Zum Inhalt

Normtext ISO/IEC 27001:2022(D) Annex A

Control ID A.5.01
Title Informationssicherheitspolitik und -richtlinien
Control Informationssicherheitspolitik und themenspezifische Richtlinien müssen definiert, von der Geschäftsleitung genehmigt, veröffentlicht, dem zuständigen Personal und den interessierten Parteien mitgeteilt und von diesen zur Kenntnis genommen sowie in geplanten Abständen und bei wesentlichen Änderungen überprüft werden.
Control ID A.5.02
--- ---
Title Informationssicherheitsrollen und -verantwortlichkeiten
Control Die Aufgaben und Zuständigkeiten im Bereich der Informationssicherheit müssen entsprechend den Erfordernissen des Unternehmens definiert und zugewiesen werden.
Control ID A.5.03
--- ---
Title Aufgabentrennung
Control Sich widersprechende Aufgaben und Verantwortungsbereiche müssen voneinander getrennt werden.
Control ID A.5.04
--- ---
Title Verantwortlichkeiten der Leitung
Control Die Leitung muss vom gesamten Personal verlangen, dass es die Informationssicherheit im Einklang mit der eingeführten Informationssicherheitspolitik, und den themenspezifischen Richtlinien und Verfahren der Organisation umsetzt.
Control ID A.5.05
--- ---
Title Kontakt mit Behörden
Control Die Organisation muss mit den zuständigen Behörden Kontakt aufnehmen und halten.
Control ID A.5.06
--- ---
Title Kontakt mit speziellen Interessensgruppen
Control Die Organisation muss mit speziellen Interessensgruppen oder sonstigen sicherheitsorientierten Expertenforen und Fachverbänden Kontakt aufnehmen und halten.
Control ID A.5.07
--- ---
Title Informationen über die Bedrohungslage
Control Informationen über Bedrohungen der Informationssicherheit müssen erhoben und analysiert werden, um Erkenntnisse über Bedrohungen zu gewinnen.
Control ID A.5.08
--- ---
Title Informationssicherheit im Projektmanagement
Control Die Informationssicherheit muss in das Projektmanagement integriert werden.
Control ID A.5.09
--- ---
Title Inventar der Informationen und anderen damit verbundenen Werte
Control Ein Inventar der Informationen und anderen damit verbundenen Werte, einschließlich der Eigentümer, muss erstellt und gepflegt werden.
Control ID A.5.10
--- ---
Title Zulässiger Gebrauch von Informationen und anderen damit verbundenen Werten
Control Regeln für den zulässigen Gebrauch und Verfahren für den Umgang mit Informationen und anderen damit verbundenen Werten müssen aufgestellt, dokumentiert und angewendet werden.
Control ID A.5.11
--- ---
Title Rückgabe von Werten
Control Das Personal und gegebenenfalls andere interessierte Parteien müssen alle Werte der Organisation, die sich in ihrem Besitz befinden, bei Änderung oder Beendigung ihres Beschäftigungsverhältnisses, Vertrags oder ihrer Vereinbarung zurückgeben.
Control ID A.5.12
--- ---
Title Klassifizierung von Informationen
Control Informationen müssen entsprechend den Informationssicherheitserfordernissen der Organisation auf der Grundlage von Vertraulichkeit, Integrität, Verfügbarkeit und relevanten Anforderungen der interessierten Parteien klassifiziert werden.
Control ID A.5.13
--- ---
Title Kennzeichnung von Informationen
Control Ein angemessener Satz von Verfahren zur Kennzeichnung von Informationen muss entsprechend dem von der Organisation eingesetzten Informationsklassifizierungsschema entwickelt und umgesetzt werden.
Control ID A.5.14
--- ---
Title Informationsübermittlung
Control Für alle Arten von Übermittlungseinrichtungen innerhalb der Organisation und zwischen der Organisation und anderen Parteien müssen Regeln, Verfahren oder Vereinbarungen zur Informationsübermittlung vorhanden sein.
Control ID A.5.15
--- ---
Title Zugangssteuerung
Control Regeln zur Steuerung des physischen und logischen Zugriffs auf Informationen und andere damit verbundene Werte müssen auf der Grundlage von Geschäfts- und Informationssicherheitsanforderungen aufgestellt und umgesetzt werden.
Control ID A.5.16
--- ---
Title Identitätsmanagement
Control Der gesamte Lebenszyklus von Identitäten muss verwaltet werden.
