ISO27001/ISO27002: Ein Taschenführer
eBook - ePub

ISO27001/ISO27002: Ein Taschenführer

  1. 88 Seiten
  2. German
  3. ePUB (handyfreundlich)
  4. Über iOS und Android verfügbar
eBook - ePub

ISO27001/ISO27002: Ein Taschenführer

Angaben zum Buch
Buchvorschau
Inhaltsverzeichnis
Quellenangaben

Über dieses Buch

Schützen Sie die Informationen Ihrer Organisation mit ISO27001: 2013

Informationen gehören zu den wichtigsten Ressourcen Ihrer Organisation und ihre Sicherheit ist überlebenswichtig für Ihr Geschäft. Dieser praktische Taschenführer bietet einen grundlegenden Überblick über die beiden wichtigsten Informationssicherheitsstandards mit den formalen Anforderungen (ISO27001: 2013) zum Erstellen eines Informationssicherheit-Managementsystems (ISMS) sowie Empfehlungen zu besten Verfahren (ISO27002: 2013) für alle jenen, die dieses Einführen, Umsetzen oder Verwalten müssen.

Ein auf der Norm ISO27001/ISO27002 basierendes ISMS bietet zahlreiche Vorteile:

  • Verbessern Sie Ihre Effizienz durch Informationssicherheitssysteme und vorgehensweisen, dank derer Sie sich auf ihr Kerngeschäft konzentrieren können
  • Schützen Sie Ihre Informationswerte vor einer Reihe von Cyber-Bedrohungen, krimineller Aktivitäten, Gefährdungen durch Insider und Systemausfälle
  • Managen Sie Ihre Risiken systematisch und erstellen Sie Pläne zum Beseitigen oder Verringern von Cyber-Bedrohungen
  • Erkennen Sie Bedrohungen oder Prozessfehler eher und beheben Sie sie schneller

Der nächste Schritt zur Zertifizierung?

Sie können einen unabhängigen Audit Ihres ISMS anhand der Spezifikationen der Norm ISO27001 vornehmen lassen und, wenn dieser die Konformität Ihres ISMS bestätigt, unter Umständen einen akkreditierte Zertifizierung erhalten. Wir veröffentlichen eine Reihe von Toolkits und Büchern zum Thema ISMS (wie "Nine Steps to Success"), die Sie dabei unterstützen.

Inhalt

  • Die ISO/IEC 27000 Familie von Informationssicherheitsstandards;
  • Hintergrund der Normen;
  • Unterschied Spezifikation - Leitfaden;
  • Zertifizierungsprozess;
  • Die ISMS und ISO27001;
  • Überblick über ISO/IEC 27001: 2013;
  • Überblick über ISO/IEC 27002: 2013;
  • Dokumente und Aufzeichnungen;
  • Führungsverantwortung;
  • Prozessansatz und PDCA-Zyklus;
  • Kontext, Politik und Anwendungsbereich;
  • Risikobeurteilung;
  • Die Erklärung zur Anwendbarkeit;
  • Umsetzung;
  • Überprüfung und Handeln;
  • Managementprüfung;
  • ISO27001 Anhang A;

Über den Autor

Alan Calder ist Gründer und Vorstandsvorsitzender der IT Governance Ltd, ein Informations-, Analyse- und Beratungsunternehmen, das Unternehmen bei der Verwaltung von IT-Governance-, Risikomanagement-, Compliance- und Informationssicherheitsfragen unterstützt. Er verfügt über eine langjährige Erfahrung im Senior Management im privaten und öffentlichen Sektor.

Dieser praktische Taschenführer bietet einen grundlegenden Überblick über die beiden wichtigsten Informationssicherheitsstandards – kaufen Sie ihn noch heute und erfahren Sie, wie Sie das wertvollste Gut Ihrer Organisation schützen können.

