E-Book, Deutsch, 378 Seiten, eBook
Reihe: Edition
Der Weg zur Zertifizierung
E-Book, Deutsch, 378 Seiten, eBook
Reihe: Edition
ISBN: 978-3-658-01724-8
Verlag: Springer
Format: PDF
Kopierschutz: 1 - PDF Watermark
Das Buch führt den Leser Schritt für Schritt in diese Standards ein und legt verständlich dar, wie man ein adäquates Management-System (ISMS) aufbaut und bestehende Risiken analysiert und bewertet. Die ausführlich kommentierten Controls unterstützen Sicherheitsverantwortliche bei der Auswahl geeigneter Sicherheitsmaßnahmen in allen Bereichen. Die Nutzung von Kennzahlen zur Messung der Sicherheit wird an Beispielen erläutert. Zusätzlich erhält der Leser detaillierte Informationen zu internen und externen Audits sowie der Zertifizierung nach ISO 27001.
Diese erweiterte 4. Auflage des Buches berücksichtigt u. a. die aktuelle Weiterentwicklung der ISO 27000 Normenreihe und vertieft Themen wie IT-Revision und Compliance. Viele Abschnitte wurden nach Vorschlägen der Leser früherer Auflagen überarbeitet und ergänzt.
Zum Buch wird auch ein Online-Service bereit gestellt, der Checklisten und Vorlagen als Arbeitsmittel für das Sicherheitsmanagement bietet.
Heinrich Kersten ist IT-Sicherheitsexperte mit langjähriger Erfahrung als Auditor und Zertifizierer beim BSI, bei debis und T-Systems.
Jürgen Reuter hat als Lead Auditor in den Bereichen Qualitäts- und Informationssicherheitsmanagement in vielfältigen Projekten Erfahrungen gesammelt.
Klaus-Werner Schröder ist lizenzierter BS7799-Auditor sowie Common Criteria Evaluator und Zertifizierer mit langjähriger Praxiserfahrung.
Zielgruppe
Professional/practitioner
Autoren/Hrsg.
Weitere Infos & Material
1;Vorwort;6
2;Inhaltsverzeichnis;11
3;1 Gesetze und Standards im Umfeld der Informationssicherheit;14
3.1;1.1 Corporate Governance und Risikomanagement;14
3.2;1.2 Die Bedeutung des öffentlichen Beschaffungsrechts;20
3.3;1.3 Standards zu Management-Systemen;22
3.4;1.4 Zertifizierfähige Modelle;29
3.5;1.5 Konkrete Standards zur IT-Sicherheit;32
4;2 Vergleich der Begrifflichkeiten;35
4.1;2.1 Organisation, Werte und Sicherheitsziele;36
4.2;2.2 Risiken und Analysen;39
4.3;2.3 Maßnahmenauswahl und Risikobehandlung;46
4.4;2.4 Sicherheitsdokumente;49
4.5;2.5 Übersetzungsprobleme bei der deutschen Ausgabe des Standards;53
5;3 Das ISMS nach ISO 27001;56
5.1;3.1 Das Modell des ISMS;56
5.2;3.2 PLAN: Das ISMS festlegen und verwalten;60
5.3;3.3 DO: Umsetzen und Durchführen des ISMS;78
5.4;3.4 CHECK: Überwachen und Überprüfen des ISMS;86
5.5;3.5 ACT: Pflegen und Verbessern des ISMS;92
5.6;3.6 Anforderungen an die Dokumentation;95
5.7;3.7 Dokumentenlenkung;99
5.8;3.8 Lenkung der Aufzeichnungen;103
5.9;3.9 Verantwortung des Managements;104
5.10;3.10 Interne ISMS-Audits;107
5.11;3.11 Managementbewertung des ISMS;109
5.12;3.12 Verbesserung des ISMS;112
5.13;3.13 Maßnahmenziele und Maßnahmen;114
