ISO 27002 - Kapitel 5.10 Nutzung von Informationen und anderen zugehörigen Vermögenswerten
Eine angemessene Benutzung, Handhabung und Sicherung von Informationen erfordert Verfahrens- und Nutzungsregelungen. Im Kapitel 5.10 befasst sich die ISO 27002 mit der „Nutzung von Informationen und anderen zugehörigen Vermögenswerten“, um deren Sicherheit zu gewährleisten.
Nutzung von Informationen in der ISO 27002
Hier sind einige organisatorische Lösungen, die Unternehmen umsetzen können, um diese Anforderungen zu erfüllen:
Erstellung und Implementierung von Richtlinien
Organisationen sollten klare Richtlinien erstellen, die die akzeptierte Nutzung von Informationen und Vermögenswerten definieren. Diese Richtlinien sollten alle relevanten Aspekte abdecken, wie beispielsweise den Zugriff auf sensible Informationen, die Verwendung von Daten im Rahmen der Geschäftstätigkeit und die Weitergabe von Informationen an Dritte. Es sollte auch über nicht toleriertes Verhalten in Bezug auf die Informationssicherheit sowie ge- und verbotene Handlungsweisen aufgeklärt werden. Auch ein Konzept zur Überprüfung und Überwachung sollte erstellt werden.
Schulungen und Sensibilisierung
Es ist wichtig, alle Mitarbeiter über die Richtlinien zur akzeptable Nutzung von Informationen und Vermögenswerten zu informieren. Schulungen und Sensibilisierungsmaßnahmen können dazu beitragen, das Bewusstsein für die Bedeutung der Informationssicherheit zu schärfen und sicherzustellen, dass die Mitarbeiter die Richtlinien verstehen und befolgen.
Zugriffskontrolle
Durch die Implementierung geeigneter Zugriffsbeschränkungen und -kontrollen können Unternehmen sicherstellen, dass nur autorisierte Personen auf Informationen und Vermögenswerte zugreifen können. Dies kann durch die Verwendung von Benutzerkonten, Passwörtern, Zugriffsrechten und anderen technischen Maßnahmen erreicht werden.
Überwachung und Audit
Regelmäßige Überwachungen und Überprüfungen der Nutzung von Informationen und Vermögenswerten sind essentiell, um potenzielle Sicherheitslücken zu identifizieren und Missbrauch oder unbefugten Zugriff rechtzeitig zu erkennen. Unternehmen sollten regelmäßige interne Audits durchführen und gegebenenfalls externe Prüfungen in Erwägung ziehen.
Incident-Response-Plan
Ein gut ausgearbeiteter Incident-Response-Plan hilft Unternehmen dabei, angemessen auf Sicherheitsvorfälle zu reagieren. Dieser Plan sollte klare Anweisungen für den Umgang mit Verstößen gegen die akzeptable Nutzung von Informationen und Vermögenswerten enthalten und die entsprechenden Eskalationsverfahren festlegen.
Diese organisatorischen Lösungen unterstützen Unternehmen bei der Gewährleistung einer annehmbaren Nutzung von Informationen und Vermögenswerten gemäß ISO 27002:2021. Indem sie diese Maßnahmen umsetzen, können Organisationen ihre Informationssicherheit grundsätzlich verbessern und das Risiko von Sicherheitsvorfällen verringern.
Unterstützung im Rahmen der Zertifizierung nach ISO 27001
Die activeMind AG stellt für ihre Mandanten abgestimmte Richtlinien zur IT-Nutzung zur Verfügung, in denen Details für die Nutzung von IT-Systemen festgelegt werden. Hier werden unter anderem der Umgang mit geschäftlichen und privaten Systemen geregelt, Passwort Regelungen definiert und auf die erfolgte Protokollierung und gegebenenfalls Sanktionierung hingewiesen.