Skip to main content
Fachgebiete
Automobil + Motoren Bauwesen + Immobilien Business IT + Informatik Elektrotechnik + Elektronik Energie + Nachhaltigkeit Finance + Banking Management + Führung Marketing + Vertrieb Maschinenbau + Werkstoffe Versicherung + Risiko
DE
EN
Bücher
Zeitschriften
Themenseiten
Organisationspsychologie Projektmanagement Marketing Smart Manufacturing
Weitere Formate
Podcasts Webinare Technik Webinare Wirtschaft Kongresse Veranstaltungskalender Awards
Jetzt Einzelzugang starten
Zugang für Unternehmen
Referenzkunden
SLX-Digitalkonferenz: Zukunftswerkstatt 2024

Mehr Umsatz mit Top-Kontakten

Am 7. Mai erfahren Sie, wie Vertriebsteams Leadgenerierung, Leadnurturing und Leadstrategien effizient steuern können.
Erweiterte Suche
Anmelden
nach oben

2016 | Buch

Einführung Kapitel lesen Erstes Kapitel lesen

IT-Sicherheitsmanagement nach der neuen ISO 27001

ISMS, Risiken, Kennziffern, Controls

verfasst von: Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder

Verlag: Springer Fachmedien Wiesbaden

Buchreihe : Edition <kes>

Enthalten in: Springer Professional "Wirtschaft+Technik" , Springer Professional "Technik" , Springer Professional "Wirtschaft"

Einloggen, um Zugang zu erhalten
insite
SUCHEN

Über dieses Buch

Dieses Buch behandelt das Management der Informationssicherheit auf der Basis der neuen Fassung der Norm ISO/IEC 27001. Die Autoren erläutern kompetent den Standard und seine organisatorisch-technische Umsetzung. Dies betrifft die Anforderungen an das Informationssicherheits-Managementsystem (ISMS) genauso wie die 114 Controls aus dem Anhang der Norm. Die ausführlich kommentierten Controls unterstützen Sicherheitsverantwortliche bei der Auswahl geeigneter Sicherheitsmaßnahmen in allen Bereichen.Die Normenreihe ISO 27000 ist ein wichtiges Hilfsmittel für Unternehmen und Behörden, die ein IT-Sicherheitsmanagement in ihrer Organisation einführen und betreiben wollen. Im internationalen Kontext ist die Anwendung der ISO 27001 für viele Organisationen nahezu unverzichtbar. Nicht zuletzt mit dem deutschen IT-Sicherheitsgesetz erhält dieser Standard auch national eine hohe Bedeutung. Mit der Neufassung der Norm im Jahr 2015 (deutsche Version) müssen sich alle Organisationen entsprechend umstellen und ihr ISMS anpassen. Hierfür enthält das Buch einen entsprechenden „Fahrplan“.

