Compliance
Ihr vertrauenswürdiger Partner für Sicherheit und Compliance.
Was ist ISO/IEC 27001:2022?
Diese Zuordnung fasst zusammen, wo und wie Devolutions-Produkte Organisationen dabei unterstützen können, die technischen Aspekte der ISO/IEC 27001:2022-Kontrollen zu erfüllen – insbesondere in den Bereichen sicherer Fernzugriff, Verwaltung privilegierter Anmeldedaten, Identitäts-Governance und umfassende Nachvollziehbarkeit. Sie ersetzt nicht die Implementierung eines vollständigen ISMS, bietet aber eine Orientierung, wie Devolutions-Tools Ihre Compliance-Bemühungen unterstützen können.
5. Organisatorische Kontrollen
ISO 27001-Kontrollen
Devolutions-Funktion
Zugehörige Produkte
5.3 Aufgabentrennung
„Widersprüchliche Aufgaben und widersprüchliche Verantwortungsbereiche sind zu trennen.“
Rollentrennung, RBAC
5.9 Inventar von Informationen und anderen zugehörigen Werten
„Ein Inventar von Informationen und anderen zugehörigen Werten, einschließlich der Eigentümer, ist zu erstellen und zu pflegen.“
Inventar von Zugriffen, Identitäten und Sitzungen
5.15 Zugriffskontrolle
„Regeln zur Kontrolle des physischen und logischen Zugangs zu Informationen und anderen zugehörigen Werten sind auf Grundlage der geschäftlichen und informationssicherheitsbezogenen Anforderungen festzulegen und umzusetzen.“
Logische Zugriffskontrolle, PAM, feingranulare Berechtigungen
5.16 Identitätsmanagement
„Der gesamte Lebenszyklus von Identitäten ist zu verwalten.“
Integration mit AD, Azure AD, SCIM, SSO
5.17 Authentifizierungsinformationen
„Die Zuweisung und Verwaltung von Authentifizierungsinformationen ist durch einen Managementprozess zu steuern, einschließlich der Beratung des Personals zum angemessenen Umgang mit Authentifizierungsinformationen.“
Verschlüsselter Tresor, Passwortrotation, MFA
5.18 Zugriffsrechte
„Zugriffsrechte auf Informationen und andere zugehörige Werte sind gemäß der themenspezifischen Richtlinie und den Regeln der Organisation für die Zugriffskontrolle bereitzustellen, zu überprüfen, zu ändern und zu entziehen.“
Zugriffs-Lebenszyklusmanagement
5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten
„Prozesse für die Beschaffung, Nutzung, Verwaltung und Beendigung von Cloud-Diensten sind gemäß den Informationssicherheitsanforderungen der Organisation festzulegen.“
Cloud-Zugriffsmanagement, Secrets-Management, sicheres Tunneling
5.24 Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
„Die Organisation hat die Bewältigung von Informationssicherheitsvorfällen zu planen und vorzubereiten, indem sie Prozesse, Rollen und Verantwortlichkeiten für das Management von Informationssicherheitsvorfällen festlegt, einrichtet und kommuniziert.“
Prüfprotokoll, Protokollierung, Vorfallbereitschaft
5.25 Bewertung und Entscheidung über Informationssicherheitsereignisse
„Die Organisation hat Informationssicherheitsereignisse zu bewerten und zu entscheiden, ob diese als Informationssicherheitsvorfälle einzustufen sind.“
Erkennung/Analyse über Protokolle
5.26 Reaktion auf Informationssicherheitsvorfälle
„Auf Informationssicherheitsvorfälle ist gemäß den dokumentierten Verfahren zu reagieren.“
Behebungsmaßnahmen (Secret-Rotation), Incident-Management
5.27 Lernen aus Informationssicherheitsvorfällen
„Erkenntnisse aus Informationssicherheitsvorfällen sind zur Stärkung und Verbesserung der Informationssicherheitskontrollen zu nutzen.“
Audit-Verlauf zur Förderung von Verbesserungen
5.28 Beweissicherung
„Die Organisation hat Verfahren für die Identifizierung, Sammlung, Erfassung und Aufbewahrung von Beweisen im Zusammenhang mit Informationssicherheitsereignissen festzulegen und umzusetzen.“
Sitzungsaufzeichnung, zeitgestempelte Protokolle
6. Personenbezogene Kontrollen
ISO 27001-Kontrollen
Devolutions-Funktion
Zugehörige Produkte
6.7 Fernarbeit
„Sicherheitsmaßnahmen sind umzusetzen, wenn Personal aus der Ferne arbeitet, um Informationen zu schützen, auf die außerhalb der Räumlichkeiten der Organisation zugegriffen, die dort verarbeitet oder gespeichert werden.“
Sicherer Fernzugriff, MFA, sichere Tunnel
7. Physische Kontrollen
ISO 27001-Kontrollen
Devolutions-Funktion
Zugehörige Produkte
7.10 Speichermedien
„Speichermedien sind über ihren gesamten Lebenszyklus von Beschaffung, Nutzung, Transport und Entsorgung gemäß dem Klassifizierungsschema und den Handhabungsanforderungen der Organisation zu verwalten.“
Lokale Speicherung durch einen verschlüsselten zentralen Tresor ersetzen
8. Technologische Kontrollen
ISO 27001-Kontrollen
Devolutions-Funktion
Zugehörige Produkte
8.1 Benutzerendgeräte