Control ID A.5.17
--- ---
Title Authentisierungsinformationen
Control Die Zuweisung und Verwaltung von Authentisierungsinformationen muss durch einen Managementprozess gesteuert werden, der auch die Beratung des Personals über den angemessenen Umgang mit Authentisierungsinformationen umfasst.
Control ID A.5.18
--- ---
Title Zugangsrechte
Control Zugangsrechte zu Informationen und anderen damit verbundenen Werten müssen in Übereinstimmung mit der themenspezifischen Richtlinie und den Regeln der Organisation für die Zugangssteuerung bereitgestellt, überprüft, geändert und entfernt werden.
Control ID A.5.19
--- ---
Title Informationssicherheit in Lieferantenbeziehungen
Control Es müssen Prozesse und Verfahren festgelegt und umgesetzt werden, um die mit der Nutzung der Produkte oder Dienstleistungen des Lieferanten verbundenen Informationssicherheitsrisiken zu beherrschen.
Control ID A.5.20
--- ---
Title Behandlung von Informationssicherheit in Lieferantenvereinbarungen
Control Je nach Art der Lieferantenbeziehung müssen die entsprechenden Anforderungen an die Informationssicherheit festgelegt und mit jedem Lieferanten vereinbart werden.
Control ID A.5.21
--- ---
Title Umgang mit der Informations- sicherheit in der Lieferkette der Informations- und Kommunika- tionstechnologie(IKT)
Control Es müssen Prozesse und Verfahren festgelegt und umgesetzt werden, um die mit der IKT-Produkt- und Dienstleistungslieferkette verbundenen Informationssicherheitsrisiken zu beherrschen.
Control ID A.5.22
--- ---
Title Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
Control Die Organisation muss regelmäßig die Informationssicherheitspraktiken der Lieferanten und die Erbringung von Dienstleistungen überwachen, überprüfen, bewerten und Änderungen steuern.
Control ID A.5.23
--- ---
Title Informationssicherheit für die Nutzung von Cloud-Diensten
Control Die Verfahren für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg aus Cloud-Diensten müssen in Übereinstimmung mit den Informationssicherheitsanforderungen der Organisation festgelegt werden.
Control ID A.5.24
--- ---
Title Planung und Vorbereitung der Handhabung von Informations- sicherheitsvorfällen
Control Die Organisation muss die Handhabung von Informationssicherheitsvorfällen planen und vorbereiten, indem sie Prozesse, Rollen und Verantwortlichkeiten für die Handhabung von Informationssicherheitsvorfällen definiert, einführt und kommuniziert.
Control ID A.5.25
--- ---
Title Beurteilung und Entscheidung über Informationssicherheits- ereignisse
Control Die Organisation muss Informationssicherheitsereignisse beurteilen und entscheiden, ob sie als Informationssicherheitsvorfälle eingestuft werden müssen.
Control ID A.5.26
--- ---
Title Reaktion auf Informationssicherheitsvorfälle
Control Auf Informationssicherheitsvorfälle muss entsprechend den dokumentierten Verfahren reagiert werden.
Control ID A.5.27
--- ---
Title Erkenntnisse aus Informations- sicherheitsvorfällen
Control Aus Informationssicherheitsvorfällen gewonnene Erkenntnisse müssen zur Verstärkung und Verbesserung der Informationssicherheitsmaßnahmen genutzt werden.
Control ID A.5.28
--- ---
Title Sammeln von Beweismaterial
Control Die Organisation muss Verfahren für die Ermittlung, Sammlung, Beschaffung und Aufbewahrung von Beweismaterial im Zusammenhang mit Informationssicherheitsereignissen einführen und umsetzen.
Control ID A.5.29
--- ---
Title Informationssicherheit bei Störungen
Control Die Organisation muss planen, wie die Informationssicherheit während einer Störung auf einem angemessenen Niveau gehalten werden kann.
Control ID A.5.30
--- ---
Title IKT-Bereitschaft für Business- Continuity
Control Die IKT-Bereitschaft muss auf der Grundlage von Business-Continuity- Zielen und IKT-Kontinuitätsanforderungen geplant, umgesetzt, aufrechterhalten und geprüft werden.
Control ID A.5.31
--- ---
Title Juristische, gesetzliche, regulatorische und vertragliche Anforderungen
Control Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen, die für die Informationssicherheit relevant sind, und die Vorgehensweise der Organisation zur Erfüllung dieser Anforderungen müssen ermittelt, dokumentiert und auf dem neuesten Stand gehalten werden.
