ISO 27001 INFORMATION SECURITY

Informationen sind eines der wertvollsten Vermögenswerte einer Organisation; wenn nicht das wertvollste. Daher müssen Informationen wie jeder Vermögenswert geschützt werden. Eine Organisation muss einen systematischen Ansatz verwenden, um ihre wertvollen Informationen zu schützen, und genau das bietet ISO/IEC 27001 – einen systematischen Ansatz zur Identifizierung und zum Management von Sicherheitsrisiken, um sicherzustellen, dass Informationen sicher aufbewahrt werden.

Informationssicherheit wird allgemein unter Verwendung der C-I-A-Triade definiert: Vertraulichkeit (Informationen sind nur autorisierten Benutzern zugänglich); Integrität (Informationen sind korrekt und vollständig) und Verfügbarkeit (autorisierte Benutzer haben Zugriff auf Informationen, wenn sie diese benötigen). Nichtabstreitbarkeit (das Konzept, das sicherstellt, dass ein Subjekt die Ausführung einer Handlung oder eines Ereignisses nicht leugnen kann) ist ein weiteres Schlüsselkonzept, das in den meisten Theorien die C-I-A-Trias ergänzt und als ebenso wichtig wie Vertraulichkeit, Integrität und Verfügbarkeit angesehen wird.

Auf internationaler Ebene gibt es verschiedene Frameworks für Informationssicherheit, die von verschiedenen Organisationen wie ISACA, NIST oder natürlich ISO entwickelt wurden. Laut der International Standards Organization (ISO) „hilft die ISO 27000-Standardfamilie Organisationen dabei, ihre Informationsressourcen zu schützen“. Informationen können geistiges Eigentum, Vertrags- und Finanzdaten, Informationen aus Forschung und Entwicklung, private Kunden- oder Mitarbeiterdaten oder von Dritten bereitgestellte Informationen umfassen.

ISO 27001 enthält spezifische Anforderungen für das Managementsystem sowie einen Anhang mit 114 Informationssicherheitskontrollen, die in 14 verschiedene Kategorien unterteilt sind.

Nachfolgend erläutern wir die Anforderungen der ISO/IEC 27001:2013 sowie die Sicherheitskontrollen aus Anhang A dieser Norm.


Um die Konformität mit ISO 27001 zu erreichen, muss die Organisation die Anforderungen der Norm erfüllen, einschließlich der Informationssicherheitskontrollen aus Anhang A, die für sie gelten. Es steht der Organisation frei, ergänzende Informationssicherheitskontrollen zu denen in Anhang A zu entwickeln und zu implementieren, wenn sie dies für erforderlich hält.

Die Anforderungen von ISO/IEC 27001 sind in 7 Hauptkapitel unterteilt: Kontext der Organisation, Führung, Planung, Unterstützung, Betrieb, Leistungsbewertung und Verbesserung

Die Organisation ist verpflichtet, interne und externe Probleme zu identifizieren, die für ihren Zweck relevant sind und sich auf ihr Informationssicherheitsmanagementsystem auswirken können. Einige Beispiele für interne Themen sind – Struktur der Organisation, verwendete Ausrüstung und Technologie, Kompetenz des Personals, Organisationskultur usw., während externe Themen umfassen können: Gesetzgebung im Zusammenhang mit der Informationssicherheit, Trends in der Informationssicherheit, Markt und Wettbewerb, Finanz- und Wirtschaftsfragen , etc.


Der Standard verlangt von der Organisation, die interessierten Parteien (Parteien, die ein Interesse am Informationssicherheitsmanagementsystem der Organisation haben) zusammen mit ihren relevanten Bedürfnissen und Erwartungen zu identifizieren. Einige Beispiele für interessierte Parteien sind: Kunden, Mitarbeiter, Lieferanten, Gemeinschaft, Geschäftspartner, Benutzer der Produkte und Dienstleistungen der Organisation usw.


Die Organisation muss den Umfang ihres ISMS definieren – Aktivitäten und Standorte, die im Informationssicherheitsmanagementsystem enthalten sind. Das Unternehmen kann beschließen, alle seine Aktivitäten und Standorte in das ISMS aufzunehmen oder das System nur auf einige Aktivitäten und/oder einige Standorte anzuwenden.

