Kersten / Reuter / Schröder IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz
2008
ISBN: 978-3-8348-9425-0
Verlag: Vieweg & Teubner
Format: PDF
Kopierschutz: 1 - PDF Watermark
Der Weg zur Zertifizierung
E-Book, Deutsch, 267 Seiten, eBook
Reihe: Edition
ISBN: 978-3-8348-9425-0
Verlag: Vieweg & Teubner
Format: PDF
Kopierschutz: 1 - PDF Watermark
Der Standard ISO 2700x wird für Unternehmen und Behörden immer wichtiger. Er ist aus dem British Standard 7799 hervorgegangen, der international bereits einen hohen Stellenwert erlangt hatte, und dreht sich um das IT-Sicherheitsmanagement in Organisationen. Das Buch führt den Leser Schritt für Schritt in den Standard ein und legt verständlich dar, wie man ihn für das Sicherheitsmanagement anwendet und Konformität herstellt. Gleichzeitig wird die Schnittstelle zum IT-Grundschutz des BSI erläutert, der sich nahtlos an den Standard anschließt und Sicherheitsverantwortliche bei der Auswahl geeigneter Sicherheitsmaßnahmen unterstützt. Zusätzlich erhält der Leser detaillierte Informationen in Sachen Audits und Zertifizierung nach ISO 27001 und IT-Grundschutz.
Heinrich Kersten ist Auditor und Leiter der Zertifizierungsstelle der T-Systems mit vielen Jahren 'BSI-Erfahrung'.
Jürgen Reuter hat als Lead Auditor in den Bereichen Qualitäts- und Informationssicherheitsmanagement in vielfältigen Projekten Erfahrungen gesammelt.
Klaus-Werner Schröder ist lizenzierter BS7799-Auditor sowie Common Criteria Evaluator und Zertifizierer mit langjähriger Praxiserfahrung.
Zielgruppe
Research
Autoren/Hrsg.
Weitere Infos & Material
1;Vorwort;6
2;Inhaltsverzeichnis;12
3;1 Gesetze und Standards im Umfeld der Informationssicherheit;15
3.1;1.1 Corporate Governance und Risikomanagement;15
3.2;1.2 Die Bedeutung des öffentlichen Beschaffungsrechts;20
3.3;1.3 Standards zu Managementsystemen;21
3.4;1.4 Zertifizierfähige Modelle;24
3.5;1.5 Konkrete Standards zur IT-Sicherheit;28
4;2 Vergleich der Begrifflichkeiten;33
4.1;2.1 Organisation, Werte und Sicherheitsziele;33
4.2;2.2 Risiken und Analysen;36
4.3;2.3 Maßnahmenauswahl und Risikobehandlung;42
4.4;2.4 Sicherheitsdokumente;45
5;3 Das ISMS nach ISO 27001;49
5.1;3.1 Das Modell des ISMS;49
5.2;3.2 PLAN: Das ISMS festlegen;53
5.3;3.3 DO: Umsetzen und Durchführen des ISMS;68
5.4;3.4 CHECK: Beobachten und Überwachen des ISMS;76
5.5;3.5 ACT: Pflegen und Verbessern des ISMS;82
5.6;3.6 Anforderungen an die Dokumentation;86
5.7;3.7 Dokumentenlenkung;89
5.8;3.8 Lenkung der Aufzeichnungen;93
5.9;3.9 Verantwortung des Managements;93
5.10;3.10 Interne ISMS-Audits;97
5.11;3.11 Managementbewertung des ISMS;98
5.12;3.12 Verbesserung des ISMS;101
5.13;3.13 Maßnahmenziele und Maßnahmen;103
6;4 Festlegung des Anwendungsbereichs und Überlegungen zum Management;111
6.1;4.1 Anwendungsbereich des ISMS zweckmäßig bestimmen;111
6.2;4.2 Das Management-Forum für Informationssicherheit;113
6.3;4.3 Verantwortlichkeiten für die Informationssicherheit;114
6.4;4.4 Integration von Sicherheit in die Geschäftsprozesse;115
6.5;4.5 Bestehende Risikomanagementansätze ergänzen;117
6.6;4.6 Bürokratische Auswüchse;117
7;5 Informationswerte bestimmen;119
7.1;5.1 Welche Werte sollen berücksichtigt werden?;119
7.2;5.2 Wo und wie kann man Werte ermitteln?;121
7.3;5.3 Wer ist für die Sicherheit der Werte verantwortlich?;125
7.4;5.4 Wer bestimmt, wie wichtig ein Wert ist?;126
8;6 Risiken einschätzen;129
8.1;6.1 Normative Mindestanforderungen aus ISO 27001;129
8.2;6.2 Schutzbedarf nach Grundschutz;137
8.3;6.3 Erweiterte Analyse nach IT-Grundschutz;142
9;7 Maßnahmenziele und Maßnahmen bearbeiten;145
9.1;7.1 Vorgehen nach ISO 27001;145
9.2;7.2 Auswahl der Maßnahmen und Erwägung von Optionen;146
9.3;7.3 Anwendung der Maßnahmenkataloge;225
10;8 Maßnahmen: Validieren und Freigeben;227
10.1;8.1 Validierung von Maßnahmen;227
10.2;8.2 Maßnahmenbeobachtung und -überprüfung;229
10.3;8.3 Maßnahmenfreigabe;229
11;9 Audits und Zertifizierungen;231
11.1;9.1 Ziele und Nutzen;231
11.2;9.2 Prinzipielle Vorgehensweise;234
11.3;9.3 Vorbereiten eines Audits;241
11.4;9.4 Durchführung eines Audits;245
11.5;9.5 Auswertung des Audits und Optimierung der Prozesse;248
11.6;9.6 Grundschutz-Audit;249
12;10 Zum Abschluss…;251
13;Verzeichnis der Maßnahmen aus Anhang A der ISO 27001;255
14;Einige Fachbegriffe: deutsch / englisch;263
15;Verzeichnis der Abbildungen und Tabellen;265
16;Verwendete Abkürzungen;267
17;Quellenhinweise;271
18;Sachwortverzeichnis;275
Gesetze und Standards im Umfeld der Informationssicherheit.- Vergleich der Begrifflichkeiten.- Das ISMS nach ISO 27001.- Festlegung des Anwendungsbereichs und Überlegungen zum Management.- Informationswerte bestimmen.- Risiken einschätzen.- Maßnahmenziele und Maßnahmen bearbeiten.- Maßnahmen: Validieren und Freigeben.- Audits und Zertifizierungen.- Zum Abschluss….
