14,99 €
Informationssicherheit ist die Basis für Wettbewerbsfähigkeit und unabdingbar für langfristigen Erfolg. Zu wenig Sicherheit ist fahrlässig, zu viel Sicherheit ist unwirtschaftlich. Daher sollten mit dem richtigen Augenmaß nur bedarfsgerechte Maßnahmen implementiert werden. Mit dem Schutz von Unternehmensdaten und Informationen werden Compliance Manager, Sicherheitsbeauftragte, Datenschutzbeauftragte und Risikomanager betraut. Die vorliegende QuickInfo liefert Ihnen verständlich vermitteltes Grundlagenwissen zum IT-Sicherheitsmanagement und hält Praxistipps für Sie bereit. So haben Sie mit diesem Leitfaden das erste „Einmaleins“ für das Management ganzheitlicher und nachhaltiger Informationssicherheit in Ihrer Tasche.
Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:
Seitenzahl: 48
Impressum
ISBN 978-3-85402-325-8
Auch als Buch verfügbar:
ISBN 978-3-85402-324-1
1. Auflage 2016
Das Werk ist urheberrechtlich geschützt.
Alle Rechte vorbehalten.
Nachdruck oder Vervielfältigung, Aufnahme
auf oder in sonstige Medien oder Datenträger,
auch bei nur auszugsweiser Verwertung,
sind nur mit ausdrücklicher Zustimmung der
Austrian Standards plus GmbH gestattet.
Alle Angaben in diesem Fachbuch erfolgen
trotz sorgfältiger Bearbeitung ohne Gewähr
und eine Haftung des Autors oder des Verlages
ist ausgeschlossen.
Geschlechtsbezogene Aussagen sind auf Grund der Gleichstellung für beiderlei Geschlechter aufzufassen bzw. auszulegen.
© Austrian Standards plus GmbH, Wien 2016
Die Austrian Standards plus GmbH ist ein Unternehmen von Austrian Standards Institute.
Austrian Standards plus Gmbh
1020 Wien, Heinestraße 38
T +43 1 213 00-300
F +43 1 213 00-818
www.austrian-standards.at/fachliteratur
Projektbetreuung und Lektorat
Gertraud Reznicek
Cover – Fotocredit
© iStockphoto.com/simon2579
gestaltung
Alexander Mang
Inhalt
1 Vorwort
2 Informationssicherheit beginnt beim Management
2.1 Managementbereitschaft
2.2 Schritt für Schritt zum Erfolg
3 Informationssicherheitsmanagementsystem (ISMS): Darauf kommt es an
3.1 Wieviel Informationssicherheit ist notwendig?
3.2 Wie wirtschaftlich ist Informationssicherheit?
3.3 IS-Risikomanagement
3.4 Sicherheitsorganisation
3.5 Rollen und Verantwortlichkeiten
3.6 Sicherheitsprozesse
3.7 Technische Sicherheit
4 ISMS-Normen und -Standards
4.1 IS-Risikomanagement
4.2 Die ISO/IEC 27001 „Information technology – Security techniques – Information security management systems – Requirements“
4.2.1 Einführung und Historie
4.2.2 Hauptteil der Norm
4.2.3 Anhang A der Norm
4.2.4 Anwendung der Norm
4.3 COBIT
4.4 Informationssicherheitsmanagement nach IT Infrastructure Library (ITIL)
4.5 Statement on Standards for Attestation Engagements (SSAE) / International Standard on Assurance Engagements (ISAE)
4.5.1 Beteiligte bei Prüfung nach ISAE 3402
4.5.2 Einsatzszenarien
4.5.3 Prüfungsanlass und Mehrwert der ISAE 3402
5 Business Continuity Management (BCM)
5.1 Aufbau eines BCM
5.2 Ablauf einer Business Impact Analyse
5.2.1 Auswahl der einzubeziehenden Organisationseinheiten und Geschäftsprozesse
5.2.2 Schadensanalyse
5.2.3 Festlegung der Wiederanlaufparameter
5.2.4 Berücksichtigung von Abhängigkeiten
5.2.5 Priorisierung und Kritikalität der Geschäftsprozesse
5.2.6 Erhebung der Ressourcen für Normal- und Notbetrieb
5.2.7 Kritikalität und Wiederanlaufzeiten der Ressourcen
6 Rechtliche Aspekte
7 Zusammenfassung
8 Literatur- und Normenverzeichnis
8.1 Literatur
8.2 Verzeichnis der wichtigsten referenzierten ISO-Normen
Der Autor
Abbildung 1Best-Practice-Informationsklassen (Quelle: TeleTrusT)
Abbildung 2Kosten-Nutzen-Verhältnis
Abbildung 3Aufbau einer Informationssicherheitsorganisation
Abbildung 4Zusammenhang zwischen ISM und IS-RCM
Abbildung 5Der vollständige Risikomanagementprozess nach ISO/IEC 27005 nach Sebastian Klipper
Abbildung 6Prozesse des IS-RCM (Quelle: TeleTrusT)
Abkürzungen
AICPA American Institute of Certified Public Accounts
APO Align, Plan and Organize
ASI Austrian Standards Institute
BCM Business Continuity Management
BCMS Business Continuity Management System
BIA Business Impact Analyse
