Der Umfang der vorhandenen Informationssicherheitsrichtlinien und die Frage, ob sie an die Ziele der Organisation angepasst sind, stehen im Vordergrund.

Dazu gehört auch die Auflistung der Zuständigkeiten zwischen externen IT-Dienstleistern und der eigenen Organisation sowie die Verwaltung von Vermögenswerten - insbesondere, wie diese entdeckt, gesichert und zugewiesen werden.

Für das Informationssicherheits-Risikomanagement muss es eine verantwortliche Person geben, und die Risikobewertungen müssen in regelmäßigen Abständen und als Reaktion auf Ereignisse durchgeführt werden.

Die Organisation muss sensible Arbeitsbereiche identifizieren und arbeitsplatzspezifische Anforderungen an die Mitarbeiter festlegen und sicherstellen, dass diese Anforderungen erfüllt werden.

Es ist unerlässlich, die Identität potenzieller Mitarbeiter durch Überprüfung ihrer Ausweisdokumente zu verifizieren. Eine Geheimhaltungsverpflichtung und die Einhaltung der Informationssicherheitsrichtlinien müssen durchgesetzt werden.

Die Mitarbeiter sollten geschult werden, um ihr Bewusstsein für Sicherheitspraktiken zu schärfen.

Für die Telearbeit muss die Organisation Anforderungen festlegen und erfüllen, die den sicheren Umgang mit Informationen, angemessenes Verhalten im privaten und öffentlichen Umfeld sowie Schutzmaßnahmen gegen Diebstahl in öffentlichen Bereichen betreffen.

Der Zugriff auf das Unternehmensnetz sollte über eine Verbindung wie ein VPN gesichert werden, und es sollten starke Authentifizierungsmaßnahmen eingerichtet werden.

Es muss ein Sicherheitszonenkonzept erstellt werden, das auf den Umgang mit Informationswerten abgestimmte Schutzmaßnahmen enthält. Dieses Konzept sollte die physischen Gegebenheiten der Räumlichkeiten, Gebäude und Räume, einschließlich der Liefer- und Versandbereiche, berücksichtigen. Die festgelegten Schutzmaßnahmen müssen umgesetzt werden, und alle beteiligten Personen sollten den Verhaltenskodex für diese Sicherheitszonen kennen.

Anforderungen für den Umgang mit unterstützenden Gütern, wie Transport, Lagerung, Reparatur, Verlust, Rückgabe und Entsorgung, müssen klar definiert und erfüllt werden. Darüber hinaus sollten auch Anforderungen für mobile IT-Geräte und mobile Datenspeicher festgelegt und erfüllt werden, wobei Aspekte wie Verschlüsselung, Zugriffsschutz (z. B. PINs oder Passwörter) und ordnungsgemäße Kennzeichnung im Vordergrund stehen sollten, insbesondere in Situationen, in denen es um Kundeninteraktionen geht.

Es müssen Anforderungen für die Verwaltung der Identifizierungsmittel während ihres gesamten Lebenszyklus festgelegt werden, die die Erstellung, Übergabe, Rückgabe, Vernichtung, Gültigkeitsdauer, Rückverfolgbarkeit und den Umgang mit Verlusten umfassen.

Die Verfahren zur Benutzerauthentifizierung sollten auf einer Risikobewertung beruhen, die mögliche Angriffsszenarien berücksichtigt. Es müssen Methoden eingesetzt werden, die dem Stand der Technik entsprechen.

Die Verwaltung von Benutzerkonten sollte das Anlegen, Ändern und Löschen von eindeutigen und personalisierten Konten umfassen, wobei die Rückverfolgbarkeit von Sammelkonten geregelt wird. Die Konten müssen beim Ausscheiden eines Mitarbeiters sofort deaktiviert werden, und es sollten regelmäßige Überprüfungen durchgeführt werden. Anmeldeinformationen sollten sicher zur Verfügung gestellt werden, mit einer Richtlinie, die die Offenlegung und unverschlüsselte Speicherung verhindert und die Qualitätsanforderungen für Authentifizierungsinformationen sicherstellt.