4 Festlegung des Anwendungsbereichs und Überlegungen zum Management (S.97-98)
In diesem Kapitel wollen wir den Anwendungsbereich (englisch: Scope) des ISMS bestimmen und wichtige Management-Elemente einrichten.
4.1 Anwendungsbereich des ISMS zweckmäßig bestimmen
Bei der Festlegung des Anwendungsbereichs sollte man sich von den Bedürfnissen der Organisation und ihren Gegebenheiten leiten lassen. Dennoch gilt: Jede Begrenzung des Anwendungsbereichs und jeder Ausschluss sind zu benennen und detailliert zu begründen (ISO 27001, Abschnitt 4.2.1.a). Anwendungsbereich des ISMS zweckmäßig bestimmen Bei der Festlegung des Anwendungsbereichs sollte man sich von den Bedürfnissen der Organisation und ihren Gegebenheiten leiten lassen. Dennoch gilt: Jede Begrenzung des Anwendungsbereichs und jeder Ausschluss sind zu benennen und detailliert zu begründen (ISO 27001, Abschnitt 4.2.1.a).
Ein weit verbreiteter Fehler bei der Festlegung des Anwendungsbereichs besteht darin, eine möglichst schnelle Realisierung der formalen Voraussetzungen für eine Zertifizierung zu erreichen. Vor diesem Hintergrund ist es in der Praxis leider häufig zu beobachten, dass ein sehr „kleiner" Anwendungsbereich zum Gegenstand des ISMS einer Organisation gemacht wird – einzig und allein zu dem Zweck, möglichst schnell eine Bescheinigung (Zertifikat) zu erhalten. Die wesentlichen Vorteile der Managementsysteme bleiben hierbei leider auf der Strecke: die Verbesserung interner und vor allem bereichsübergreifender Abläufe.
Der gleiche wenig wirksame Effekt entsteht bei einer Modularisierung der ISMS, bei der die unterschiedlichen Bereiche der Organisation, wie z. B. Einkauf, Vertrieb, IT-Abteilung, mit einem jeweils in sich geschlossenen ISMS versehen werden.
Von der Grundtendenz her werden die Informationsrisiken der gesamten Organisation bei der Betrachtung von solchen isolierten Management-Systemen nicht deutlich, da jedes einzelne ISMS nur seine Partikularrisiken betrachtet und reduzieren will, was möglicherweise sogar zu einer Erhöhung des Gesamtrisikos für die Organisation, aber in jedem Fall zu einer ineffizienten Verwendung von Ressourcen führt.
Wenn in der Organisation bereits ein bereichsübergreifendes Managementsystem – beispielsweise auf der Basis von ISO 9001 – besteht, liegt es nahe, dieses auch auf die Anwendung von ISO 27001 zu übertragen: Eine Vielzahl von Regelungen und Verfah ren dürften gleich oder ähnlich sein, somit kann Aufwand eingespart werden.
Vor der Einführung eines zweiten, parallelen Managementsystems muss jedoch ausdrücklich gewarnt werden, da erfahrungsgemäß eine eindeutige Zuweisung von Verantwortlichkeiten und eine Harmonisierung der Verfahrensweisen nicht erreicht wird. Falls die Organisation Hersteller eines bestimmten Produktes ist und sich in einem wichtigen Absatzmarkt mit der kurzfristigen Forderung nach einem Zertifikat konfrontiert sieht, kann dies Anlass für eine Begrenzung des Anwendungsbereiches sein. In diesem Fall wird es sinnvoll sein, zumindest die gesamte Wertschöpfungskette für dieses Produkt vom Einkauf bis zum Kundendienst in den Anwendungsbereich aufzunehmen.
Mittelfristig sollte in einem solchen Fall eine Ausweitung des Anwendungsbereichs z. B. auf die gesamte Produktion von Produkten angestrebt werden – dies vor allem, weil einheitliche Umwelt-, Sicherheits- und Qualitätsmaßstäbe weniger Kontrollaufwand erfordern und von den Mitarbeitern der Organisation leichter einzuhalten sind.
Ein weiterer Aspekt, der für die Festlegung eines möglichst umfassenden ISMS spricht, ist die Tatsache, dass ein ISMS einer Vielzahl von Anforderungen aus unterschiedlichen Quellen Rechnung tragen muss: Neben den Voraussetzungen für ein Zertifikat erfüllt ein intelligent abgegrenztes und realisiertes ISMS auch andere Ziele: – gesetzliche Forderungen nach einem internen Kontrollsystem werden erfüllt, – es dient der Verbilligung von Krediten bzw. Versicherungsbeiträgen, – es lässt sich ggf. zur besseren Erschließung bestimmter Absatzmärkte einsetzen, – es dient der Transparenz der Risiken und der Verbesserung der Sicherheitslage.
