ISO 27001 Controls: A.14 Anschaffen, Entwickeln und Instandhalten von Systemen

Welche Controls können ausgeschlossen werden, welche nicht? ISMS Auditoren der GUTcert haben nach ihren Erfahrungen speziell die Controls aus A.14.2 analysiert

Grundsätzlich gilt: die Anwendbarkeit der Anforderungen hängt von den im Scope ausgeführten Tätigkeiten ab.

Auf die meisten Unternehmen sollten jedoch die Einstufungen aus diesem Artikel zutreffen. Einen schnellen Überblick bietet die nachfolgende Tabelle, nähere Erläuterungen folgen:

Tab.1: Ergebnis der Kalibrierung der GUTcert Auditoren – keine verpflichtende Vorgabe. Auditoreneinschätzungen können davon abweichen!

A.14.2.4 Beschränkung von Änderungen an Softwarepaketen

Haben Unternehmen die Ressourcen, um Softwarepakete anzupassen und tun dies auch, z.B. für Anpassungen an das Corporate Design oder sonstige Optimierungen, dann ist dieses Control anzuwenden. Werden diese Tätigkeiten nicht durchgeführt (z.B. mangels Wissen, Personal oder Notwendigkeit), ist ein Ausschluss möglich.

Die bessere Variante ist jedoch nach unserer Meinung, dieses Control als anwendbar einzubeziehen, in der zugeordneten Regelung allerdings explizit zu erwähnen, dass im Unternehmen keine Software angepasst wird. So ist zukünftig eine einfache Anpassung möglich.

A.14.2.5 Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme

Der Ausschluss dieses Controls ist eigentlich nicht möglich. Denn hierunter fallen auch Vorgaben an Software, die sich bereits im Einsatz befindet oder angeschafft werden soll. Kaum ein Unternehmen kann deshalb zumindest auf die Analyse von Software-Anforderungen verzichten.

Zudem ist zu berücksichtigen, dass auch externe Partner in Regelungen zur Informationssicherheit der Organisation einbezogen werden müssen. Das bedeutet, dass die Organisation dazu verpflichtet ist, entsprechende Vorgaben zu machen und deren Einhaltung zu überwachen, wenn externe Partner Aufgaben aus der A.14.2.5 übernehmen.

A.14.2.9 Systemabnahmetest

Der Systemabnahmetest wird in jedem Unternehmen durchgeführt. Bei einigen im großen Stil mit Testumgebungen, bei anderen Unternehmen im kleinen Stil durch einen einfachen Funktionstest (oft einfach einschalten und sehen, ob das Gerät das erwartete Ergebnis liefert). Über diese erwarteten Ergebnisse muss jede Organisation vorher Klarheit schaffen und die Anforderungen auch im Rahmen der Beschaffung berücksichtigen. Auch wenn die Beschaffung an externe Dienstleister ausgelagert ist, verbleibt die Pflicht, dies zu überwachen.

Aus unserer Sicht ist es daher nicht möglich, dieses Control auszuschließen.

Schulungen zum Thema Informationssicherheitssysteme

Unsere GUTcert Akademie bietet viele praxisorientierte Seminare zum Thema Informationssicherheitssysteme an, u.a. eine Schulung zum Informationssicherheitsbeauftragten/-auditor
nach ISO 27001 (GUTcert). Verschaffen Sie sich das nötige Know-how, um Ihre Organisation kompetent abzusichern.

Für Informationen zum Schulungsprogramm steht Ihnen das Team der GUTcert Akademie (+49 30 2332021-21) zur Verfügung.

Fragen oder Hinweise zum Thema Informationssicherheit richten Sie gerne an Marcel Däfler.

Zurück