| Maßnahme aus ISO 27001 Annex A |
Anwendung* |
Begründung für Anwendung oder Ausschluss* |
| A.5.1.1 |
Ja |
Rollenspezifische Leitfäden ermöglichen ein effektives Zusammenspiel aller an der Sicherstellung der Informationssicherheit beteiligten Mitarbeiter und Externen. |
| A.5.1.2 |
Ja |
Regelmäßige Updates der Leitfäden sorgen dafür, dass neueste Entwicklungen und Aufgaben enthalten sind und die Leitfäden nach wie vor effektiv und angemessen sind. |
| A.6.1.1 |
Ja |
Rollenzuweisungen helfen uns festzulegen, wer in welchen Situationen welche Verantwortlichkeiten bezüglich Informationssicherheitsmaßnahmen hat. |
| A.6.1.2 |
Ja |
Aufgabentrennung setzen wir soweit möglich um, um dafür zu sorgen, dass ein System von gegenseitiger Absicherung bei sicherheitskritischen Aufgaben entsteht. Sie endet allerdings dort, wo sie zu Inflexibilität führt und mit der vorhandenen Personaldecke nicht geleistet werden kann. |
| A.6.1.3 |
Ja |
Kontakte zu relevanten Behörden versorgen uns frühzeitig mit Informationen zu Schwachstellen, Gefahren und gesetzgeberischen Entwicklungen, die für Informationssicherheit relevant sein könnten. |
| A.6.1.4 |
Ja |
Kontakte zu relevanten Interessenvereinigungen versorgen uns frühzeitig mit Informationen zu Schwachstellen, Gefahren und anderen Entwicklungen, die für Informationssicherheit relevant sein könnten. |
| A.6.1.5 |
Ja |
Dadurch, dass wir geplant Informationssicherheitsanforderungen in unseren Projekten betrachten, können wir diese gezielt und frühzeitig einsteuern und umsetzen. |
| A.6.2.1 |
Ja |
Mobilgeräte stellen ein leicht zu nutzendes Einfallstor für Angriffe und Sicherheitslücken dar. Daher regeln wir, wie sie eingesetzt werden dürfen und wie nicht. |
| A.6.2.2 |
Ja |
Ähnlich wie Mobilgeräte sind Telearbeitsplätze nicht vollends “kontrollierbar” und können ein Einfallstor für Angriffe und Sicherheitslücken sein. Daher regeln wir, wie in Telearbeit gearbeitet werden soll, um Sicherheit zu schaffen. |
| A.7.1.1 |
Ja |
Wir sind darauf angewiesen, dass wir nur Mitarbeiter einstellen, die in der Lage sind, unsere Sicherheitsanforderungen einzuhalten. Daher überprüfen wir genau, wen wir einstellen (oder als Freiberufler für uns arbeiten lassen). |
| A.7.1.2 |
Ja |
Vereinbarungen zur Informationssicherheit, die Mitarbeiter einhalten müssen, sind nur dann verlässlich einhaltbar, wenn alle Seiten zu jeder Zeit Einblick nehmen können in das, worauf man sich geeinigt hat. Daher setzen wir hier auf vertragliche Regelungen. |
| A.7.2.1 |
Ja |
Informationssicherheit wird nur dann ernst genommen, wenn die Geschäftsführung dahintersteht und die Einhaltung auch nachhaltig einfordert. Daher ist die Geschäftsführung bei uns in der Pflicht. |
| A.7.2.2 |
Ja |
Um sicherzustellen, dass unsere Mitarbeiter Informationssicherheit auch umsetzen können, setzen wir auf Schulungen in diesem Bereich und entwickeln jeden Mitarbeiter so weiter, dass er die an ihn gestellten Aufgaben bzgl. der Informationssicherheit auf sicher erfüllen kann. |
| A.7.2.3 |
Ja |
Wenn Mitarbeiter ihren Pflichten in der Informationssicherheit nicht nachkommen, ist uns das nicht egal. Wir reden dann darüber und weisen darauf hin. Das sorgt dafür, dass die Wichtigkeit des Themas erkannt wird. |
| A.7.3.1 |
Ja |
Da wir wissen, dass Informationssicherheit am Ende der Beschäftigung von Mitarbeitern nicht einfach aufhört. sorgen wir dafür, dass wir die über das Arbeitszeitende hinaus bestehenden Pflichten ebenfalls regeln. |
| A.8.1.1 |
