• E-Book

    ohne Abo 14,99 €

IT-Sicherheitsmanagment - Holger Mühlbauer - E-Book

IT-Sicherheitsmanagment E-Book

Holger Mühlbauer

0,0
14,99 €
-100%
Sammeln Sie Punkte in unserem Gutscheinprogramm und kaufen Sie E-Books und Hörbücher mit bis zu 100% Rabatt.
Mehr erfahren.
Beschreibung

Informationssicherheit ist die Basis für Wettbewerbsfähigkeit und unabdingbar für langfristigen Erfolg. Zu wenig Sicherheit ist fahrlässig, zu viel Sicherheit ist unwirtschaftlich. Daher sollten mit dem richtigen Augenmaß nur bedarfsgerechte Maßnahmen implementiert werden. Mit dem Schutz von Unternehmensdaten und Informationen werden Compliance Manager, Sicherheitsbeauftragte, Datenschutzbeauftragte und Risikomanager betraut. Die vorliegende QuickInfo liefert Ihnen verständlich vermitteltes Grundlagenwissen zum IT-Sicherheitsmanagement und hält Praxistipps für Sie bereit. So haben Sie mit diesem Leitfaden das erste „Einmaleins“ für das Management ganzheitlicher und nachhaltiger Informationssicherheit in Ihrer Tasche.

Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:

EPUB
MOBI

Seitenzahl: 48

Bewertungen
0,0
0
0
0
0
0
Mehr Informationen
Mehr Informationen
Bewertungen werden von Nutzern von Legimi sowie anderen Partner-Webseiten vergeben.
Mehr Informationen
Mehr Informationen
Legimi prüft nicht, ob Rezensionen von Nutzern stammen, die den betreffenden Titel tatsächlich gekauft oder gelesen/gehört haben. Wir entfernen aber gefälschte Rezensionen.

Impressum

ISBN 978-3-85402-325-8

Auch als Buch verfügbar:

ISBN 978-3-85402-324-1

1. Auflage 2016

Das Werk ist urheberrechtlich geschützt.

Alle Rechte vorbehalten.

Nachdruck oder Vervielfältigung, Aufnahme

auf oder in sonstige Medien oder Datenträger,

auch bei nur auszugsweiser Verwertung,

sind nur mit ausdrücklicher Zustimmung der

Austrian Standards plus GmbH gestattet.

Alle Angaben in diesem Fachbuch erfolgen

trotz sorgfältiger Bearbeitung ohne Gewähr

und eine Haftung des Autors oder des Verlages

ist ausgeschlossen.

Geschlechtsbezogene Aussagen sind auf Grund der Gleichstellung für beiderlei Geschlechter aufzufassen bzw. auszulegen.

© Austrian Standards plus GmbH, Wien 2016

Die Austrian Standards plus GmbH ist ein Unternehmen von Austrian Standards Institute.

Austrian Standards plus Gmbh

1020 Wien, Heinestraße 38

T +43 1 213 00-300

F +43 1 213 00-818

E [email protected]

www.austrian-standards.at/fachliteratur

Projektbetreuung und Lektorat

Gertraud Reznicek

Cover – Fotocredit

© iStockphoto.com/simon2579

gestaltung

Alexander Mang

Inhalt

1 Vorwort

2 Informationssicherheit beginnt beim Management

2.1 Managementbereitschaft

2.2 Schritt für Schritt zum Erfolg

3 Informationssicherheits­managementsystem (ISMS): Darauf kommt es an

3.1 Wieviel Informationssicherheit ist notwendig?

3.2 Wie wirtschaftlich ist Informationssicherheit?

3.3 IS-Risikomanagement

3.4 Sicherheitsorganisation

3.5 Rollen und Verantwortlichkeiten

3.6 Sicherheitsprozesse

3.7 Technische Sicherheit

4 ISMS-Normen und -Standards

4.1 IS-Risikomanagement

4.2 Die ISO/IEC 27001 „Information technology – Security techniques – Information security management systems – Requirements“