6;4 Festlegung des Anwendungsbereichs und Überlegungen zum Management;120
6.1;4.1 Anwendungsbereich des ISMS zweckmäßig bestimmen;120
6.2;4.2 Das Management-Forum für Informationssicherheit;122
6.3;4.3 Verantwortlichkeiten für die Informationssicherheit;123
6.4;4.4 Integration von Sicherheit in die Geschäftsprozesse;124
6.5;4.5 Bestehende Risikomanagementansätze ergänzen;125
6.6;4.6 Bürokratische Auswüchse;126
7;5 Informationswerte bestimmen;127
7.1;5.1 Welche Werte sollen berücksichtigt werden?;127
7.2;5.2 Wo und wie kann man Werte ermitteln?;129
7.3;5.3 Wer ist für die Sicherheit der Werte verantwortlich?;133
7.4;5.4 Wer bestimmt, wie wichtig ein Wert ist?;134
8;6 Risiken einschätzen;136
8.1;6.1 Normative Mindestanforderungen aus ISO 27001;137
8.2;6.2 Schutzbedarf nach IT-Grundschutz;146
8.3;6.3 Erweiterte Analyse nach IT-Grundschutz;151
8.4;6.4 Die monetäre Einschätzung von Risiken;152
9;7 Maßnahmenziele und Maßnahmen bearbeiten;157
9.1;A.5 Sicherheitsleitlinie;158
9.2;A.6 Organisation der Informationssicherheit;159
9.3;A.7 Management von organisationseigenen Werten;169
9.4;A.8 Personelle Sicherheit;174
9.5;A.9 Physische und umgebungsbezogene Sicherheit;181
9.6;A.10 Betriebs- und Kommunikationsmanagement;194
9.7;A.11 Zugangskontrolle;226
9.8;A.12 Beschaffung, Entwicklung und Wartung von Informationssystemen;250
9.9;A.13 Umgang mit Informationssicherheitsvorfällen;263
9.10;A.14 Sicherstellung des Geschäftsbetriebs;266
9.11;A.15 Einhaltung von Vorgaben;272
10;8 Maßnahmen: Validieren und Freigeben;284
10.1;8.1 Validierung von Maßnahmen;284
10.2;8.2 Maßnahmenbeobachtung und -überprüfung;286
10.3;8.3 Maßnahmenfreigabe;287
10.4;8.4 Alternative Vorgehensweise;287
11;9 Metriken zu ISMS und Sicherheitsmaßnahmen;290
11.1;9.1 Einführung von Metriken;290
11.2;9.2 Praktische Empfehlungen zur Einführung von Metriken;295
12;10 Audits und Zertifizierungen;302
12.1;10.1 Ziele und Nutzen;302
12.2;10.2 Prinzipielle Vorgehensweise;305
12.3;10.3 Vorbereiten eines Audits;313
12.4;10.4 Durchführung eines Audits;316
12.5;10.5 Erfahrungen aus realen Audits;319
12.6;10.6 Auswertung des Audits und Optimierung der Prozesse;323
12.7;10.7 Grundschutz-Audit;324
13;11 Zum Abschluss…;331
14;Beispiel einer Informationssicherheitsleitlinie;334
15;Verzeichnis der Maßnahmen aus Anhang A der ISO 27001;339
16;Verzeichnis der Grundschutzmaßnahmen;346
17;Einige Fachbegriffe: deutsch / englisch;352
18;Verzeichnis der Abbildungen und Tabellen;354
19;Verwendete Abkürzungen;355
20;Quellenhinweise;359
21;Sachwortverzeichnis;364
Informationssicherheit als Management-Aufgabe.- PDCA-Methodik.- Interne Kontrollsysteme.- relevante Sicherheitsstandards.- Erläuterung des ISMS nach ISO 27001 inkl. Folgenormen.- Risikoanalyse und Risikomanagement.- Sicherheitsmaßnahmen nach ISO 27002 und IT-Grundschutz.- Messung der Sicherheit mit Kennzahlen.- Audit und Zertifizierung.
