E-Book, Deutsch, 209 Seiten, Format (B × H): 148 mm x 210 mm
Reihe: DIN Media Praxis
E-Book, Deutsch, 209 Seiten, Format (B × H): 148 mm x 210 mm
Reihe: DIN Media Praxis
ISBN: 978-3-410-26033-2
Verlag: DIN Media
Format: PDF
Kopierschutz: Adobe DRM (»Systemvoraussetzungen)
Autoren/Hrsg.
Fachgebiete
Weitere Infos & Material
1;Suchen;1
2;Managementsysteme für Informationssicherheit (ISMS) mit DIN EN ISO/IEC 27001 betreiben und verbessern;4
2.1;Impressum;5
2.2;Inhalt;6
2.3;ISMS einrichten – warum?;12
2.3.1;1 Einleitung;14
2.3.1.1;1.1 Abgrenzung;15
2.3.1.2;1.2 Zum Nutzen eines ISMS;16
2.3.1.3;1.3 Struktur dieses Buches;17
2.3.2;2 Rechtlicher Rahmen;20
2.3.2.1;2.1 Vorschriften zum Management von Informationssicherheit;20
2.3.2.2;2.2 Rechtliche Verpflichtungen zur Einrichtung eines ISMS;21
2.3.3;3 Hintergründe zur Normung;26
2.3.3.1;3.1 Historische Entwicklung;26
2.3.3.2;3.2 Die Branchenstandards der ISO;26
2.3.3.3;3.3 Aktualisierungszyklen;28
2.3.3.3.1;3.3.1 Die sechs Stufen des Normungsprozesses;28
2.3.3.4;3.4 Hilfreiche Informationen;29
2.3.3.4.1;3.4.1 Weitere Dokumententypen;29
2.3.3.4.2;3.4.2 Das ISO-Netzwerk;29
2.3.3.4.3;3.4.3 Übersetzungen;30
2.3.3.4.4;3.4.4 Abkürzungen;30
2.3.3.4.5;3.4.5 RSS-Feeds;31
2.3.4;4 Überblick über die Normungsfamilie ISO 2700x;32
2.3.4.1;4.1 Vokabular;32
2.3.4.1.1;4.1.1 ISO/IEC 27000:2016;32
2.3.4.2;4.2 Anforderungsstandards;34
2.3.4.2.1;4.2.1 ISO/IEC 27001:2013;34
2.3.4.2.2;4.2.2 ISO/IEC 27006:2015;34
2.3.4.2.3;4.2.3 ISO/IEC 27009:2016;35
2.3.4.3;4.3 Anleitende Standards;35
2.3.4.3.1;4.3.1 ISO/IEC 27002:2013;35
2.3.4.3.2;4.3.2 ISO/IEC 27003:2017;36
2.3.4.3.3;4.3.3 ISO/IEC 27004:2016;36
2.3.4.3.4;4.3.4 ISO/IEC 27005:2011;36
2.3.4.3.5;4.3.5 ISO/IEC 27007:2011;37
2.3.4.3.6;4.3.6 ISO/IEC TR 27008:2011;37
2.3.4.3.7;4.3.7 ISO/IEC 27013:2015;37
2.3.4.3.8;4.3.8 ISO/IEC 27014:2013;37
2.3.4.3.9;4.3.9 ISO/IEC TR 27016:2014;38
2.3.4.3.10;4.3.10 ISO/IEC 27021;38
2.3.4.3.11;4.3.11 ISO/IEC TR 2023:2015;38
2.3.4.4;4.4 Sektorspezifische Standards;38
2.3.4.4.1;4.4.1 ISO/IEC 27010:2015;38
2.3.4.4.2;4.4.2 ISO/IEC 27011:2016;38
2.3.4.4.3;4.4.3 ISO/IEC TR 27015:2012;39
2.3.4.4.4;4.4.4 ISO/IEC 27017:2015;39
2.3.4.4.5;4.4.5 ISO/IEC 27018:2014;39
2.3.4.5;4.5 Maßnahmenspezifische Standards;39
2.3.5;5 Integrierte Managementsysteme;42
2.3.5.1;5.1 Einleitung;42
2.3.5.2;5.2 ISO-Richtlinie zur Vereinheitlichung von Managementsystemnormen;43
2.3.5.3;5.3 Plan-Do-Check-Act;44
2.3.5.4;5.4 Managementsysteme und Systemtheorie;45
2.3.5.5;5.5 Integration von Managementsystemen (IMS);48
2.3.5.6;5.6 Literaturverzeichnis;51
2.4;ISMS eingerichtet – was nun?;52
