Böhmer / Haufe / Klipper | Managementsysteme für Informationssicherheit (ISMS) mit DIN EN ISO/IEC 27001 betreiben und verbessern | E-Book | sack.de
E-Book

Böhmer / Haufe / Klipper Managementsysteme für Informationssicherheit (ISMS) mit DIN EN ISO/IEC 27001 betreiben und verbessern



1. Auflage 2017, 209 Seiten, eBook, Format (B × H): 148 mm x 210 mm Reihe: Beuth Praxis
ISBN: 978-3-410-26033-2
Verlag: Beuth
Format: PDF
Kopierschutz: Kein


Böhmer / Haufe / Klipper Managementsysteme für Informationssicherheit (ISMS) mit DIN EN ISO/IEC 27001 betreiben und verbessern

Der Band aus der Reihe Beuth Praxis unterstützt Sie bei der Weiterentwicklung und Verbesserung Ihres Informationssicherheits-Managements und bei der kontinuierlichen Verbesserung der Prozesse (Stichwort: "Check und Act"). Er erleichtert Ihnen den effektiven Betrieb eines ISMS, beantwortet Fragen, die nach der Implementierung eines ISMS aufkommen, bietet einen Überblick über das Normungsumfeld und thematisch angrenzende Literatur und hilft Ihnen bei der erfolgreichen Rezertifizierung nach DIN EN ISO 27001. "Managementsysteme für Informationssicherheit" stellt Ihnen ISMS auch anhand eines ausführlichen Fallbeispiels vor - immer unter Berücksichtigung des Zertifizierungsaspekts und basiert auf der Normenreihe DIN ISO/IEC 27000 ff.