Führung

Das Top-Management ist verpflichtet, das Managementsystem zu unterstützen und sein Engagement in Bezug auf die Informationssicherheit zu demonstrieren. Das Top-Management muss auch eine Informationssicherheitsrichtlinie definieren, die innerhalb der Organisation kommuniziert und gegebenenfalls interessierten Parteien zugänglich gemacht wird. Es ist auch die Aufgabe des Top-Managements, den Mitarbeitern im Hinblick auf die Informationssicherheit Verantwortlichkeiten und Befugnisse zuzuweisen. Um über ein funktionierendes Informationssicherheitsmanagementsystem zu verfügen und Vorteile aus seiner Implementierung zu ziehen, ist die Einbeziehung und Unterstützung des Top-Managements von entscheidender Bedeutung.

Planung

ISO/IEC 27001:2013 erfordert eine Risikobewertung der Informationssicherheit. Die für diese Bewertung verwendete Methodik liegt im Ermessen der Organisation. Die Risikobewertung muss bei Bedarf aktualisiert werden (z. B. bei Änderungen in der Organisationsstruktur, nach Informationssicherheitsvorfällen usw.). Ausgehend von den Ergebnissen der Risikobewertung muss das Unternehmen einen Risikobehandlungsprozess anwenden und Informationssicherheitskontrollen implementieren. Eine Erklärung zur Anwendbarkeit wird von der Norm verlangt, die die Informationssicherheitskontrollen aus Anhang A von ISO 27001 zusammen mit einer Begründung der Entscheidung, jede Kontrolle zu implementieren oder nicht enthält, enthält. ISO/IEC 27001:2013 verlangt, dass die Organisation Informationssicherheitsziele und -pläne definiert Maßnahmen zu ihrem Erfolg.

Unterstützung

Die für die Implementierung des Informationssicherheitsmanagementsystems erforderlichen Ressourcen müssen verfügbar sein. Die Organisation ist verpflichtet, die erforderliche Kompetenz für Personen mit Auswirkungen auf die Informationssicherheit zu ermitteln. Das Unternehmen sollte sicherstellen, dass die Personen kompetent sind, und bei Bedarf Maßnahmen zum Erwerb der erforderlichen Kompetenzen ergreifen (z. B. Schulungen zur Informationssicherheit). Personen, die unter der Kontrolle der Organisation arbeiten, müssen sich der Informationssicherheitspolitik, ihres Beitrags zum Informationssicherheitsmanagementsystem, der Vorteile einer verbesserten Informationssicherheitsleistung sowie der Auswirkungen einer Nichteinhaltung der Informationssicherheitsanforderungen bewusst sein. Die Organisation muss sicherstellen, dass effiziente Kommunikationsprozesse (intern und extern) implementiert werden. Das Informationssicherheitsmanagementsystem muss dokumentierte Informationen umfassen. Der Umfang der Dokumentation ist je nach Struktur, Größe und Besonderheiten der Tätigkeit von Organisation zu Organisation unterschiedlich. Es müssen Kontrollen für die Erstellung und Aktualisierung der dokumentierten ISMS-Informationen eingerichtet werden (Definition eines Formats für die Dokumente, Medien – Papier und/oder elektronisch, Kontrollen für die Prüfung und Genehmigung von Dokumenten). Auch Kontrollen hinsichtlich des Zugangs, der Verteilung, des Abrufs, der Nutzung, der Speicherung, der Aufbewahrung, der Kontrolle von Änderungen, der Aufbewahrung und der Bereitstellung von dokumentierten Informationen müssen implementiert werden. Diese Kontrollen beziehen sich sowohl auf Dokumente, die innerhalb der Organisation erstellt wurden, als auch auf Dokumente externer Herkunft (z. B. Dokumente von Kunden, externen Lieferanten usw.).

Betrieb

Die Anforderungen bestehen darin, dass die Organisation die Prozesse plant, implementiert und kontrolliert, die zur Erfüllung der Anforderungen an die Informationssicherheit erforderlich sind. Geplante Änderungen müssen kontrolliert werden, um negative Auswirkungen auf die Informationssicherheit zu mindern, während das Unternehmen auch alle ausgelagerten Prozesse kontrollieren muss, die sich auf die Sicherheit auswirken können.

