7.2 NK A.5 – Organisatorische Maßnahmen
112
7.2.1 NA A.5.1 – Informationssicherheitspolitik und -richtlinien
113
7.2.2 NA A.5.2 – Informationssicherheitsrollen und -verantwortlichkeiten
114
7.2.3 NA A.5.3 – Aufgabentrennung
115
7.2.4 NA A.5.4 – Verantwortlichkeiten der Leitung
116
7.2.5 NA A.5.5 – Kontakt mit Behörden
117
7.2.6 NA A.5.6 – Kontakt mit speziellen Interessensgruppen
119
7.2.7 NA A.5.7 – Informationen über die Bedrohungslage
121
7.2.8 NA A.5.8 – Informationssicherheit im Projektmanagement
123
7.2.9 NA A.5.9 – Inventar der Informationen und anderen damit verbundenen Werte
124
7.2.10 NA A.5.10 – Zulässiger Gebrauch von Informationen und anderen damit verbundenen Werten
126
7.2.11 NA A.5.11 – Rückgabe von Werten
127
7.2.12 NA A.5.12 – Klassifizierung von Informationen
128
7.2.13 NA A.5.13 – Kennzeichnung von Informationen
129
7.2.14 NA A.5.14 – Informationsübermittlung
130
7.2.15 NA A.5.15 – Zugangssteuerung
132
7.2.16 NA A.5.16 – Identitätsmanagement
133
7.2.17 NA A.5.17 – Authentisierungsinformationen
135
7.2.18 NA A.5.18 – Zugangsrechte
136
7.2.19 NA A.5.19 – Informationssicherheit in Lieferantenbeziehungen
137
7.2.20 NA A.5.20 – Behandlung von Informationssicherheit in Lieferantenvereinbarungen
138
7.2.21 NA A.5.21 – Umgang mit der Informationssicherheit in der IKT-Lieferkette
139
7.2.22 NA A.5.22 – Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
140
7.2.23 NA A.5.23 – Informationssicherheit für die Nutzung von Cloud-Diensten
141
7.2.24 NA A.5.24 – Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen
142
7.2.25 NA A.5.25 – Beurteilung und Entscheidung über Informationssicherheitsereignisse
143
7.2.26 NA A.5.26 – Reaktion auf Informationssicherheitsvorfälle
147
7.2.27 NA A.5.27 – Erkenntnisse aus Informationssicherheitsvorfällen
148
7.2.28 NA A.5.28 – Sammeln von Beweismaterial
149
7.2.29 NA A.5.29 – Informationssicherheit bei Störungen
149
7.2.30 NA A.5.30 – IKT-Bereitschaft für Business-Continuity
150
7.2.31 NA A.5.31 – Juristische, gesetzliche, regulatorische und vertragliche Anforderungen
151
7.2.32 NA A.5.32 – Geistige Eigentumsrechte
153
7.2.33 NA A.5.33 – Schutz von Aufzeichnungen
154
7.2.34 NA A.5.34 – Datenschutz und Schutz von personenbezogenen Daten (PbD)
154
7.2.35 NA A.5.35 – Unabhängige Überprüfung der Informationssicherheit
155
7.2.36 NA A.5.36 – Einhaltung von Richtlinien, Vorschriften und Normen für die Informationssicherheit
156
7.2.37 NA A.5.37 – Dokumentierte Betriebsabläufe
157
7.3 NK A.6 – Personenbezogene Maßnahmen
158
7.3.1 NA A.6.1 – Sicherheitsüberprüfung
158
7.3.2 NA A.6.2 – Beschäftigungs- und Vertragsbedingungen
159
7.3.3 NA A.6.3 – Informationssicherheitsbewusstsein, -ausbildung und schulung
159
7.3.4 NA A.6.4 – Maßregelungsprozess
160
7.3.5 NA A.6.5 – Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung
161
7.3.6 NA A.6.6 – Vertraulichkeits- oder Geheimhaltungsvereinbarungen