Ja |
Geräte (und andere Assets) können nur dann sicher betrieben werden, wenn sie erfasst sind. |
| A.8.1.2 |
Ja |
Die Absicherung von Geräten (und anderen Assets) ist nur möglich, wenn sich für jedes Asset jemand verantwortlich fühlt. Daher stellen wir dies sicher. |
| A.8.1.3 |
Ja |
Die Absicherung von Geräten (und anderen Assets) ist nur möglich, wenn für jedes Gerät klar ist, welcher Gebrauch zulässig – d.h. “sicher” ist. Daher stellen wir sicher, dass Assets nur sicher verwendet werden. |
| A.8.1.4 |
Ja |
Damit Geräte nicht unbeaufsichtigt sind, wenn der für sie verantwortliche Mitarbeiter das Unternehmen verlässt, gibt es Pflicht zur geregelten Rückgabe. |
| A.8.2.1 |
Ja |
Unterschiedliche Informationsarten sind unterschiedlich kritisch. Daher haben wir die Informationsarten klassifiziert, die bei uns schutzbedürftig sind. |
| A.8.2.2 |
Ja |
Damit jedem schnell klar ist, welche Informationen wie klassifiziert sind, sind diese gekennzeichnet. |
| A.8.2.3 |
Ja |
Damit Geräte (und anderen Assets) so behandelt werden, wie dies vorgesehen ist (und durch unsachgemäßen Gebrauch nicht unabsichtlich die Informationssicherheit gefährdet ist), gibt es für alle wichtigen Geräte Regeln, wie diese genutzt werden dürfen. |
| A.8.3.1 |
Ja |
Wechseldatenträger können schnell verloren gehen. Daher haben wir geregelt, wie und unter welchen Bedingungen sie eingesetzt werden dürfen. |
| A.8.3.2 |
Ja |
Wenn Datenträger entsorgt werden, können noch kritische Informationen auf ihnen gespeichert sein. Daher haben wir geregelt, wie eine sichere Entsorgung zu geschehen hat. |
| A.8.3.3 |
Ja |
Wenn kritische Informationen auf transportablen Datenträgern gespeichert sind, ist das Risiko höher, dass diese kompromittiert werden als auf nicht-transportablen Datenträgern. Daher haben wir den Transport strikt geregelt. |
| A.9.1.1 |
Ja |
Eine Zugangssteuerungsrichtlinie regelt bei uns, wer aus welchem Grund auf welche Geräte und Informationen Zugriff erhalten kann. Damit stellen wir sicher, dass Zugriff auf Geräte und Informationen nicht willkürlich geschieht. |
| A.9.1.2 |
Ja |
Wir sichern den Zugriff auf unsere Netze ab, damit Informationen, die in diesen fließen, nicht kompromittiert werden oder die Netzwerke selbst durch zu viel Last unsere Verfügbarkeitsanforderungen nicht halten können. |
| A.9.2.1 |
Ja |
Damit Benutzer korrekt und sauber angelegt und wieder gelöscht werden, haben wir einen Prozess, mit dessen Hilfe wir Benutzer registrieren oder deregistrieren. |
| A.9.2.2 |
Ja |
Damit registrierte Benutzer korrekt und sauber Rechte erhalten, haben wir einen Prozess, mit dessen Hilfe wir Rechte an Benutzer vergeben und entziehen. |
| A.9.2.3 |
Ja |
Damit nicht absichtlich oder unabsichtlich durch privilegierte Zugänge (Admin-Accounts) die Informationssicherheit kompromittiert wird, schränken wir solche Zugänge ein auf diejenigen Personen, die sie benötigen. |
| A.9.2.4 |
Ja |
Wir teilen geheime Authentisierungsinformationen (Passwörter u. dgl.) über einen geregelten Prozess zu, damit sichergestellt ist, dass sie während der Zuteilung auch geheim bleiben. |
| A.9.2.5 |
Ja |
Alle Mitarbeiter, die bei uns für Geräte (und andere Assets) zuständig sind, überprüfen regelmäßig, ob die gewährten Zugangsrechte noch erforderlich sind. So stellen wir sicher, dass Unbefugte keinen Zugriff mehr haben. |
| A.9.2.6 |
Ja |
Wenn Mitarbeiter (oder Freelancer, die für uns arbeiten), ihren Aufgabenbereich wechseln oder uns verlassen, passen wir ihre Zugangsrechte an oder löschen diese, damit sie nicht unbefugt Zugriff zu schutzwürdigen Informationen haben. |