Leistungsbeurteilung

ISO 27001:2013 verlangt von der Organisation, ihre Informationssicherheitsleistung sowie die Wirksamkeit des Informationssicherheitsmanagementsystems zu bewerten. In geplanten Abständen muss die Organisation interne Audits durchführen, um sicherzustellen, dass das ISMS ihren eigenen Sicherheitsanforderungen sowie den Anforderungen der ISO/IEC 27001 entspricht; es wird effektiv umgesetzt und gepflegt. Die oberste Leitung überprüft regelmäßig das Informationssicherheits-Managementsystem, um seine anhaltende Eignung, Angemessenheit und Wirksamkeit sicherzustellen.

Verbesserung

Immer wenn Nichtkonformitäten im Zusammenhang mit der Informationssicherheit identifiziert werden, muss die Organisation reagieren, indem sie Korrekturen (die die Nichtkonformität und ihre Folgen kontrollieren sollen) und Korrekturmaßnahmen (die die Grundursache der Nichtkonformität beseitigen) implementieren. ISO/IEC 27001:2013 verlangt, dass die Organisation ihr Informationssicherheits-Managementsystem kontinuierlich verbessert.

Anhang A von ISO/IEC 27001:2013


Kontrollkategorien

A5 – Informationssicherheitsrichtlinien

Der Standard verlangt von der Organisation, eine Reihe von Informationssicherheitsrichtlinien zu definieren, die vom Top-Management genehmigt und an Mitarbeiter und relevante interessierte Parteien kommuniziert werden. Die Richtlinien müssen regelmäßig und bei wesentlichen Änderungen in der Organisation überprüft werden, um ihre Eignung, Angemessenheit und Wirksamkeit zu bestätigen.

A6 – Organisation der Informationssicherheit

Die Verantwortung im Hinblick auf die Informationssicherheit muss dem Personal des Unternehmens übertragen werden. Widersprüchliche Aufgaben und Verantwortungsbereiche sind zu trennen (z. B. Anbahnung und Genehmigung von Geschäften). Die Organisation ist verpflichtet, angemessene Kontakte zu Behörden zu Aspekten der Informationssicherheit zu unterhalten. Entsprechende Kontakte zu Interessengruppen, Sicherheitsforen oder Verbänden sollten gepflegt werden. Informationssicherheit muss unabhängig von der Art des Projekts im Projektmanagement berücksichtigt werden. Die Verwendung mobiler Geräte birgt erhebliche Risiken für die Informationssicherheit, daher erfordert der Standard eine Richtlinie und unterstützende Sicherheitsmaßnahmen, um diese Risiken zu bewältigen. Wenn die Organisation Telearbeit einsetzt (Arbeit von entfernten Standorten – z. B. Arbeit von zu Hause aus, an öffentlichen Orten usw.), müssen Richtlinien und Sicherheitsmaßnahmen zur Bekämpfung der Telearbeit festgelegt werden.

A7 – Personalsicherheit

Die Organisation ist verpflichtet, bei allen Stellenbewerbern eine Hintergrundüberprüfung durchzuführen. Der Detaillierungsgrad sollte dem Zugang zu Informationen und den mit der Position verbundenen Sicherheitsrisiken entsprechen. Vertragliche Vereinbarungen und andere Beschäftigungsdokumente sollten Anforderungen in Bezug auf die Informationssicherheit enthalten. Das Management der Organisation sollte von Mitarbeitern und Auftragnehmern verlangen, dass sie die Informationssicherheit in Übereinstimmung mit den Richtlinien und Verfahren der Organisation anwenden. Alle Mitarbeiter und Auftragnehmer werden für die Informationssicherheit sensibilisiert. Ein formelles Disziplinarverfahren gegen Mitarbeiter, die Sicherheitsverletzungen begangen haben, muss eingeführt und allen Mitarbeitern mitgeteilt werden. Diejenigen Verantwortlichkeiten und Pflichten für die Informationssicherheit, die nach Beendigung oder Wechsel des Arbeitsverhältnisses bestehen bleiben (z. B. Geheimhaltungsklauseln), sind zu definieren, zu kommunizieren und anzuwenden.

