„8.12 Data leakage prevention“ gehört zu den neuen Controls der ISO/IEC 27002:2022, die es in der bisherigen Version der Norm in dieser Form nicht gab. Data Leakage Prevention ist ein Feature in der Informationssicherheit, das sich in den letzten Jahren verstärkt in den Vordergrund gedrängt hat und das vielen Herstellern von Tools für die Informationssicherheit […]
Blogreihe
„8.28 Secure coding“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe
Die sichere Programmierung von Anwendungen ist nicht erst durch neue Normen wie die ISO/IEC 27002 ein zentrales Gut von Unternehmen. Die Stichwortsuche „secure coding“ erzielt bei der Google-Suche 180.000.000 Treffer, entsprechend gibt es unzählige Berichte, Anleitungen und Grundsätze zu diesem Thema. Ein Grund mehr, sich mit der sicheren Entwicklung ausgiebig zu beschäftigen. Die ISO/IEC 27002 […]
Wie wir den „digitalen Euro“ auditieren würden
Was wäre, wenn wir den digitalen Euro einem Datenschutzaudit unterziehen bzw. geht das überhaupt? Dazu skizzieren wir in groben Zügen die Durchführung eines Datenschutzaudits. Der „digitale Euro“ – ein Überblick Aktuell steht sog. „Zentralbankgeld“, Guthaben bei der Zentralbank und Bargeld, der Öffentlichkeit nur in Form von Bargeld zur Verfügung. Dies soll sich vermutlich ändern, die […]
Unterschiede und Gemeinsamkeiten: Datenschutzaudit vs. „DSGVO-Zertifikat“
Willkommen beim 3. Teil der Reihe „Datenschutzaudit – Wieso, Weshalb, Warum?“. In diesem Beitrag werden Datenschutzzertifikat und Datenschutzaudit einander gegenübergestellt. Rechtliche Grundlagen Zunächst einmal lässt sich feststellen, dass im Gegensatz zum Datenschutzaudit das „DSGVO-Zertifikat“ gesetzlich normiert ist. Und das hat einen Grund: Durch klare Vorschriften und Anforderungen für die Zertifizierungsdienste soll ein zuverlässiges und transparentes […]
Muss ich ein Datenschutzaudit durchführen?
Anknüpfend an den ersten Blogbeitrag unserer Reihe „Datenschutzaudit – Wieso, Weshalb, Warum?“ soll heute die Frage beantwortet werden, inwiefern Datenschutzaudits verpflichtend sind. 1. Sinn und Zweck eines Datenschutzaudits Ein Datenschutzaudit dient der Überprüfung und Dokumentation von Verarbeitungsvorgängen hinsichtlich der Einhaltung der Anforderungen der DSGVO – sowohl in der Rolle eines Verantwortlichen als auch eines Auftragsverarbeiters. […]
Datenschutzaudit – Wieso, Weshalb, Warum?
