| ISO 27001 Annex A Kontrollen
|
Status
|
| 5
|
Organisatorische Kontrollen
|
|
| 5.1
|
Informationssicherheitsrichtlinien
|
ungeprüft
|
| 5.2
|
Informationssicherheitsrollen und - verantwortlichkeiten
|
ungeprüft
|
| 5.3
|
Aufgabentrennung
|
ungeprüft
|
| 5.4
|
Verantwortlichkeiten der Leitung
|
ungeprüft
|
| 5.5
|
Kontakt mit Behörden
|
ungeprüft
|
| 5.6
|
Kontakt mit speziellen Interessensgruppen
|
ungeprüft
|
| 5.7
|
Bedrohungsintelligenz
|
ungeprüft
|
| 5.8
|
Informationssicherheit im Projektmanagement
|
ungeprüft
|
| 5.9
|
Inventar der Informationen und anderen damit verbundenen Werten
|
ungeprüft
|
| 5.10
|
Zulässiger Gebrauch von Informationen und anderen damit verbundenen Werten
|
ungeprüft
|
| 5.11
|
Rückgabe von Werten
|
ungeprüft
|
| 5.12
|
Klassifizierung von Information
|
ungeprüft
|
| 5.13
|
Kennzeichnung von Information
|
ungeprüft
|
| 5.14
|
Informationsübertragung
|
ungeprüft
|
| 5.15
|
Zugangssteuerung
|
ungeprüft
|
| 5.16
|
Identitätsmanagement
|
ungeprüft
|
| 5.17
|
Informationen zur Authentifizierung
|
ungeprüft
|
| 5.18
|
Zugangsrechte
|
ungeprüft
|
| 5.19
|
Informationssicherheit in Lieferantenbeziehungen
|
ungeprüft
|
| 5.20
|
Behandlung von Informationssicherheit in Lieferantenvereinbarungen
|
ungeprüft
|
| 5.21
|
Umgang mit der Informationssicherheit in der IKT-Lieferkette
|
ungeprüft
|
| 5.22
|
Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
|
ungeprüft
|
| 5.23
|
Informationssicherheit bei der Nutzung von Cloud-Diensten
|
ungeprüft
|
| 5.24
|
Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfäl len
|
ungeprüft
|
| 5.25
|
Beurteilung und Entscheidung über Informationssicherheitsereignisse
|
ungeprüft
|
| 5.26
|
Reaktion auf Informationssicherheitsvorfälle
|
ungeprüft
|
| 5.27
|
Erkenntnisse aus Informationssicherheitsvorfällen
|
ungeprüft
|
| 5.28
|
Sammeln von Beweismaterial
|
ungeprüft
|
| 5.29
|
Informationssicherheit bei Störungen
|
ungeprüft
|
| 5.30
|
IKT-Bereitschaft für Business Continuity
|
ungeprüft
|
| 5.31
|
Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen
|
ungeprüft
|
| 5.32
|
Geistige Eigentumsrechte
|
ungeprüft
|
| 5.33
|
Schutz von Aufzeichnungen
|
ungeprüft
|
| 5.34
|
Datenschutz und Schutz personenbezogener Daten (pbD)
|
ungeprüft
|
| 5.35
|
Unabhängige Überprüfung der Informationssicherheit
|
ungeprüft
|
| 5.36
|
Einhaltung von Richtlinien, Vorschriften und Normen für die Informationssicherheit
|
ungeprüft
|
| 5.37
|
Dokumentierte Betriebsabläufe
|
ungeprüft
|
| 6
|
Personenbezogene Maßnahmen
|
|
| 6.1
|
Sicherheitsüberprüfung
|
ungeprüft
|
| 6.2
|
Beschäftigungs- und Vertragsbedingungent
|
ungeprüft
|
| 6.3
|
Informationssicherheitsbewusstsein, -ausbildung und -schulung
|
ungeprüft
|
| 6.4
|
Maßregelungsprozess
|
ungeprüft
|
| 6.5
|
Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung
|
ungeprüft
|
| 6.6
|
Vertraulichkeits- oder Geheimhaltungsvereinbarungen
|
ungeprüft
|