A8 – Vermögensverwaltung

Ein Inventar der Vermögenswerte, die mit Informations- und Informationsverarbeitungseinrichtungen verbunden sind, muss erstellt und geführt werden. Den Vermögenswerten sind „Eigentümer“ (Personen oder Strukturen der Organisation) zuzuordnen. ISO 27001 verlangt von der Organisation, Regeln für die akzeptable Verwendung von Informationen und Vermögenswerten im Zusammenhang mit Informations- oder Informationsverarbeitungseinrichtungen festzulegen, zu dokumentieren und umzusetzen. Die Organisation muss sicherstellen, dass die Mitarbeiter und Auftragnehmer bei Beendigung ihres Arbeitsverhältnisses oder Vertrags alle Vermögenswerte der Organisation in ihrem Besitz zurückgeben. ISO 27001 fordert das Unternehmen auf, ein System zur Klassifizierung von Informationen zu definieren und anzuwenden, das Aspekte wie Wert, Kritikalität und Sensibilität gegenüber unbefugter Offenlegung oder Änderung berücksichtigt. Es ist ein System zur Kennzeichnung von Informationen gemäß den Einstufungsregeln anzuwenden. In Übereinstimmung mit dem angenommenen Klassifizierungsschema muss die Organisation Regeln für den Umgang mit Vermögenswerten entwickeln und umsetzen. Die Organisation muss über Verfahren/Regeln für die Verwaltung von Wechselmedien (z. B. externe Festplatten, USB-Sticks, CDs und DVDs usw.) verfügen, einschließlich Regeln für die sichere Entsorgung nicht mehr verwendeter Medien. Medien mit Informationen sind während des Transports gegen unbefugten Zugriff, Missbrauch oder Beschädigung zu schützen.

A9 – Zugangskontrolle

Eine Zugangskontrollrichtlinie (die sowohl den physischen Zugang als auch den Zugang zu Netzwerken und Anwendungen betrifft) muss erstellt und dokumentiert werden. Die Organisation muss sicherstellen, dass Benutzern nur Zugang zu Netzwerkdiensten gewährt wird, zu deren Nutzung sie ausdrücklich autorisiert wurden. ISO/IEC 27001:2013 fordert einen formalen Prozess der Benutzerregistrierung und -abmeldung, während die Vergabe und Nutzung privilegierter Zugriffsrechte eingeschränkt und kontrolliert werden muss. Die Organisation muss sicherstellen, dass bei Beendigung ihres Arbeitsverhältnisses, Vertrags oder Vertrages die Zugriffsrechte von Mitarbeitern und externen Parteien entzogen werden. Das Passwort-Management-System sollte interagiert werden und qualitativ hochwertige Passwörter sicherstellen. Es muss Kontrollen geben, die den Zugriff der Benutzer auf den Programmquellcode einschränken.

A10 - Kryptographie

Wenn die Organisation Kryptographie verwendet, um die Vertraulichkeit, Authentizität und/oder Integrität von Informationen zu schützen, muss eine Richtlinie zur Verwendung kryptographischer Kontrollen entwickelt und umgesetzt werden. Die Verwendung, der Schutz und die Lebensdauer der generierten kryptografischen Schlüssel werden ebenfalls in einer Richtlinie behandelt.

A11 – Physische und Umweltsicherheit

ISO/IEC 27001:2013 verlangt von der Organisation, Sicherheitsperimeter zu definieren, die Bereiche schützen sollen, die entweder sensible oder kritische Informationen und Einrichtungen zur Informationsverarbeitung enthalten. Nur autorisiertem Personal sollte der Zugang zu sicheren Bereichen gestattet werden. Physische Sicherheit für Büros, Räume und Einrichtungen muss konzipiert und angewendet werden. Die Organisation muss physischen Schutz gegen Naturkatastrophen, böswillige Angriffe oder Unfälle entwickeln und anwenden. Anliefer- und Verladebereiche (Bereiche, zu denen externe Unbefugte Zugang haben) sind zu kontrollieren und, wenn möglich, von Einrichtungen der Informationsverarbeitung abzuschotten, um unbefugten Zugang zu verhindern. Die Norm verlangt, dass die Ausrüstung so aufgestellt und geschützt wird, dass Risiken durch Umweltbedrohungen und Gefahren und Gelegenheiten für unbefugten Zugriff reduziert werden. Schutzsysteme für Stromausfälle und sonstige Störungen müssen vorhanden sein. Die Organisation sollte Systeme zum Schutz von datentragenden Kabeln oder unterstützenden Informationsdiensten (z. B. durch Sicherheitsmaßnahmen, die allgemein als TEMPEST bezeichnet werden), zum Schutz vor Abhören oder Interferenzen verwenden. Die Ausrüstung muss gemäß den Spezifikationen gewartet werden, um einen optimalen Betrieb zu gewährleisten. ISO 27001 verlangt von der Organisation, sicherzustellen, dass Vermögenswerte nicht ohne vorherige Genehmigung von einem anderen Standort entfernt werden, und wenn dies geschieht, müssen sie unter Berücksichtigung relevanter Risiken geschützt werden. Die Ausrüstung muss überprüft werden, um sicherzustellen, dass sensible Daten und lizenzierte Software vor der Entsorgung oder Wiederverwendung entfernt oder überschrieben werden. Der Standard verlangt von den Benutzern, einen angemessenen Schutz der unbeaufsichtigten Ausrüstung zu gewährleisten, während die Organisation eine Richtlinie für klare Schreibtische und klare Bildschirme entwickeln und anwenden muss.

