Eine chronologische, manipulationssichere Aufzeichnung von System- oder Prozessaktivitäten, die es ermöglicht, ein Ereignis vom Ursprung bis zum Abschluss zu verfolgen. Im Compliance-Bereich dienen Audit-Trails als Nachweis dafür, dass Maßnahmen wie beabsichtigt funktionierten. Auditoren überprüfen Audit-Trails, um Zugriffssteuerung, Änderungsmanagement und Aktivitäten zur Reaktion auf Vorfälle zu verifizieren.
Eine Maßnahme, die ein Risiko modifiziert oder reduziert. In ISO 27001 werden Maßnahme aus Anhang A basierend auf den Ergebnissen der Risikobewertung der Organisation ausgewählt. Eine Maßnahme kann eine Richtlinie, eine technische Maßnahme, ein Prozess oder eine physische Schutzmaßnahme sein. Jede implementierte Maßnahme erfordert den Nachweis, dass es wirksam funktioniert.
Eine dokumentierte Maßnahme zur Beseitigung der Grundursache einer Nichtkonformität und zur Verhinderung des Wiederauftretens. Korrekturmaßnahmen unterscheiden sich von Korrekturen (die das unmittelbare Problem beheben), indem sie die Ursache des Problems angehen. Auditoren überprüfen, ob Korrekturmaßnahmen verhältnismäßig, abgeschlossen und als wirksam bestätigt wurden.
Eine strukturierte Bewertung, die gemäß Artikel 35 der DSGVO erforderlich ist, wenn die Verarbeitung voraussichtlich ein hohes Risiko für Einzelpersonen mit sich bringt. Eine DSFA identifiziert Art und Zweck der Verarbeitung, bewertet Notwendigkeit und Verhältnismäßigkeit und dokumentiert Maßnahmen zur Bewältigung identifizierter Risiken. DSFAs sind obligatorisch vor Verarbeitungen, die systematisches Profiling, umfangreiche sensible Daten oder die systematische Überwachung öffentlich zugänglicher Bereiche umfassen.
Das System von Richtlinien, Verfahren, Prozessen und Maßnahmen, das eine Organisation zur Steuerung von Informationssicherheitsrisiken verwendet. Ein ISMS ist kein Softwareprodukt; es ist ein Managementrahmenwerk. ISO 27001 definiert, was ein ISMS umfassen und wie es funktionieren muss. ISOPlanner™ bietet die Struktur und die Tools, um ein ISMS innerhalb von Microsoft 365 aufzubauen und zu pflegen.
Eine formelle, dokumentierte Überprüfung, die von der obersten Leitung in geplanten Abständen durchgeführt wird, um die Eignung, Angemessenheit und Wirksamkeit des Managementsystems zu bewerten. Erforderliche Eingaben umfassen Auditergebnisse, den Status von Nichtkonformitäten, Aktualisierungen des Risikoregisters und Leistungskennzahlen. Die Ergebnisse müssen Entscheidungen über Verbesserungsmaßnahmen und Ressourcenanforderungen enthalten. Auditoren überprüfen, ob Managementbewertungen stattgefunden haben, dokumentiert wurden und umsetzbare Ergebnisse lieferten.
Ein Fehlschlag, eine Anforderung zu erfüllen. Nichtkonformitäten werden bei internen Audits, externen Audits oder durch fortlaufende Überwachung identifiziert. Jede Nichtkonformität erfordert die Dokumentation des Befunds, eine Korrektur (sofortige Behebung) und eine Korrekturmaßnahme (Beseitigung der Grundursache). Ungelöste Nichtkonformitäten sind ein häufiger Grund für Zertifizierungsverzögerungen.
Der Prozess der Auswahl und Implementierung von Optionen zur Modifizierung eines identifizierten Informationssicherheitsrisikos. ISO 27001 definiert vier Behandlungsoptionen: Akzeptieren (das Risiko tolerieren), Behandeln (Maßnahmen anwenden, um es zu reduzieren), Übertragen (es an einen Dritten weitergeben, z. B. durch eine Versicherung) oder Beenden (die Aktivität vermeiden, die das Risiko erzeugt). Jede Behandlungsentscheidung muss mit Begründung dokumentiert und mit den relevanten Maßnahmen des Anhangs A verknüpft werden.
Ein nach ISO 27001 erforderliches Dokument, das alle 93 Maßnahmen des Anhangs A auflistet, angibt, ob jedes davon implementiert ist, und Begründungen für Ein- und Ausschlüsse liefert. Die SOA ist eines der wichtigsten Dokumente, die Auditoren prüfen. Sie belegt, dass die Organisation alle Maßnahmen berücksichtigt und bewusste, dokumentierte Entscheidungen zu jedem einzelnen getroffen hat. Eine fehlende oder unvollständige SOA ist eine häufige schwerwiegende Nichtkonformität.
Log in to your ISOPlanner™ workspace, or start a free trial.
Log in Start your free trial