Weitere Infos & Material


1;Suchen;1
2;Managementsysteme für Informationssicherheit (ISMS) mit DIN EN ISO/IEC 27001 betreiben und verbessern;4
2.1;Impressum;5
2.2;Inhalt;6
2.3;ISMS einrichten – warum?;12
2.3.1;1 Einleitung;14
2.3.1.1;1.1 Abgrenzung;15
2.3.1.2;1.2 Zum Nutzen eines ISMS;16
2.3.1.3;1.3 Struktur dieses Buches;17
2.3.2;2 Rechtlicher Rahmen;20
2.3.2.1;2.1 Vorschriften zum Management von Informationssicherheit;20
2.3.2.2;2.2 Rechtliche Verpflichtungen zur Einrichtung eines ISMS;21
2.3.3;3 Hintergründe zur Normung;26
2.3.3.1;3.1 Historische Entwicklung;26
2.3.3.2;3.2 Die Branchenstandards der ISO;26
2.3.3.3;3.3 Aktualisierungszyklen;28
2.3.3.3.1;3.3.1 Die sechs Stufen des Normungsprozesses;28
2.3.3.4;3.4 Hilfreiche Informationen;29
2.3.3.4.1;3.4.1 Weitere Dokumententypen;29
2.3.3.4.2;3.4.2 Das ISO-Netzwerk;29
2.3.3.4.3;3.4.3 Übersetzungen;30
2.3.3.4.4;3.4.4 Abkürzungen;30
2.3.3.4.5;3.4.5 RSS-Feeds;31
2.3.4;4 Überblick über die Normungsfamilie ISO 2700x;32
2.3.4.1;4.1 Vokabular;32
2.3.4.1.1;4.1.1 ISO/IEC 27000:2016;32
2.3.4.2;4.2 Anforderungsstandards;34
2.3.4.2.1;4.2.1 ISO/IEC 27001:2013;34
2.3.4.2.2;4.2.2 ISO/IEC 27006:2015;34
2.3.4.2.3;4.2.3 ISO/IEC 27009:2016;35
2.3.4.3;4.3 Anleitende Standards;35
2.3.4.3.1;4.3.1 ISO/IEC 27002:2013;35
2.3.4.3.2;4.3.2 ISO/IEC 27003:2017;36
2.3.4.3.3;4.3.3 ISO/IEC 27004:2016;36
2.3.4.3.4;4.3.4 ISO/IEC 27005:2011;36
2.3.4.3.5;4.3.5 ISO/IEC 27007:2011;37
2.3.4.3.6;4.3.6 ISO/IEC TR 27008:2011;37
2.3.4.3.7;4.3.7 ISO/IEC 27013:2015;37
2.3.4.3.8;4.3.8 ISO/IEC 27014:2013;37
2.3.4.3.9;4.3.9 ISO/IEC TR 27016:2014;38
2.3.4.3.10;4.3.10 ISO/IEC 27021;38
2.3.4.3.11;4.3.11 ISO/IEC TR 2023:2015;38
2.3.4.4;4.4 Sektorspezifische Standards;38
2.3.4.4.1;4.4.1 ISO/IEC 27010:2015;38
2.3.4.4.2;4.4.2 ISO/IEC 27011:2016;38
2.3.4.4.3;4.4.3 ISO/IEC TR 27015:2012;39
2.3.4.4.4;4.4.4 ISO/IEC 27017:2015;39
2.3.4.4.5;4.4.5 ISO/IEC 27018:2014;39
2.3.4.5;4.5 Maßnahmenspezifische Standards;39
2.3.5;5 Integrierte Managementsysteme;42
2.3.5.1;5.1 Einleitung;42
2.3.5.2;5.2 ISO-Richtlinie zur Vereinheitlichung von Managementsystemnormen;43
2.3.5.3;5.3 Plan-Do-Check-Act;44
2.3.5.4;5.4 Managementsysteme und Systemtheorie;45
2.3.5.5;5.5 Integration von Managementsystemen (IMS);48
2.3.5.6;5.6 Literaturverzeichnis;51
2.4;ISMS eingerichtet – was nun?;52
2.4.1;6 Betriebsdokumentation eines ISMS nach ISO/IEC 27001:2013;54
2.4.1.1;6.1 Einleitung;54
2.4.1.2;6.2 Dokumentenpyramide;57
2.4.1.2.1;6.2.1 Leitlinien, Leitplanken und Geltungsbereich;57
2.4.1.2.2;6.2.2 Richtlinien und steuernde Vorgaben;60
2.4.1.2.3;6.2.3 Konzepte und Prozesse;62
2.4.1.2.4;6.2.4 Nachweise und Aufzeichnungen;65
2.4.1.3;6.3 Literaturverzeichnis;67
2.4.2;7 Ressourcen bereitstellen und Kompetenz gewährleisten;70
2.4.2.1;7.1 Ressourcenmanagement;70
2.4.2.1.1;7.1.1 Anforderungen an das Ressourcenmanagement;71
2.4.2.1.2;7.1.2 Notwendigkeit von Ressourcen für den ISMS-Betrieb und für Sicherheitsmaßnahmen;72
2.4.2.1.2.1;7.1.2.1 Ressourcen für ISMS-Maßnahmen;74
2.4.2.1.2.2;7.1.2.2 Ressourcen für den ISMS-Betrieb;74
2.4.2.1.3;7.1.3 Ressourcenmanagement als Prozess;80
2.4.2.2;7.2 Kompetenz gewährleisten;85
2.4.2.2.1;7.2.1 Anforderungen an das Personal – je nach Rolle;86
2.4.2.2.1.1;7.2.1.1 Der Informationssicherheitsbeauftragte (ISB);87
2.4.2.2.1.2;7.2.1.2 Die Informationssicherheitskoordinatoren (ISK);88
2.4.2.2.1.3;7.2.1.3 Die Informationssicherheitsauditoren (ISA);90
2.4.2.2.2;7.2.2 Weiterbildungsmöglichkeiten – Zertifizierungen;92
2.4.3;8 Bewusstsein schaffen und Kommunikation verbessern;96
2.4.3.1;8.1 Bewusstsein;97
2.4.3.2;8.2 Kommunikation;100
2.4.3.2.1;8.2.1 Kommunikation: Sender – Nachricht – Empfänger;100
2.4.3.2.2;8.2.2 Systemische Kommunikation;105
2.4.3.2.3;8.2.3 Verhaltenskreuz nach Schulz von Thun;107
2.4.3.2.4;8.2.4 Normenkreuz nach Gouthier;109
2.4.3.2.5;8.2.5 Kombination von Verhaltens- und Normenkreuz;112
2.4.3.2.6;8.2.6 Zusammenfassung;114
2.4.3.3;8.3 Sicherheitskultur ausbilden und Awareness schaffen;115
2.4.3.3.1;8.3.1 Das Sicherheitsparadoxon;115
