A.5 Organisatorische Maßnahmen
Kontakt mit speziellen Interessengruppen
Die Organisation muss geeignete Kontakte zu speziellen Interessengruppen, Sicherheitsforen und Fachverbänden einrichten und aufrechterhalten.
Was fordert dieses Control?
Die Organisation muss geeignete Kontakte zu speziellen Interessengruppen, Sicherheitsforen und Fachverbänden einrichten und aufrechterhalten.
Warum ist das wichtig?
Der Austausch mit Fachcommunities liefert frühzeitig Informationen über neue Bedrohungen, Schwachstellen und Best Practices und stärkt die eigene Abwehr.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| TISAX | 1.5.2 | Direkt |
| BSI | DER.1 | Indirekt |
Was der Auditor erwartet
- 1Mitgliedschaften oder Kontakte zu relevanten Fachgruppen
- 2Nutzung der Informationen für die eigene Sicherheit
- 3Bezug von Warnungen und Threat-Informationen
Audit-Checkliste
Dokumente
Übersicht relevanter Quellen
Foren, CERTs, Verbände und Warndienste
Nachweise
Bezug von Warnmeldungen
Abonnierte CERT-/Hersteller-Feeds und deren Auswertung
Praxis-Tipps zur Umsetzung
CERT-Feeds nutzen
Warnungen von CERT-Bund und Herstellern abonnieren und auswerten.
Branchennetzwerke nutzen
Verbände und Allianzen für branchenspezifische Bedrohungen einbinden.
Mit Threat Intelligence koppeln
Erkenntnisse direkt in A.5.7 einfließen lassen.
Häufige Fehler
Isoliert agieren
Keine externen Quellen, Bedrohungen werden zu spät erkannt.
Abonniert, aber ungenutzt
Feeds laufen ins Leere, niemand wertet sie aus.
Häufig gestellte Fragen
Welche Quellen sind sinnvoll?
CERT-Bund, herstellereigene Security-Advisories, Branchenverbände und einschlägige Sicherheitsforen.
Ist eine Mitgliedschaft Pflicht?
Nein, entscheidend ist der nachweisbare Zugang zu relevanten Sicherheitsinformationen.
Wie unterscheidet sich das von A.5.5?
A.5.5 betrifft Behörden, A.5.6 fachliche Gruppen und Communities zum Informationsaustausch.
So hilft CompliantDesk bei A.5.6
Das Radar-Modul bündelt regulatorische Updates und Bedrohungsinformationen, sodass relevante Hinweise direkt im ISMS landen.