ISO 27001 Annex-A Control-Finder (2022)

Diese Seite gibt keine Control-Titel oder normativen Anforderungen der ISO/IEC 27001:2022 wieder. Die offiziellen Titel und den normativen Text jedes Controls entnehmen Sie der ISO/IEC 27001:2022 von Ihrer nationalen Normungsorganisation. Dieses Tool bietet originale, verständliche Zusammenfassungen zur Orientierung; es ersetzt die Norm nicht.

• A.5.1Organisatorisch (A.5)Grundlegend

  Ein vom Management genehmigtes Regelwerk für Informationssicherheit pflegen, an Mitarbeitende kommunizieren und planmäßig sowie nach größeren Änderungen überprüfen.

  Typische Nachweise

  • Genehmigtes Regelwerk mit Versionshistorie
  • Prüf- und Freigabenachweise
• A.5.2Organisatorisch (A.5)Grundlegend

  Festlegen und dokumentieren, wer für welche Informationssicherheitsaktivität verantwortlich und rechenschaftspflichtig ist.

  Typische Nachweise

  • Rollen- und Verantwortungsmatrix
  • Stellenbeschreibungen mit Sicherheitspflichten
• A.5.3Organisatorisch (A.5)Mittel

  Konfligierende Aufgaben trennen, sodass keine Einzelperson einen Prozess missbrauchen und zugleich verbergen kann.

  Typische Nachweise

  • Analyse der Aufgabentrennung
  • Genehmigungsabläufe mit Vier-Augen-Prinzip
• A.5.4Organisatorisch (A.5)Grundlegend

  Die Leitung fordert und unterstützt aktiv, dass alle Mitarbeitenden Informationssicherheit gemäß den Vorgaben anwenden.

  Typische Nachweise

  • Management-Vorgaben zur Sicherheit
  • Leitungskommunikation an Mitarbeitende
• A.5.5Organisatorisch (A.5)Mittel

  Funktionierende Kontaktwege zu Behörden, Strafverfolgung und Aufsicht vorhalten, bevor sie dringend gebraucht werden.

  Typische Nachweise

  • Behördenkontaktliste mit Zuständigen
  • Nachweise erfolgter Meldungen
• A.5.6Organisatorisch (A.5)Fortgeschritten

  An Sicherheitsforen und Fachgruppen teilnehmen, um bei Bedrohungen und bewährter Praxis aktuell zu bleiben.

  Typische Nachweise

  • Mitgliedschaftsnachweise
  • Intern geteilte Notizen aus der Mitarbeit
• A.5.7Organisatorisch (A.5)Fortgeschritten

  Ausgewählte Bedrohungsquellen nutzen, um relevante Warnsignale in konkrete Sicherheitsmaßnahmen umzusetzen.

  Typische Nachweise

  • Quellen und Feeds für Bedrohungsdaten
  • Auswertungen, die Maßnahmen steuern
• A.5.8Organisatorisch (A.5)Mittel

  Sicherheitsanforderungen und Risikobewertung von Projektbeginn an in Projekte einbauen.

  Typische Nachweise

  • Projekt-Sicherheitschecklisten
  • Risikobewertungen an Projekt-Gates
• A.5.9Organisatorisch (A.5)Grundlegend

  Eine aktuelle Liste wichtiger Informationsbestände, unterstützender Systeme und zuständiger Verantwortlicher pflegen.

  Typische Nachweise

  • Asset-Inventar mit Eigentümern
  • Regelmäßiger Inventarabgleich
• A.5.10Organisatorisch (A.5)Grundlegend

  Praktische Ge- und Verbote dafür festlegen, wie Personen Informationsbestände nutzen, handhaben und ausmustern.

  Typische Nachweise

  • Richtlinie zur akzeptablen Nutzung
  • Kenntnisnahmen der Nutzenden
• A.5.11Organisatorisch (A.5)Grundlegend

  Organisationswerte zurückerlangen, wenn Personen ausscheiden oder die Rolle wechseln.