2.4.3.3.2;8.3.2 Sicherheitsmaßnahmen sind ein Zeichen von Professionalität;117
2.4.3.3.3;8.3.3 Die Notwendigkeit eines Kommunikationskonzepts;118
2.4.3.3.4;8.3.4 Die Beeinflussung der Sicherheitskultur durch Awareness-Maßnahmen;119
2.4.3.3.5;8.3.5 Erfolgsfaktoren von Awareness-Maßnahmen;120
2.4.3.3.6;8.3.6 Phasen einer Awareness-Kampagne;120
2.4.3.4;8.4 ISO/IEC 27001-Checkliste;123
2.4.4;9 Informationssicherheitsrisiken handhaben;126
2.4.4.1;9.1 Einleitung;126
2.4.4.2;9.2 Informationssicherheitsrisikobeurteilung und -behandlung;129
2.4.4.2.1;9.2.1 Ausgestaltung des Prozesses;129
2.4.4.2.2;9.2.2 Definition des Kontextes;130
2.4.4.2.3;9.2.3 Identifikation von Informationssicherheitsrisiken;132
2.4.4.2.3.1;9.2.3.1 Identifikation der Prozesse und Assets;132
2.4.4.2.3.2;9.2.3.2 Identifikation von Bedrohungen;132
2.4.4.2.3.3;9.2.3.3 Identifikation von umgesetzten Maßnahmen;134
2.4.4.2.3.4;9.2.3.4 Identifikation von Schwachstellen;134
2.4.4.2.3.5;9.2.3.5 Identifikation der Schadensauswirkung;135
2.4.4.2.4;9.2.4 Analyse von Informationssicherheitsrisiken;135
2.4.4.2.5;9.2.5 Bewertung von Informationssicherheitsrisiken;136
2.4.4.2.6;9.2.6 Informationssicherheitsrisikobehandlung;137
2.4.4.2.7;9.2.7 Informationssicherheitsrisikokommunikation;140
2.4.4.2.7.1;9.2.7.1 Informationssicherheitsrisikoberichtswesen;140
2.4.4.2.7.2;9.2.7.2 Kommunikation und Beratung;141
2.4.4.2.8;9.2.8 Aufbauorganisation zum Prozess;141
2.4.4.2.9;9.2.9 Wirtschaftlichkeitsbetrachtungen im Informationssicherheitsrisikomanagement;143
2.4.4.3;9.3 Informationssicherheitsrisikoüberwachung/-überprüfung;145
2.4.4.3.1;9.3.1 Geplante Überprüfung des Informationssicherheitsrisikomanagements;145
2.4.4.3.2;9.3.2 Überprüfung der Risikoeinschätzung bei Änderungen;145
2.4.4.3.2.1;9.3.2.1 Incidents/Sicherheitsvorfälle;146
2.4.4.3.2.2;9.3.2.2 Change;146
2.4.4.3.2.3;9.3.2.3 Interne Audits;147
2.4.4.3.2.4;9.3.2.4 Projektmanagement;148
2.4.4.3.2.5;9.3.2.5 Lieferantenmanagement;155
2.4.4.3.2.6;9.3.2.6 Änderung an internen und externen Faktoren;157
2.4.4.4;9.4 Literatur;158
2.4.5;10 ISMS bewerten;160
2.4.5.1;10.1 Einleitung;160
2.4.5.2;10.2 Reifegradmodelle;162
2.4.5.2.1;10.2.1 CMMI;165
2.4.5.2.2;10.2.2 ISO/IEC 15504, auch bekannt als SPICE;166
2.4.5.2.3;10.2.3 ISO/IEC 21827, auch bekannt als SSE-CMM;167
2.4.5.2.4;10.2.4 O-ISM3;168
2.4.5.2.5;10.2.5 Methode zur Ermittlung des SOLL-Reifegrades;170
2.4.5.3;10.3 Anwendungsbeispiel: Smart Grid;172
2.4.5.3.1;10.3.1 Verteilnetze und Smart Grids;172
2.4.5.3.2;10.3.2 Anforderungen an die Informationssicherheit;173
2.4.5.4;10.4 Messen und Bewerten – Anforderungen und Werkzeuge;174
2.4.5.4.1;10.4.1 Die Norm ISO/IEC 27004;174
2.4.5.4.2;10.4.2 Prozessorientierte Vorgehensmodelle;175
2.4.5.4.3;10.4.3 Goal Question Metric (GQM);179
2.4.5.4.4;10.4.4 Metrisierung;181
2.4.5.4.5;10.4.5 Abgeleitete Maße und Indikatoren;181
2.4.5.5;10.5 Messen und Bewerten – Anwendung;182
2.4.5.5.1;10.5.1 Beispiel für die Ermittlung eines ISMS-Zielindikators;182
2.4.5.5.2;10.5.2 Beispiel für die Ermittlung eines Indikators der Leistung eines Informationssicherheitsprozesses;185
2.4.5.6;10.6 Gesamtbewertung;190
2.4.5.7;10.7 Kurzfassung des Vorgehensmodells;192
2.4.6;11 ISMS verbessern;194
2.4.6.1;11.1 Fortlaufende Verbesserung;194
2.4.6.2;11.2 Aufspüren von Nicht-Konformitäten, ineffektiven Maßnahmen und Ineffizienzen;197
2.4.6.3;11.3 Ableiten und Initiieren von Korrekturmaßnahmen;206
2.4.6.4;11.4 Der Verbesserungsprozess im Überblick;207


Ihre Fragen, Wünsche oder Anmerkungen

Vorname*
Nachname*
Ihre E-Mail-Adresse*
Kundennr.
Ihre Nachricht*
Lediglich mit * gekennzeichnete Felder sind Pflichtfelder.
Wenn Sie die im Kontaktformular eingegebenen Daten durch Klick auf den nachfolgenden Button übersenden, erklären Sie sich damit einverstanden, dass wir Ihr Angaben für die Beantwortung Ihrer Anfrage verwenden. Selbstverständlich werden Ihre Daten vertraulich behandelt und nicht an Dritte weitergegeben. Sie können der Verwendung Ihrer Daten jederzeit widersprechen. Das Datenhandling bei Sack Fachmedien erklären wir Ihnen in unserer Datenschutzerklärung.