| A.9.3.1 |
Ja |
Wir verpflichten alle Benutzer, ihre Zugangsdaten geheim zu halten, damit nicht Unbefugte diese nutzen können und damit Zugriff auf schutzwürdige Informationen haben. |
| A.9.4.1 |
Ja |
Wir beschränken nach dem Need-to-know-Prinzip den Zugang zu Informationen auf diejenigen Mitarbeiter, die zur Ausübung ihrer Tätigkeit zu diesen Informationen Zugang haben müssen – alle anderen bekommen keinen Zugang. Damit stellen wir so gut wie möglich sicher, dass niemand, der eigentlich keinen Zugriff zu schutzwürdigen Informationen braucht, diese unabsichtlich oder absichtlich unsicher behandelt. |
| A.9.4.2 |
Ja |
Damit geheime Authentisierungsinformationen nicht nach deren Eingabe in Informationssysteme kompromittiert werden, nutzen wir ausschließlich sichere Anmeldeverfahren, in denen die Authentisierungsinformationen sicher transportiert werden. |
| A.9.4.3 |
Ja |
Damit Passworte nicht erraten oder per brute force ausgespäht werden können, stellen wir über systemseitige und organisatorische Richtlinien sicher, dass diese sicher sind (lang genug, komplex genug). |
| A.9.4.4 |
Ja |
Wir schränken die Verwendung von privilegierten Hilfsprogrammen („Ausführen als…“) so stark wie möglich ein, denn diese Programme können ein Einfallstor für Angriffe sein, wenn Schadsoftware plötzlich mit Admin-Rechten arbeiten kann. |
| A.9.4.5 |
Ja |
Unser Sourcecode-Repository ist ebenfalls ein System, auf das wir nur gem. unserer Zugangssteuerungsrichtlinie Zugriff gewähren, damit keine Unbefugten Sourcecode zweckentfremden oder verändern können. |
| A.10.1.1 |
Ja |
Wir haben eine Richtlinie, nach der wir Informationen verschlüsseln – sowohl bei der Speicherung als auch beim Versand. Darüber stellen wir sicher, dass wir kritische Informationen geeignet gegen Ausspähen schützen. |
| A.10.1.2 |
Ja |
Wir haben eine Richtlinie für den Gebrauch von kryptographischen Schlüsseln, denn verschlüsselte und authentifizierte Informationen sind nur so sicher wie die Aufbewahrung und Verwendung ihrer Schlüssel. |
| A.11.1.1 |
Ja |
Wir haben bei uns physische Sicherheitszonen definiert, in denen bestimmte Regelungen zur Informationssicherheit gelten. So sorgen wir dafür, dass sicherheitskritische Informationen in unseren Räumlichkeiten nicht kompromittiert werden können. |
| A.11.1.2 |
Ja |
Wir sorgen dafür, dass unsere Sicherheitszonen so geschützt sind, dass man nicht einfach unbefugt in sie eindringen kann. Auf diese Weise verbessern wir die Sicherheit der Informationen und Geräte in den Zonen. |
| A.11.1.3 |
Ja |
Wir schützen unsere Büros, Räume und Einrichtungen, damit hier keine schützenswerten Informationen kompromittiert werden können. |
| A.11.1.4 |
Ja |
Wir kümmern uns um einen angemessenen Schutz vor Naturkatastrophen, bösartigen Angriffen und Überfällen, damit wir durch diese Vorkommnisse keine schützenswerten Informationen verlieren. |
| A.11.1.5 |
Ja |
Wir haben Vorgehensweisen etabliert, die für Arbeiten in Sicherheitsbereichen zur Anwendung kommen, damit wir hier nicht unabsichtlich die Sicherheit von schutzbedürftigen Informationen kompromittieren. |
| A.11.1.6 |
Ja |
Wir haben Zutrittsstellen zu unseren Räumlichkeiten definiert und überwachen diese, damit keine Unbefugten an diesen Stellen eindringen können und die Informationssicherheit kompromittieren können. |
| A.11.2.1 |
Ja |