Die Verwaltung der Zugriffsrechte muss festgelegte Verfahren für die Beantragung, Überprüfung und Genehmigung umfassen, die dem Grundsatz der geringsten Privilegien folgen. Zugriffsrechte sollten entzogen werden, wenn sie nicht mehr benötigt werden, und für alle Benutzerkonten sollten regelmäßige Überprüfungen durchgeführt werden.

Alle verwendeten kryptographischen Verfahren müssen den Industriestandards für Sicherheit entsprechen, soweit dies gesetzlich möglich ist. Netzwerkdienste für die Informationsübertragung sollten identifiziert, dokumentiert und durch definierte Richtlinien geregelt werden, die den Schutz vor unbefugtem Zugriff gewährleisten.

Die Anforderungen an die Informationssicherheit bei organisatorischen Änderungen, Geschäftsprozessen und IT-Systemen müssen ermittelt und angewendet werden. IT-Systeme sollten Risikobewertungen unterzogen werden, um ihre Trennung in Entwicklungs-, Test- und Betriebsumgebungen zu rechtfertigen, wobei die Segmentierung entsprechend umgesetzt wird.

Es müssen Anforderungen für den Schutz vor Schadsoftware festgelegt werden, wobei sowohl technische als auch organisatorische Maßnahmen zu ergreifen sind. Die Anforderungen an die Informationssicherheit für die Behandlung von Ereignisprotokollen sollten identifiziert und erfüllt werden, um sicherzustellen, dass die Protokollierung der Aktivitäten von Systemadministratoren und Benutzern bewertet und überwacht wird, insbesondere bei der Nutzung externer IT-Dienste.

Technische Schwachstellen in IT-Systemen müssen identifiziert, bewertet und auf der Grundlage der gesammelten Informationen behoben werden. Es sollten Anforderungen für die Prüfung von IT-Systemen festgelegt werden, wobei die Prüfungen mit den relevanten Interessengruppen koordiniert und die Ergebnisse der Geschäftsleitung mitgeteilt werden sollten.

Die Anforderungen an die Netzwerkverwaltung und -kontrolle müssen erfüllt werden, einschließlich der Netzwerksegmentierung. Kritische IT-Dienste sollten identifiziert werden, wobei die Zuständigkeiten für Kontinuität und Wiederherstellung den Beteiligten bekannt sein sollten. Es müssen Sicherungs- und Wiederherstellungskonzepte für relevante IT-Systeme erstellt werden, die die Vertraulichkeit, Integrität und Verfügbarkeit der Daten gewährleisten.

Auftragnehmer und Kooperationspartner müssen sich einer Risikobewertung hinsichtlich der Informationssicherheit unterziehen und durch vertragliche Vereinbarungen ein angemessenes Sicherheitsniveau gewährleisten. Alle einschlägigen Vereinbarungen mit Kunden sollten den Auftragnehmern und Kooperationspartnern mitgeteilt werden, und die Einhaltung dieser Vereinbarungen muss überprüft werden.

Vertraulichkeitsanforderungen sollten festgelegt und erfüllt werden, wobei alle an der Weitergabe geschützter Informationen beteiligten Personen die Anforderungen und Verfahren für Vertraulichkeitsvereinbarungen kennen sollten. Vor der Weitergabe sensibler Informationen müssen gültige Vereinbarungen getroffen werden, und die entsprechenden Anforderungen und Verfahren sollten regelmäßig überprüft werden.

Die für die Informationssicherheit relevanten gesetzlichen, behördlichen und vertraglichen Bestimmungen müssen regelmäßig ermittelt werden. Es müssen Richtlinien für die Einhaltung dieser Bestimmungen festgelegt, umgesetzt und den verantwortlichen Personen mitgeteilt werden.

Die Anforderungen an die Informationssicherheit bei der Verarbeitung personenbezogener Daten müssen festgelegt werden, und die Vorschriften für ihre Einhaltung müssen den damit betrauten Personen bekannt sein. Zusätzlich sollten Prozesse und Verfahren zum Schutz personenbezogener Daten in das Informationssicherheitsmanagementsystem integriert werden.