In der kommenden Blogreihe „Datenschutzaudit – Wieso, Weshalb, Warum?“ beschäftigen wir uns näher mit dem Datenschutzaudit. In unserem ersten Beitrag der kleinen Reihe untersuchen wir zunächst die rechtlichen Grundlagen und skizzieren die Durchführung eines Datenschutzaudits. Im zweiten Blogbeitrag „Muss ich ein Datenschutzaudit durchführen?“ untersuchen wir den Sinn und Zweck eines Datenschutzaudits und das Bestehen möglicher […]
„5.30 ICT readiness for business continuity“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe
Die Norm ISO/IEC 27002 ist in einer neuen Version erschienen, wie im Blogbeitrag „Die neue ISO/IEC 27002“ vom 13.04.2022 dargestellt. Neben der Neustrukturierung wurden auch vollständig neue Referenzmaßnahmen (auch „Control“ genannt) eingeführt, die in dieser Blogreihe vorgestellt werden. Das neue Control „5.30 ICT readiness for business continuity“ hat das Ziel, unternehmensgefährdende IT-Risiken und deren Auswirkungen […]
„5.23 Information security for use of cloud services“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe
Heutzutage setzen sich Cloud-Anwendungen bzw. Cloud-Services bei immer mehr Unternehmen durch – von kleinen Hilfsprogrammen bis hin zu mächtigen Office-Anwendungen. Da sich bei der Nutzung von solchen Cloud-Services aus Sicht der Informationssicherheit durchaus einige Besonderheiten und Abweichungen zu reinen On-Premises-Anwendungen ergeben, wurde nun im Abschnitt 5 „Organizational controls“ hierzu ein eigenes Kapitel in die ISO/IEC […]
„7.4 Physical security monitoring“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe
Mit der ISO/IEC 27002:2022 ist im Februar eine neue Version der internationalen Norm erschienen, welche eine Neustrukturierung von Referenzmaßnahmenzielen sowie -maßnahmen für Informationssicherheit vornimmt und zudem auch ganz neue Referenzmaßnahmen (auch „Controls“ genannt) einführt. Unser Blogbeitrag „Die neue ISO/IEC 27002“ klärte diesbezüglich auf. Das Control „7.4 Physical security monitoring“ zählt zu den neuen präventiven („Preventive“) […]
„8.11 Data masking“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe
Das neue Control „8.11 Data masking“ gehört zu den „Technological controls“ der ISO/IEC 27002:2022. Ziel dieses neu hinzugefügten Controls ist die Veröffentlichung sensibler Daten zu verhindern und gleichzeitig die rechtlichen, gesetzlichen, regulatorischen und vertraglichen Anforderungen zu erfüllen. Dieses Ziel lässt sich umsetzen, indem sensible Daten verschleiert werden. Sensible Daten können personenbezogene Daten sein, aber auch […]
„8.16 Monitoring activities“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe
Das neue Control „Monitoring activities“ zählt zu den „Technological controls“ der ISO/IEC 27002:2022. Wird das Control wie beschrieben umgesetzt, werden Netze, Systeme und Anwendungen auf anormales Verhalten überwacht und potentielle Informationssicherheitsvorfälle können erkannt werden. Welche Parameter sollten überwacht werden? Laut Vorgabe der ISO/IEC 27002:2022 sollten die folgenden Punkte in die Überwachung und Protokollierung einbezogen werden: […]
„8.23 Web filtering“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe
Mit der ISO/IEC 27002:2022 ist im Februar eine neue Version der internationalen Norm erschienen, welche eine Neustrukturierung von Referenzmaßnahmenzielen sowie -maßnahmen für Informationssicherheit vornimmt und zudem auch ganz neue Referenzmaßnahmen (auch „Controls“ genannt) einführt. Unser Blogbeitrag „Die neue ISO/IEC 27002“ klärte diesbezüglich auf. Das Control „8.23 Web filtering“ zählt zu den neuen präventiven („Preventive“) Referenzmaßnahmen […]
„8.9 Configuration management“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe
Das neue Control „8.9 Configuration management“ zählt zu den „Technological Controls“ der ISO/IEC 27002:2022. Das Ziel des Controls ist es, dass Konfigurationen (inklusive Sicherheitskonfigurationen) von Hardware, Software, Diensten und Netzwerken eingeführt, dokumentiert, umgesetzt, überwacht und geprüft werden. Was ist üblicherweise Configuration Management? Unter dem Begriff „Configuration Management“ (auch „Configuration Management Database“ (CMDB)) wird z. B. […]
„5.7 Threat intelligence“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe
Die Norm ISO/IEC 27002 ist in einer neuen Version erschienen, wie im Artikel „Die neue ISO/IEC 27002“ vom 13.04.2022 in diesem Blog dargestellt. Neben der Neustrukturierung wurden auch vollständig neue Referenzmaßnahmen (auch „Control“ genannt) eingeführt, die in dieser Blogreihe vorgestellt werden. Das erste der neuen Controls, „5.7 Threat intelligence“, befasst sich mit der zielgerichteten Sammlung, […]