbereiche sind durch geeignete Zugangskontrollen zu schützen, um sicherzustellen, dass nur autorisiertem Personal der Zugang gestattet wird.

Anmerkungen des Rechnungsprüfers

A.11.1.3 "Sicherung von Büros, Räumen und Einrichtungen"."Die physische Sicherheit für Büros, Räume und Einrichtungen ist zu entwerfen und anzuwenden.

Anmerkungen des Rechnungsprüfers

A.11.1.4 "Schutz vor externen und ökologischen Bedrohungen"."Der physische Schutz gegen Naturkatastrophen, böswillige Angriffe oder Unfälle ist zu konzipieren und anzuwenden.

Anmerkungen des Rechnungsprüfers

A.11.1.5 "Arbeiten in sicheren Bereichen"."Es sind Verfahren für die Arbeit in sicheren Bereichen zu entwerfen und anzuwenden.

Anmerkungen des Rechnungsprüfers

A.11.1.6 "Anlieferungs- und Verladebereiche""Zugangspunkte wie Liefer- und Ladebereiche und andere Punkte, an denen Unbefugte das Gelände betreten könnten, sind zu kontrollieren und, wenn möglich, von den Einrichtungen zur Informationsverarbeitung zu isolieren, um unbefugten Zugang zu vermeiden.

Anmerkungen des Rechnungsprüfers

A.11.2.1 "Standortwahl und Schutz der Ausrüstung"Die Ausrüstung ist so zu platzieren und zu schützen, dass die Risiken von Umweltbedrohungen und -gefahren sowie die Möglichkeiten für unbefugten Zugang reduziert werden.

Anmerkungen des Rechnungsprüfers

A.11.2.2 Unterstützende Hilfsprogramme"Die Ausrüstung ist vor Stromausfällen und anderen Störungen zu schützen, die durch Ausfälle der unterstützenden Versorgungseinrichtungen verursacht werden.

Anmerkungen des Rechnungsprüfers

A.11.2.3 Sicherheit der Verkabelung"Strom- und Telekommunikationskabel, die Daten oder unterstützende Informationsdienste führen, sind vor Abhören, Störungen oder Schäden zu schützen.

Anmerkungen des Rechnungsprüfers

A.11.2.4 Wartung der AusrüstungDie Ausrüstung wird ordnungsgemäß gewartet, um ihre kontinuierliche Verfügbarkeit und Integrität zu gewährleisten.

Anmerkungen des Rechnungsprüfers

A.11.2.5 Entfernung von Vermögenswerten"Ausrüstung, Informationen oder Software dürfen nicht ohne vorherige Genehmigung von der Baustelle entfernt werden.

Anmerkungen des Rechnungsprüfers

A.11.2.6 "Sicherheit von Ausrüstung und Vermögenswerten außerhalb von Gebäuden".Die Sicherheit ist auf die außerhalb des Geländes befindlichen Vermögenswerte unter Berücksichtigung der verschiedenen Risiken bei der Arbeit außerhalb der Räumlichkeiten der Organisation anzuwenden.

Anmerkungen des Rechnungsprüfers

A.11.2.7 "Sichere Entsorgung oder Wiederverwendung von Geräten".Alle Ausrüstungsgegenstände, die Speichermedien enthalten, sind zu überprüfen, um sicherzustellen, dass alle sensiblen Daten und lizenzierte Software vor der Entsorgung oder Wiederverwendung entfernt oder sicher überschrieben wurden.

Anmerkungen des Rechnungsprüfers

A.11.2.8 "Unbeaufsichtigte Benutzerausrüstung"Die Benutzer müssen sicherstellen, dass unbeaufsichtigte Geräte angemessen geschützt sind.

Anmerkungen des Rechnungsprüfers

A.11.2.9 "Klarer Schreibtisch und klare Bildschirmrichtlinie".Es wird eine klare Schreibtischrichtlinie für Papiere und Wechseldatenträger und eine klare Bildschirmrichtlinie für Informationsverarbeitungseinrichtungen verabschiedet.