  Typische Nachweise

  • Offboarding-Checkliste zur Rückgabe
  • Unterschriebene Rückgabenachweise
• A.5.12Organisatorisch (A.5)Grundlegend

  Informationen nach Sensibilität einstufen, damit der Schutz ihrem Wert und rechtlichen Anforderungen entspricht.

  Typische Nachweise

  • Klassifizierungsschema
  • Beispielhaft klassifizierte Dokumente
• A.5.13Organisatorisch (A.5)Mittel

  Informationen konsistent gemäß ihrer Klassifizierung kennzeichnen, damit Handhabungsregeln eindeutig sind.

  Typische Nachweise

  • Kennzeichnungsstandard
  • Beispiele angewandter Kennzeichnungen
• A.5.14Organisatorisch (A.5)Grundlegend

  Informationen, die zwischen Personen, Systemen oder Organisationen übertragen werden, nach vereinbarten Regeln schützen.

  Typische Nachweise

  • Übertragungsvereinbarungen
  • Eingesetzte sichere Übertragungswege
• A.5.15Organisatorisch (A.5)Grundlegend

  Zugriffsentscheidungen auf dokumentierten Bedarf, Risiko und genehmigten Geschäftszweck stützen.

  Typische Nachweise

  • Zugriffskontrollrichtlinie
  • Zugriffsantrags- und Genehmigungsnachweise
• A.5.16Organisatorisch (A.5)Grundlegend

  Den vollständigen Lebenszyklus digitaler Identitäten für Personen und Dienste verwalten.

  Typische Nachweise

  • Prozess für den Identitätslebenszyklus
  • Ein-/Wechsel-/Austrittsnachweise
• A.5.17Organisatorisch (A.5)Grundlegend

  Passwörter, Token und andere zur Authentisierung genutzte Geheimnisse ausgeben, schützen und verwalten.

  Typische Nachweise

  • Verfahren zur Verwaltung von Anmeldedaten
  • Kontrollen zur Geheimnisspeicherung
• A.5.18Organisatorisch (A.5)Grundlegend

  Benutzerberechtigungen aktuell halten: nur das Nötige geben, regelmäßig prüfen und bei Wegfall zügig entfernen.

  Typische Nachweise

  • Nachweise von Zugriffsüberprüfungen
  • Belege für zeitnahen Entzug
• A.5.19Organisatorisch (A.5)Mittel

  Das Informationssicherheitsrisiko aus der Nutzung von Lieferantenprodukten und -diensten adressieren.

  Typische Nachweise

  • Lieferantenrisikobewertungen
  • Sicherheitsrichtlinie für Lieferanten
• A.5.20Organisatorisch (A.5)Mittel

  Sicherheitserwartungen an Lieferanten in Verträge oder gleichwertige schriftliche Zusagen aufnehmen.

  Typische Nachweise

  • Sicherheitsklauseln in Verträgen
  • Unterzeichnete Lieferantenvereinbarungen
• A.5.21Organisatorisch (A.5)Fortgeschritten

  Sicherheitsanforderungen durch mehrstufige IKT-Produkt- und Dienstlieferketten weitergeben.

  Typische Nachweise

  • IKT-Lieferkettenanforderungen
  • Weitergabeklauseln an Unterlieferanten
• A.5.22Organisatorisch (A.5)Mittel

  Von Lieferanten erbrachte Dienste regelmäßig prüfen und sicherheitsrelevante Änderungen steuern.

  Typische Nachweise

  • Service-Reviews mit Lieferanten
  • Änderungsnachweise zu Lieferantendiensten
• A.5.23Organisatorisch (A.5)Mittel

  Vor der Nutzung festlegen, wie Cloud-Dienste freigegeben, betrieben und wieder beendet werden.

  Typische Nachweise

  • Cloud-Nutzungsrichtlinie
  • Cloud-Ausstiegs-/Portabilitätsplan
• A.5.24Organisatorisch (A.5)Grundlegend

  Vorfallrollen, Ablaufpläne und Werkzeuge vorbereiten, bevor ein echter Vorfall eintritt.