Häufig gestellte Fragen

Gehe einfach zum Kontobereich in den Einstellungen und klicke auf „Abo kündigen“ – ganz einfach. Nachdem du gekündigt hast, bleibt deine Mitgliedschaft für den verbleibenden Abozeitraum, den du bereits bezahlt hast, aktiv. Mehr Informationen hier.
Derzeit stehen all unsere auf Mobilgeräte reagierenden ePub-Bücher zum Download über die App zur Verfügung. Die meisten unserer PDFs stehen ebenfalls zum Download bereit; wir arbeiten daran, auch die übrigen PDFs zum Download anzubieten, bei denen dies aktuell noch nicht möglich ist. Weitere Informationen hier.
Mit beiden Aboplänen erhältst du vollen Zugang zur Bibliothek und allen Funktionen von Perlego. Die einzigen Unterschiede bestehen im Preis und dem Abozeitraum: Mit dem Jahresabo sparst du auf 12 Monate gerechnet im Vergleich zum Monatsabo rund 30 %.
Wir sind ein Online-Abodienst für Lehrbücher, bei dem du für weniger als den Preis eines einzelnen Buches pro Monat Zugang zu einer ganzen Online-Bibliothek erhältst. Mit über 1 Million Büchern zu über 1.000 verschiedenen Themen haben wir bestimmt alles, was du brauchst! Weitere Informationen hier.
Achte auf das Symbol zum Vorlesen in deinem nächsten Buch, um zu sehen, ob du es dir auch anhören kannst. Bei diesem Tool wird dir Text laut vorgelesen, wobei der Text beim Vorlesen auch grafisch hervorgehoben wird. Du kannst das Vorlesen jederzeit anhalten, beschleunigen und verlangsamen. Weitere Informationen hier.
Ja, du hast Zugang zu ISO27001/ISO27002: Ein Taschenführer von Alan Calder im PDF- und/oder ePub-Format sowie zu anderen beliebten Büchern aus Computer Science & Cyber Security. Aus unserem Katalog stehen dir über 1 Million Bücher zur Verfügung.

Information

Verlag
ITGP
Jahr
2017
ISBN
9781849289108
Thema
Computer Science
Thema
Cyber Security

KAPITEL 1: DIE ISO/IEC 27000 FAMILIE VON INFORMATIONSSICHERHEITSSTANDARDS

ISO27001, der internationale Standard für Informationssicherheitsmanagement wurde im Jahr 2005 veröffentlicht und im Jahr 2013 aktualisiert. Seine Bekanntheit und Anwendung verbreitet sich zunehmend.
Er gehört zu einer weit größeren Familie, innerhalb der die Norm ISO/IEC 27000 der Ursprung für eine ganze Reihe internationaler Standards für das Management von Informationssicherheit ist.
Entwickelt von einem Unterausschuss eines gemeinsamen Fachausschusses (ISO/IEC JTC SC27) der International Standards Organisation (ISO) in Genf und der International Electrotechnical Commission (IEC) stellen diese Standards jetzt ein weltweit anerkanntes Rahmenwerk für die besten Verfahrensweisen für das Informationssicherheitsmanagement dar.
Die korrekte Bezeichnung der meisten dieser Standards enthält die vorangestellte Kennzeichnung ISO/IEC und in der Regel als nachgestellte Kennzeichnung das Jahr ihrer Veröffentlichung. Die meisten Standards werden in der Praxis jedoch häufig mit ihren Kurzbezeichnungen benannt. ISO/IEC 27001:2013 zum Beispiel wird oft einfach als ISO27001 bezeichnet.
Die erste Reihe von Informationssicherheitsstandards der ISO27000 wurde bereits veröffentlicht.

ISO/IEC 27001:2013 (ISO27001)

Dies ist die aktuelle Version der internationalen Standardspezifikation für ein Informationssicherheit-Managementsystem. Sie ist hersteller- und technologie-unabhängig. Sie ist „darauf ausgelegt, auf alle Organisationen anwendbar zu sein, unabhängig von Art, Größe oder Natur“1, in jeder Branche (z. B. Wirtschaftsunternehmen, Behörden, gemeinnützige Organisationen) und überall auf der Welt. Es ist ein Managementsystem, keine Technologiespezifikation, mit dem offiziellen Titel „Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“

ISO/IEC 27002:2013 (ISO27002)

Dieser Standard trägt den Titel „Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management“. Die erste Ausgabe wurde im Juli 2005 veröffentlicht, und war anfangs und ursprünglich als ISO/IEC 17799 nummeriert. Die neuste Ausgabe wurde im Oktober 2013 herausgegeben.

ISO/IEC 27003

Dieser Standard trägt den Titel „Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheitsmanagementsystem-Einführungsleitlinie“. Er wurde im Januar 2010 veröffentlicht.