Inhaltsverzeichnis

Frontmatter
1. Einführung
Zusammenfassung
In diesem einführenden Kapitel wollen wir einen ersten Überblick über die ISO 27001 geben, einige Begriffe erläutern und mit einer ersten Checkliste für vorbereitende Aktivitäten schließen.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
2. Die Anforderungen an ein ISMS
Zusammenfassung
In diesem Kapitel erläutern und kommentieren wir die Anforderungen aus dem Hauptteil der ISO27001, und zwar genauer gesagt der Kap. 4 bis 10. Diese Anforderungen sind „nicht verhandelbar“, d. h. sie müssen alle umgesetzt werden, wenn man mit der Norm übereinstimmen will. Sie beinhalten im Grunde eine – allerdings sehr abstrakte – Beschreibung bzw. Spezifikation eines ISMS. Die Art und Weise der Umsetzung ist – bei Beachtung der gegebenen Randbedingungen – von der betreffenden Organisation jedoch frei wählbar.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
3. Risikomanagement
Zusammenfassung
Die Analyse von und der Umgang mit bestehenden Risiken für die Informationssicherheit ist ein zentrales Anliegen der Norm und für jede Organisation eine unerlässliche Aufgabe. Andererseits sind vorhandene Vorgehensmodelle nicht immer leicht anzuwenden – sei es, weil sie in unübersichtlichen Zahlenwerken enden oder weil ihr Ergebnis scheinbar wenig aussagefähig ist. In diesem Kapitel werden wir uns zunächst mit dem Risikomanagement als Aufgabe und dann mit einigen Beispielen für die Methodik der Risikoanalyse und -bewertung auseinandersetzen.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
4. Sicherheit messen
Zusammenfassung
Ähnlich wie beim Qualitätsmanagement nach ISO 9001 [1] kann es auch im Rahmen der Informationssicherheit hilfreich sein, geeignete Kennzahlen zu messen, um Aussagen über die reale Sicherheit der Organisation und weitere Aspekte zu erhalten. Wir wollen in diesem Kapitel die Grundlagen für solche Messungen und eine Reihe von Beispielen dazu erläutern.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
5. Interne und externe Audits
Zusammenfassung
Audits durchzuführen ist eine anerkannte Methode, um die Übereinstimmung mit Vorgaben, z. B. Standards, zu überprüfen. In unserem Kontext geht es um Audits des ISMS einer Organisation. Normerfordernis ist die regelmäßige Durchführung interner Audits. Zusätzlich werden externe Audits notwendig, falls man eine Zertifizierung anstrebt. Wir besprechen im Folgenden die Vorbereitung, Durchführung, Auswertung, Gemeinsamkeiten und Unterschiede solcher Audits.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
6. Die Controls im Anhang A
Zusammenfassung
Die Controls im Anhang A der ISO 27001 sind normativ, d. h. sie sind allesamt zu bearbeiten – was nicht zwangsläufig heißt, dass alle umgesetzt werden müssen. Nach einem kurzen Überblick kommentieren wir alle Controls der neuen Normfassung und geben Hinweise und Beispiele zu ihrer Umsetzung.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
7. ISMS und mobile Infrastrukturen
Zusammenfassung
Ein hochaktuelles Sicherheitsthema ist die Einbeziehung mobiler IT-Systeme in die IT-Infrastruktur einer Organisation, die dann folglich zu einer mobilen IT-Infrastruktur wird – bei der meist auch noch Cloud Services zum Einsatz kommen. Bei diesem Thema sind viele Sicherheitsprobleme zu beachten und zu lösen – nicht zuletzt geht es um die Anpassung bestehender Leit- und Richtlinien sowie Sicherheitskonzepte auf diese neue Struktur. Im Folgenden wollen wir diese Integrations- bzw. Migrationsaufgabe anhand der ISO 27001 durchspielen.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
8. Umsteigen von „alt“ nach „neu“
Zusammenfassung
Wer sich bisher an der älteren Fassung der ISO 27001 orientiert hat, wird sich die Frage stellen, was beim Übergang zur neuen Fassung 2013/2015 geändert wurde, ob und ggf. welche Anpassungen an einem bestehenden ISMS, seinen Maßnahmen und Dokumenten vorzunehmen sind. In diesem Kapitel stellen wir deshalb einen Leitfaden bzw. Fahrplan für den Umstieg dar.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
9. Interne Kontrollsysteme
Zusammenfassung
Der Begriff des internen Kontrollsystems ist mit der Verabschiedung und der Umsetzung des amerikanischen Sarbanes-Oxley Act populär geworden. Auch in deutschen Gesetzen, namentlich im Umfeld der Abgabenordnung, ist dieser Begriff schon länger gebräuchlich. Den gesetzlichen Vorgaben ist gemeinsam, dass sie keinerlei klare und abgeschlossene Definition eines solchen Kontrollsystems enthalten. Es werden lediglich in vorwiegend abstrakter Form Hinweise und Anforderungen an derartige Systeme gestellt, die in bestimmten thematischen Bereichen eines solchen Kontrollsystems anzuwenden sind. Letztlich stellt ein internes Kontrollsystem (IKS) nichts anders als die Gesamtheit der aufbau- und ablauforganisatorischen Regeln eines Unternehmens dar. Zutreffend ist auch, dass es sich bei einem IKS um so etwas wie das integrierte Management-System eines Unternehmens handelt, in dem auch die Informationssicherheit ein wichtiger Gegenstand ist.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
10. ISMS und IT-Sicherheitsgesetz
Zusammenfassung
Das neue IT-Sicherheitsgesetz (IT-SG) in Deutschland ist maßgebend für Organisationen, die zu den so genannten kritischen Infrastrukturen gehören. Das Gesetz nennt dafür die „Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“. Ob eine Organisation aus diesen Sektoren tatsächlich vom IT-SG betroffen ist, hängt von weiteren Rahmenbedingungen ab, die z. T. erst in entsprechenden Verordnungen zum IT-SG präzisiert werden. In diesem Kapitel skizzieren wir die Auswirkungen des IT-SG auf ein ISMS nach ISO 27001.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder
Backmatter
Metadaten
Titel
IT-Sicherheitsmanagement nach der neuen ISO 27001
verfasst von
Heinrich Kersten
Gerhard Klett
Jürgen Reuter
Klaus-Werner Schröder
Copyright-Jahr
2016
Electronic ISBN
978-3-658-14694-8
Print ISBN
978-3-658-14693-1
DOI
https://doi.org/10.1007/978-3-658-14694-8