Anmerkungen des Rechnungsprüfers

A.12.1.1 "Dokumentierte Betriebsverfahren".Die Betriebsverfahren sind zu dokumentieren und allen Benutzern, die sie benötigen, zur Verfügung zu stellen.

Anmerkungen des Rechnungsprüfers

A.12.1.2 ÄnderungsmanagementÄnderungen an der Organisation, den Geschäftsprozessen, den Informationsverarbeitungseinrichtungen und -systemen, die die Informationssicherheit betreffen, sind zu kontrollieren.

Anmerkungen des Rechnungsprüfers

A.12.1.3 Verwaltung der KapazitätenDie Nutzung der Ressourcen ist zu überwachen, abzustimmen und Prognosen über den künftigen Kapazitätsbedarf zu erstellen, um die erforderliche Systemleistung zu gewährleisten.

Anmerkungen des Rechnungsprüfers

A.12.1.4 "Trennung von Entwicklungs-, Test- und Betriebsumgebungen".Entwicklungs-, Test- und Betriebsumgebung sind zu trennen, um die Risiken eines unbefugten Zugriffs oder von Änderungen der Betriebsumgebung zu verringern.

Anmerkungen des Rechnungsprüfers

A.12.2.1 Kontrollen gegen MalwareKontrollen zur Erkennung, Verhinderung und Wiederherstellung zum Schutz vor Malware sind zu implementieren, kombiniert mit einer angemessenen Sensibilisierung der Benutzer.

Anmerkungen des Rechnungsprüfers

A.12.3.1 Informationssicherung"Sicherungskopien von Informationen, Software und Systemabbildern sind zu erstellen und regelmäßig gemäß einer vereinbarten Sicherung zu testen.Politik".

Anmerkungen des Rechnungsprüfers

A.12.4.1 EreignisprotokollierungEreignisprotokolle, die Benutzeraktivitäten, Ausnahmen, Fehler und Ereignisse der Informationssicherheit aufzeichnen, sind zu erstellen, aufzubewahren und regelmäßig zu überprüfen.

Anmerkungen des Rechnungsprüfers

A.12.4.2 Schutz der Log-InformationenDie Protokollierungseinrichtungen und die Protokollinformationen sind vor Manipulation und unbefugtem Zugriff zu schützen.

Anmerkungen des Rechnungsprüfers

A.12.4.3 "Verwalter- und Betreiberprotokolle".Die Aktivitäten des Systemadministrators und des Systembetreibers sind zu protokollieren und die Protokolle sind zu schützen und regelmäßig zu überprüfen.

Anmerkungen des Rechnungsprüfers

A.12.4.4 UhrzeitsynchronisierungDie Uhren aller relevanten Informationsverarbeitungssysteme innerhalb einer Organisation oder Sicherheitsdomäne müssen mit einer einzigen Referenzzeitquelle synchronisiert werden.

Anmerkungen des Rechnungsprüfers

A.12.5.1 "Installation von Software auf Betriebssystemen".Es sind Verfahren zur Kontrolle der Installation von Software auf den Betriebssystemen zu implementieren.

Anmerkungen des Rechnungsprüfers

A.12.6.1 "Verwaltung technischer Schwachstellen".Informationen über technische Schwachstellen der verwendeten Informationssysteme sind rechtzeitig einzuholen, die Gefährdung der Organisation durch solche Schwachstellen ist zu bewerten und es sind geeignete Maßnahmen zu ergreifen, um dem damit verbundenen Risiko zu begegnen.

Anmerkungen des Rechnungsprüfers

A.12.6.2 "Einschränkungen bei der Software-Installation".Es werden Regeln für die Installation von Software durch die Benutzer aufgestellt und umgesetzt.