  Typische Nachweise

  • Notfallreaktionsplan
  • Definierte Vorfallrollen
• A.5.25Organisatorisch (A.5)Mittel

  Erkannte Sicherheitsereignisse bewerten und entscheiden, welche als Vorfälle gelten.

  Typische Nachweise

  • Triage-Kriterien für Ereignisse
  • Entscheidungsprotokoll Ereignis/Vorfall
• A.5.26Organisatorisch (A.5)Grundlegend

  Bestätigte Vorfälle gemäß Reaktionsplan eindämmen, beseitigen und wiederherstellen.

  Typische Nachweise

  • Aufzeichnungen zur Vorfallreaktion
  • Wiederherstellungsnotizen nach Eindämmung
• A.5.27Organisatorisch (A.5)Mittel

  Erkenntnisse aus Vorfällen nutzen, um Maßnahmen zu stärken und Wiederholungen zu verringern.

  Typische Nachweise

  • Nachbesprechungen zu Vorfällen
  • Nachverfolgte Verbesserungsmaßnahmen
• A.5.28Organisatorisch (A.5)Fortgeschritten

  Vorfallbeweise so behandeln, dass Verlässlichkeit und Nachvollziehbarkeit erhalten bleiben.

  Typische Nachweise

  • Verfahren zur Beweisbehandlung
  • Aufzeichnungen zur Beweiskette
• A.5.29Organisatorisch (A.5)Mittel

  Wesentliche Sicherheitsschutzmaßnahmen während einer Geschäftsstörung in Betrieb halten.

  Typische Nachweise

  • Mit Kontinuität abgestimmte Sicherheitspläne
  • Ergebnisse von Störungsübungen
• A.5.30Organisatorisch (A.5)Mittel

  Sicherstellen, dass die IKT innerhalb der von der Geschäftskontinuität geforderten Zeiten wiederherstellbar ist.

  Typische Nachweise

  • IKT-Kontinuitätsanforderungen (RTO/RPO)
  • Ergebnisse von Wiederherstellungstests
• A.5.31Organisatorisch (A.5)Grundlegend

  Ein Verzeichnis externer, sicherheitsrelevanter Verpflichtungen führen und Verantwortliche für deren Erfüllung benennen.

  Typische Nachweise

  • Register rechtlicher/regulatorischer Anforderungen
  • Zuständigkeiten für Compliance
• A.5.32Organisatorisch (A.5)Mittel

  Software, Inhalte und Lizenzen so steuern, dass fremdes geistiges Eigentum gewahrt und eigenes geschützt wird.

  Typische Nachweise

  • Software-Lizenzregister
  • Prüfungen zur IP-Konformität
• A.5.33Organisatorisch (A.5)Mittel

  Erforderliche Aufzeichnungen verlässlich halten, nur Befugten zugänglich machen und für die nötige Dauer aufbewahren.

  Typische Nachweise

  • Aufbewahrungsplan für Aufzeichnungen
  • Geschützte Aufzeichnungsablage
• A.5.34Organisatorisch (A.5)Grundlegend

  Die Datenschutzpflichten für die von der Organisation verarbeiteten personenbezogenen Daten erfüllen.

  Typische Nachweise

  • Verfahren zum Umgang mit personenbezogenen Daten
  • Verarbeitungsverzeichnis
• A.5.35Organisatorisch (A.5)Mittel

  Regelmäßige externe oder unparteiische Überprüfungen anstoßen, wie gut das Sicherheitsprogramm funktioniert.

  Typische Nachweise

  • Berichte unabhängiger Überprüfungen
  • Maßnahmenpläne aus Feststellungen
• A.5.36Organisatorisch (A.5)Mittel

  Prüfen, dass der Betrieb die eigenen Sicherheitsrichtlinien und -standards tatsächlich einhält.

  Typische Nachweise

  • Ergebnisse von Konformitätsprüfungen
  • Nachverfolgung von Abweichungen
• A.5.37Organisatorisch (A.5)Grundlegend

  Wiederkehrende betriebliche Aufgaben aufschreiben, bei denen Konsistenz für die Sicherheit zählt.

