Contact
QR code for the current URL

Story Box-ID: 962090

GUTcert GmbH Eichenstraße 3b 12435 Berlin, Germany http://www.gut-cert.de
Contact Mr Marcel Däfler +49 30 233202179
Company logo of GUTcert GmbH

Informationssicherheit - ISO 27001 Controls: A.14 Anschaffen, Entwickeln und Instandhalten von Systemen

Welche Controls können ausgeschlossen werden, welche nicht? ISMS Auditoren der GUTcert haben nach ihren Erfahrungen speziell die Controls aus A.14.2 analysiert

(PresseBox) (Berlin, )
Grundsätzlich gilt: die Anwendbarkeit der Anforderungen hängt von den im Scope ausgeführten Tätigkeiten ab.

Auf die meisten Unternehmen sollten jedoch die Einstufungen aus diesem Artikel zutreffen. Einen schnellen Überblick bietet die Tabelle.

A.14.2.4 Beschränkung von Änderungen an Softwarepaketen

Haben Unternehmen die Ressourcen, um Softwarepakete anzupassen und tun dies auch, z.B. für Anpassungen an das Corporate Design oder sonstige Optimierungen, dann ist dieses Control anzuwenden. Werden diese Tätigkeiten nicht durchgeführt (z.B. mangels Wissen, Personal oder Notwendigkeit), ist ein Ausschluss möglich.

Die bessere Variante ist jedoch nach unserer Meinung, dieses Control als anwendbar einzubeziehen, in der zugeordneten Regelung allerdings explizit zu erwähnen, dass im Unternehmen keine Software angepasst wird. So ist zukünftig eine einfache Anpassung möglich.

A.14.2.5 Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme

Der Ausschluss dieses Controls ist eigentlich nicht möglich. Denn hierunter fallen auch Vorgaben an Software, die sich bereits im Einsatz befindet oder angeschafft werden soll. Kaum ein Unternehmen kann deshalb zumindest auf die Analyse von Software-Anforderungen verzichten.

Zudem ist zu berücksichtigen, dass auch externe Partner in Regelungen zur Informationssicherheit der Organisation einbezogen werden müssen. Das bedeutet, dass die Organisation dazu verpflichtet ist, entsprechende Vorgaben zu machen und deren Einhaltung zu überwachen, wenn externe Partner Aufgaben aus der A.14.2.5 übernehmen.

A.14.2.9 Systemabnahmetest

Der Systemabnahmetest wird in jedem Unternehmen durchgeführt. Bei einigen im großen Stil mit Testumgebungen, bei anderen Unternehmen im kleinen Stil durch einen einfachen Funktionstest (oft einfach einschalten und sehen, ob das Gerät das erwartete Ergebnis liefert). Über diese erwarteten Ergebnisse muss jede Organisation vorher Klarheit schaffen und die Anforderungen auch im Rahmen der Beschaffung berücksichtigen. Auch wenn die Beschaffung an externe Dienstleister ausgelagert ist, verbleibt die Pflicht, dies zu überwachen.

Aus unserer Sicht ist es daher nicht möglich, dieses Control auszuschließen.

Schulungen zum Thema Informationssicherheitssysteme

Unsere GUTcert Akademie bietet viele praxisorientierte Seminare zum Thema Informationssicherheitssysteme an, u.a. eine Schulung zum Informationssicherheitsbeauftragten/-auditor
nach ISO 27001 (GUTcert). Verschaffen Sie sich das nötige Know-how, um Ihre Organisation kompetent abzusichern.

Für Informationen zum Schulungsprogramm steht Ihnen das Team der GUTcert Akademie (+49 30 2332021-21) zur Verfügung.

Fragen oder Hinweise zum Thema Informationssicherheit richten Sie gerne an Marcel Däfler.

Website Promotion

Website Promotion
Zertifizierung von ISMS / ISO 27001

GUTcert GmbH

Die Zertifizierung von Integrierten Managementsystemen mit den Schwerpunkten Qualitätsmanagement, Umweltmanagement, Arbeitssicherheit sowie Energiemanagement ist das Hauptgeschäft der GUTcert. Weitere Kernkompetenzen der GUTcert sind die Verifizierung von Treibhausgasemissionen nach anerkannten Standards sowie die Zertifizierung der Nachhaltigkeitsanforderungen für Biomasse.

Als Mitglied der AFNOR Gruppe bietet die GUTcert ihre Zertifizierungsdienstleistungen im internationalen Netzwerk an, welches weltweit 28 Niederlassungen umfasst und mit 1.500 Auditoren und 20.000 Experten Kunden in über 90 Ländern betreut.

Die GUTcert Akademie bündelt das Fachwissen von Auditoren und anderen Experten, um Teilnehmern direkt anwendbare Kompetenzen mit nachhaltigem Mehrwert zu vermitteln.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.