Anmerkungen des Rechnungsprüfers

A.12.7.1 "Kontrolle der Informationssysteme"."Audit-Anforderungen und Aktivitäten, die eine Überprüfung der operativen Systeme beinhalten, sind sorgfältig zu planen und zu vereinbaren, um Störungen der Geschäftsprozesse zu minimieren.

Anmerkungen des Rechnungsprüfers

A.13.1.1 Netzwerksteuerung"Netzwerke sollen verwaltet und kontrolliert werden, um Informationen in Systemen und Anwendungen zu schützen.

Anmerkungen des Rechnungsprüfers

A.13.1.2 "Sicherheit von Netzwerkdiensten".Die Sicherheitsmechanismen, Dienstniveaus und Managementanforderungen aller Netzdienste sind zu ermitteln und in die Vereinbarungen über Netzdienste aufzunehmen, unabhängig davon, ob diese Dienste intern oder extern erbracht werden.

Anmerkungen des Rechnungsprüfers

A.13.1.3 Segregation in Netzwerken"Gruppen von Informationsdiensten, Nutzern und Informationssystemen werden in Netzwerken getrennt.

Anmerkungen des Rechnungsprüfers

A.13.2.1 "Richtlinien und Verfahren zur Informationsübertragung".Es müssen formelle Übertragungsrichtlinien, -verfahren und -kontrollen vorhanden sein, um die Übertragung von Informationen durch die Nutzung aller Arten von Kommunikationseinrichtungen zu schützen.

Anmerkungen des Rechnungsprüfers

A.13.2.2 "Vereinbarungen über die Informationsweitergabe"Die Vereinbarungen müssen die sichere Übertragung von Geschäftsinformationen zwischen der Organisation und externen Parteien regeln.

Anmerkungen des Rechnungsprüfers

A.13.2.3 Elektronische Nachrichtenübermittlung"Informationen, die mit der elektronischen Nachrichtenübermittlung zu tun haben, müssen angemessen geschützt werden.

Anmerkungen des Rechnungsprüfers

A.13.2.4 "Vertraulichkeits- oder Geheimhaltungsvereinbarungen"Anforderungen an Vertraulichkeits- oder Geheimhaltungsvereinbarungen, die den Bedarf der Organisation an Informationsschutz widerspiegeln, müssen identifiziert, regelmäßig überprüft und dokumentiert werden.

Anmerkungen des Rechnungsprüfers

A.14.1.1 "Analyse und Spezifikation der Anforderungen an die Informationssicherheit".Die Anforderungen an die Informationssicherheit sind in die Anforderungen für neue Informationssysteme oder Verbesserungen bestehender Informationssysteme aufzunehmen.

Anmerkungen des Rechnungsprüfers

A.14.1.2 "Sicherung von Anwendungsdiensten in öffentlichen Netzwerken".Informationen, die mit Anwendungsdiensten zu tun haben, die über öffentliche Netzwerke laufen, sind vor betrügerischen Aktivitäten, Vertragsstreitigkeiten und unbefugter Offenlegung und Änderung zu schützen.

Anmerkungen des Rechnungsprüfers

A.14.1.3 "Schutz der Transaktionen von Anwendungsdiensten"."Informationen, die mit Transaktionen des Anwendungsdienstes zusammenhängen, sind zu schützen, um eine unvollständige Übertragung, eine falsche Weiterleitung, eine unbefugte Änderung der Nachricht, eine unbefugte Offenlegung, eine unbefugte Vervielfältigung oder Wiedergabe der Nachricht zu verhindern.

Anmerkungen des Rechnungsprüfers

A.14.2.1 "Sichere EntwicklungspolitikEs sollen Regeln für die Entwicklung von Software und Systemen aufgestellt und auf Entwicklungen innerhalb der Organisation angewendet werden.

Anmerkungen des Rechnungsprüfers

A.14.2.2 "Verfahren zur Kontrolle von Systemänderungen".Änderungen an Systemen innerhalb des Entwicklungslebenszyklus werden durch die Verwendung von formalen Änderungskontrollverfahren kontrolliert.