ISO/IEC 27004

Dieser Standard trägt den Titel „Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheitsmanagement – Messung“. Dieser Standard soll Organisationen dabei unterstützen, die Anforderung aus Absatz 9.1 bis 9.3 von ISO27001 bezgl. der Messung der Wirksamkeit der Maßnahmen effektiver nachzukommen. Er wurde im Dezember 2009 veröffentlicht.

ISO/IEC 27005:2011

Informationssicherheits-Risikomanagement (basierend auf und unter Einbeziehung von ISO/IEC 13335 MICTS Teil 2) wurde im Juni 2008 veröffentlicht, eine überarbeitete Version folgt im Jahr 2011.

ISO/IEC 27006:2011

Dieser Standard legt die Anforderungen an Prüf- und Zertifizierungsstellen im Bereich von Informationssicherheit-Managementsystemen fest.

Begriffsbestimmungen

Es ist vorgesehen, dass die in allen diesen Standards verwendeten Begriffsbestimmungen sowohl untereinander als auch mit jenen der ISO/IEC Guide 73:2009 einheitlich sind. ISO/IEC 27000:2016 ist ebenfalls verfügbar; diese Norm trägt den Titel „Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Überblick und Terminologie“.
 
1 ISO/IEC 27001:2013, Teil 1.

KAPITEL 2: HINTERGRUND DER STANDARDS

Der allererste offizielle Informationssicherheitsstandard, die Norm BS7799, wurde im Vereinigten Königreich im April 1999 als zweiteiliger Standard veröffentlicht. Ein früherer Leitfaden wurde grundlegend überarbeitet und wurde zum Teil 1 des neuen Standards (BS7799-1:1999); Teil 2 (BS7799-2:1999) wurde neu erstellt und hinzugefügt.
Die Verbindung zwischen den beiden Standards war die folgende:
  • Teil 1 war ein Leitfaden.
  • Teil 2 war eine Spezifikation für ein ISMS, die aus dem Leitfaden ausgewählte Maßnahmen bereitstellt.
Die ursprüngliche Teil 2 benannte im Haupttext der Norm dieselben Maßnahmen, die in Teil 1 weitaus ausführlicher beschrieben wurden (insbesondere im Hinblick auf die Implementierung). Diese Maßnahmen wurden später aus dem Haupttext von Teil 2 entfernt und in einem Anhang, Anhang A, aufgelistet.
An dieser „Rollenverteilung“ der beiden Standards hat sich bis heute nichts geändert: Während der eine die Spezifikation für ISMS enthält, bietet der andere einen detaillierten Leitfaden zu den Informationssicherheitsmaßnahmen, die bei der Entwicklung und Implementierung von ISMS berücksichtigt werden sollten.
Die International Standards Organisation (ISO) und die International Electrotechnical Commission (IEC)1 haben dann zusammen an der Anwendung und Internationalisierung der Norm BS7799-1 gearbeitet, die daraufhin im Dezember 2000 als ISO/IEC 17799:2000 veröffentlicht wurde. Die Norm ISO17799 war weltweit stark verbreitet und stellte die beste Verfahrensweise in Sachen Informationssicherheitsmaßnahmen dar.
Die Norm ISO 17799 wurde fünf Jahre (2005) später grundlegend überarbeitet, verbessert und aktualisiert und wurde neu beziffert als Teil der Reihe ISO27000.

BS7799-2

Die Norm BS7799-2:1999 wurde überarbeitet und als BS7799-2:2002 neu veröffentlicht. Dabei wurden signifikante Änderungen vorgenommen wie:
  • die Angleichung der Abschnittsnummerierung in beiden Teilen des Standards
  • die Ergänzung des PDCA-Modells (siehe Kapitel 15) zum Standard
  • die Ergänzung einer Anforderung zur kontinuierlichen Verbesserung des ISMS
  • der Abgleich des Standards, und seiner detaillierten Abschnitte, mit den Normen ISO9001:2000 und ISO14001:1996, zur Erleichterung der Entwicklung integrierter Managementsysteme.

ISO27001:2005

Obgleich die Norm BS7799-2 von vielen Ländern angewandt wurde, war sie bis zum Juni 2005, als die Norm ISO/IEC 17799:2005 veröffentlicht wurde, eigentlich nur ein britischer Standard. Damals wurde die Entscheidung getroffen, die BS7799-2 zügig in Richtung Internationalisierung voranzutreiben und die endgültige Fassung (FDIS, Final Draft International Standard) erschien im Juni 2005. Die Norm BS7799-2:2005 (ISO/IEC 27001:2005) wurde schließlich im Oktober 2005 veröffentlicht.

