Sie sind hier
E-Book

IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz

Der Weg zur Zertifizierung

AutorHeinrich Kersten, Jürgen Reuter, Klaus-Werner Schröder
VerlagVieweg+Teubner (GWV)
Erscheinungsjahr2008
Seitenanzahl267 Seiten
ISBN9783834894250
FormatPDF
KopierschutzDRM
GerätePC/MAC/eReader/Tablet
Preis36,99 EUR
Der Standard ISO 2700x wird für Unternehmen und Behörden immer wichtiger. Er ist aus dem British Standard 7799 hervorgegangen, der international bereits einen hohen Stellenwert erlangt hatte, und dreht sich um das IT-Sicherheitsmanagement in Organisationen. Das Buch führt den Leser Schritt für Schritt in den Standard ein und legt verständlich dar, wie man ihn für das Sicherheitsmanagement anwendet und Konformität herstellt. Gleichzeitig wird die Schnittstelle zum IT-Grundschutz des BSI erläutert, der sich nahtlos an den Standard anschließt und Sicherheitsverantwortliche bei der Auswahl geeigneter Sicherheitsmaßnahmen unterstützt. Zusätzlich erhält der Leser detaillierte Informationen in Sachen Audits und Zertifizierung nach ISO 27001 und IT-Grundschutz.

Heinrich Kersten ist Auditor und Leiter der Zertifizierungsstelle der T-Systems mit vielen Jahren 'BSI-Erfahrung'.
Jürgen Reuter hat als Lead Auditor in den Bereichen Qualitäts- und Informationssicherheitsmanagement in vielfältigen Projekten Erfahrungen gesammelt.
Klaus-Werner Schröder ist lizenzierter BS7799-Auditor sowie Common Criteria Evaluator und Zertifizierer mit langjähriger Praxiserfahrung.

Kaufen Sie hier:

Horizontale Tabs

Leseprobe
4 Festlegung des Anwendungsbereichs und Überlegungen zum Management (S.97-98)

In diesem Kapitel wollen wir den Anwendungsbereich (englisch: Scope) des ISMS bestimmen und wichtige Management-Elemente einrichten.

4.1 Anwendungsbereich des ISMS zweckmäßig bestimmen

Bei der Festlegung des Anwendungsbereichs sollte man sich von den Bedürfnissen der Organisation und ihren Gegebenheiten leiten lassen. Dennoch gilt: Jede Begrenzung des Anwendungsbereichs und jeder Ausschluss sind zu benennen und detailliert zu begründen (ISO 27001, Abschnitt 4.2.1.a). Anwendungsbereich des ISMS zweckmäßig bestimmen Bei der Festlegung des Anwendungsbereichs sollte man sich von den Bedürfnissen der Organisation und ihren Gegebenheiten leiten lassen. Dennoch gilt: Jede Begrenzung des Anwendungsbereichs und jeder Ausschluss sind zu benennen und detailliert zu begründen (ISO 27001, Abschnitt 4.2.1.a).

Ein weit verbreiteter Fehler bei der Festlegung des Anwendungsbereichs besteht darin, eine möglichst schnelle Realisierung der formalen Voraussetzungen für eine Zertifizierung zu erreichen. Vor diesem Hintergrund ist es in der Praxis leider häufig zu beobachten, dass ein sehr „kleiner" Anwendungsbereich zum Gegenstand des ISMS einer Organisation gemacht wird – einzig und allein zu dem Zweck, möglichst schnell eine Bescheinigung (Zertifikat) zu erhalten. Die wesentlichen Vorteile der Managementsysteme bleiben hierbei leider auf der Strecke: die Verbesserung interner und vor allem bereichsübergreifender Abläufe.

Der gleiche wenig wirksame Effekt entsteht bei einer Modularisierung der ISMS, bei der die unterschiedlichen Bereiche der Organisation, wie z. B. Einkauf, Vertrieb, IT-Abteilung, mit einem jeweils in sich geschlossenen ISMS versehen werden.