Anmerkungen des Rechnungsprüfers

A.14.2.3 Technische Überprüfung von Anwendungen nach Änderungen der BetriebsplattformBei einem Wechsel der Betriebsplattform sind geschäftskritische Anwendungen zu überprüfen und zu testen, um sicherzustellen, dass es keine nachteiligen Auswirkungen auf den Betrieb oder die Sicherheit der Organisation gibt.

Anmerkungen des Rechnungsprüfers

A.14.2.4 Einschränkungen für Änderungen an SoftwarepaketenVon Änderungen an Softwarepaketen ist abzuraten, sie sind auf notwendige Änderungen zu beschränken, und alle Änderungen sind streng zu kontrollieren.

Anmerkungen des Rechnungsprüfers

A.14.2.5 "Grundsätze der sicheren Systemtechnik".Die Grundsätze für die Entwicklung sicherer Systeme sind festzulegen, zu dokumentieren, zu pflegen und auf alle Bemühungen zur Implementierung von Informationssystemen anzuwenden.

Anmerkungen des Rechnungsprüfers

A.14.2.6 "Sichere Entwicklungsumgebung"Organisationen müssen sichere Entwicklungsumgebungen für die Systementwicklung und Integrationsbemühungen einrichten und angemessen schützen, die den gesamten Lebenszyklus der Systementwicklung abdecken.

Anmerkungen des Rechnungsprüfers

A.14.2.7 Ausgelagerte EntwicklungDie Organisation soll die Tätigkeit der ausgelagerten Systementwicklung beaufsichtigen und überwachen.

Anmerkungen des Rechnungsprüfers

A.14.2.8 Prüfung der SystemsicherheitDie Prüfung der Sicherheitsfunktionalität wird während der Entwicklung durchgeführt.

Anmerkungen des Rechnungsprüfers

A.14.2.9 "Prüfung der Systemakzeptanz".Für neue Informationssysteme, Upgrades und neue Versionen werden Akzeptanztestprogramme und damit verbundene Kriterien festgelegt.

Anmerkungen des Rechnungsprüfers

A.14.3.1 Schutz von TestdatenDie Testdaten sind sorgfältig auszuwählen, zu schützen und zu kontrollieren.

Anmerkungen des Rechnungsprüfers

A.15.1.1 "Informationssicherheitspolitik für Lieferantenbeziehungen".Die Anforderungen an die Informationssicherheit zur Minderung der Risiken, die mit dem Zugriff des Lieferanten auf die Vermögenswerte der Organisation verbunden sind, müssen mit dem Lieferanten vereinbart und dokumentiert werden.

Anmerkungen des Rechnungsprüfers

A.15.1.2 "Behandlung der Sicherheit innerhalb von Lieferantenvereinbarungen"Alle relevanten Anforderungen an die Informationssicherheit müssen festgelegt und mit jedem Lieferanten vereinbart werden, der auf die Informationen der Organisation zugreifen, sie verarbeiten, speichern, kommunizieren oder IT-Infrastrukturkomponenten dafür bereitstellen kann.

Anmerkungen des Rechnungsprüfers

A.15.1.3 "Informations- und Kommunikationstechnologie-Lieferkette".Die Vereinbarungen mit den Lieferanten enthalten Anforderungen, um die mit den Informations- und Kommunikationstechnologie-Dienstleistungen und der Produktlieferkette verbundenen Informationssicherheitsrisiken anzugehen.

Anmerkungen des Rechnungsprüfers

A.15.2.1 "Überwachung und Überprüfung der Dienstleistungen von Lieferanten".Die Organisationen müssen die Erbringung der Dienstleistungen von Lieferanten regelmäßig überwachen, überprüfen und auditieren.