2.4.1;6 Betriebsdokumentation eines ISMS nach ISO/IEC 27001:2013;54
2.4.1.1;6.1 Einleitung;54
2.4.1.2;6.2 Dokumentenpyramide;57
2.4.1.2.1;6.2.1 Leitlinien, Leitplanken und Geltungsbereich;57
2.4.1.2.2;6.2.2 Richtlinien und steuernde Vorgaben;60
2.4.1.2.3;6.2.3 Konzepte und Prozesse;62
2.4.1.2.4;6.2.4 Nachweise und Aufzeichnungen;65
2.4.1.3;6.3 Literaturverzeichnis;67
2.4.2;7 Ressourcen bereitstellen und Kompetenz gewährleisten;70
2.4.2.1;7.1 Ressourcenmanagement;70
2.4.2.1.1;7.1.1 Anforderungen an das Ressourcenmanagement;71
2.4.2.1.2;7.1.2 Notwendigkeit von Ressourcen für den ISMS-Betrieb und für Sicherheitsmaßnahmen;72
2.4.2.1.2.1;7.1.2.1 Ressourcen für ISMS-Maßnahmen;74
2.4.2.1.2.2;7.1.2.2 Ressourcen für den ISMS-Betrieb;74
2.4.2.1.3;7.1.3 Ressourcenmanagement als Prozess;80
2.4.2.2;7.2 Kompetenz gewährleisten;85
2.4.2.2.1;7.2.1 Anforderungen an das Personal – je nach Rolle;86
2.4.2.2.1.1;7.2.1.1 Der Informationssicherheitsbeauftragte (ISB);87
2.4.2.2.1.2;7.2.1.2 Die Informationssicherheitskoordinatoren (ISK);88
2.4.2.2.1.3;7.2.1.3 Die Informationssicherheitsauditoren (ISA);90
2.4.2.2.2;7.2.2 Weiterbildungsmöglichkeiten – Zertifizierungen;92
2.4.3;8 Bewusstsein schaffen und Kommunikation verbessern;96
2.4.3.1;8.1 Bewusstsein;97
2.4.3.2;8.2 Kommunikation;100
2.4.3.2.1;8.2.1 Kommunikation: Sender – Nachricht – Empfänger;100
2.4.3.2.2;8.2.2 Systemische Kommunikation;105
2.4.3.2.3;8.2.3 Verhaltenskreuz nach Schulz von Thun;107
2.4.3.2.4;8.2.4 Normenkreuz nach Gouthier;109
2.4.3.2.5;8.2.5 Kombination von Verhaltens- und Normenkreuz;112
2.4.3.2.6;8.2.6 Zusammenfassung;114
2.4.3.3;8.3 Sicherheitskultur ausbilden und Awareness schaffen;115
2.4.3.3.1;8.3.1 Das Sicherheitsparadoxon;115
2.4.3.3.2;8.3.2 Sicherheitsmaßnahmen sind ein Zeichen von Professionalität;117
2.4.3.3.3;8.3.3 Die Notwendigkeit eines Kommunikationskonzepts;118
2.4.3.3.4;8.3.4 Die Beeinflussung der Sicherheitskultur durch Awareness-Maßnahmen;119
2.4.3.3.5;8.3.5 Erfolgsfaktoren von Awareness-Maßnahmen;120
2.4.3.3.6;8.3.6 Phasen einer Awareness-Kampagne;120
2.4.3.4;8.4 ISO/IEC 27001-Checkliste;123
2.4.4;9 Informationssicherheitsrisiken handhaben;126
2.4.4.1;9.1 Einleitung;126
2.4.4.2;9.2 Informationssicherheitsrisikobeurteilung und -behandlung;129
2.4.4.2.1;9.2.1 Ausgestaltung des Prozesses;129
2.4.4.2.2;9.2.2 Definition des Kontextes;130
2.4.4.2.3;9.2.3 Identifikation von Informationssicherheitsrisiken;132
2.4.4.2.3.1;9.2.3.1 Identifikation der Prozesse und Assets;132
2.4.4.2.3.2;9.2.3.2 Identifikation von Bedrohungen;132
2.4.4.2.3.3;9.2.3.3 Identifikation von umgesetzten Maßnahmen;134