  Typische Nachweise

  • Dokumentierte Betriebsabläufe
  • Prüfnachweise zu Abläufen
• A.6.1Personenbezogen (A.6)Grundlegend

  Den Hintergrund von Bewerbenden risikoangemessen und im rechtlichen Rahmen überprüfen.

  Typische Nachweise

  • Screening-Richtlinie
  • Abgeschlossene Screening-Nachweise
• A.6.2Personenbezogen (A.6)Grundlegend

  Sicherheitspflichten in Arbeitsverträge, Onboarding-Unterlagen oder gleichwertige Bedingungen aufnehmen.

  Typische Nachweise

  • Sicherheitsklauseln im Arbeitsvertrag
  • Unterzeichnete Kenntnisnahmen
• A.6.3Personenbezogen (A.6)Grundlegend

  Personen durch wiederkehrende Sicherheits-Briefings, Schulungen und rollenspezifisches Lernen aktuell halten.

  Typische Nachweise

  • Schulungsplan und -inhalte
  • Teilnahme- und Testnachweise
• A.6.4Personenbezogen (A.6)Mittel

  Einen definierten, fairen Prozess für den Umgang mit Verstößen gegen Sicherheitsrichtlinien betreiben.

  Typische Nachweise

  • Dokumentation des Disziplinarprozesses
  • Anonymisierte Fallbearbeitungsnachweise
• A.6.5Personenbezogen (A.6)Grundlegend

  Sicherheitspflichten festlegen, die nach Ausscheiden oder Rollenwechsel fortbestehen.

  Typische Nachweise

  • Klauseln zu nachvertraglichen Pflichten
  • Offboarding-Checkliste
• A.6.6Personenbezogen (A.6)Grundlegend

  Durchsetzbare Vertraulichkeitsverpflichtungen für den Umgang mit geschützten Informationen einrichten.

  Typische Nachweise

  • Unterzeichnete Geheimhaltungsvereinbarungen
  • NDA-Register
• A.6.7Personenbezogen (A.6)Mittel

  Informationen schützen, wenn Personen außerhalb der Organisationsstandorte arbeiten.

  Typische Nachweise

  • Richtlinie zum mobilen Arbeiten
  • Sichere Fernzugriffskontrollen
• A.6.8Personenbezogen (A.6)Grundlegend

  Personen einen einfachen, bekannten Weg geben, beobachtete Sicherheitsereignisse zeitnah zu melden.

  Typische Nachweise

  • Meldekanal für Ereignisse
  • Protokoll gemeldeter Ereignisse
• A.7.1Physisch (A.7)Grundlegend

  Wände, Türen, Sperren oder gleichwertige Grenzen nutzen, um sensible Arbeitsbereiche von öffentlichem oder weniger vertrauenswürdigem Raum zu trennen.

  Typische Nachweise

  • Standortsicherheitspläne
  • Inspektionsnachweise der Sicherheitsbereiche
• A.7.2Physisch (A.7)Grundlegend

  Steuern, wer wann physisch Sicherheitsbereiche betreten darf.

  Typische Nachweise

  • Protokolle der Zutrittskontrollanlage
  • Besuchermanagement-Nachweise
• A.7.3Physisch (A.7)Mittel

  Arbeitsbereiche und Einrichtungen schwerer missbrauchbar, betretbar oder beschädigbar machen.

  Typische Nachweise

  • Gestaltungsnotizen zur Gebäudesicherheit
  • Maßnahmen zur Raumhärtung
• A.7.4Physisch (A.7)Mittel

  Alarme, Überwachung, Rundgänge oder Protokolle nutzen, um unerwünschte Zutrittsversuche zu erkennen und darauf zu reagieren.

  Typische Nachweise

  • Konfiguration der Überwachung
  • Nachweise zur Alarmbearbeitung
• A.7.5Physisch (A.7)Mittel

  Einrichtungen gegen Feuer, Wasser, Stromausfall und ähnliche Umweltgefahren schützen.