Damit wichtige Geräte und andere Betriebsmittel nicht ausfallen, sorgen wir dafür, dass sie sicher aufgestellt sind. |
| A.11.2.2 |
Ja |
Versorgungsleitungen (Strom, Wasser etc.) konzipieren und schützen wir so, dass Ausfälle und Leckagen möglichst nicht passieren oder wenn doch, dass diese dann die Sicherheit der schutzbedürftigen Informationen nicht kompromittieren. |
| A.11.2.3 |
Ja |
Datenübertragungsleitungen schützen wir, um sicherzustellen, dass diese nicht unterbrochen oder angezapft werden und somit schutzbedürftige Informationen nicht kompromittiert werden. |
| A.11.2.4 |
Ja |
Damit Geräte, die für die Informationssicherheit wichtig sind, nicht ausfallen, sorgen wir dafür, dass diese gem. der vorgesehenen Intervalle fachkundig gewartet werden. |
| A.11.2.5 |
Ja |
Wer Geräte oder andere Assets von ihren vorgesehenen Orten entfernen will, muss dies vorab absprechen. So stellen wir sicher, dass wir immer wissen, wo wichtige Geräte sich aufhalten und erkennen ihren Verlust frühzeitig, so dass wir reagieren können. |
| A.11.2.6 |
Ja |
Wenn Geräte entfernt werden (und außerhalb ihres eigentlichen Standorts betrieben werden), haben wir Regeln, die festlegen, wie sie gesichert werden müssen, damit schutzbedürftige Informationen, die mit ihnen verarbeitet werden, nicht kompromittiert werden. |
| A.11.2.7 |
Ja |
Geräte, die Speichermedien enthalten, löschen wir, bevor wir sie entsorgen oder recyclen. Dadurch stellen wir sicher, dass keine schutzbedürftigen Informationen (inkl. urheberrechtlich geschützt) auf ihnen gespeichert sind. |
| A.11.2.8 |
Ja |
Damit Unbefugte nicht Zugriff zu unbeaufsichtigten, für die Informationssicherheit wichtigen Geräten nehmen können, schützen wir solche Geräte, wenn sie nicht durch Mitarbeiter beobachtet werden, auf angemessene Weise: Durch Wegschluss, durch Sperren und durch andere angemessene Maßnahmen. |
| A.11.2.9 |
Ja |
Damit schutzbedürftige Informationen nicht bei Mitarbeitern kompromittiert werden können, gilt bei uns eine “Clean Desk Policy”. |
| A.12.1.1 |
Ja |
Wenn Informationssicherheit davon abhängt, dass Bedienabläufe an Geräten oder Systemen genau eingehalten werden, dann dokumentieren wir diese Bedienabläufe. |
| A.12.1.2 |
Ja |
Wir sorgen dafür, dass wichtige Prozesse, Informationssysteme o.ä. nicht “mal eben so” geändert werden, weil dies die Informationssicherheit gefährden kann. |
| A.12.1.3 |
Ja |
Wenn die Auslastung bestimmter Ressourcen (Systeme, Mitarbeiter) wichtig für die Informationssicherheit sind, so monitoren wir diese, um frühzeitig Trends zu Überlastungen erkennen und diesen entgegen wirken zu können. |
| A.12.1.4 |
Ja |
Wir trennen Entwicklungs-, Staging- und Produktivsysteme bewusst, damit nicht Änderungen an dem einen unvermutete Konsequenzen auf die Informationssicherheit der jeweils anderen haben können. |
| A.12.2.1 |
Ja |
Wir setzen auf allen Systemen, auf denen dies angemessen möglich ist, Maßnahmen gegen Schadsoftware um, damit die Systeme gegen böswillige Angriffe gehärtet sind und die Informationssicherheit aufrechterhalten können. |
| A.12.3.1 |
Ja |
Damit wichtige Informationen nicht verloren gehen, haben wir eine Backuprichtlinie für alle Informationen, deren Verfügbarkeit schutzbedürftig ist. |
| A.12.4.1 |
Ja |
Um entweder im Vorfeld oder forensisch auswerten zu können, welche Ereignisse auf unsere Systeme einwirken, loggen wir alle wichtigen Ereignisse. |
| A.12.4.2 |
Ja |
Die Log-Informationen werden wiederum gesichert, damit diese nicht bewusst oder unbewusst verfälscht, gelöscht oder offengelegt werden können. |