| 6.7
|
Telearbeit
|
ungeprüft
|
| 6.8
|
Meldung von Informationssicherheitsereignissen
|
ungeprüft
|
| 7
|
Physische Maßnahmen
|
|
| 7.1
|
Physische Sicherheitsperimeter
|
ungeprüft
|
| 7.2
|
Physischer Zutritt
|
ungeprüft
|
| 7.3
|
Sichern von Büros, Räumen und Einrichtungen
|
ungeprüft
|
| 7.4
|
Physische Sicherheitsüberwachung
|
ungeprüft
|
| 7.5
|
Schutz vor physischen und umweltbedingten Bedrohungen
|
ungeprüft
|
| 7.6
|
Arbeiten in Sicherheitsbereichen
|
ungeprüft
|
| 7.7
|
Aufgeräumte Arbeitsumgebung und Bildschirmsperren
|
ungeprüft
|
| 7.8
|
Platzierung und Schutz von Geräten und Betriebsmitteln
|
ungeprüft
|
| 7.9
|
Sicherheit von Werten außerhalb der Räumlichkeiten
|
ungeprüft
|
| 7.10
|
Speichermedien
|
ungeprüft
|
| 7.11
|
Versorgungseinrichtungen
|
ungeprüft
|
| 7.12
|
Sicherheit der Verkabelung
|
ungeprüft
|
| 7.13
|
Instandhaltung von Geräten und Betriebsmitteln
|
ungeprüft
|
| 7.14
|
Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln
|
ungeprüft
|
| 8
|
Technologische Kontrollen (Technological controls)
|
|
| 8.1
|
Endpunktgeräte des Benutzer
|
ungeprüft
|
| 8.2
|
Privilegierte Zugangsrechte
|
ungeprüft
|
| 8.3
|
Informationszugangsbeschränkung
|
ungeprüft
|
| 8.4
|
Zugriff auf den Quellcode
|
ungeprüft
|
| 8.5
|
Sichere Authentifizierung
|
ungeprüft
|
| 8.6
|
Kapazitätssteuerung
|
ungeprüft
|
| 8.7
|
Schutz gegen Schadsoftware
|
ungeprüft
|
| 8.8
|
Handhabung von technischen Schwachstellen
|
ungeprüft
|
| 8.9
|
Konfigurationsmanagement
|
ungeprüft
|
| 8.10
|
Löschung von Informationen
|
ungeprüft
|
| 8.11
|
Datenmaskierung
|
ungeprüft
|
| 8.12
|
Verhinderung von Datenlecks
|
ungeprüft
|
| 8.13
|
Sicherung von Information
|
ungeprüft
|
| 8.14
|
Redundanz von informationsverarbeitenden Einrichtungen
|
ungeprüft
|
| 8.15
|
Protokollierung
|
ungeprüft
|
| 8.16
|
Überwachung von Aktivitäten
|
ungeprüft
|
| 8.17
|
Uhrensynchronisation
|
ungeprüft
|
| 8.18
|
Gebrauch von Hilfsprogrammen mit privilegierten Rechten
|
ungeprüft
|
| 8.19
|
Installation von Software auf Systemen im Betrieb
|
ungeprüft
|
| 8.20
|
Netzwerksicherheit
|
ungeprüft
|
| 8.21
|
Sicherheit von Netzwerkdiensten
|
ungeprüft
|
| 8.22
|
Trennung von Netzwerken
|
ungeprüft
|
| 8.23
|
Webfilterung
|
ungeprüft
|
| 8.24
|
Verwendung von Kryptographie
|
ungeprüft
|
| 8.25
|
Lebenszyklus einer sicheren Entwicklung
|
ungeprüft
|
| 8.26
|
Anforderungen an die Anwendungssicherheit
|
ungeprüft
|
| 8.27
|
Sichere Systemarchitektur und technische Grundsätze
|
ungeprüft
|
| 8.28
|
Sicheres Coding
|
ungeprüft
|
| 8.29
|
Sicherheitsprüfung in Entwicklung und Abnahme
|
ungeprüft
|
| 8.30
|
Ausgegliederte Entwicklung
|
ungeprüft
|
| 8.31
|
Trennung von Entwicklungs-, Prüf- und Produktionsumgebungen
|
ungeprüft
|
| 8.32
|
Change management
|
ungeprüft
|
| 8.33
|
Änderungssteuerung
|
ungeprüft
|
| 8.34
|
Schutz der Informationssysteme während der Überwachungsprüfung
|
ungeprüft
|