  Typische Nachweise

  • Umweltrisikobewertung
  • Testprotokolle der Schutzsysteme
• A.7.6Physisch (A.7)Mittel

  Regeln für Verhalten und Arbeiten in sensiblen Bereichen festlegen.

  Typische Nachweise

  • Arbeitsregeln für Sicherheitsbereiche
  • Bestätigte Unterweisungen
• A.7.7Physisch (A.7)Grundlegend

  Keine sensiblen Informationen offen auf Tischen oder unbeaufsichtigten Bildschirmen lassen.

  Typische Nachweise

  • Richtlinie für aufgeräumten Arbeitsplatz/Bildschirm
  • Ergebnisse von Begehungen
• A.7.8Physisch (A.7)Mittel

  Geräte so aufstellen und sichern, dass Standort-, Umwelt- und Zugriffsrisiken sinken.

  Typische Nachweise

  • Standards zur Geräteaufstellung
  • Nachweise von Schutzmaßnahmen
• A.7.9Physisch (A.7)Mittel

  Geräte und Werte schützen, die außerhalb der Standorte genutzt oder gelagert werden.

  Typische Nachweise

  • Richtlinie für Werte außer Haus
  • Nachverfolgung externer Geräte
• A.7.10Physisch (A.7)Grundlegend

  Speichermedien von der ersten Nutzung bis zur Ausmusterung nachverfolgen und schützen.

  Typische Nachweise

  • Verfahren zur Medienhandhabung
  • Nachweise sicherer Medienvernichtung
• A.7.11Physisch (A.7)Mittel

  Für Versorgungseinrichtungen, von denen kritische Geräte abhängen, Ausfallsicherheit bereitstellen.

  Typische Nachweise

  • Testprotokolle USV/Generator
  • Resilienzkonzept der Versorgung
• A.7.12Physisch (A.7)Fortgeschritten

  Wichtige Kabel so verlegen und abschirmen, dass sie schwerer abzuhören, zu manipulieren oder versehentlich zu beschädigen sind.

  Typische Nachweise

  • Maßnahmen zum Kabelschutz
  • Dokumentation der Kabelwege
• A.7.13Physisch (A.7)Mittel

  Geräte so warten, dass sie verfügbar und sicher bleiben.

  Typische Nachweise

  • Wartungsplan
  • Wartungsnachweise mit Sicherheitsprüfungen
• A.7.14Physisch (A.7)Grundlegend

  Vor Weiternutzung oder Entsorgung sensible Inhalte löschen und lizenzierte Software bei Bedarf entfernen.

  Typische Nachweise

  • Löschverfahren
  • Entsorgungs-/Wiederverwendungsnachweise
• A.8.1Technologisch (A.8)Grundlegend

  Grundschutz auf Laptops, Telefone und andere Endgeräte anwenden, die mit Organisationsinformationen umgehen.

  Typische Nachweise

  • Härtungs-Baseline für Endgeräte
  • MDM-/Endpoint-Schutzberichte
• A.8.2Technologisch (A.8)Grundlegend

  Erhöhte administrative Zugriffe streng beschränken und überwachen.

  Typische Nachweise

  • Register privilegierter Zugriffe
  • Protokolle/Reviews privilegierter Sitzungen
• A.8.3Technologisch (A.8)Grundlegend

  Zugriff auf Informationen und Funktionen auf das beschränken, was jede Person benötigt.

  Typische Nachweise

  • Regeln zur Zugriffsbeschränkung
  • Rollen-Rechte-Zuordnungen
• A.8.4Technologisch (A.8)Mittel

  Zugang zu Repository und Build-System auf Personen und Dienste mit berechtigtem Bedarf begrenzen.

  Typische Nachweise

  • Zugriffskontrollen für Repositorys
  • Branch-Schutzeinstellungen
• A.8.5Technologisch (A.8)Grundlegend

  Authentisierungsstärke und -verfahren am Zugriffsrisiko ausrichten.

  Typische Nachweise

  • Nachweis der MFA-Durchsetzung
  • Authentisierungsrichtlinie
• A.8.6Technologisch (A.8)Mittel

  Ressourcennutzung überwachen und anpassen, damit Systeme unter Last verfügbar bleiben.