162
7.3.7 NA A.6.7 – Remote-Arbeit
163
7.3.8 NA A.6.8 – Meldung von Informationssicherheitsereignissen
164
7.4 NK A.7 – Physische Maßnahmen
165
7.4.1 NA A.7.1 – Physische Sicherheitsperimeter
166
7.4.2 NA A.7.2 – Physischer Zutritt
167
7.4.3 NA A.7.3 – Sichern von Büros, Räumen und Einrichtungen
168
7.4.4 NA A.7.4 – Physische Sicherheitsüberwachung
169
7.4.5 NA A.7.5 – Schutz vor physischen und umweltbedingten Bedrohungen
170
7.4.6 NA A.7.6 – Arbeiten in Sicherheitsbereichen
171
7.4.7 NA A.7.7 – Aufgeräumte Arbeitsumgebung und Bildschirmsperren
172
7.4.8 NA A.7.8 – Platzierung und Schutz von Geräten und Betriebsmitteln
173
7.4.9 NA A.7.9 – Sicherheit von Werten außerhalb der Räumlichkeiten
173
7.4.10 NA A.7.10 – Speichermedien
174
7.4.11 NA A.7.11 – Versorgungseinrichtungen
175
7.4.12 NA A.7.12 – Sicherheit der Verkabelung
176
7.4.13 NA A.7.13 – Instandhaltung von Geräten und Betriebsmitteln
177
7.4.14 NA A.7.14 – Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln
178
7.5 NK A.8 – Technologische Maßnahmen
180
7.5.1 NA A.8.1 – Endpunktgeräte des Benutzers
180
7.5.2 NA A.8.2 – Privilegierte Zugangsrechte
181
7.5.3 NA A.8.3 – Informationszugangsbeschränkung
182
7.5.4 NA A.8.4 – Zugriff auf den Quellcode
182
7.5.5 NA A.8.5 – Sichere Authentisierung
183
7.5.6 NA A.8.6 – Kapazitätssteuerung
184
7.5.7 NA A.8.7 – Schutz gegen Schadsoftware
185
7.5.8 NA A.8.8 – Handhabung von technischen Schwachstellen
186
7.5.9 NA A.8.9 – Konfigurationsmanagement
187
7.5.10 NA A.8.10 – Löschung von Informationen
188
7.5.11 NA A.8.11 – Datenmaskierung
189
7.5.12 NA A.8.12 – Verhinderung von Datenlecks
190
7.5.13 NA A.8.13 – Sicherung von Informationen
191
7.5.14 NA A.8.14 – Redundanz von informationsverarbeitenden Einrichtungen
192
7.5.15 NA A.8.15 – Protokollierung
193
7.5.16 NA A.8.16 – Überwachung von Aktivitäten
194
7.5.17 NA A.8.17 – Uhrensynchronisation
196
7.5.18 NA A.8.18 – Gebrauch von Hilfsprogrammen mit privilegierten Rechten
198
7.5.19 NA A.8.19 – Installation von Software auf Systemen im Betrieb
198
7.5.20 NA A.8.20 – Netzwerksicherheit
199
7.5.21 NA A.8.21 – Sicherheit von Netzwerkdiensten
200
7.5.22 NA A.8.22 – Trennung von Netzwerken
201
7.5.23 NA A.8.23 – Webfilterung
202
7.5.24 NA A.8.24 – Verwendung von Kryptographie
203
7.5.25 NA A.8.25 – Lebenszyklus einer sicheren Entwicklung
204
7.5.26 NA A.8.26 – Anforderungen an die Anwendungssicherheit
204
7.5.27 NA A.8.27 – Sichere Systemarchitektur und Entwicklungsgrundsätze
206
7.5.28 NA A.8.28 – Sichere Codierung
207
7.5.29 NA A.8.29 – Sicherheitsprüfung bei Entwicklung und Abnahme
208
7.5.30 NA A.8.30 – Ausgegliederte Entwicklung
209
7.5.31 NA A.8.31 – Trennung von Entwicklungs-, Test- und Produktionsumgebungen
211
7.5.32 NA A.8.32 – Änderungssteuerung
211
7.5.33 NA A.8.33 – Testdaten
212
7.5.34 NA A.8.34 – Schutz der Informationssysteme während Tests im Rahmen von Audits
213