Control ID A.5.32
--- ---
Title Geistige Eigentumsrechte
Control Die Organisation muss geeignete Verfahren zum Schutz der Rechte an geistigem Eigentum einführen.
Control ID A.5.33
--- ---
Title Schutz von Aufzeichnungen
Control Aufzeichnungen müssen vor Verlust, Zerstörung, Fälschung, unbefugtem Zugriff und unbefugter Veröffentlichung geschützt sein.
Control ID A.5.34
--- ---
Title Datenschutz und Schutz von personenbezogenen Daten(PbD)
Control Die Organisation muss die Anforderungen an die Wahrung der Privatsphäre und den Schutz personenbezogener Daten nach den geltenden Gesetzen und Vorschriften sowie den vertraglichen Anforderungen ermitteln und erfüllen.
Control ID A.5.35
--- ---
Title Unabhängige Überprüfung der Informationssicherheit
Control Die Vorgehensweise der Organisation für die Handhabung der Informationssicherheit und deren Umsetzung einschließlich der Mitarbeiter, Prozesse und Technologien müssen auf unabhängige Weise in planmäßigen Abständen oder jeweils bei erheblichen Änderungen überprüft werden.
Control ID A.5.36
--- ---
Title Einhaltung von Richtlinien, Vorschriften und Normen für die Informationssicherheit
Control Die Einhaltung der Informationssicherheitspolitik der Organisation und ihrer themenspezifischen Richtlinien, Regeln und Normen muss regelmäßig überprüft werden.
Control ID A.5.37
--- ---
Title Dokumentierte Betriebsabläufe
Control Die Betriebsverfahren für Informationsverarbeitungsanlagen müssen dokumentiert und dem Personal, das sie benötigt, zur Verfügung gestellt werden.
Control ID A.6.01
--- ---
Title Sicherheitsüberprüfung
Control Alle Personen, die in die Belegschaft aufgenommen werden, müssen vor dem Eintritt in die Organisation und fortlaufend unter Berücksichtigung geltender Gesetze, Vorschriften und ethischer Grundsätze einer Sicherheitsüberprüfung unterzogen werden und diese Überprüfung muss in einem angemessenen Verhältnis zu den geschäftlichen Anforderungen, der Einstufung der einzuholenden Informationen und den wahrgenommenen Risiken stehen.
Control ID A.6.02
--- ---
Title Beschäftigungs- und Vertragsbedingungen
Control In den arbeitsvertraglichen Vereinbarungen müssen die Verantwortlichkeiten des Personals und der Organisation für die Informationssicherheit festgelegt werden.
Control ID A.6.03
--- ---
Title Informationssicherheits- bewusstsein, -ausbildung und -schulung
Control Das Personal der Organisation und relevante interessierte Parteien müssen ein angemessenes Bewusstsein für die Informationssicherheit, eine entsprechende Ausbildung und Schulung sowie regelmäßige Aktualisierungen der Informationssicherheitspolitik der Organisation, themenspezifischer Richtlinien und Verfahren erhalten, die für ihr berufliches Arbeitsgebiet relevant sind.
Control ID A.6.04
--- ---
Title Maßregelungsprozess
Control Ein Maßregelungsprozess muss formalisiert und kommuniziert werden, um Schritte gegen Mitarbeiter und andere interessierte Parteien zu ergreifen, die einen Verstoß gegen die Informationssicherheitspolitik begangen haben.
Control ID A.6.05
--- ---
Title Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung
Control Verantwortlichkeiten und Pflichten im Bereich der Informationssicherheit, die auch nach Beendigung oder Änderung von Beschäftigungsverhältnissen bestehen bleiben, müssen festgelegt, durchgesetzt und den betreffenden Mitarbeitern und anderen interessierten Parteien mitgeteilt werden.
Control ID A.6.06
--- ---
Title Vertraulichkeits- oder Geheim- haltungsvereinbarungen
Control Vertraulichkeits- oder Geheimhaltungsvereinbarungen, welche den Bedarf der Organisation am Schutz von Informationen widerspiegeln, müssen identifiziert, dokumentiert, regelmäßig überprüft und von den Mitarbeitern und anderen interessierten Parteien unterzeichnet werden.
