Verantwortlich: Markus Fiedeldei, IT-Securitymanager STRATO AG; Stand: 01.06.2013

Anwendbarkeitserklärung / Statement of Applicability

der STRATO AG zur Zertifizierung nach der ISO/IEC 27001

einschließlich Ausschlussbegründungen

Kapitel Maßnahmenziele Maßnahmen Anwendbar

4. Informationssicherheits-Managementsystem Ja

4.1 Allgemeine Anforderungen Ja

4.2 Festlegung und Verwaltung des ISMS Ja

4.3 Dokumentationsanforderungen Ja

5 Verantwortung des Managements Ja

6 Interne ISMS-Audits Ja

7 Managementbewertung des ISMS Ja

8 Verbesserung des ISMS Ja

A.5 Sicherheitsleitlinie

A.5.1 Informationssicherheitsleitlinie Ja

A.6 Organisation der Informationssicherheit

A.6.1 Interne Organisation Ja

A.6.2 Externe Beziehungen Ja

A.7 Management von organisationseigenen Werten

A.7.1 Verantwortlichkeit für organisationseigene Werte

Ja

A.7.2 Klassifizierung von Informationen Ja

A.8 Personelle Sicherheit

A.8.1 Vor der Anstellung Ja

A.8.2 Während der Anstellung Ja

A.8.3 Beendigung und oder Änderung der Anstellung

Ja

A.9 Physische und umgebungsbezogene Sicherheit

A.9.1 Sicherheitsbereiche Ja

A.9.2 Sicherheit von Betriebsmitteln Ja

Verantwortlich: Markus Fiedeldei, IT-Securitymanager STRATO AG; Stand: 01.06.2013

Kapitel Maßnahmenziele Maßnahmen Anwendbar

A.10 Betriebs- und Kommunikationsmanagement

A.10.1 Verfahren und Verantwortlichkeiten Ja

A.10.2 Management der Dienstleitungs-Erbringung von Dritten

Ja

A.10.3 Systemplanung und Abnahme Ja

A.10.4 Schutz vor Schadsoftware und mobilem Programmcode

Ja

A.10.5 Backup Ja

A.10.6 Management der Netzsicherheit Ja

A.10.7 Handhabung von Speicher- und Aufzeichnungsmedien

Ja

A.10.8 Austausch von Informationen Ja

A.10.9 E-Commerce-Anwendungen Ja

A.10.10 Überwachung Ja

A.11 Zugangskontrolle

A.11.1 Geschäftsanforderungen für Zugangskontrolle

Ja

A.11.2 Benutzerverwaltung Ja

A.11.3 Benutzerverantwortung Ja

A.11.4 Zugangskontrolle für Netze Ja

A.11.5 Zugriffskontrolle auf Betriebssysteme Ja

A.11.6 Zugangskontrolle zu Anwendungen und Informationen

Ja

A.11.7 Mobile Computing und Telearbeit Ja

A.12 Beschaffung, Entwicklung und Wartung von Informationssystemen

A.12.1 Sicherheitsanforderungen von Informationssystemen

Ja

A.12.2 Korrekte Verarbeitung in Anwendungen Ja

A.12.3 Kryptographische Maßnahmen Ja

A.12.3.2 Verwaltung kryptographischer Schlüssel

Ja

A.12.4 Sicherheit von Systemdateien Ja

A.12.5 Sicherheit bei Entwicklungs- und Unterstützungsprozessen

Ja

A.12.5.5 Ausgelagerte Softwareentwicklung Nein

(Keine Verwendung von Outsourcing)

A.12.6 Schwachstellenmanagement Ja

Verantwortlich: Markus Fiedeldei, IT-Securitymanager STRATO AG; Stand: 01.06.2013

Kapitel Maßnahmenziele Maßnahmen Anwendbar

A.13 Umgang mit Informationssicherheitsvorfällen

A.13.1 Meidung von Informationssicherheitsereignissen und Schwachstellen

Ja

A.13.2 Umgang mit Informationssicherheitsvorfällen und Verbesserungen

Ja

A.14 Sicherstellung des Geschäftsbetriebs

A.14.1 Informationssicherheitsaspekte bei der Sicherstellung des Geschäftsbetriebs

Ja

A.15 Einhaltung von Vorgaben

A.15.1 Einhaltung gesetzlicher Vorgaben Ja

A.15.2 Einhaltung von Sicherheitsregelungen und -standards und technischer Vorgaben

Ja

A.15.3 Überlegungen zur Revisionsprüfungen von Informationssystemen

Ja

A.15.3.2 Schutz von Revisionswerkzeugen für Informationssysteme

Ja