Informationssicherheit – ISO 27001 Controls: A.14 Anschaffen, Entwickeln und Instandhalten von Systemen

Grundsätzlich gilt: die Anwendbarkeit der Anforderungen hängt von den im Scope ausgeführten Tätigkeiten ab.

Auf die meisten Unternehmen sollten jedoch die Einstufungen aus diesem Artikel zutreffen. Einen schnellen Überblick bietet die Tabelle.

A.14.2.4 Beschränkung von Änderungen an Softwarepaketen

Haben Unternehmen die Ressourcen, um Softwarepakete anzupassen und tun dies auch, z.B. für Anpassungen an das Corporate Design oder sonstige Optimierungen, dann ist dieses Control anzuwenden. Werden diese Tätigkeiten nicht durchgeführt (z.B. mangels Wissen, Personal oder Notwendigkeit), ist ein Ausschluss möglich.

Die bessere Variante ist jedoch nach unserer Meinung, dieses Control als anwendbar einzubeziehen, in der zugeordneten Regelung allerdings explizit zu erwähnen, dass im Unternehmen keine Software angepasst wird. So ist zukünftig eine einfache Anpassung möglich.

A.14.2.5 Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme

Der Ausschluss dieses Controls ist eigentlich nicht möglich. Denn hierunter fallen auch Vorgaben an Software, die sich bereits im Einsatz befindet oder angeschafft werden soll. Kaum ein Unternehmen kann deshalb zumindest auf die Analyse von Software-Anforderungen verzichten.

Zudem ist zu berücksichtigen, dass auch externe Partner in Regelungen zur Informationssicherheit der Organisation einbezogen werden müssen. Das bedeutet, dass die Organisation dazu verpflichtet ist, entsprechende Vorgaben zu machen und deren Einhaltung zu überwachen, wenn externe Partner Aufgaben aus der A.14.2.5 übernehmen.

A.14.2.9 Systemabnahmetest

Der Systemabnahmetest wird in jedem Unternehmen durchgeführt. Bei einigen im großen Stil mit Testumgebungen, bei anderen Unternehmen im kleinen Stil durch einen einfachen Funktionstest (oft einfach einschalten und sehen, ob das Gerät das erwartete Ergebnis liefert). Über diese erwarteten Ergebnisse muss jede Organisation vorher Klarheit schaffen und die Anforderungen auch im Rahmen der Beschaffung berücksichtigen. Auch wenn die Beschaffung an externe Dienstleister ausgelagert ist, verbleibt die Pflicht, dies zu überwachen.

Aus unserer Sicht ist es daher nicht möglich, dieses Control auszuschließen.

Schulungen zum Thema Informationssicherheitssysteme

Unsere GUTcert Akademie bietet viele praxisorientierte Seminare zum Thema Informationssicherheitssysteme an, u.a. eine Schulung zum Informationssicherheitsbeauftragten/-auditor
nach ISO 27001 (GUTcert). Verschaffen Sie sich das nötige Know-how, um Ihre Organisation kompetent abzusichern.

Für Informationen zum Schulungsprogramm steht Ihnen das Team der GUTcert Akademie (+49 30 2332021-21) zur Verfügung.

Fragen oder Hinweise zum Thema Informationssicherheit richten Sie gerne an Marcel Däfler.

Über die GUTcert GmbH

Die Zertifizierung von Integrierten Managementsystemen mit den Schwerpunkten Qualitätsmanagement, Umweltmanagement, Arbeitssicherheit sowie Energiemanagement ist das Hauptgeschäft der GUTcert. Weitere Kernkompetenzen der GUTcert sind die Verifizierung von Treibhausgasemissionen nach anerkannten Standards sowie die Zertifizierung der Nachhaltigkeitsanforderungen für Biomasse.

Als Mitglied der AFNOR Gruppe bietet die GUTcert ihre Zertifizierungsdienstleistungen im internationalen Netzwerk an, welches weltweit 28 Niederlassungen umfasst und mit 1.500 Auditoren und 20.000 Experten Kunden in über 90 Ländern betreut.

Die GUTcert Akademie bündelt das Fachwissen von Auditoren und anderen Experten, um Teilnehmern direkt anwendbare Kompetenzen mit nachhaltigem Mehrwert zu vermitteln.

Firmenkontakt und Herausgeber der Meldung:

GUTcert GmbH
Eichenstraße 3b
12435 Berlin
Telefon: +49 (30) 2332021-0
Telefax: +49 (30) 2332021-39
http://www.gut-cert.de

Ansprechpartner:
Marcel Däfler
Telefon: +49 (30) 2332021-79
E-Mail: marcel.daefler@gut-cert.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel