Erläuterung
Der Dreiklang bezieht sich auf die drei Elemente der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit3. Die Technologie ist der Klebstoff, der den Dreiklang zusammenhält, da sie die Mittel zur Umsetzung verschiedener Kontrollen und Maßnahmen zum Schutz von Informationen vor unbefugtem Zugriff, Änderung oder Verlust bereitstellt3. Referenzen: ISO/IEC 27001:2022 Schulungslehrgang für leitende Prüfer - BSI

Die Abteilung, die die Kontakte zu den Strafverfolgungsbehörden, den Regulierungsbehörden, den Anbietern von Informationsdiensten und den Anbietern von Telekommunikationsdiensten pflegt, ist der CISO, je nachdem, welcher Dienst benötigt wird. CISO steht für Chief Information Security Officer. Ein CISO ist eine hochrangige Führungskraft, die für die Aufsicht über die Informationssicherheitsstrategie und -verwaltung einer Organisation verantwortlich ist. Ein CISO leitet auch die Informationssicherheitsfunktion und koordiniert die Zusammenarbeit mit anderen Abteilungen und Interessengruppen, um die Einhaltung von Gesetzen, Vorschriften und Standards im Bereich der Informationssicherheit zu gewährleisten. Ein CISO kann auch als Bindeglied zwischen der Organisation und externen Parteien, wie z. B. Strafverfolgungsbehörden oder Dienstleistern, bei Vorfällen oder Untersuchungen im Zusammenhang mit Fragen der Informationssicherheit fungieren. ISO/IEC 27001:2022 verlangt von der Organisation die Zuweisung von Rollen und Verantwortlichkeiten der obersten Führungsebene, um sicherzustellen, dass die Ziele der Informationssicherheit festgelegt und erreicht werden (siehe Abschnitt 5.3). Referenz: CQI & IRCA Certified ISO/IEC 27001:2022 Lead Auditor Training Course, ISO/IEC 27001:2022 Informationstechnologie - Sicherheitstechniken - Informationssicherheits-Managementsysteme - Anforderungen, Was ist CISO?

Die Phasen der Information sind Erstellung, Verteilung, Nutzung, Pflege und Entsorgung. Dies sind die Phasen, die eine Information während ihres Lebenszyklus durchläuft, von dem Moment an, in dem sie erzeugt wird, bis zu dem Moment, in dem sie zerstört oder archiviert wird. Jede Phase von Informationen hat unterschiedliche Sicherheitsanforderungen und Risiken und sollte entsprechend verwaltet werden. Erstellung, Entwicklung, Pflege, Nutzung und Vernichtung sind nicht die richtigen Phasen von Informationen, da die Entwicklung keine eigene Phase ist, sondern ein Prozess, der in jeder Phase auftreten kann. Erstellung, Nutzung, Pflege, Wartung und Entwicklung sind nicht die richtigen Phasen der Information, da sie nicht in der richtigen Reihenfolge sind. Erstellung, Verteilung, Pflege, Verfügung und Nutzung sind nicht die richtigen Stufen der Information, da sie nicht in der richtigen Reihenfolge stehen. Referenzen: : CQI & IRCA ISO 27001:2022 Lead Auditor Course Handbook, Seite 32, : [ISO/IEC 27001 LEAD AUDITOR - PECB], Seite 12.

Erläuterung
Gemäß ISO 27001:2022, Abschnitt 4.3, muss die Organisation den Geltungsbereich des Informationssicherheitsmanagementsystems (ISMS) unter Berücksichtigung der internen und externen Aspekte, der Anforderungen interessierter Parteien und der Schnittstellen und Abhängigkeiten mit anderen Organisationen festlegen.12 In diesem Fall deckt der Geltungsbereich des ISMS ein ausgelagertes Rechenzentrum ab, das den Cloud-Server für künstliche Intelligenz (KI) zur Überwachung des Gesundheitswesens und zur Analyse der Daten der Bewohner hostet. Daher sollten die Prüfungsnachweise, die Sie finden müssen, um den Geltungsbereich des ISMS zu verifizieren, Folgendes umfassen:
* Die geprüfte Stelle hat den Bedarf und die Erwartungen der staatlichen Behörden in Bezug auf Gesundheitsdienstleistungen und den Umgang mit Patientendaten ermittelt. Hierbei handelt es sich um ein externes Thema und eine Anforderung von interessierter Seite, die sich auf den Geltungsbereich des ISMS auswirkt, da die geprüfte Stelle die einschlägigen Gesetze und Vorschriften in Bezug auf die Qualität, die Sicherheit und den Datenschutz von Gesundheitsdienstleistungen und Patientendaten einhalten muss12
* Die geprüfte Stelle hat die Bedürfnisse und Erwartungen der Bewohner hinsichtlich des Schutzes ihrer personenbezogenen Daten ermittelt. Hierbei handelt es sich um ein externes Thema und eine Anforderung der interessierten Parteien, die sich auf den Geltungsbereich des ISMS auswirkt, da die geprüfte Stelle die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten des Bewohners sicherstellen muss, die durch das elektronische Armband und den AI-Cloud-Server erfasst, verarbeitet und gespeichert werden12
* Der IT-Dienstleistungsvertrag mit dem Rechenzentrum, in dem sich der Cloud-Server für künstliche Intelligenz (KI) befindet. Hierbei handelt es sich um eine Schnittstelle und Abhängigkeit mit einer anderen Organisation, die sich auf den Geltungsbereich des ISMS auswirkt, da die geprüfte Stelle die extern bereitgestellten Prozesse, Produkte und Dienstleistungen, die für das ISMS relevant sind, kontrollieren und angemessene vertragliche Anforderungen in Bezug auf die Informationssicherheit umsetzen muss12 Die folgenden Optionen sind für die Überprüfung des Geltungsbereichs des ISMS nicht relevant oder ausreichend:
* Die geprüfte Stelle hat die Bedürfnisse und Erwartungen der Bewohner an die Einrichtung und die Umweltsicherheit ermittelt.
Dies ist ein externes Thema und eine Anforderung der interessierten Parteien, aber es hat keinen Einfluss auf den Geltungsbereich des ISMS, da es nicht mit der Informationssicherheit zusammenhängt12
* Die geprüfte Stelle ist nach ISO 9001 zertifiziert. Dies ist ein Hinweis auf das Qualitätsmanagementsystem der geprüften Stelle, überprüft aber nicht den Anwendungsbereich des ISMS, da es sich nicht auf die Informationssicherheit bezieht12
* Die geprüfte Stelle hat die Bedürfnisse und Erwartungen der Bewohner an den Komfort der Einrichtung, die Kompetenz des medizinischen Personals und eine saubere Umgebung ermittelt. Es handelt sich hierbei um externe Aspekte und Anforderungen interessierter Parteien, die sich jedoch nicht auf den Geltungsbereich des ISMS auswirken, da sie nicht mit der Informationssicherheit in Zusammenhang stehen12
* Die geprüfte Stelle hat die Bedürfnisse und Erwartungen der Bewohner in Bezug auf die medizinischen Behandlungsdienste ermittelt. Es handelt sich hierbei um externe Aspekte und Anforderungen interessierter Parteien, die jedoch nicht den Anwendungsbereich des ISMS überprüfen, da sie nicht spezifisch für die Informationssicherheit sind12
* Die geprüfte Stelle erwägt die Anschaffung einer App zur Überwachung des Gesundheitswesens von einem externen Softwareunternehmen. Dies ist eine potenzielle Änderung, die sich in Zukunft auf den Geltungsbereich des ISMS auswirken kann, aber sie verifiziert nicht den aktuellen Geltungsbereich des ISMS, da sie noch nicht implementiert oder kontrolliert wird12 Referenzen:
1: ISO/IEC 27001:2022 Lead Auditor (Information Security Management Systems) Kurs von CQI und IRCA Certified Training 1 2: ISO/IEC 27001 Lead Auditor Training Kurs von PECB 2

Nach ISO/IEC 27001 muss der Geltungsbereich eines ISMS definiert und dokumentiert werden. Diese Dokumentation sollte die Grenzen und die Anwendbarkeit des Informationssicherheits-Managementsystems enthalten, was bei der Definition der Informationen, Standorte und Vermögenswerte hilft, die unter das ISMS fallen.
Referenzen: ISO/IEC 27001:2013 Standard, Abschnitt 4.3 (Bestimmung des Anwendungsbereichs des Informationssicherheitsmanagementsystems)

Erläuterung
Die nicht zutreffende Definition von Information ist C: ausgereifte und messbare Daten. Dies ist keine gültige Definition von Information, da Informationen nicht ausgereift oder messbar sein müssen, um als solche betrachtet zu werden. Informationen können alle Daten sein, die für jemanden oder etwas in einem bestimmten Zusammenhang Bedeutung oder Wert haben. Informationen können subjektiv, qualitativ, unvollständig oder unsicher sein, je nachdem, wie sie interpretiert oder verwendet werden. Ausgereifte und messbare Daten sind Merkmale, die auf einige Arten von Informationen zutreffen können, aber nicht auf alle. Die anderen Definitionen von Informationen sind korrekt, da sie verschiedene Aspekte von Informationen beschreiben, wie z. B. Genauigkeit und Aktualität (A), Spezifität und Organisation (B) sowie Verständnis und Verringerung der Unsicherheit (D). ISO/IEC
27001:2022 definiert Informationen als "alle Daten, die eine Bedeutung haben" (siehe Abschnitt 3.25). Referenzen: CQI & IRCA Zertifizierter ISO/IEC 27001:2022 Lead Auditor Schulungskurs, ISO/IEC 27001:2022 Informationstechnologie
- Sicherheitstechniken - Managementsysteme für die Informationssicherheit - Anforderungen, Was ist Information?

Erläuterung
Gemäß ISO/IEC 27001:2022, die die Anforderungen an die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS) festlegt, verlangt Abschnitt 7.2 von einer Organisation, dass sie die erforderliche Kompetenz der Personen bestimmt, die unter ihrer Kontrolle Arbeiten ausführen, die sich auf die Leistung des ISMS auswirken, und dass sie Schulungen anbietet oder andere Maßnahmen ergreift, um die erforderliche Kompetenz zu erwerben oder aufrechtzuerhalten1. Kontrolle A.6.3 verlangt, dass eine Organisation sicherstellt, dass alle Mitarbeiter und Auftragnehmer sich der Bedrohungen und Belange der Informationssicherheit, ihrer Verantwortlichkeiten und Haftungen bewusst sind und in der Lage sind, die diesbezüglichen Richtlinien und Verfahren der Organisation zu unterstützen2. Wenn also ein ISMS-Auditor feststellt, dass die Wirksamkeit der Schulungen zu Informationssicherheitsvorfällen verbessert werden kann, so ist dies ein Hinweis auf eine Verbesserungsmöglichkeit (OFI), die für Abschnitt 7.2 und Kontrolle A.6.3 relevant ist.
Gemäß ISO/IEC 27001:2022 verlangt Abschnitt 9.1, dass eine Organisation die Leistung und Wirksamkeit ihres ISMS überwacht, misst, analysiert und bewertet1. Die Kontrolle A.5.24 verlangt, dass eine Organisation Verfahren zur Meldung von Ereignissen und Schwachstellen in der Informationssicherheit definiert und anwendet2. Wenn also ein ISMS-Auditor feststellt, dass auf der Grundlage der Ergebnisse von Stichprobeninterviews keiner der Befragten in der Lage war, das Verfahren zur Meldung von Vorfällen zu beschreiben, einschließlich der Rolle und der Verantwortlichkeiten des Personals, deutet dies auf eine Nichtkonformität (NC) hin, die nicht mit Abschnitt 9.1 und Kontrolle A.5.24 konform ist.
