Skip to main content
Disciplines
Automotive Business IT + Informatics Construction + Real Estate Electrical Engineering + Electronics Energy + Sustainability Insurance + Risk Finance + Banking Management + Leadership Marketing + Sales Mechanical Engineering + Materials
Events
DE
EN
Books
Journals
Topic Page
Marketing
Start single access now
Access for companies
EXTENDED SEARCH
Log in
Top

2020 | Book

Einführung Read chapter Read first chapter

IT-Sicherheitsmanagement nach der neuen ISO 27001

ISMS, Risiken, Kennziffern, Controls

Authors: Dr. Heinrich Kersten, Dr. Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder

Publisher: Springer Fachmedien Wiesbaden

Book Series : Edition <kes>

Part of: Springer Professional "Wirtschaft+Technik" , Springer Professional "Technik" , Springer Professional "Wirtschaft"

Login to get access
insite
SEARCH

About this book

Dieses Buch behandelt das Management der Informationssicherheit auf der Basis der Norm ISO/IEC 27001. Mit der 2. Auflage wurden die Inhalte des Fachbuches umfassend aktualisiert und den Neuerungen der Norm angepasst. Die Autoren erläutern kompetent den Standard und seine organisatorisch-technische Umsetzung. Dies betrifft die Anforderungen an das Informationssicherheits-Managementsystem (ISMS) genauso wie die 114 Controls aus dem Anhang der Norm. Die ausführlich kommentierten Controls unterstützen Sicherheitsverantwortliche bei der Auswahl geeigneter Sicherheitsmaßnahmen in allen Bereichen.
Die Normenreihe ISO 27000 ist ein wichtiges Hilfsmittel für Unternehmen und Behörden, die ein IT-Sicherheitsmanagement in ihrer Organisation einführen und betreiben wollen. Im internationalen Kontext ist die Anwendung der ISO 27001 für viele Organisationen nahezu unverzichtbar. Nicht zuletzt mit dem deutschen IT-Sicherheitsgesetz erhält dieser Standard auch national eine hohe Bedeutung. Seit der Neufassung der Norm im Jahr 2015 (deutsche Version) und Änderungen in 2017 müssen sich alle Organisationen entsprechend umstellen und ihr ISMS anpassen. Hierfür enthält das Buch entsprechende „Fahrpläne“.

