| Vorwort | 6 |
| Inhaltsverzeichnis | 12 |
| 1 Gesetze und Standards im Umfeld der Informationssicherheit | 15 |
| 1.1 Corporate Governance und Risikomanagement | 15 |
| 1.2 Die Bedeutung des öffentlichen Beschaffungsrechts | 20 |
| 1.3 Standards zu Managementsystemen | 21 |
| 1.4 Zertifizierfähige Modelle | 24 |
| 1.5 Konkrete Standards zur IT-Sicherheit | 28 |
| 2 Vergleich der Begrifflichkeiten | 33 |
| 2.1 Organisation, Werte und Sicherheitsziele | 33 |
| 2.2 Risiken und Analysen | 36 |
| 2.3 Maßnahmenauswahl und Risikobehandlung | 42 |
| 2.4 Sicherheitsdokumente | 45 |
| 3 Das ISMS nach ISO 27001 | 49 |
| 3.1 Das Modell des ISMS | 49 |
| 3.2 PLAN: Das ISMS festlegen | 53 |
| 3.3 DO: Umsetzen und Durchführen des ISMS | 68 |
| 3.4 CHECK: Beobachten und Überwachen des ISMS | 76 |
| 3.5 ACT: Pflegen und Verbessern des ISMS | 82 |
| 3.6 Anforderungen an die Dokumentation | 86 |
| 3.7 Dokumentenlenkung | 89 |
| 3.8 Lenkung der Aufzeichnungen | 93 |
| 3.9 Verantwortung des Managements | 93 |
| 3.10 Interne ISMS-Audits | 97 |
| 3.11 Managementbewertung des ISMS | 98 |
| 3.12 Verbesserung des ISMS | 101 |
| 3.13 Maßnahmenziele und Maßnahmen | 103 |
| 4 Festlegung des Anwendungsbereichs und Überlegungen zum Management | 111 |
| 4.1 Anwendungsbereich des ISMS zweckmäßig bestimmen | 111 |
| 4.2 Das Management-Forum für Informationssicherheit | 113 |
| 4.3 Verantwortlichkeiten für die Informationssicherheit | 114 |
| 4.4 Integration von Sicherheit in die Geschäftsprozesse | 115 |
| 4.5 Bestehende Risikomanagementansätze ergänzen | 117 |
| 4.6 Bürokratische Auswüchse | 117 |
| 5 Informationswerte bestimmen | 119 |
| 5.1 Welche Werte sollen berücksichtigt werden? | 119 |
| 5.2 Wo und wie kann man Werte ermitteln? | 121 |
| 5.3 Wer ist für die Sicherheit der Werte verantwortlich? | 125 |
| 5.4 Wer bestimmt, wie wichtig ein Wert ist? | 126 |
| 6 Risiken einschätzen | 129 |
| 6.1 Normative Mindestanforderungen aus ISO 27001 | 129 |
| 6.2 Schutzbedarf nach Grundschutz | 137 |
| 6.3 Erweiterte Analyse nach IT-Grundschutz | 142 |
| 7 Maßnahmenziele und Maßnahmen bearbeiten | 145 |
| 7.1 Vorgehen nach ISO 27001 | 145 |
| 7.2 Auswahl der Maßnahmen und Erwägung von Optionen | 146 |
| 7.3 Anwendung der Maßnahmenkataloge | 225 |
| 8 Maßnahmen: Validieren und Freigeben | 227 |
| 8.1 Validierung von Maßnahmen | 227 |
| 8.2 Maßnahmenbeobachtung und -überprüfung | 229 |
| 8.3 Maßnahmenfreigabe | 229 |
| 9 Audits und Zertifizierungen | 231 |
| 9.1 Ziele und Nutzen | 231 |
| 9.2 Prinzipielle Vorgehensweise | 234 |
| 9.3 Vorbereiten eines Audits | 241 |
| 9.4 Durchführung eines Audits | 245 |
| 9.5 Auswertung des Audits und Optimierung der Prozesse | 248 |
| 9.6 Grundschutz-Audit | 249 |
| 10 Zum Abschluss… | 251 |
| Verzeichnis der Maßnahmen aus Anhang A der ISO 27001 | 255 |
| Einige Fachbegriffe: deutsch / englisch | 263 |
| Verzeichnis der Abbildungen und Tabellen | 265 |
| Verwendete Abkürzungen | 267 |
| Quellenhinweise | 271 |
| Sachwortverzeichnis | 275 |