| A.12.4.3 |
Ja |
Dasselbe gilt auch für die Log-Informationen, die sich aus Admintätigkeiten ergeben. |
| A.12.4.4 |
Ja |
Um Log-Informationen zur Analyse korrekt verwenden zu können, synchronisieren wir die Uhren aller Systeme, die Log-Informationen erzeugen. |
| A.12.5.1 |
Ja |
Damit kritische Informationssysteme nicht unvermittelt ausfallen oder nicht so arbeiten wie benötigt, sorgen wir dafür, dass auf ihnen nicht einfach so neue oder geänderte Software installiert wird. |
| A.12.6.1 |
Ja |
Wir holen Informationen zu technischen Schwachstellen der bei uns verwendeten Systeme ein, damit wir diese zügig abstellen können und schützenswerte Informationen nicht kompromittiert werden. |
| A.12.6.2 |
Ja |
Eine softwareseitig und organisatorisch umgesetzte Installationsrichtlinie sorgt dafür, dass das Risiko eines unbewussten Installierens von Schadsoftware sinkt. |
| A.12.7.1 |
Ja |
Wenn unsere Produktivsysteme auditiert werden sollen, werden wir dafür sorgen, dass dies nicht in den Hauptgeschäftszeiten geschieht, so dass wir die Verfügbarkeit unserer Systeme für unsere Kunden auch während des Audits sicherstellen können. |
| A.13.1.1 |
Ja |
Wir konzipieren und verwalten die von unseren Systemen verwendeten Netzwerke, damit diese nicht unvermittelt ausfallen oder dem zu erwartenden Verkehr nicht gewachsen sind. |
| A.13.1.2 |
Ja |
Wir überlegen uns, welche Netzwerkleistung wir (intern wie extern) benötigen und sorgen dafür, dass diese zur Verfügung stehen, um nicht überrascht zu werden. |
| A.13.1.3 |
Ja |
Wir trennen, soweit nötig, diejenigen Netzwerke, in denen unsere Mitarbeiter arbeiten und diejenigen Netzwerke, in denen unsere produktiven Systeme operieren, damit sich diese nicht gegenseitig stören können. |
| A.13.2.1 |
Ja |
Damit Mitarbeiter wissen, wie sie welche Informationen bei deren Datenübertragung schützen müssen, haben wir Übertragungsrichtlinien etabliert, auf die jederzeit zurückgegriffen werden kann. |
| A.13.2.2 |
Ja |
Wir treffen mit unseren Partnern Vereinbarungen, wie kritische Geschäftsinformationen übertragen werden, damit diese beim Transfer angemessen geschützt sind. |
| A.13.2.3 |
Ja |
Schützenswerte Informationen sichern wir auch, wenn wir diese in elektronischen Nachrichten versenden. Das tun wir, weil der schnelle Austausch via Nachrichten/Chats wichtig für uns ist und vielfach eingesetzt wird – und gerade deswegen sicher sein muss. |
| A.13.2.4 |
Ja |
Unsere Geheimhaltungsvereinbarungen sind immer up to date, damit wir sicherstellen, dass wir immer und aktuell das geheim halten, was uns wichtig ist. |
| A.14.1.1 |
Ja |
Wir analysieren, welche Informationssicherheitsanforderungen wir an die bei uns entwickelten (oder von uns zugekauften) Systeme stellen, damit wir diese umsetzen können. |
| A.14.1.2 |
Ja |
Wir schützen unsere Onlinesysteme so, dass sie sicher sind vor betrügerischen Angriffen, die dazu führen, dass wir unsere Verträge mit unseren Kunden nicht einhalten können. |
| A.14.1.3 |
Ja |
Wir schützen alle Transaktionen, die unsere Kunden mit unseren Anwendungen durchführen, damit diese vollständig, unverfälscht, authentisch und vertraulich bleiben. |
| A.14.2.1 |
Ja |
Wir haben eine Richtlinie für Softwareentwicklung und verpflichten alle, die für uns Software entwickeln, diese anzuwenden, damit Software sicher entwickelt wird. |
| A.14.2.2 |
Ja |