Von der Grundtendenz her werden die Informationsrisiken der gesamten Organisation bei der Betrachtung von solchen isolierten Management-Systemen nicht deutlich, da jedes einzelne ISMS nur seine Partikularrisiken betrachtet und reduzieren will, was möglicherweise sogar zu einer Erhöhung des Gesamtrisikos für die Organisation, aber in jedem Fall zu einer ineffizienten Verwendung von Ressourcen führt.

Wenn in der Organisation bereits ein bereichsübergreifendes Managementsystem – beispielsweise auf der Basis von ISO 9001 – besteht, liegt es nahe, dieses auch auf die Anwendung von ISO 27001 zu übertragen: Eine Vielzahl von Regelungen und Verfah ren dürften gleich oder ähnlich sein, somit kann Aufwand eingespart werden.

Vor der Einführung eines zweiten, parallelen Managementsystems muss jedoch ausdrücklich gewarnt werden, da erfahrungsgemäß eine eindeutige Zuweisung von Verantwortlichkeiten und eine Harmonisierung der Verfahrensweisen nicht erreicht wird. Falls die Organisation Hersteller eines bestimmten Produktes ist und sich in einem wichtigen Absatzmarkt mit der kurzfristigen Forderung nach einem Zertifikat konfrontiert sieht, kann dies Anlass für eine Begrenzung des Anwendungsbereiches sein. In diesem Fall wird es sinnvoll sein, zumindest die gesamte Wertschöpfungskette für dieses Produkt vom Einkauf bis zum Kundendienst in den Anwendungsbereich aufzunehmen.

Mittelfristig sollte in einem solchen Fall eine Ausweitung des Anwendungsbereichs z. B. auf die gesamte Produktion von Produkten angestrebt werden – dies vor allem, weil einheitliche Umwelt-, Sicherheits- und Qualitätsmaßstäbe weniger Kontrollaufwand erfordern und von den Mitarbeitern der Organisation leichter einzuhalten sind.