  Typische Nachweise

  • Dashboards zur Kapazitätsüberwachung
  • Aufzeichnungen zur Kapazitätsplanung
• A.8.7Technologisch (A.8)Grundlegend

  Mehrschichtige Abwehr und Nutzersensibilisierung gegen Schadsoftware einsetzen.

  Typische Nachweise

  • Abdeckungsberichte Anti-Malware
  • Sensibilisierung zu Malware-Risiken
• A.8.8Technologisch (A.8)Grundlegend

  Technische Schwachstellen rechtzeitig finden, bewerten und beheben.

  Typische Nachweise

  • Schwachstellen-Scan-Berichte
  • SLAs/Nachweise zu Patches/Behebung
• A.8.9Technologisch (A.8)Grundlegend

  System- und Softwareeinstellungen an genehmigten sicheren Baselines ausgerichtet halten.

  Typische Nachweise

  • Härtungs-Baselines
  • Berichte zur Konfigurationsabweichung
• A.8.10Technologisch (A.8)Mittel

  Nicht mehr benötigte Informationen löschen, um Exposition zu begrenzen und Pflichten zu erfüllen.

  Typische Nachweise

  • Lösch-/Aufbewahrungsregeln
  • Nachweise durchgeführter Löschungen
• A.8.11Technologisch (A.8)Fortgeschritten

  Sensible Daten wie personenbezogene Daten maskieren oder deren Exposition begrenzen.

  Typische Nachweise

  • Maskierungsregeln
  • Maskierte Nicht-Produktionsdaten
• A.8.12Technologisch (A.8)Fortgeschritten

  Unbefugte Offenlegung sensibler Daten erkennen und verhindern.

  Typische Nachweise

  • DLP-Richtlinie und -Regeln
  • Nachweise zur DLP-Alarmbearbeitung
• A.8.13Technologisch (A.8)Grundlegend

  Geschützte Backups erstellen und nachweisen, dass die Wiederherstellung funktioniert.

  Typische Nachweise

  • Backup-Plan und -Umfang
  • Nachweise erfolgreicher Wiederherstellungstests
• A.8.14Technologisch (A.8)Fortgeschritten

  Ausweichkapazität dort ergänzen, wo Ausfälle die Toleranz der Organisation überschreiten würden.

  Typische Nachweise

  • Redundanzarchitektur
  • Ergebnisse von Failover-Tests
• A.8.15Technologisch (A.8)Grundlegend

  Aktivitäten und Ereignisse aufzeichnen, damit sie überprüft und untersucht werden können.

  Typische Nachweise

  • Logging-Standard
  • Beispielhaft geschützte Log-Speicher
• A.8.16Technologisch (A.8)Mittel

  Technische Überwachung nutzen, um ungewöhnliche Aktivität zu erkennen und Alarme zur Untersuchung weiterzuleiten.

  Typische Nachweise

  • Monitoring-Anwendungsfälle/Alarme
  • Nachweise zur Alarm-Triage
• A.8.17Technologisch (A.8)Mittel

  Systemzeit abgeglichen halten, damit Ereigniszeitleisten vertrauenswürdig sind.

  Typische Nachweise

  • Konfiguration der Zeitquelle
  • Überwachung der Uhrabweichung
• A.8.18Technologisch (A.8)Mittel

  Werkzeuge, die übliche Kontrollen umgehen können, auf freigegebene Nutzer und protokollierte Nutzung begrenzen.

  Typische Nachweise

  • Inventar beschränkter Hilfsprogramme
  • Nachweise der Nutzungsfreigabe
• A.8.19Technologisch (A.8)Mittel

  Nur freigegebene Software auf produktive Live-Systeme zulassen.

  Typische Nachweise

  • Richtlinie zur Softwareinstallation
  • Freigegebene Software-Baseline
• A.8.20Technologisch (A.8)Grundlegend

  Netzwerke und die sie betreibenden Geräte absichern.