Anmerkungen des Rechnungsprüfers

A.15.2.2 "Verwaltung von Änderungen an den Dienstleistungen von Lieferanten".Änderungen bei der Erbringung von Dienstleistungen durch die Anbieter, einschließlich der Aufrechterhaltung und Verbesserung der bestehenden Informationssicherheitsrichtlinien, -verfahren und -kontrollen, sind unter Berücksichtigung der Kritikalität der beteiligten Geschäftsinformationen, -systeme und -prozesse und der Neubewertung von Risiken zu verwalten.

Anmerkungen des Rechnungsprüfers

A.16.1.1 "Verantwortlichkeiten und Verfahren"Es werden Managementverantwortlichkeiten und -verfahren festgelegt, um eine schnelle, wirksame und geordnete Reaktion auf Vorfälle der Informationssicherheit zu gewährleisten.

Anmerkungen des Rechnungsprüfers

A.16.1.2 "Meldung von Ereignissen der Informationssicherheit".Ereignisse im Bereich der Informationssicherheit sind so schnell wie möglich über geeignete Managementkanäle zu melden.

Anmerkungen des Rechnungsprüfers

A.16.1.3 "Meldung von Schwachstellen der Informationssicherheit"."Mitarbeiter und Auftragnehmer, die die Informationssysteme und -dienste der Organisation nutzen, sind verpflichtet, alle beobachteten oder vermuteten Informationssicherheitsschwächen in den Systemen oder Diensten zu beachten und zu melden.

Anmerkungen des Rechnungsprüfers

A.16.1.4 "Bewertung von und Entscheidung über Ereignisse der Informationssicherheit".Informationssicherheitsereignisse sind zu bewerten, und es ist zu entscheiden, ob sie als Informationssicherheitsvorfälle einzustufen sind.

Anmerkungen des Rechnungsprüfers

A.16.1.5 "Reaktion auf Vorfälle der Informationssicherheit".Auf Informationssicherheitsvorfälle ist gemäß den dokumentierten Verfahren zu reagieren.

Anmerkungen des Rechnungsprüfers

A.16.1.6 Aus Informationssicherheitsvorfällen lernenDie aus der Analyse und Lösung von Informationssicherheitsvorfällen gewonnenen Erkenntnisse sollen dazu dienen, die Wahrscheinlichkeit oder die Auswirkungen künftiger Vorfälle zu verringern.

Anmerkungen des Rechnungsprüfers

A.16.1.7 Sammlung von BeweisenDie Organisation soll Verfahren für die Identifizierung, Sammlung, Beschaffung und Bewahrung von Informationen, die als Beweismittel dienen können, definieren und anwenden.

Anmerkungen des Rechnungsprüfers

A.17.1.1 Planung der Kontinuität der InformationssicherheitDie Organisation muss ihre Anforderungen an die Informationssicherheit und die Kontinuität des Informationssicherheitsmanagements in widrigen Situationen, z.B. während einer Krise oder Katastrophe, festlegen.

Anmerkungen des Rechnungsprüfers

A.17.1.2 "Implementierung der Kontinuität der InformationssicherheitDie Organisation muss Prozesse, Verfahren und Kontrollen einführen, dokumentieren, implementieren und aufrechterhalten, um das erforderliche Maß an Kontinuität für die Informationssicherheit während einer ungünstigen Situation zu gewährleisten.

Anmerkungen des Rechnungsprüfers

A.17.1.3 "Verifizierung, Überprüfung und Bewertung der Kontinuität der Informationssicherheit".Die Organisation muss die etablierten und implementierten Kontrollen der Kontinuität der Informationssicherheit in regelmäßigen Abständen überprüfen, um sicherzustellen, dass sie in ungünstigen Situationen gültig und wirksam sind.

Anmerkungen des Rechnungsprüfers

A.17.2.1 "Verfügbarkeit von Einrichtungen zur Informationsverarbeitung".Die Informationsverarbeitungseinrichtungen sind mit einer ausreichenden Redundanz zu implementieren, um die Verfügbarkeitsanforderungen zu erfüllen.