Control ID A.6.07
--- ---
Title Remote-Arbeit
Control Es müssen Sicherheitsmaßnahmen ergriffen werden, wenn Mitarbeiter aus der Ferne arbeiten, um Informationen zu schützen, die außerhalb der Räumlichkeiten des Unternehmens abgerufen, verarbeitet oder gespeichert werden.
Control ID A.6.08
--- ---
Title Meldung von Informations- sicherheitsereignissen
Control Die Organisation muss einen Mechanismus bereitstellen, der es den Mitarbeitern ermöglicht, beobachtete oder vermutete Informationssicherheitsereignisse über geeignete Kanäle rechtzeitig zu melden.
Control ID A.7.01
Title Physische Sicherheitsperimeter
Control Zum Schutz von Bereichen, in denen sich Informationen und andere damit verbundene Werte befinden, müssen Sicherheitsperimeter festgelegt und verwendet werden.
Control ID A.7.02
--- ---
Title Physischer Zutritt
Control Sicherheitsbereiche müssen durch eine angemessene Zutrittssteuerung und Zutrittsstellen geschützt werden.
Control ID A.7.03
--- ---
Title Sichern von Büros, Räumen und Einrichtungen
Control Die physische Sicherheit von Büros, Räumen und Einrichtungen muss konzipiert und umgesetzt werden.
Control ID A.7.04
--- ---
Title Physische Sicherheitsüberwachung
Control Die Räumlichkeiten müssen ständig auf unbefugten physischen Zugang überwacht werden.
Control ID A.7.05
--- ---
Title Schutz vor physischen und umweltbedingten Bedrohungen
Control Der Schutz vor physischen und umweltbedingten Bedrohungen wie Naturkatastrophen und anderen absichtlichen oder unabsichtlichen physischen Bedrohungen der Infrastruktur muss geplant und umgesetzt werden.
Control ID A.7.06
--- ---
Title Arbeiten in Sicherheitsbereichen
Control Es müssen Sicherheitsmaßnahmen für die Arbeit in Sicherheitsbereichen konzipiert und umgesetzt werden.
Control ID A.7.07
--- ---
Title Aufgeräumte Arbeitsumgebung und Bildschirmsperren
Control Es müssen klare Regeln für eine aufgeräumte Arbeitsumgebung hinsichtlich Unterlagen und Wechseldatenträgern und klare Regeln für Bildschirmsperren für informationsverarbeitende Einrichtungen festgelegt und angemessen durchgesetzt werden.
Control ID A.7.08
--- ---
Title Platzierung und Schutz von Geräten und Betriebsmitteln
Control Geräte und Betriebsmittel müssen sicher und geschützt aufgestellt werden.
Control ID A.7.09
--- ---
Title Sicherheit von Werten außerhalb der Räumlichkeiten
Control Werte außerhalb des Standorts müssen geschützt werden.
Control ID A.7.10
--- ---
Title Speichermedien
Control Speichermedien müssen während ihres gesamten Lebenszyklus– Erwerb, Verwendung, Transport und Entsorgung– in Übereinstimmung mit dem Klassifizierungsschema und den Handhabungsanforderungen der Organisation verwaltet werden.
Control ID A.7.11
--- ---
Title Versorgungseinrichtungen
Control Informationsverarbeitungseinrichtungen müssen vor Stromausfällen und anderen Störungen, die durch Ausfälle von unterstützenden Versorgungseinrichtungen verursacht werden, geschützt werden.
Control ID A.7.12
--- ---
Title Sicherheit der Verkabelung
Control Kabel, die Strom, Daten oder unterstützende Informationsdienste transportieren, müssen vor Abhören, Störung oder Beschädigung geschützt werden.
Control ID A.7.13
--- ---
Title Instandhaltung von Geräten und Betriebsmitteln
Control Geräte und Betriebsmittel müssen ordnungsgemäß gewartet werden, um die Verfügbarkeit, Integrität und Vertraulichkeit der Informationen sicherzustellen.
Control ID A.7.14
--- ---
Title Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln
Control Arten von Geräten und Betriebsmitteln, die Speichermedien enthalten, müssen überprüft werden, um sicherzustellen, dass jegliche sensiblen Daten und lizenzierte Software vor ihrer Entsorgung oder Wiederverwendung entfernt oder sicher überschrieben worden sind.
Control ID A.8.01
--- ---
Title Endpunktgeräte des Benutzers
Control Informationen, die auf Endpunktgeräten der Benutzer gespeichert sind, von ihnen verarbeitet werden oder über sie zugänglich sind, müssen geschützt werden.