A12 – Betriebssicherheit

ISO/IEC 27001 erfordert die Existenz dokumentierter Betriebsverfahren, die Benutzern zur Verfügung stehen, die diese benötigen. Veränderungen in der Organisation und Änderungen an Geschäftsprozessen müssen so kontrolliert werden, dass sie die Informationssicherheit nicht beeinträchtigen. Die Organisation muss die Nutzung ihrer Ressourcen überwachen und Prognosen über den zukünftigen Kapazitätsbedarf erstellen, um einen optimalen Betrieb zu gewährleisten. Entwicklungs-, Test- und Betriebsumgebungen müssen getrennt werden. Die Organisation muss Kontrollen für die Erkennung, Prävention und Wiederherstellung von Malware gewährleisten. Es müssen regelmäßig Sicherungskopien von Informationen und Systemabbildern erstellt und auf Verlässlichkeit getestet werden. Ereignisprotokolle (einschließlich Fehler, Ausnahmen, Störungen und Informationssicherheitsereignisse) müssen erstellt, geführt und regelmäßig überprüft werden. Protokolle müssen vor Manipulation und unberechtigtem Zugriff geschützt werden. Die Aktivitäten des Systemadministrators sollten protokolliert und die Protokolle geschützt und regelmäßig überprüft werden. Die Uhren aller relevanten informationsverarbeitenden Einrichtungen sollten synchronisiert werden. Die Organisation sollte Verfahren zur Kontrolle der Installation von Software auf Betriebssystemen sicherstellen. ISO 27001 verlangt von der Organisation, sich rechtzeitig über technische Schwachstellen von Informationssystemen zu informieren, diese Schwachstellen zu bewerten und Maßnahmen zur Bewältigung der damit verbundenen Risiken zu ergreifen. Durch Auditaktivitäten für operative Systeme sollen Störungen der Geschäftsprozesse minimiert werden.

A13 – Kommunikationssicherheit

ISO 27001 verlangt von der Organisation, Netzwerke zu verwalten und zu kontrollieren, damit Informationen in Systemen und Anwendungen geschützt sind. Aspekte der Informationssicherheit sowie Service Levels sollten mit Netzwerkdienstanbietern vereinbart werden (unabhängig davon, ob diese intern oder ausgelagert sind). Unterschiedliche Gruppen von Informationsdiensten, Benutzern und Informationssystemen müssen in Netzwerken getrennt werden. Die Organisation ist verpflichtet zu definieren und wenden Verfahren und Kontrollen an, um die Übertragung von Informationen unabhängig von der Art der verwendeten Kommunikationsausrüstung zu schützen. Informationen, die durch elektronische Nachrichtenübermittlung (z. B. E-Mail oder Instant-Messaging-Programme) ausgetauscht werden, müssen angemessen geschützt werden. Anforderungen an Vertraulichkeit und Geheimhaltung sind zu dokumentieren und müssen die Bedürfnisse der Organisation zum Schutz ihrer Informationen widerspiegeln.