Anmerkungen des Rechnungsprüfers

A.18.1.1 "Identifizierung der anwendbaren Gesetzgebung und der vertraglichen Anforderungen"."Alle relevanten gesetzlichen, behördlichen und vertraglichen Anforderungen und der Ansatz der Organisation zur Erfüllung dieser Anforderungen müssen für jedes Informationssystem und die Organisation explizit identifiziert, dokumentiert und auf dem neuesten Stand gehalten werden.

Anmerkungen des Rechnungsprüfers

A.18.1.2 "Rechte an geistigem Eigentum"."Es werden geeignete Verfahren eingeführt, um die Einhaltung der gesetzlichen, behördlichen und vertraglichen Anforderungen in Bezug auf die Rechte an geistigem Eigentum und die Nutzung proprietärer Softwareprodukte zu gewährleisten.

Anmerkungen des Rechnungsprüfers

A.18.1.3 Schutz von AufzeichnungenDie Aufzeichnungen sind vor Verlust, Zerstörung, Verfälschung, unbefugtem Zugriff und unbefugter Freigabe zu schützen, in Übereinstimmung mit den gesetzlichen, behördlichen, vertraglichen und geschäftlichen Anforderungen.

Anmerkungen des Rechnungsprüfers

A.18.1.4 Datenschutz und Schutz personenbezogener DatenDie Privatsphäre und der Schutz personenbezogener Daten werden, wie in den einschlägigen Gesetzen und Vorschriften, soweit anwendbar, gefordert, gewährleistet.

Anmerkungen des Rechnungsprüfers

A.18.1.5 "Regelung der kryptographischen Kontrollen".Kryptographische Kontrollen sind in Übereinstimmung mit allen relevanten Vereinbarungen, Gesetzen und Vorschriften zu verwenden.

Anmerkungen des Rechnungsprüfers

A.18.2.1 "Unabhängige Überprüfung der Informationssicherheit"."Der Ansatz der Organisation für das Management der Informationssicherheit und ihre Umsetzung (d.h. Kontrollziele, Kontrollen, Richtlinien, Prozesse und Verfahren für die Informationssicherheit) sind in geplanten Abständen oder bei wesentlichen Änderungen unabhängig zu überprüfen.auftreten".

Anmerkungen des Rechnungsprüfers

A18.2.2 Einhaltung von Sicherheitsrichtlinien und -standardsDie Manager müssen regelmäßig die Übereinstimmung der Informationsverarbeitung und der Verfahren in ihrem Verantwortungsbereich mit den entsprechenden Sicherheitsrichtlinien, -standards und anderen Sicherheitsanforderungen überprüfen.

Anmerkungen des Rechnungsprüfers

A18.2.3 Überprüfung der technischen KonformitätInformationssysteme sind regelmäßig auf die Einhaltung der Informationssicherheitsrichtlinien und -standards der Organisation zu überprüfen.

Anmerkungen des Rechnungsprüfers

Ergebnisse erhoben

Nicht-Konformität ROT

Nicht-Konformität AMBER

Beobachtung ROT

Beobachtung AMBER

Beobachtung GRÜN

Empfehlung GRÜN

Gesamtzahl der Feststellungen in Anhang A Kontrollziele und Kontrollen

Abschlusssitzung

Anmerkungen zur Abschlusssitzung

Positiv

Zusammenfassung der Gesamtprüfung

Ergebnisse erhoben

Nicht-Konformität ROT

Nicht-Konformität AMBER

Beobachtung ROT

Beobachtung AMBER

Beobachtung GRÜN

Rückmeldung GRÜN

Audit-Abstimmung

Audit-Team abmelden

Leitender Revisor

Unterstützen Sie den Auditor

Auditor in Ausbildung

Funktionaler Eigentümer

Geprüftes Team

Signatur hinzufügen