ISO27001:2013

Infolge einer ausgedehnten Beratung mit Mitgliedsorganisationen der ISO/IEC erschien die jüngste Ausgabe der ISO27001 im Oktober 2013. Diese lenkte den Fokus auf das Erstellen von ISMS, die die Organisation und ihre Prozesses ergänzen, und die Verringerung von Redundanz innerhalb der Spezifikation und Maßnahmen.

Übereinstimmungen zwischen ISO27001 und ISO27002

Der Anhang A der ISO/IEC 27001:2013 listet die 114 Kontrollen auf, die auch in der ISO/IEC 27002:2013 enthalten sind, er befolgt dasselbe Nummerierungssystem und nutzt dieselben Begriffe für Maßnahmen und Maßnahmenziele.
Das Vorwort des Anhangs besagt: „Die Maßnahmenziele und Maßnahmen [auf die sich diese Ausgabe bezieht] leiten sich direkt von denen ab, die in der Norm ISO/IEC 27002:2013 aufgelistet sind, und sie sind mit diesen abgeglichen.“ ISO/IEC 27001 fordert, dass die Organisation „alle Maßnahmen festlegt, die zur Implementierung der gewählten Option(en) zur Behandlung von Informationssicherheitsrisiken erforderlich sind“2.
ISO27002 bietet auch eine ausführliche Einführungsleitlinie für die Implementierung der einzelnen Maßnahmen. Jeder, der ein ISMS nach ISO27001 einführt, muss sich sowohl mit der Norm ISO27001 als auch mit der Norm ISO27002 vertraut machen.
Während die Norm ISO27001 tatsächlich die Verwendung der Norm ISO27002 als Orientierungshilfe für Maßnahmen, ihre Auswahl und Implementierung vorschreibt, schränkt sie die Organisation bei der Wahl nicht ein. Die Spezifikation besagt: „Die im Anhang A aufgelisteten Maßnahmenziele und Maßnahmen sind nicht vollständig und es können zusätzliche Maßnahmenziele und Maßnahmen erforderlich sein.“3

Verwendung der Standards

Beide Standards erkennen an, dass Informationssicherheit nicht durch technologische Mittel allein erreicht werden kann und immer so implementiert werden sollte, dass sie mit dem allgemeinen Risikoansatz der Organisation vereinbar ist und keine Schwierigkeiten für ihre Geschäftstätigkeiten schafft.
Effektive Informationssicherheit wird in der Norm ISO27000 als die „Wahrung der Vertraulichkeit, Unversehrtheit und Verfügbarkeit von Informationen“ definiert.
1 Die IEC ist „weltweit die führende Organisation zur Erarbeitung und Veröffentlichung internationaler Normen für alle Bereiche der Elektrotechnik und Elektronik“. Ihre Website finden Sie unter www.i...

Inhaltsverzeichnis

  1. Abdeckung
  2. Titel
  3. Copyright
  4. Vorwort
  5. Über den Autor
  6. Danksagungen
  7. Inhalte
  8. Einführung
  9. Kapitel 1: Die ISO/IEC 27000 Familie von Informationssicherheitsstandards 13
  10. Kapitel 2: Hintergrund der Standards
  11. Kapitel 3: Unterschied Spezifikation - Leitfaden
  12. Kapitel 4: Zertifizierungsprozess
  13. Kapitel 5: Die ISMS und ISO27001
  14. Kapitel 6: Überblick über ISO/IEC 27001:2013
  15. Kapitel 7: Überblick über ISO/IEC 27002:2013
  16. Kapitel 8: Dokumente und Aufzeichnungen
  17. Kapitel 9: Führungsverantwortung
  18. Kapitel 10: Prozessansatz und PDCA-Zyklus
  19. Kapitel 11: Kontext, Politik und Anwendungsbereich 45
  20. Kapitel 12: Risikobeurteilung
  21. Kapitel 13: Die Erklärung zur Anwendbarkeit (SoA) 55
  22. Kapitel 14: Umsetzung
  23. Kapitel 15: Überprüfung und Handeln
  24. Kapitel 16: Managementprüfung
  25. Kapitel 17: ISO27001 Anhang A
  26. ITG Ressourcen