Die anderen Optionen sind keine korrekten Optionen für die Vorbereitung der Prüfungsfeststellungen auf der Grundlage der gegebenen Informationen. So liegt beispielsweise keine Nichtkonformität vor, wenn die Schwachstellen, Ereignisse und Vorfälle im Bereich der Informationssicherheit gemeldet werden, da dies mit Abschnitt 9.1 und Kontrolle A.5.24 übereinstimmt; es liegt keine Nichtkonformität vor, wenn die Schulung zur Handhabung der Informationssicherheit durchgeführt und ihre Wirksamkeit bewertet wurde, da dies mit Abschnitt 7.2 und Kontrolle A.6.3; es liegt keine Nichtkonformität vor, wenn die Schulung zum Umgang mit Informationssicherheitsvorfällen fehlgeschlagen ist, da dies nicht notwendigerweise auf einen Mangel an Konformität mit Abschnitt 7.2 oder Kontrolle A.6.3 hinweist; es besteht keine Möglichkeit zur Verbesserung, wenn die Schwachstellen, Ereignisse und Vorfälle im Bereich der Informationssicherheit gemeldet werden, da dies bereits mit Abschnitt 9.1 und Kontrolle A.5.24 konform ist. Verweise: ISO/IEC 27001:2022 - Informationstechnik - Sicherheitstechniken - Managementsysteme für Informationssicherheit - Anforderungen, ISO/IEC 27002:2013 - Informationstechnik - Sicherheitstechniken - Code of Practice für Informationssicherheitskontrollen

A. Ich werde überprüfen, ob die anderen Rechenzentren als externe Anbieter behandelt werden, auch wenn sie zum selben Telekommunikationskonzern gehören. Dies ist angemessen, da Abschnitt 8.1.4 der ISO 27001:2022 von der Organisation verlangt, sicherzustellen, dass extern bereitgestellte Prozesse, Produkte oder Dienstleistungen, die für das Informationssicherheitsmanagementsystem relevant sind, kontrolliert werden. Extern bereitgestellte Prozesse, Produkte oder Dienstleistungen sind solche, die von einer externen Partei bereitgestellt werden, unabhängig vom Grad ihrer Beziehung zur Organisation. Daher sollten die anderen Rechenzentren innerhalb desselben Telekommunikationskonzerns als externe Anbieter behandelt werden und denselben Kontrollen unterliegen wie jeder andere externe Anbieter12
B. Ich werde sicherstellen, dass externe Anbieter über ein dokumentiertes Verfahren verfügen, um die Organisation über alle Risiken zu informieren, die sich aus der Nutzung ihrer Produkte oder Dienstleistungen ergeben. Dies ist angemessen, da Abschnitt 8.1.4 der ISO
27001:2022 verlangt von der Organisation, dass sie angemessene vertragliche Anforderungen in Bezug auf die Informationssicherheit mit externen Anbietern umsetzt. Eine der vertraglichen Anforderungen könnte die Verpflichtung des externen Anbieters sein, die Organisation über alle Risiken zu informieren, die sich aus der Nutzung seiner Produkte oder Dienstleistungen ergeben, z. B. Sicherheitsvorfälle, Schwachstellen oder Änderungen, die die Informationssicherheit der Organisation beeinträchtigen könnten. Der externe Anbieter sollte über ein dokumentiertes Verfahren verfügen, das sicherstellt, dass diese Benachrichtigung rechtzeitig, genau und vollständig erfolgt12
E. Ich werde sicherstellen, dass die Organisation die Leistung externer Anbieter regelmäßig überwacht, überprüft und bewertet. Dies ist angemessen, da Abschnitt 8.1.4 der ISO 27001:2022 von der Organisation verlangt, die Leistung und Wirksamkeit der extern bereitgestellten Prozesse, Produkte oder Dienstleistungen zu überwachen, zu überprüfen und zu bewerten. Die Organisation sollte über ein Verfahren verfügen, um die Konformität und Eignung der Leistungen und Aktivitäten des externen Anbieters zu messen und zu überprüfen und bei Bedarf Rückmeldungen und Verbesserungsmaßnahmen zu geben. Die Organisation soll auch Aufzeichnungen über die Ergebnisse der Überwachung, Überprüfung und Bewertung führen12
F. Ich werde sicherstellen, dass die Organisation den Bedarf an Kommunikation mit externen Anbietern bezüglich des ISMS ermittelt hat. Dies ist angemessen, da Abschnitt 7.4.2 der ISO 27001:2022 von der Organisation verlangt, den Bedarf an interner und externer Kommunikation in Bezug auf das Informationssicherheits-Managementsystem zu ermitteln, einschließlich der Kommunikation mit externen Anbietern. Die Organisation sollte den Zweck, den Inhalt, die Häufigkeit, die Methoden und die Verantwortlichkeiten für eine solche Kommunikation festlegen und sicherstellen, dass diese mit der Informationssicherheitspolitik und den Zielen übereinstimmt. Die Organisation sollte auch dokumentierte Informationen über die Kommunikation als Nachweis ihrer Umsetzung aufbewahren12 Die folgenden Aktivitäten sind für die Bewertung externer Anbieter gemäß ISO nicht geeignet