Ein weiterer Aspekt, der für die Festlegung eines möglichst umfassenden ISMS spricht, ist die Tatsache, dass ein ISMS einer Vielzahl von Anforderungen aus unterschiedlichen Quellen Rechnung tragen muss: Neben den Voraussetzungen für ein Zertifikat erfüllt ein intelligent abgegrenztes und realisiertes ISMS auch andere Ziele: – gesetzliche Forderungen nach einem internen Kontrollsystem werden erfüllt, – es dient der Verbilligung von Krediten bzw. Versicherungsbeiträgen, – es lässt sich ggf. zur besseren Erschließung bestimmter Absatzmärkte einsetzen, – es dient der Transparenz der Risiken und der Verbesserung der Sicherheitslage.
Inhaltsverzeichnis
Vorwort6
Inhaltsverzeichnis12
1 Gesetze und Standards im Umfeld der Informationssicherheit15
1.1 Corporate Governance und Risikomanagement15
1.2 Die Bedeutung des öffentlichen Beschaffungsrechts20
1.3 Standards zu Managementsystemen21
1.4 Zertifizierfähige Modelle24
1.5 Konkrete Standards zur IT-Sicherheit28
2 Vergleich der Begrifflichkeiten33
2.1 Organisation, Werte und Sicherheitsziele33
2.2 Risiken und Analysen36
2.3 Maßnahmenauswahl und Risikobehandlung42
2.4 Sicherheitsdokumente45
3 Das ISMS nach ISO 2700149
3.1 Das Modell des ISMS49
3.2 PLAN: Das ISMS festlegen53
3.3 DO: Umsetzen und Durchführen des ISMS68
3.4 CHECK: Beobachten und Überwachen des ISMS76
3.5 ACT: Pflegen und Verbessern des ISMS82
3.6 Anforderungen an die Dokumentation86
3.7 Dokumentenlenkung89
3.8 Lenkung der Aufzeichnungen93
3.9 Verantwortung des Managements93
3.10 Interne ISMS-Audits97
3.11 Managementbewertung des ISMS98
3.12 Verbesserung des ISMS101
3.13 Maßnahmenziele und Maßnahmen103
4 Festlegung des Anwendungsbereichs und Überlegungen zum Management111
4.1 Anwendungsbereich des ISMS zweckmäßig bestimmen111
4.2 Das Management-Forum für Informationssicherheit113
4.3 Verantwortlichkeiten für die Informationssicherheit114
4.4 Integration von Sicherheit in die Geschäftsprozesse115
4.5 Bestehende Risikomanagementansätze ergänzen117
4.6 Bürokratische Auswüchse117
5 Informationswerte bestimmen119
5.1 Welche Werte sollen berücksichtigt werden?119
5.2 Wo und wie kann man Werte ermitteln?121
5.3 Wer ist für die Sicherheit der Werte verantwortlich?125
5.4 Wer bestimmt, wie wichtig ein Wert ist?126
6 Risiken einschätzen129
6.1 Normative Mindestanforderungen aus ISO 27001129
6.2 Schutzbedarf nach Grundschutz137
6.3 Erweiterte Analyse nach IT-Grundschutz142
7 Maßnahmenziele und Maßnahmen bearbeiten145
7.1 Vorgehen nach ISO 27001145
7.2 Auswahl der Maßnahmen und Erwägung von Optionen146
7.3 Anwendung der Maßnahmenkataloge225
8 Maßnahmen: Validieren und Freigeben227
8.1 Validierung von Maßnahmen227
8.2 Maßnahmenbeobachtung und -überprüfung229
8.3 Maßnahmenfreigabe229
9 Audits und Zertifizierungen231
9.1 Ziele und Nutzen231
9.2 Prinzipielle Vorgehensweise234
9.3 Vorbereiten eines Audits241
9.4 Durchführung eines Audits245
9.5 Auswertung des Audits und Optimierung der Prozesse248
9.6 Grundschutz-Audit249
10 Zum Abschluss…251
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001255
Einige Fachbegriffe: deutsch / englisch263
Verzeichnis der Abbildungen und Tabellen265
Verwendete Abkürzungen267
Quellenhinweise271
Sachwortverzeichnis275

Weitere E-Books zum Thema: Sicherheit - IT Security

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Security@Work

E-Book Security@Work
Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis Format: PDF

Die Autoren erläutern die konzeptionellen und technischen Grundlagen des Themas IT-Sicherheit anhand anschaulicher Beispiele. Im Fokus stehen dabei die praktische Verwendbarkeit realitätsnaher…

Security@Work

E-Book Security@Work
Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis Format: PDF

Die Autoren erläutern die konzeptionellen und technischen Grundlagen des Themas IT-Sicherheit anhand anschaulicher Beispiele. Im Fokus stehen dabei die praktische Verwendbarkeit realitätsnaher…

Weitere Zeitschriften

Card Forum International

Card Forum International

Card Forum International, Magazine for Card Technologies and Applications, is a leading source for information in the field of card-based payment systems, related technologies, and required reading ...

care konkret

care konkret

care konkret ist die Wochenzeitung für Entscheider in der Pflege. Ambulant wie stationär. Sie fasst topaktuelle Informationen und Hintergründe aus der Pflegebranche kompakt und kompetent für Sie ...

Correo

Correo

 La Revista de Bayer CropScience para la Agricultura ModernaPflanzenschutzmagazin für den Landwirt, landwirtschaftlichen Berater, Händler und am Thema Interessierten mit umfassender ...

DER PRAKTIKER

DER PRAKTIKER

Technische Fachzeitschrift aus der Praxis für die Praxis in allen Bereichen des Handwerks und der Industrie. “der praktiker“ ist die Fachzeitschrift für alle Bereiche der fügetechnischen ...

DHS

DHS

Die Flugzeuge der NVA Neben unser F-40 Reihe, soll mit der DHS die Geschichte der "anderen" deutschen Luftwaffe, den Luftstreitkräften der Nationalen Volksarmee (NVA-LSK) der ehemaligen DDR ...