Wir ändern weder die Systeme, mit deren Hilfe wir Software entwickeln, noch unsere entwickelten Softwareprodukte „einfach so“, sondern nur nach gründlicher Prüfung dessen, was wir ändern – weil wir wissen, dass Änderungen auch Informationssicherheitslecks bedeuten können. Und das wollen wir vermeiden. |
| A.14.2.3 |
Ja |
Wenn wir die in der Entwicklung verwendeten Betriebssysteme updaten, überprüfen wir, ob unsere Entwicklungssysteme danach noch fehlerfrei funktionieren – weil wir wissen, dass nicht fehlerfreies Verhalten zu Informationssicherheitslecks führen kann. |
| A.14.2.4 |
Ja |
Wir updaten Softwarepakete nicht deswegen, „weil es geht“, sondern weil wir die Notwendigkeit sehen. Wir prüfen die neuen Pakete vorab. |
| A.14.2.5 |
Ja |
Wir haben Grundsätze für die Entwicklung sicherer Systeme. Diese wenden wir an, damit die von uns entwickelten Systeme auch sicher sind. |
| A.14.2.6 |
Ja |
Da auch über Entwicklungsumgebungen Sicherheitsrisiken in entwickelte Systeme eingeschleust werden können, sorgen wir dafür, dass wir die von uns verwendeten Entwicklungsumgebungen so gut wie möglich absichern. |
| A.14.2.7 |
Ja |
Wir lagern Entwicklungstätigkeiten an Partner aus. Diese überwachen wir, weil wir sicherstellen wollen, dass die dort entwickelten Systeme so sicher sind, wie wir sie benötigen. |
| A.14.2.8 |
Ja |
Wir testen alle Sicherheitsfunktionen der Systeme, die wir entwickeln, damit wir sicher sind, dass sie auch funktionieren wie gedacht. |
| A.14.2.9 |
Ja |
Wir führen darüber hinaus Abnahmetests für alle Systeme durch, die wir anschaffen oder entwickeln, damit wir sicherstellen können, dass deren Sicherheitsfunktionen nicht nur im Einzelfall, sondern auch im Gesamtkontext funktionieren. |
| A.14.3.1 |
Ja |
Da wir wissen, dass Testdaten manchmal aus Produktivdatenbanken entstammen, sorgen wir dafür, dass unsere Testdaten sorgfältig geschützt sind. |
| A.15.1.1 |
Ja |
Wenn Dienstleister von uns auf Werte unserer Organisation zugreifen müssen, so regeln wir dies vorab, um sicherstellen zu können, dass hierbei keine Sicherheitslücken entstehen. |
| A.15.1.2 |
Ja |
Wir schließen mit allen für die Informationssicherheit relevanten Dienstleistern Verträge ab, die die Pflichten der Dienstleister bzgl. der Informationssicherheit enthalten. |
| A.15.1.3 |
Ja |
In den Verträgen nehmen wir Regelungen auf in Bezug auf Informationssicherheitsrisiken, die bei Dienstleistern auftreten oder auftreten können, weil wir Informationssicherheitsrisiken auch dann vermeiden möchten, wenn sie bei unseren Dienstleistern auftreten. |
| A.15.2.1 |
Ja |
Wir überprüfen kontinuierlich, ob sich unsere Dienstleister an die mit ihnen vereinbarten Regelungen zur Informationssicherheit halten, damit wir uns in diesem Punkt sicher sein können. |
| A.15.2.2 |
Ja |
Dienstleistungen unserer Zulieferer können sich ändern: dies behalten wir im Auge, damit wir die Regelungen zur Informationssicherheit in dem Fall mit unseren Dienstleistern anpassen können. |
| A.16.1.1 |
Ja |
Wir haben ein Verfahren festgelegt, dass es uns ermöglicht, schnell und zuverlässig auf Informationssicherheitsvorfälle zu reagieren. Das ist uns wichtig, um Informationssicherheitsvorfälle schnell klären zu können. |
| A.16.1.2 |
Ja |
Wir sorgen dafür, dass Informationssicherheitsereignisse und -vorfälle so schnell wie möglich über die o.g. Verfahren gemeldet und bearbeitet werden, weil das dafür sorgt, dass wir möglichst schnell Sicherheit wiederherstellen, falls sie doch einmal kompromittiert sein sollte. |
| A.16.1.3 |
Ja |