2.4.4.2.3.4;9.2.3.4 Identifikation von Schwachstellen;134
2.4.4.2.3.5;9.2.3.5 Identifikation der Schadensauswirkung;135
2.4.4.2.4;9.2.4 Analyse von Informationssicherheitsrisiken;135
2.4.4.2.5;9.2.5 Bewertung von Informationssicherheitsrisiken;136
2.4.4.2.6;9.2.6 Informationssicherheitsrisikobehandlung;137
2.4.4.2.7;9.2.7 Informationssicherheitsrisikokommunikation;140
2.4.4.2.7.1;9.2.7.1 Informationssicherheitsrisikoberichtswesen;140
2.4.4.2.7.2;9.2.7.2 Kommunikation und Beratung;141
2.4.4.2.8;9.2.8 Aufbauorganisation zum Prozess;141
2.4.4.2.9;9.2.9 Wirtschaftlichkeitsbetrachtungen im Informationssicherheitsrisikomanagement;143
2.4.4.3;9.3 Informationssicherheitsrisikoüberwachung/-überprüfung;145
2.4.4.3.1;9.3.1 Geplante Überprüfung des Informationssicherheitsrisikomanagements;145
2.4.4.3.2;9.3.2 Überprüfung der Risikoeinschätzung bei Änderungen;145
2.4.4.3.2.1;9.3.2.1 Incidents/Sicherheitsvorfälle;146
2.4.4.3.2.2;9.3.2.2 Change;146
2.4.4.3.2.3;9.3.2.3 Interne Audits;147
2.4.4.3.2.4;9.3.2.4 Projektmanagement;148
2.4.4.3.2.5;9.3.2.5 Lieferantenmanagement;155
2.4.4.3.2.6;9.3.2.6 Änderung an internen und externen Faktoren;157
2.4.4.4;9.4 Literatur;158
2.4.5;10 ISMS bewerten;160
2.4.5.1;10.1 Einleitung;160
2.4.5.2;10.2 Reifegradmodelle;162
2.4.5.2.1;10.2.1 CMMI;165
2.4.5.2.2;10.2.2 ISO/IEC 15504, auch bekannt als SPICE;166
2.4.5.2.3;10.2.3 ISO/IEC 21827, auch bekannt als SSE-CMM;167
2.4.5.2.4;10.2.4 O-ISM3;168
2.4.5.2.5;10.2.5 Methode zur Ermittlung des SOLL-Reifegrades;170
2.4.5.3;10.3 Anwendungsbeispiel: Smart Grid;172
2.4.5.3.1;10.3.1 Verteilnetze und Smart Grids;172
2.4.5.3.2;10.3.2 Anforderungen an die Informationssicherheit;173
2.4.5.4;10.4 Messen und Bewerten – Anforderungen und Werkzeuge;174
2.4.5.4.1;10.4.1 Die Norm ISO/IEC 27004;174
2.4.5.4.2;10.4.2 Prozessorientierte Vorgehensmodelle;175
2.4.5.4.3;10.4.3 Goal Question Metric (GQM);179
2.4.5.4.4;10.4.4 Metrisierung;181
2.4.5.4.5;10.4.5 Abgeleitete Maße und Indikatoren;181
2.4.5.5;10.5 Messen und Bewerten – Anwendung;182
2.4.5.5.1;10.5.1 Beispiel für die Ermittlung eines ISMS-Zielindikators;182
2.4.5.5.2;10.5.2 Beispiel für die Ermittlung eines Indikators der Leistung eines Informationssicherheitsprozesses;185
2.4.5.6;10.6 Gesamtbewertung;190
2.4.5.7;10.7 Kurzfassung des Vorgehensmodells;192
2.4.6;11 ISMS verbessern;194
2.4.6.1;11.1 Fortlaufende Verbesserung;194
2.4.6.2;11.2 Aufspüren von Nicht-Konformitäten, ineffektiven Maßnahmen und Ineffizienzen;197
2.4.6.3;11.3 Ableiten und Initiieren von Korrekturmaßnahmen;206
2.4.6.4;11.4 Der Verbesserungsprozess im Überblick;207