Table of Contents

Frontmatter
1. Einführung
Zusammenfassung
In diesem einführenden Kapitel wollen wir einen ersten Überblick über die ISO 27001 geben, einige Begriffe erläutern und mit einer ersten Checkliste für vorbereitende Aktivitäten schließen.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
2. Die Anforderungen an ein ISMS
Zusammenfassung
In diesem Kapitel erläutern und kommentieren wir die Anforderungen aus dem Hauptteil der ISO 27001, und zwar genauer gesagt der Kap. 4 bis 10. Diese Anforderungen sind „nicht verhandelbar“, d. h. sie müssen alle umgesetzt werden, wenn man mit der Norm übereinstimmen will. Sie beinhalten im Grunde eine – allerdings sehr abstrakte – Beschreibung bzw. Spezifikation eines ISMS. Die Art und Weise der Umsetzung ist – bei Beachtung der gegebenen Randbedingungen – von der betreffenden Organisation jedoch frei wählbar.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
3. Risikomanagement
Zusammenfassung
Die Analyse von und der Umgang mit bestehenden Risiken für die Informationssicherheit ist ein zentrales Anliegen der Norm und für jede Organisation eine unerlässliche Aufgabe. Andererseits sind vorhandene Vorgehensmodelle nicht immer leicht anzuwenden – sei es, weil sie in unübersichtlichen Zahlenwerken enden oder weil ihr Ergebnis scheinbar wenig aussagefähig ist. In diesem Kapitel werden wir uns zunächst mit dem Risikomanagement als Aufgabe und dann mit einigen Beispielen für die Methodik der Risikoanalyse und -bewertung auseinandersetzen.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
4. Sicherheit messen
Zusammenfassung
Ähnlich wie beim Qualitätsmanagement nach ISO 9001 kann es auch im Rahmen der Informationssicherheit hilfreich sein, geeignete Kennzahlen zu messen, um Aussagen über die reale Sicherheit der Organisation und weitere Aspekte zu erhalten. Wir wollen in diesem Kapitel die Grundlagen für solche Messungen und eine Reihe von Beispielen dazu erläutern.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
5. Interne und externe Audits
Zusammenfassung
Audits durchzuführen ist eine anerkannte Methode, um die Übereinstimmung mit Vorgaben, z. B. Standards, zu überprüfen. In unserem Kontext geht es um Audits des ISMS einer Organisation. Normerfordernis ist die regelmäßige Durchführung interner Audits. Zusätzlich werden externe Audits notwendig, falls man eine Zertifizierung anstrebt. Wir besprechen im Folgenden die Vorbereitung, Durchführung, Auswertung, Gemeinsamkeiten und Unterschiede solcher Audits.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
6. Die Controls im Anhang A
Zusammenfassung
Die Controls im Anhang A der ISO 27001 sind normativ, d. h. sie sind allesamt zu bearbeiten – was nicht zwangsläufig heißt, dass alle umgesetzt werden müssen. Nach einem kurzen Überblick kommentieren wir alle Controls der neuen Normfassung und geben Hinweise und Beispiele zu ihrer Umsetzung.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
7. ISMS und mobile Infrastrukturen
Zusammenfassung
Ein hochaktuelles Sicherheitsthema ist die Einbeziehung mobiler IT-Systeme in die IT-Infrastruktur einer Organisation, die dann folglich zu einer mobilen IT-Infrastruktur wird – bei der meist auch noch Cloud Services zum Einsatz kommen. Bei diesem Thema sind viele Sicherheitsprobleme zu beachten und zu lösen – nicht zuletzt geht es um die Anpassung bestehender Leit- und Richtlinien sowie Sicherheitskonzepte auf diese neue Struktur. Im Folgenden wollen wir diese Integrations- bzw. Migrationsaufgabe anhand der ISO 27001 durchspielen.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
8. Umsteigen von älteren Normfassungen auf die aktuelle Norm
Zusammenfassung
Wer sich bisher an älteren Fassungen der ISO 27001 orientiert hat, wird sich die Frage stellen, was beim Übergang zur aktuellen Fassung geändert wurde, ob und ggf. welche Anpassungen an einem bestehenden ISMS, seinen Maßnahmen und Dokumenten vorzunehmen sind. In diesem Kapitel stellen wir deshalb einen Leitfaden bzw. Fahrplan für den Umstieg dar.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
9. Interne Kontrollsysteme
Zusammenfassung
Der Begriff des internen Kontrollsystems ist mit der Verabschiedung und der Umsetzung des amerikanischen Sarbanes-Oxley Act populär geworden. Auch in deutschen Gesetzen, namentlich im Umfeld der Abgabenordnung, ist dieser Begriff schon länger gebräuchlich, allerdings im Anwendungsbereich auf die Behandlung buchhalterischer Verpflichtungen zur Gewährleistung der steuerlichen Nachprüfung beschränkt. Den gesetzlichen Vorgaben ist gemeinsam, dass sie keinerlei klare und abgeschlossene Definition eines solchen Kontrollsystems enthalten. Es werden lediglich in vorwiegend abstrakter Form Hinweise und Anforderungen an derartige Systeme gestellt, die in bestimmten thematischen Bereichen eines solchen Kontrollsystems anzuwenden sind. Letztlich stellt ein internes Kontrollsystem (IKS) nichts anders als die Gesamtheit der aufbau- und ablauforganisatorischen Regeln eines Unternehmens dar. Zutreffend ist auch, dass es sich bei einem IKS um so etwas wie das integrierte Management-System eines Unternehmens handelt, in dem auch die Informationssicherheit ein wichtiger Gegenstand ist.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
10. ISMS: Auswirkungen aktueller gesetzlicher Vorgaben
Zusammenfassung
In diesem Kapitel wollen wir das IT-Sicherheitsgesetz und die Datenschutz-Grundverordnung betrachten und skizzieren, ob und wie deren Anforderungen in einem ISMS berücksichtigt werden können.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
Backmatter
Metadata
Title
IT-Sicherheitsmanagement nach der neuen ISO 27001
Authors
Dr. Heinrich Kersten
Dr. Gerhard Klett
Jürgen Reuter
Klaus-Werner Schröder
Copyright Year
2020
Electronic ISBN
978-3-658-27692-8
Print ISBN
978-3-658-27691-1
DOI
https://doi.org/10.1007/978-3-658-27692-8

Premium Partner

    Image Credits