Skip to main content
main-content

Tipp

Weitere Kapitel dieses Buchs durch Wischen aufrufen

2016 | OriginalPaper | Buchkapitel

9. Zur Abgrenzung eines Informationsverbundes

Theoretische Vorgaben und praktische Umsetzung

verfasst von: Christoph Wegener, Thomas Milde, Wilhelm Dolle

Erschienen in: Informationssicherheits-Management

Verlag: Springer Berlin Heidelberg

share
TEILEN

Zusammenfassung

Im Bereich der Unternehmensabsicherung haben sich Managementsysteme gemäß dem Deming-Zyklus, der auch als ″PDCA-Zyklus″ bekannt ist, etabliert. Zu nennen sind dabei das Information Security-Managementsysteme (kurz: ISMS) der ISO/IEC 27001. Allerdings hat sich in Deutschland im öffentlichen Sektor der BSI-Standard 100-2 bzw. die Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (kurz: BSI) durchgesetzt. Die Grundschutz-Methodik, die im BSI-Standard 100-2 beschrieben ist, geht immer von einer Institution oder Behörde aus, die für sich genommen eine Einheit bildet. Diese Situation liegt bei einem Telekommunikationsdienstleister oder einer anderen großen Institution in Deutschland allerdings nicht vor. Zudem betreiben letztere, aus dem Zwang zum wirtschaftlichen erfolgreichen Handeln, üblicherweise ihr ISMS prozessorientiert entlang der Wertschöpfungsketten und deutlich seltener technologiebezogen. Somit stellt sich die Frage, wie die Abgrenzung des Informationsverbundes (kurz: IV) in diesem Fall vorzunehmen ist. Anhand eines Beispiels für einen Informationsverbund, der seit 2015 zertifiziert ist, wird in diesem Beitrag eine praxisbewährte und zertifizierungskonforme Lösung vorgestellt, die für große Institutionen richtungsweisend sein kann.

Sie möchten Zugang zu diesem Inhalt erhalten? Dann informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

  • über 69.000 Bücher
  • über 500 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Maschinenbau + Werkstoffe
  • Versicherung + Risiko

Testen Sie jetzt 15 Tage kostenlos.

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

  • über 50.000 Bücher
  • über 380 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Maschinenbau + Werkstoffe




Testen Sie jetzt 15 Tage kostenlos.

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

  • über 58.000 Bücher
  • über 300 Zeitschriften

aus folgenden Fachgebieten:

  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Versicherung + Risiko




Testen Sie jetzt 15 Tage kostenlos.

Fußnoten
1
Korrekt wird die ISO/IEC 27001 immer mit einer Jahresbezeichnung angegeben. Die Fassung aus dem Jahre 2005, also die ISO/IEC 27001:2005, läuft in wenigen Monaten aus, aktuell ist die Fassung ISO/IEC 27001:2013. Um hier allgemein auf die internationale Norm ISO/IEC 27001 hinzuweisen, wird neutral das Kürzel :year angehängt.
 
2
Einer der herausragenden Unterschiede liegt in der Art und Weise, wie eine Risikoanalyse durchgeführt wird, denn es wird auf die Betrachtung der Eintrittswahrscheinlichkeit eines Risikoszenarios (wie bspw. im BSI-Standard 100-3 [4]) verzichtet und mit Gefährdungen gearbeitet.
 
Literatur
1.
Zurück zum Zitat W. Deming, Out of the Crisis (The MIT Press, Cambridge (USA), 1982) W. Deming, Out of the Crisis (The MIT Press, Cambridge (USA), 1982)
2.
Zurück zum Zitat International Organization for Standardization (ISO), Vernier (CH), ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements (2013) International Organization for Standardization (ISO), Vernier (CH), ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements (2013)
3.
Zurück zum Zitat Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise. BSI, Bonn (2008) Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise. BSI, Bonn (2008)
4.
Zurück zum Zitat Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Standard 100-3: Risikoanalyse auf der Basis IT-Grundschutz. BSI, Bonn (2008) Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI-Standard 100-3: Risikoanalyse auf der Basis IT-Grundschutz. BSI, Bonn (2008)
5.
Zurück zum Zitat M. Brenner, N. Felde, W. Hommel, S. Metzger, H. Reiser, T. Schaaf, Praxisbuch ISO/IEC 27001: Management der Informationssicherheit und Vorbereitung auf die Zertifizierung (Carl Hanser, München, 2011) CrossRef M. Brenner, N. Felde, W. Hommel, S. Metzger, H. Reiser, T. Schaaf, Praxisbuch ISO/IEC 27001: Management der Informationssicherheit und Vorbereitung auf die Zertifizierung (Carl Hanser, München, 2011) CrossRef
6.
Zurück zum Zitat K. Adusei-Poku, Operational Risk Management – Implementing a Bayesian Network for Foreign Exchange and Money Market Settlement. Doktorarbeit, Universität Göttingen (2005) K. Adusei-Poku, Operational Risk Management – Implementing a Bayesian Network for Foreign Exchange and Money Market Settlement. Doktorarbeit, Universität Göttingen (2005)
8.
Zurück zum Zitat L.D. Vallea, P. Giudici, Comput. Stat. Data Anal. 52(6), 3107 (2008) CrossRef L.D. Vallea, P. Giudici, Comput. Stat. Data Anal. 52(6), 3107 (2008) CrossRef
9.
Zurück zum Zitat International Organization for Standardization (ISO), Vernier (CH), ISO/IEC 27005:2011 Information technology – Security techniques – Information security risk management (2011) International Organization for Standardization (ISO), Vernier (CH), ISO/IEC 27005:2011 Information technology – Security techniques – Information security risk management (2011)
Metadaten
Titel
Zur Abgrenzung eines Informationsverbundes
verfasst von
Christoph Wegener
Thomas Milde
Wilhelm Dolle
Copyright-Jahr
2016
Verlag
Springer Berlin Heidelberg
DOI
https://doi.org/10.1007/978-3-662-49167-6_9

Premium Partner