Auf die meisten Unternehmen sollten jedoch die Einstufungen aus diesem Artikel zutreffen. Einen schnellen Überblick bietet die Tabelle.
A.14.2.4 Beschränkung von Änderungen an Softwarepaketen
Haben Unternehmen die Ressourcen, um Softwarepakete anzupassen und tun dies auch, z.B. für Anpassungen an das Corporate Design oder sonstige Optimierungen, dann ist dieses Control anzuwenden. Werden diese Tätigkeiten nicht durchgeführt (z.B. mangels Wissen, Personal oder Notwendigkeit), ist ein Ausschluss möglich.
Die bessere Variante ist jedoch nach unserer Meinung, dieses Control als anwendbar einzubeziehen, in der zugeordneten Regelung allerdings explizit zu erwähnen, dass im Unternehmen keine Software angepasst wird. So ist zukünftig eine einfache Anpassung möglich.
A.14.2.5 Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme
Der Ausschluss dieses Controls ist eigentlich nicht möglich. Denn hierunter fallen auch Vorgaben an Software, die sich bereits im Einsatz befindet oder angeschafft werden soll. Kaum ein Unternehmen kann deshalb zumindest auf die Analyse von Software-Anforderungen verzichten.
Zudem ist zu berücksichtigen, dass auch externe Partner in Regelungen zur Informationssicherheit der Organisation einbezogen werden müssen. Das bedeutet, dass die Organisation dazu verpflichtet ist, entsprechende Vorgaben zu machen und deren Einhaltung zu überwachen, wenn externe Partner Aufgaben aus der A.14.2.5 übernehmen.
A.14.2.9 Systemabnahmetest
Der Systemabnahmetest wird in jedem Unternehmen durchgeführt. Bei einigen im großen Stil mit Testumgebungen, bei anderen Unternehmen im kleinen Stil durch einen einfachen Funktionstest (oft einfach einschalten und sehen, ob das Gerät das erwartete Ergebnis liefert). Über diese erwarteten Ergebnisse muss jede Organisation vorher Klarheit schaffen und die Anforderungen auch im Rahmen der Beschaffung berücksichtigen. Auch wenn die Beschaffung an externe Dienstleister ausgelagert ist, verbleibt die Pflicht, dies zu überwachen.
Aus unserer Sicht ist es daher nicht möglich, dieses Control auszuschließen.
Schulungen zum Thema Informationssicherheitssysteme
Unsere GUTcert Akademie bietet viele praxisorientierte Seminare zum Thema Informationssicherheitssysteme an, u.a. eine Schulung zum Informationssicherheitsbeauftragten/-auditor
nach ISO 27001 (GUTcert). Verschaffen Sie sich das nötige Know-how, um Ihre Organisation kompetent abzusichern.
Für Informationen zum Schulungsprogramm steht Ihnen das Team der GUTcert Akademie (+49 30 2332021-21) zur Verfügung.
Fragen oder Hinweise zum Thema Informationssicherheit richten Sie gerne an Marcel Däfler.