27001:2022:
C. Ich werde sicherstellen, dass die Organisation für jeden Prozess, den sie als kritisch für die Wahrung der Vertraulichkeit, Integrität und Zugänglichkeit ihrer Informationen eingestuft hat, einen externen Anbieter als Reserve hat. Dies ist nicht angemessen, da die ISO 27001:2022 nicht vorschreibt, dass die Organisation für jeden kritischen Prozess einen externen Anbieter als Reserve haben muss. Die Organisation kann einen Notfallplan oder eine Backup-Lösung für den Fall eines Ausfalls oder einer Störung des externen Anbieters vorsehen, dies ist jedoch keine zwingende Anforderung. Die Organisation sollte die mit dem externen Anbieter verbundenen Risiken und Chancen bewerten und die geeigneten Behandlungsoptionen bestimmen, die auch einen externen Anbieter als Reserve beinhalten können oder nicht12
D. Ich werde meine Audittätigkeit auf extern bereitgestellte Prozesse beschränken, da es keine Notwendigkeit gibt, extern bereitgestellte Produkte oder Dienstleistungen zu auditieren. Dies ist nicht angemessen, da Abschnitt 8.1.4 der ISO 27001:2022 von der Organisation verlangt, die extern bereitgestellten Prozesse, Produkte oder Dienstleistungen zu kontrollieren, die für das Informationssicherheitsmanagementsystem relevant sind. Zu den extern bereitgestellten Produkten oder Dienstleistungen können Software, Hardware, Daten oder Cloud-Dienste gehören, die die Informationssicherheit der Organisation beeinträchtigen könnten. Daher sollte die Audittätigkeit sowohl extern bereitgestellte Prozesse als auch Produkte bzw. Dienstleistungen abdecken, sofern zutreffend12
G. Ich werde sicherstellen, dass die oberste Leitung Rollen und Verantwortlichkeiten für diejenigen, die externe ISMS-Prozesse anbieten, sowie für interne ISMS-Prozesse zugewiesen hat. Dies ist nicht angemessen, da Abschnitt 5.3 der ISO 27001:2022 von der obersten Leitung verlangt, die Rollen und Verantwortlichkeiten für das Informationssicherheitsmanagementsystem innerhalb der Organisation zuzuweisen, nicht für die externen Anbieter. Die externen Anbieter sind für die Zuweisung ihrer eigenen Rollen und Verantwortlichkeiten für die Prozesse, Produkte oder Dienstleistungen, die sie der Organisation zur Verfügung stellen, verantwortlich. Die Organisation sollte sicherstellen, dass die externen Anbieter über angemessene Kompetenzen und ein angemessenes Bewusstsein für ihre Aufgaben und Verantwortlichkeiten verfügen und dass sie vertraglich verpflichtet sind, die Anforderungen der Organisation an die Informationssicherheit einzuhalten12
H. Ich werde sicherstellen, dass die Organisation ihre externen Anbieter einstuft und den Großteil ihrer Arbeit denjenigen Anbietern zuweist, die am höchsten eingestuft sind. Dies ist nicht angemessen, da die ISO 27001:2022 von der Organisation nicht verlangt, eine Rangfolge ihrer externen Anbieter aufzustellen oder ihre Arbeit auf der Grundlage einer solchen Rangfolge zuzuweisen. Die Organisation kann sich dafür entscheiden, die Leistung und Effektivität ihrer externen Anbieter zu bewerten und zu vergleichen, dies ist jedoch nicht zwingend erforderlich. Die Organisation sollte ihre externen Anbieter auf der Grundlage der für die Organisation relevanten Kriterien und Ziele der Informationssicherheit auswählen und einsetzen12 Referenzen:
1: ISO/IEC 27001:2022 Lead Auditor (Information Security Management Systems) Kurs von CQI und IRCA Certified Training 1 2: ISO/IEC 27001 Lead Auditor Training Kurs von PECB 2

Erläuterung:
* Bestimmen Sie die Informationsquelle
* Sammeln mittels geeigneter Stichproben
* Überprüfen
* Prüfungsnachweise
* Bewertung anhand von Prüfungskriterien
* Prüfungsergebnisse
* Schlussfolgerungen der Prüfung
Bei der Überprüfung wird die Richtigkeit, Vollständigkeit und Relevanz der gesammelten Informationen kontrolliert.