Control ID A.8.02
--- ---
Title Privilegierte Zugangsrechte
Control Zuteilung und Gebrauch von privilegierten Zugangsrechten müssen eingeschränkt und verwaltet werden.
Control ID A.8.03
--- ---
Title Informationszugangsbeschränkung
Control Der Zugang zu Informationen und anderen damit verbundenen Werten muss in Übereinstimmung mit der festgelegten themenspezifischen Richtlinie zur Zugangssteuerung eingeschränkt werden.
Control ID A.8.04
--- ---
Title Zugriff auf den Quellcode
Control Lese- und Schreibzugriff auf den Quellcode, die Entwicklungswerkzeuge und die Softwarebibliotheken müssen angemessen verwaltet werden.
Control ID A.8.05
--- ---
Title Sichere Authentisierung
Control Sichere Authentisierungstechnologien und -verfahren müssen auf der Grundlage von Informationszugangsbeschränkungen und der themenspezifischen Richtlinie zur Zugangssteuerung implementiert werden.
Control ID A.8.06
--- ---
Title Kapazitätssteuerung
Control Die Nutzung von Ressourcen muss überwacht und entsprechend den aktuellen und erwarteten Kapazitätsanforderungen angepasst werden.
Control ID A.8.07
--- ---
Title Schutz gegen Schadsoftware
Control Schutz gegen Schadsoftware muss umgesetzt und durch angemessene Sensibilisierung der Benutzer unterstützt werden.
Control ID A.8.08
--- ---
Title Handhabung von technischen Schwachstellen
Control Es müssen Informationen über technische Schwachstellen verwendeter Informationssysteme eingeholt, die Gefährdung der Organisation durch derartige Schwachstellen bewertet und angemessene Maßnahmen ergriffen werden.
Control ID A.8.09
--- ---
Title Konfigurationsmanagement
Control Konfigurationen, einschließlich Sicherheitskonfigurationen, von Hardware, Software, Diensten und Netzwerken müssen festgelegt, dokumentiert, umgesetzt, überwacht und überprüft werden.
Control ID A.8.10
--- ---
Title Löschung von Informationen
Control Informationen, die in Informationssystemen, Geräten oder auf anderen Speichermedien gespeichert sind, müssen gelöscht werden, wenn sie nicht mehr benötigt werden.
Control ID A.8.11
--- ---
Title Datenmaskierung
Control Die Datenmaskierung muss in Übereinstimmung mit den themenspezifischen Richtlinien der Organisation zur Zugangssteuerung und anderen damit zusammenhängenden themenspezifischen Richtlinien sowie den geschäftlichen Anforderungen und unter Berücksichtigung der geltenden Rechtsvorschriften eingesetzt werden.
Control ID A.8.12
--- ---
Title Verhinderung von Datenlecks
Control Maßnahmen zur Verhinderung von Datenlecks müssen auf Systeme, Netzwerke und alle anderen Geräte angewendet werden, die sensible Informationen verarbeiten, speichern oder übermitteln.
Control ID A.8.13
--- ---
Title Sicherung von Informationen
Control Sicherungskopien von Informationen, Software und Systemen müssen in Übereinstimmung mit der vereinbarten themenspezifischen Richtlinie zu Datensicherungen aufbewahrt und regelmäßig geprüft werden.
Control ID A.8.14
--- ---
Title Redundanz von informationsverarbeitenden Einrichtungen
Control Informationsverarbeitende Einrichtungen müssen mit ausreichender Redundanz für die Einhaltung der Verfügbarkeitsanforderungen realisiert werden.
Control ID A.8.15
--- ---
Title Protokollierung
Control Protokolle, die Aktivitäten, Ausnahmen, Fehler und andere relevante Ereignisse aufzeichnen, müssen erstellt, gespeichert, geschützt und analysiert werden.
Control ID A.8.16
--- ---
Title Überwachung von Aktivitäten
Control Netzwerke, Systeme und Anwendungen müssen auf anormales Verhalten überwacht und geeignete Maßnahmen müssen ergriffen werden, um potentielle Informationssicherheitsvorfälle zu bewerten.
Control ID A.8.17
--- ---
Title Uhrensynchronisation
Control Die Uhren der von der Organisation verwendeten Informationsverarbeitungssysteme müssen mit zugelassenen Zeitquellen synchronisiert werden.
