Skip to main content
main-content

Über dieses Buch

Dieses Buch behandelt das Management der Informationssicherheit auf der Basis der Norm ISO/IEC 27001. Mit der 2. Auflage wurden die Inhalte des Fachbuches umfassend aktualisiert und den Neuerungen der Norm angepasst. Die Autoren erläutern kompetent den Standard und seine organisatorisch-technische Umsetzung. Dies betrifft die Anforderungen an das Informationssicherheits-Managementsystem (ISMS) genauso wie die 114 Controls aus dem Anhang der Norm. Die ausführlich kommentierten Controls unterstützen Sicherheitsverantwortliche bei der Auswahl geeigneter Sicherheitsmaßnahmen in allen Bereichen.
Die Normenreihe ISO 27000 ist ein wichtiges Hilfsmittel für Unternehmen und Behörden, die ein IT-Sicherheitsmanagement in ihrer Organisation einführen und betreiben wollen. Im internationalen Kontext ist die Anwendung der ISO 27001 für viele Organisationen nahezu unverzichtbar. Nicht zuletzt mit dem deutschen IT-Sicherheitsgesetz erhält dieser Standard auch national eine hohe Bedeutung. Seit der Neufassung der Norm im Jahr 2015 (deutsche Version) und Änderungen in 2017 müssen sich alle Organisationen entsprechend umstellen und ihr ISMS anpassen. Hierfür enthält das Buch entsprechende „Fahrpläne“.

Inhaltsverzeichnis

Frontmatter

1. Einführung

Zusammenfassung
In diesem einführenden Kapitel wollen wir einen ersten Überblick über die ISO 27001 geben, einige Begriffe erläutern und mit einer ersten Checkliste für vorbereitende Aktivitäten schließen.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder

2. Die Anforderungen an ein ISMS

Zusammenfassung
In diesem Kapitel erläutern und kommentieren wir die Anforderungen aus dem Hauptteil der ISO 27001, und zwar genauer gesagt der Kap. 4 bis 10. Diese Anforderungen sind „nicht verhandelbar“, d. h. sie müssen alle umgesetzt werden, wenn man mit der Norm übereinstimmen will. Sie beinhalten im Grunde eine – allerdings sehr abstrakte – Beschreibung bzw. Spezifikation eines ISMS. Die Art und Weise der Umsetzung ist – bei Beachtung der gegebenen Randbedingungen – von der betreffenden Organisation jedoch frei wählbar.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder

3. Risikomanagement

Zusammenfassung
Die Analyse von und der Umgang mit bestehenden Risiken für die Informationssicherheit ist ein zentrales Anliegen der Norm und für jede Organisation eine unerlässliche Aufgabe. Andererseits sind vorhandene Vorgehensmodelle nicht immer leicht anzuwenden – sei es, weil sie in unübersichtlichen Zahlenwerken enden oder weil ihr Ergebnis scheinbar wenig aussagefähig ist. In diesem Kapitel werden wir uns zunächst mit dem Risikomanagement als Aufgabe und dann mit einigen Beispielen für die Methodik der Risikoanalyse und -bewertung auseinandersetzen.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder

4. Sicherheit messen

Zusammenfassung
Ähnlich wie beim Qualitätsmanagement nach ISO 9001 kann es auch im Rahmen der Informationssicherheit hilfreich sein, geeignete Kennzahlen zu messen, um Aussagen über die reale Sicherheit der Organisation und weitere Aspekte zu erhalten. Wir wollen in diesem Kapitel die Grundlagen für solche Messungen und eine Reihe von Beispielen dazu erläutern.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder

5. Interne und externe Audits

Zusammenfassung
Audits durchzuführen ist eine anerkannte Methode, um die Übereinstimmung mit Vorgaben, z. B. Standards, zu überprüfen. In unserem Kontext geht es um Audits des ISMS einer Organisation. Normerfordernis ist die regelmäßige Durchführung interner Audits. Zusätzlich werden externe Audits notwendig, falls man eine Zertifizierung anstrebt. Wir besprechen im Folgenden die Vorbereitung, Durchführung, Auswertung, Gemeinsamkeiten und Unterschiede solcher Audits.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder

6. Die Controls im Anhang A

Zusammenfassung
Die Controls im Anhang A der ISO 27001 sind normativ, d. h. sie sind allesamt zu bearbeiten – was nicht zwangsläufig heißt, dass alle umgesetzt werden müssen. Nach einem kurzen Überblick kommentieren wir alle Controls der neuen Normfassung und geben Hinweise und Beispiele zu ihrer Umsetzung.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder

7. ISMS und mobile Infrastrukturen

Zusammenfassung
Ein hochaktuelles Sicherheitsthema ist die Einbeziehung mobiler IT-Systeme in die IT-Infrastruktur einer Organisation, die dann folglich zu einer mobilen IT-Infrastruktur wird – bei der meist auch noch Cloud Services zum Einsatz kommen. Bei diesem Thema sind viele Sicherheitsprobleme zu beachten und zu lösen – nicht zuletzt geht es um die Anpassung bestehender Leit- und Richtlinien sowie Sicherheitskonzepte auf diese neue Struktur. Im Folgenden wollen wir diese Integrations- bzw. Migrationsaufgabe anhand der ISO 27001 durchspielen.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder

8. Umsteigen von älteren Normfassungen auf die aktuelle Norm

Zusammenfassung
Wer sich bisher an älteren Fassungen der ISO 27001 orientiert hat, wird sich die Frage stellen, was beim Übergang zur aktuellen Fassung geändert wurde, ob und ggf. welche Anpassungen an einem bestehenden ISMS, seinen Maßnahmen und Dokumenten vorzunehmen sind. In diesem Kapitel stellen wir deshalb einen Leitfaden bzw. Fahrplan für den Umstieg dar.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder

9. Interne Kontrollsysteme

Zusammenfassung
Der Begriff des internen Kontrollsystems ist mit der Verabschiedung und der Umsetzung des amerikanischen Sarbanes-Oxley Act populär geworden. Auch in deutschen Gesetzen, namentlich im Umfeld der Abgabenordnung, ist dieser Begriff schon länger gebräuchlich, allerdings im Anwendungsbereich auf die Behandlung buchhalterischer Verpflichtungen zur Gewährleistung der steuerlichen Nachprüfung beschränkt. Den gesetzlichen Vorgaben ist gemeinsam, dass sie keinerlei klare und abgeschlossene Definition eines solchen Kontrollsystems enthalten. Es werden lediglich in vorwiegend abstrakter Form Hinweise und Anforderungen an derartige Systeme gestellt, die in bestimmten thematischen Bereichen eines solchen Kontrollsystems anzuwenden sind. Letztlich stellt ein internes Kontrollsystem (IKS) nichts anders als die Gesamtheit der aufbau- und ablauforganisatorischen Regeln eines Unternehmens dar. Zutreffend ist auch, dass es sich bei einem IKS um so etwas wie das integrierte Management-System eines Unternehmens handelt, in dem auch die Informationssicherheit ein wichtiger Gegenstand ist.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder

10. ISMS: Auswirkungen aktueller gesetzlicher Vorgaben

Zusammenfassung
In diesem Kapitel wollen wir das IT-Sicherheitsgesetz und die Datenschutz-Grundverordnung betrachten und skizzieren, ob und wie deren Anforderungen in einem ISMS berücksichtigt werden können.
Heinrich Kersten, Gerhard Klett, Jürgen Reuter, Klaus-Werner Schröder

Backmatter

Weitere Informationen

Premium Partner

    Bildnachweise