Der Schritt des Auditnachweises beinhaltet die Dokumentation der Informationen in einer überprüfbaren und nachvollziehbaren Weise. Der Schritt der Bewertung anhand der Auditkriterien beinhaltet den Vergleich der Auditnachweise mit den Anforderungen der ISO
27001 und die eigenen Richtlinien und Ziele der Organisation. Der Schritt der Auditfeststellungen beinhaltet die Identifizierung von Nichtkonformitäten, Schwachstellen oder Verbesserungsmöglichkeiten im ISMS. In den Schlussfolgerungen des Audits werden die Auditergebnisse zusammengefasst und Empfehlungen für Korrekturmaßnahmen oder Verbesserungen gegeben.

Erläuterung
Die drei Kontrollen nach Anhang A, von denen Sie erwarten würden, dass die geprüfte Stelle sie zum Zeitpunkt der Nachprüfung durchgeführt hat, sind:
B: 5.13 Kennzeichnung von Informationen
E: 5.34 Privatsphäre und Schutz personenbezogener Daten G: 6.3 Sensibilisierung für Informationssicherheit, Aus- und Weiterbildung B: Diese Kontrolle verlangt, dass die Organisation Informationsgüter gemäß dem Informationsklassifizierungsschema kennzeichnet und sie entsprechend behandelt12. Diese Kontrolle ist für die geprüfte Stelle von Bedeutung, da sie dazu beitragen kann, falsche Adressetiketten und die Versendung von Paketen an falsche Bestimmungsorte zu vermeiden, wodurch die Vertraulichkeit, Integrität und Verfügbarkeit der Informationsbestände gefährdet werden könnten. Durch die korrekte Kennzeichnung der Informationsgüter könnte die geprüfte Stelle außerdem sicherstellen, dass diese an die vorgesehenen Empfänger geliefert werden und vor unbefugtem Zugriff, unbefugter Nutzung oder Offenlegung geschützt sind.
E: Diese Kontrolle verlangt von der Organisation, die Privatsphäre und die Rechte von Personen zu schützen, deren personenbezogene Daten (PII) von der Organisation verarbeitet werden, und die geltenden gesetzlichen und vertraglichen Verpflichtungen einzuhalten13. Diese Kontrolle ist für die geprüfte Stelle von Bedeutung, da sie dazu beitragen kann, die unbefugte Nutzung der personenbezogenen Daten der Bewohner durch einen Lieferanten zu verhindern, die die Privatsphäre und die Rechte der Bewohner und ihrer Familienangehörigen verletzen und die geprüfte Stelle rechtlichen und Reputationsrisiken aussetzen könnte. Durch den Schutz der personenbezogenen Daten der Bewohner und ihrer Familienangehörigen könnte die geprüfte Stelle auch deren Vertrauen und Zufriedenheit stärken und Beschwerden und Streitigkeiten vermeiden.
G: Bei dieser Kontrolle muss die Organisation sicherstellen, dass alle Mitarbeiter und Auftragnehmer die Informationssicherheitspolitik, ihre Aufgaben und Zuständigkeiten sowie die einschlägigen Verfahren und Kontrollen zur Informationssicherheit kennen14. Diese Kontrolle ist für die geprüfte Stelle von Bedeutung, da sie dazu beitragen kann, die Informationssicherheitskultur und das Verhalten der Mitarbeiter zu verbessern und menschliche Fehler und Nachlässigkeiten, die zu Vorfällen im Bereich der Informationssicherheit führen können, zu verringern. Durch die Sensibilisierung, Ausbildung und Schulung ihrer Mitarbeiter für die Informationssicherheit könnte die geprüfte Stelle auch deren Kompetenz und Leistung steigern und die Wirksamkeit und Effizienz der Verfahren und Kontrollen der Informationssicherheit gewährleisten.
Referenzen:
1: ISO/IEC 27001:2022 - Informationstechnik - Sicherheitstechnik - Informationssicherheits-Managementsysteme - Anforderungen, Anhang A 2: ISO/IEC 27002:2022 - Informationstechnik - Sicherheitstechnik
- Verhaltenskodex für Informationssicherheitskontrollen, Abschnitt 8.2.1 3: ISO/IEC 27002:2022 - Informationstechnik - Sicherheitstechniken - Verhaltenskodex für Informationssicherheitskontrollen, Abschnitt 18.1.4 4:
ISO/IEC 27002:2022 - Informationstechnik - Sicherheitstechniken - Verhaltenskodex für Informationssicherheitskontrollen, Abschnitt 7.2.2