Control ID A.8.18
--- ---
Title Gebrauch von Hilfsprogrammen mit privilegierten Rechten
Control Der Gebrauch von Hilfsprogrammen, die fähig sein können, System- und Anwendungsschutzmaßnahmen zu umgehen, muss eingeschränkt und streng überwacht werden.
Control ID A.8.19
--- ---
Title Installation von Software auf Systemen im Betrieb
Control Es müssen Verfahren und Maßnahmen umgesetzt werden, um die Installation von Software auf in Betrieb befindlichen Systemen sicher zu verwalten.
Control ID A.8.20
--- ---
Title Netzwerksicherheit
Control Netzwerke und Netzwerkgeräte müssen gesichert, verwaltet und kontrolliert werden, um Informationen in Systemen und Anwendungen zu schützen.
Control ID A.8.21
--- ---
Title Sicherheit von Netzwerkdiensten
Control Sicherheitsmechanismen, Dienstgüte und Dienstanforderungen für Netzwerkdienste müssen ermittelt, umgesetzt und überwacht werden.
Control ID A.8.22
--- ---
Title Trennung von Netzwerken
Control Informationsdienste, Benutzer und Informationssysteme müssen in Netzwerken der Organisation gruppenweise voneinander getrennt gehalten werden.
Control ID A.8.23
--- ---
Title Webfilterung
Control Der Zugang zu externen Websites muss verwaltet werden, um die Gefährdung durch bösartige Inhalte zu verringern.
Control ID A.8.24
--- ---
Title Verwendung von Kryptographie
Control Es müssen Regeln für den wirksamen Einsatz von Kryptographie, einschließlich der Verwaltung kryptographischer Schlüssel, festgelegt und umgesetzt werden.
Control ID A.8.25
--- ---
Title Lebenszyklus einer sicheren Entwicklung
Control Regeln für die sichere Entwicklung von Software und Systemen müssen festgelegt und angewendet werden.
Control ID A.8.26
--- ---
Title Anforderungen an die Anwendungssicherheit
Control Die Anforderungen an die Informationssicherheit müssen bei der Entwicklung oder Beschaffung von Anwendungen ermittelt, spezifiziert und genehmigt werden.
Control ID A.8.27
--- ---
Title Sichere Systemarchitektur und Entwicklungsgrundsätze
Control Grundsätze für die Entwicklung sicherer Systeme müssen festgelegt, dokumentiert, aufrechterhalten und bei allen Aktivitäten der Informationssystemsentwicklung angewendet werden.
Control ID A.8.28
--- ---
Title Sichere Codierung
Control Bei der Softwareentwicklung müssen die Grundsätze der sicheren Codierung angewandt werden.
Control ID A.8.29
--- ---
Title Sicherheitsprüfung bei Entwicklung und Abnahme
Control Sicherheitsprüfverfahren müssen definiert und in den Entwicklungslebenszyklus integriert werden.
Control ID A.8.30
--- ---
Title Ausgegliederte Entwicklung
Control Die Organisation muss die Aktivitäten im Zusammenhang mit der ausgegliederten Systementwicklung leiten, überwachen und überprüfen.
Control ID A.8.31
--- ---
Title Trennung von Entwicklungs-, Test- und Produktionsumgebungen
Control Entwicklungs-, Test- und Produktionsumgebungen müssen getrennt und gesichert werden.
Control ID A.8.32
--- ---
Title Änderungssteuerung
Control Änderungen an Informationsverarbeitungseinrichtungen und Informationssystemen müssen Gegenstand von Änderungsmanagementverfahren sein.
Control ID A.8.33
--- ---
Title Testdaten
Control Die Testdaten müssen in geeigneter Weise ausgewählt, geschützt und verwaltet werden.
Control ID A.8.34
--- ---
Title Schutz der Informationssysteme während Tests im Rahmen von Audits
Control Tests im Rahmen von Audits und andere Sicherheitstätigkeiten, die eine Beurteilung der in Betrieb befindlichen Systeme beinhalten, müssen zwischen dem Prüfer und dem zuständigen Management geplant und vereinbart werden.

Änderungshistorie

Datum Autor Änderung
2026-02-15 Visitrans Execute SPEC-02: YAML frontmatter for 646 files, link conversion, validation
2026-02-15 Visitrans Fix table conversion: colspan expansion, header promotion, line breaks
2026-02-14 Visitrans Execute SPEC-01: Bulk-Export 646 Confluence pages to Obsidian vault