Unsere Mitarbeiter und Dienstleister halten wir dazu an, Informationssicherheitsvorfälle und -ereignisse zügig zu melden, damit wir diese schnell und effektiv behandeln können. |
| A.16.1.4 |
Ja |
Jedes Informationssicherheitsereignis (d.h. jeden Verdacht, dass die angestrebte Informationssicherheit kompromittiert ist), bewerten wir darauf, ob es sich um einen Vorfall handelt (d.h. die Sicherheit ist nachweislich kompromittiert worden), um adäquat darauf reagieren zu können. |
| A.16.1.5 |
Ja |
Wir sorgen dafür, dass wir adäquat auf erkannte Informationssicherheitsvorfälle reagieren, damit diese so schnell wie möglich wieder abgestellt werden. |
| A.16.1.6 |
Ja |
Wir sorgen dafür, dass wir gezielt aus früheren Informationssicherheitsvorfällen lernen, damit diese in der Zukunft möglichst nicht noch einmal vorkommen. |
| A.16.1.7 |
Ja |
Bei akuten Informationssicherheitsvorfällen sind alle Mitarbeiter und auch Dienstleister angehalten, Beweismaterial zu sammeln, um die Bewertung des Vorfalls zu vereinfachen oder später rekonstruieren zu können. |
| A.17.1.1 |
Ja |
Wir haben bestimmt, in welchen Ausnahmesituationen wir welchen Grad an Informationssicherheit aufrechterhalten wollen, damit wir dies gegenüber unseren interessierten Parteien und insb. Vertragspartnern kommunizieren können und uns auf die Aufrechterhaltung der festgelegten Informationssicherheit fokussieren können. |
| A.17.1.2 |
Ja |
Wir legen Verfahren fest, mit denen wir die Informationssicherheit in den festgelegten Ausnahmesituationen sicherstellen können, um bei Bedarf reagieren zu können. |
| A.17.1.3 |
Ja |
Wir testen die o.g. Verfahren, um sicherstellen zu können, dass diese auch funktionieren, wenn wir sie benötigen. |
| A.17.2.1 |
Ja |
Wir planen diejenige Infrastruktur, die wir benötigen, so redundant, dass die Risiken, die durch Ausfall entstehen, auf ein akzeptables Maß gesenkt werden können. |
| A.18.1.1 |
Ja |
Wir sammeln alle für uns geltenden gesetzlichen, vertraglichen und regulatorischen Regelungen mit Bezug zu Informationssicherheit, damit wir wissen, welche Anforderungen wir aus dieser Sicht erfüllen müssen. |
| A.18.1.2 |
Ja |
Es gibt Verfahren, die bei uns sicherstellen, dass wir urheberrechtlich geschützte Werke bestimmungsgemäß bzw. vertragsgemäß verwenden. |
| A.18.1.3 |
Ja |
Dokumente werden bei uns so aufbewahrt, wie dies durch für uns geltende Gesetze, Verträge und andere regulatorische Vorgaben gefordert ist, so dass der Informationssicherheit in diesem Bereich Rechnung getragen wird. |
| A.18.1.4 |
Ja |
Wir halten uns in Bezug auf personenbezogene Daten an die DSGVO. |
| A.18.1.5 |
Ja |
Wir halten uns an alle für uns geltenden gesetzlichen Regelungen zur Kryptographie – sowohl minimale als auch maximale erlaubte Kryptographie, um den gesetzeskonformen Betrieb unserer Softwareprodukte durchgehend sicherstellen zu können. |
| A.18.2.1 |
Ja |
Wir lassen unsere Regelungen zur Informationssicherheit durch unabhängige externe Stellen überprüfen (bspw. Zertifizierungsorganisationen), um sicherzustellen, dass wir nichts Wichtiges übersehen. |
| A.18.2.2 |
Ja |
Wir überprüfen intern, ob sich alle unsere Mitarbeiter auch an die vorgegebenen Regelungen zur Informationssicherheit halten, damit diese nicht nur Lippenbekenntnisse bleiben. |
| A.18.2.3 |
Ja |
Wir überprüfen auch die bei uns verwendeten Informationssysteme darauf, ob diese alle Sicherheitsrichtlinien einhalten, damit hier nicht unbeabsichtigt Informationssicherheitslecks entstehen. |