BS British Standard
BSI Bundesamt für Sicherheit in der Informationstechnik (Deutschland)
CISO Chief Information Security Officer CMDB Configuration Management Database
CMS Configuration Management System
COBIT Control Objectives for Information and Related Technology
COSO Committee of Sponsoring Organizations of the Treadway Commission
EDM Evaluate, Direct and Monitor
GRC Governance, Risk and Compliance
IKS Internes Kontrollsystem
IS Informationssicherheit
ISACA Information Systems Audit and Control Association
ISAE International Standard on Assurance Engagements
ISB Informationssicherheitsbeauftragter
ISET Information Security Emergency Team
ISMS Information Security Management System / Informationssicherheitsmanagemtsystem
ISO International Organization for Standardization
IS-RCM Informationssicherheits-Risiko- und Chancen-Management
ITIL IT Infrastructure Library
IT-RCM IT-Risiko- und Chancen-Management
KPI Key Performance lndicators
MEA Monitor, Evaluate and Asses
NISTNational Institute of Standards and Technology (USA)
OLA Operational Level Agreements
PDCA „Plan Do Check Act“
PRINCE2 Projects in Controlled Environments
RoSI Return on Security Invest
SLA Service Level Agreements
SLM Service Level Management
SOX Sarbanes-Oxley Act
SSAE Statement on Standards for Attestation Engagements
Informationssicherheit ist die Basis für Wettbewerbsfähigkeit und unabdingbar für langfristigen Erfolg. Zu wenig Sicherheit ist fahrlässig, zu viel Sicherheit ist unwirtschaftlich. Daher sollten mit dem richtigen Augenmaß nur bedarfsgerechte Maßnahmen implementiert werden.
Mit dem Schutz von Unternehmensdaten und Informationen werden Compliance Manager, Sicherheitsbeauftragte, Datenschutzbeauftragte und Risikomanager betraut. Bei allen Bemühungen dieser Verantwortlichen erreichen Informationen und Berichtswege über mögliche Gefahren und Risiken für das Unternehmen und die implementierten Schutzmaßnahmen die Unternehmensführung oft nicht und gehen deshalb unzureichend in die Unternehmensplanung und -Strategie ein.
Die Einführung und nachhaltige Umsetzung von Compliance-Anforderungen zur Informationssicherheit und eines wirksamen Risikomanagements sind in allen größeren Unternehmen komplexe Aufgabenstellungen. Es reicht bei Weitem nicht aus, nur die technische Infrastruktur mit Sicherheitsprodukten abzusichern; vielmehr bezieht ein funktionierendes Managementsystem die gesamte Organisation, auch in Bezug auf menschliches Verhalten und Geschäftsprozesse, ein.
Dieser Praxisleitfaden stellt eine praktikable Anleitung für das Management der Informationssicherheit dar. Erst die Organisation und die Regeln – dann die Technik. Mit der Einführung einer ganzheitlichen und nachhaltigen Informationssicherheit werden auch die Themen Compliance, Risikomanagement und Business Continuity Management behandelt. Erst durch eine übergreifende Betrachtung werden die Anforderungen an das Management, diese wesentlichen Managementfelder zu bearbeiten, erfüllt.
Die Aufgabe des Managements ist nicht nur die Vermeidung von Gefahren, sondern auch die Identifizierung von Chancen. Damit das Risikomanagement diese Funktion erfüllen kann, müssen Risiken – und hier sind auch die operationalen Risiken einzubeziehen – definiert, erkannt und bewertet werden.
In diese Publikation sind Ergebnisse der Arbeitsgruppe „Informationssicherheitsmanagement“ des deutschen TeleTrusT - Bundesverband IT-Sicherheit e.V. eingeflossen (www.teletrust.de).
Ich wünsche allen Leserinnen und Lesern viele hilfreiche und nützliche Impulse für die Praxis.
Berlin, im Februar 2016 Holger Mühlbauer
Die Meinung, dass eine Organisation mit technischen Sicherheitsmaßnahmen in der IT, einem Datenschutzbeauftragten und dem Werksschutz (Zugangskontrolle und physische Sicherheit) gut aufgestellt sei, ist leider nach wie vor weit verbreitet. Jedoch fungieren IT-Abteilungen von heute als Herzstück des reibungslosen Ablaufs der meisten täglichen Geschäftsprozesse, sind nahezu mit allen Unternehmensbereichen verbunden und damit weit mehr als reiner Lieferant von Technologie.