„Informationen, die auf Benutzerendgeräten gespeichert, verarbeitet oder über diese zugänglich sind, sind zu schützen.“
Keine lokalen Secrets; Credential Injection
8.2 Privilegierte Zugriffsrechte
„Die Zuweisung und Nutzung privilegierter Zugriffsrechte ist einzuschränken und zu verwalten.“
Vollständiges PAM, Sitzungsaufzeichnung
8.3 Einschränkung des Informationszugriffs
„Der Zugang zu Informationen und anderen zugehörigen Werten ist gemäß der festgelegten themenspezifischen Zugriffskontrollrichtlinie einzuschränken.“
RBAC, Segmentierung
8.4 Zugang zu Quellcode
„Der Lese- und Schreibzugriff auf Quellcode, Entwicklungswerkzeuge und Softwarebibliotheken ist angemessen zu verwalten.“
Sichere Speicherung von DevOps- und CI/CD-Secrets
8.5 Sichere Authentifizierung
„Sichere Authentifizierungstechnologien und -verfahren sind auf Grundlage der Zugangsbeschränkungen und der themenspezifischen Zugriffskontrollrichtlinie umzusetzen.“
MFA, FIDO2, OTP, Push
8.7 Schutz vor Schadsoftware
„Der Schutz vor Schadsoftware ist umzusetzen und durch angemessene Sensibilisierung der Benutzer zu unterstützen.“
Reduziertes Phishing-Risiko durch Credential Injection
8.9 Konfigurationsmanagement
„Konfigurationen, einschließlich Sicherheitskonfigurationen, von Hardware, Software, Diensten und Netzwerken sind festzulegen, zu dokumentieren, umzusetzen, zu überwachen und zu überprüfen.“
Standardisierung von Verbindungen und Zugriffen
8.11 Datenmaskierung
„Datenmaskierung ist gemäß der themenspezifischen Zugriffskontrollrichtlinie der Organisation und anderen verwandten themenspezifischen Richtlinien sowie Geschäftsanforderungen unter Berücksichtigung geltender Rechtsvorschriften anzuwenden.“
Credential Injection (Secret wird nie offengelegt), RBAC
8.12 Schutz vor Datenverlust
„Maßnahmen zum Schutz vor Datenverlust sind auf Systeme, Netzwerke und alle anderen Geräte anzuwenden, die vertrauliche Informationen verarbeiten, speichern oder übertragen.“
Tresor + Sitzungsproxy, RBAC
8.13 Informationssicherung
„Sicherungskopien von Informationen, Software und Systemen sind gemäß der vereinbarten themenspezifischen Backup-Richtlinie zu pflegen und regelmäßig zu testen.“
Verschlüsselte DVLS/Hub-Backups
8.15 Protokollierung
„Protokolle, die Aktivitäten, Ausnahmen, Fehler und andere relevante Ereignisse aufzeichnen, sind zu erstellen, zu speichern, zu schützen und zu analysieren.“
Vollständiges Prüfprotokoll
8.16 Überwachungsaktivitäten
„Netzwerke, Systeme und Anwendungen sind auf anomales Verhalten zu überwachen, und es sind geeignete Maßnahmen zur Bewertung potenzieller Informationssicherheitsvorfälle zu ergreifen.“
Überwachung + Sitzungsaufzeichnung
8.18 Nutzung privilegierter Dienstprogramme
„Die Nutzung von Dienstprogrammen, die in der Lage sein können, System- und Anwendungskontrollen zu umgehen, ist einzuschränken und streng zu kontrollieren.“
PAM, Einschränkungen für Admin-Tools
8.22 Trennung von Netzwerken
„Gruppen von Informationsdiensten, Benutzern und Informationssystemen sind in den Netzwerken der Organisation zu trennen.“
Segmentierung über Gateway
8.24 Einsatz von Kryptografie
„Regeln für den wirksamen Einsatz von Kryptografie, einschließlich der Verwaltung kryptografischer Schlüssel, sind festzulegen und umzusetzen.“
AES-256-Verschlüsselung, TLS 1.2+
8.25 Sicherer Entwicklungslebenszyklus
„Regeln für die sichere Entwicklung von Software und Systemen sind festzulegen und anzuwenden.“
Secrets-Management für Entwicklung/Test/Produktion
8.29 Sicherheitstests in Entwicklung und Abnahme
„Sicherheitstestprozesse sind im Entwicklungslebenszyklus festzulegen und umzusetzen.“
Gesicherte Test-Secrets
8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen
„Entwicklungs-, Test- und Produktionsumgebungen sind zu trennen und abzusichern.“
Logische Trennung über Tresore / RBAC
8.32 Änderungsmanagement
„Änderungen an informationsverarbeitenden Einrichtungen und Informationssystemen sind Änderungsmanagementverfahren zu unterziehen.“
Audit- und Änderungsnachverfolgbarkeit
8.33 Testinformationen
„Testinformationen sind angemessen auszuwählen, zu schützen und zu verwalten.“
Schutz von Test-Secrets
Ressourcen
Entdecken Sie weitere Einblicke und Tools, die Ihnen helfen, in Sachen IT-Sicherheit immer auf dem neuesten Stand zu bleiben.
CVEs verstehen: Ein Schlüsselelement zum Schutz Ihrer Organisation
Jetzt lesen
IT-Sicherheitslücken schließen mit IT-geführtem PAM
Jetzt ansehen
Newsletter abonnieren
Abonnieren Sie unsere Mailinglisten, um Branchenneuigkeiten, Produktupdates, schnelle Tipps, Sonderangebote und mehr zu erhalten.