A14 – Systembeschaffung, Entwicklung und Wartung

Anforderungen an die Informationssicherheit sind in die Anforderungen der Organisation für neue Informationssysteme oder Erweiterungen bestehender Systeme aufzunehmen. Vertrauliche Informationen, die über öffentliche Netzwerke übertragen werden (z. B. bei Online-Zahlungen) sind vor betrügerischen Aktivitäten, Vertragsstreitigkeiten und unbefugter Offenlegung und Änderung zu schützen. ISO/IEC 27001:2013 verlangt von der Organisation, Regeln für die Entwicklung von Software zu entwickeln und anzuwenden. Nach Änderungen an Betriebsplattformen muss die Organisation kritische Geschäftsanwendungen überprüfen und testen, um sicherzustellen, dass keine negativen Auswirkungen auf die Informationssicherheit bestehen. Die Organisation sollte Regeln haben, um Änderungen an Softwarepaketen zu verhindern. ISO 27001 verlangt, dass sichere Entwicklungsumgebungen eingerichtet und angemessen geschützt werden, falls die Organisation Software intern entwickelt. Die Tätigkeit ausgelagerter Systementwickler muss überwacht und überwacht werden. Das Testen von Softwareprodukten sollte auch Sicherheitsfunktionalitäten beinhalten und Testdaten sollten angemessen geschützt werden.

A15 – Lieferantenbeziehungen

Die Organisation muss mit den Lieferanten Informationssicherheitsanforderungen vereinbaren und dokumentieren, um die Risiken im Zusammenhang mit dem Zugriff des Lieferanten auf die Vermögenswerte der Organisation zu mindern. Anforderungen an die Informationssicherheit sind mit jedem Anbieter zu vereinbaren, der auf IT-Geräte und Dienstleistungen zugreift, diese verarbeitet, speichert, kommuniziert oder bereitstellt. Die Anforderungen sollten sich auch auf Risiken im Zusammenhang mit den Diensten der Informations- und Kommunikationstechnologie und der Produktlieferkette beziehen. Die Organisation muss die Leistungserbringung der Lieferanten überwachen, überprüfen und auditieren.

A16 – Management von Informationssicherheitsvorfällen

ISO/IEC 27001:2013 verlangt von Organisationen, Verfahren einzurichten und Verantwortlichkeiten zuzuweisen, um eine schnelle und angemessene Reaktion auf Informationssicherheitsvorfälle zu gewährleisten. Sicherheitsvorfälle sollen durch effiziente Kommunikationsprozesse schnellstmöglich gemeldet werden. Die Organisation muss von ihren Mitarbeitern und Auftragnehmern verlangen, die ihre Informationssysteme und -dienste nutzen, um jede beobachtete oder vermutete Sicherheitslücke in der Informationssicherheit zu notieren und zu melden. Informationssicherheitsereignisse sind dahingehend zu beurteilen, ob sie Informationssicherheitsvorfälle darstellen oder nicht. Die Organisation muss auf Informationssicherheitsvorfälle reagieren, und die Erkenntnisse aus der Analyse und Reaktion auf Vorfälle sollen verwendet werden, um die Wahrscheinlichkeit oder Auswirkungen zukünftiger Sicherheitsvorfälle zu verringern.

A17 – Kontinuität der Informationssicherheit

ISO 27001 verlangt von der Organisation, die Informationssicherheit in ihr Kontinuitätsmanagement einzubetten, indem Kontrollen definiert werden, um sicherzustellen, dass die Informationssicherheit im Falle widriger Situationen (z. B. Krisen oder Katastrophen) gewahrt bleibt. Die Organisation muss über ausreichende Redundanz für ihre Informationsverarbeitungseinrichtungen verfügen, um die Verfügbarkeitsanforderungen zu erfüllen.

A18 – Konformität

ISO 27001 verlangt von der Organisation, geltende gesetzliche, vertragliche und behördliche Anforderungen in Bezug auf die Informationssicherheit zu identifizieren und zu aktualisieren. Es müssen Verfahren eingeführt werden, um die Einhaltung der Anforderungen an geistiges Eigentum, Datenschutz und personenbezogene Daten sicherzustellen. Kryptographie wird gemäß den geltenden Rechtsvorschriften (sofern zutreffend) verwendet. Die Organisation muss sicherstellen, dass ihr Ansatz zum Management der Informationssicherheit, d. h. Kontrollen, Richtlinien, Verfahren usw., in geplanten Abständen und bei wesentlichen Änderungen unabhängig überprüft wird. Manager sind verpflichtet, die Einhaltung der geltenden Informationssicherheitsrichtlinien und -verfahren in ihrem Verantwortungsbereich regelmäßig zu überprüfen.

Das sind in einer sehr kurzen Darstellung die Anforderungen der ISO/IEC 27001:2013.

Einige der Anforderungen können aufgrund der Aktivitäten der Organisation nicht anwendbar sein und natürlich können bei Bedarf zusätzliche Kontrollen definiert und implementiert werden.