  Typische Nachweise

  • Netzwerksicherheitskonfiguration
  • Nachweise der Gerätehärtung
• A.8.21Technologisch (A.8)Mittel

  Sicherheitserwartungen an Netzwerkdienste festlegen und ihre Einhaltung prüfen.

  Typische Nachweise

  • Sicherheitsanforderungen für Netzwerkdienste
  • Nachweise der Dienstüberwachung
• A.8.22Technologisch (A.8)Mittel

  Netzwerke in Zonen unterteilen, um Risiken einzudämmen und laterale Bewegung zu begrenzen.

  Typische Nachweise

  • Konzept der Netzwerksegmentierung
  • Reviews der Zonenübergangsregeln
• A.8.23Technologisch (A.8)Mittel

  Browsing-Kontrollen nutzen, um Nutzer von bekannten riskanten oder ungeeigneten Web-Zielen wegzulenken.

  Typische Nachweise

  • Web-Filter-Richtlinie/-Kategorien
  • Berichte zur Filterdurchsetzung
• A.8.24Technologisch (A.8)Mittel

  Kryptografie anwenden und Schlüssel nach einer definierten Richtlinie verwalten.

  Typische Nachweise

  • Richtlinie für Kryptografie und Schlüsselverwaltung
  • Nachweise des Schlüssellebenszyklus
• A.8.25Technologisch (A.8)Mittel

  Sicherheit über den gesamten Softwareentwicklungslebenszyklus einbauen.

  Typische Nachweise

  • Definition eines sicheren SDLC
  • Sicherheitsprüfungen an Phasen-Gates
• A.8.26Technologisch (A.8)Mittel

  Anwendungsspezifische Sicherheitsanforderungen ermitteln und umsetzen.

  Typische Nachweise

  • Sicherheitsanforderungen für Anwendungen
  • Nachverfolgbarkeit der Anforderungen
• A.8.27Technologisch (A.8)Fortgeschritten

  Sichere Entwurfsprinzipien beim Planen und Prüfen von Systemen anwenden.

  Typische Nachweise

  • Prinzipien sicherer Architektur
  • Nachweise von Design-Reviews
• A.8.28Technologisch (A.8)Mittel

  Programmierpraktiken nutzen, die verbreitete Sicherheitsfehler verhindern sollen.

  Typische Nachweise

  • Standard für sichere Programmierung
  • Bearbeitung von Code-Review-/SAST-Funden
• A.8.29Technologisch (A.8)Mittel

  Sicherheit prüfen, bevor neue oder geänderte Software abgenommen wird.

  Typische Nachweise

  • Sicherheitstestpläne
  • Ergebnisse der Abnahmetests
• A.8.30Technologisch (A.8)Fortgeschritten

  Sicherheit steuern und überprüfen, wenn Entwicklungsarbeit ausgelagert ist.

  Typische Nachweise

  • Sicherheitsanforderungen für ausgelagerte Entwicklung
  • Assurance-Reviews der Lieferanten
• A.8.31Technologisch (A.8)Mittel

  Verhindern, dass Nicht-Produktionsarbeit Live-Systeme beeinflusst — durch getrennte Zugriffs-, Daten- und Infrastrukturgrenzen.

  Typische Nachweise

  • Konzept der Umgebungstrennung
  • Zugriffsgrenzen zwischen Umgebungen
• A.8.32Technologisch (A.8)Grundlegend

  Änderungen an Systemen so steuern, dass die Sicherheit über die Änderung hinweg erhalten bleibt.

  Typische Nachweise

  • Änderungsmanagement-Verfahren
  • Nachweise von Änderungsfreigabe und -test
• A.8.33Technologisch (A.8)Mittel

  Für Tests genutzte Daten auswählen und schützen.

  Typische Nachweise

  • Regeln zur Testdatenauswahl
  • Schutz von Testdatensätzen
• A.8.34Technologisch (A.8)Fortgeschritten

  Audittests so eingrenzen, dass Live-Systeme nicht exponiert oder gestört werden.

  Typische Nachweise

  • Audittestpläne mit Schutzvorkehrungen
  • Vereinbarungen zu Zeitplan/Umfang