4.2.1 Einführung und Historie

4.2.2 Hauptteil der Norm

4.2.3 Anhang A der Norm

4.2.4 Anwendung der Norm

4.3 COBIT

4.4 Informationssicherheitsmanagement nach IT Infrastructure Library (ITIL)

4.5 Statement on Standards for Attestation Engagements (SSAE) / International Standard on Assurance Engagements (ISAE)

4.5.1 Beteiligte bei Prüfung nach ISAE 3402

4.5.2 Einsatzszenarien

4.5.3 Prüfungsanlass und Mehrwert der ISAE 3402

5 Business Continuity Management (BCM)

5.1 Aufbau eines BCM

5.2 Ablauf einer Business Impact Analyse

5.2.1 Auswahl der einzubeziehenden Organisationseinheiten und Geschäftsprozesse

5.2.2 Schadensanalyse

5.2.3 Festlegung der Wiederanlaufparameter

5.2.4 Berücksichtigung von Abhängigkeiten

5.2.5 Priorisierung und Kritikalität der Geschäftsprozesse

5.2.6 Erhebung der Ressourcen für Normal- und Notbetrieb

5.2.7 Kritikalität und Wiederanlaufzeiten der Ressourcen

6 Rechtliche Aspekte

7 Zusammenfassung

8 Literatur- und Normenverzeichnis

8.1 Literatur

8.2 Verzeichnis der wichtigsten referenzierten ISO-Normen

Der Autor

Abbildungsverzeichnis

Abbildung 1Best-Practice-Informationsklassen (Quelle: TeleTrusT)

Abbildung 2Kosten-Nutzen-Verhältnis

Abbildung 3Aufbau einer Informationssicherheitsorganisation

Abbildung 4Zusammenhang zwischen ISM und IS-RCM

Abbildung 5Der vollständige Risikomanagementprozess nach ISO/IEC 27005 nach Sebastian Klipper

Abbildung 6Prozesse des IS-RCM (Quelle: TeleTrusT)

Abkürzungen

AICPA American Institute of Certified Public Accounts

APO Align, Plan and Organize

ASI Austrian Standards Institute

BCM Business Continuity Management

BCMS Business Continuity Management System

BIA Business Impact Analyse

BS British Standard

BSI Bundesamt für Sicherheit in der Informationstechnik (Deutschland)

CISO Chief Information Security Officer CMDB Configuration Management Database

CMS Configuration Management System

COBIT Control Objectives for Information and Related Technology

COSO Committee of Sponsoring Organizations of the Treadway Commission

EDM Evaluate, Direct and Monitor

GRC Governance, Risk and Compliance

IKS Internes Kontrollsystem

IS Informationssicherheit

ISACA Information Systems Audit and Control Association

ISAE International Standard on Assurance Engagements

ISB Informationssicherheitsbeauftragter

ISET Information Security Emergency Team

ISMS Information Security Management System / Informationssicherheitsmanagemtsystem

ISO International Organization for Standardization

IS-RCM Informationssicherheits-Risiko- und Chancen-Management

ITIL IT Infrastructure Library

IT-RCM IT-Risiko- und Chancen-Management

KPI Key Performance lndicators

MEA Monitor, Evaluate and Asses

NISTNational Institute of Standards and Technology (USA)

OLA Operational Level Agreements

PDCA „Plan Do Check Act“

PRINCE2 Projects in Controlled Environments

RoSI Return on Security Invest

SLA Service Level Agreements

SLM Service Level Management

SOX Sarbanes-Oxley Act

SSAE Statement on Standards for Attestation Engagements

1Vorwort

Informationssicherheit ist die Basis für Wettbewerbsfähigkeit und unabdingbar für langfristigen Erfolg. Zu wenig Sicherheit ist fahrlässig, zu viel Sicherheit ist unwirtschaftlich. Daher sollten mit dem richtigen Augenmaß nur bedarfsgerechte Maßnahmen implementiert werden.

Mit dem Schutz von Unternehmensdaten und Informationen werden Compliance Manager, Sicherheitsbeauftragte, Datenschutzbeauftragte und Risikomanager betraut. Bei allen Bemühungen dieser Verantwortlichen erreichen Informationen und Berichtswege über mögliche Gefahren und Risiken für das Unternehmen und die implementierten Schutzmaßnahmen die Unternehmensführung oft nicht und gehen deshalb unzureichend in die Unternehmensplanung und -Strategie ein.

Die Einführung und nachhaltige Umsetzung von Compliance-Anforderungen zur Informationssicherheit und eines wirksamen Risikomanagements sind in allen größeren Unternehmen komplexe Aufgabenstellungen. Es reicht bei Weitem nicht aus, nur die technische Infrastruktur mit Sicherheitsprodukten abzusichern; vielmehr bezieht ein funktionierendes Managementsystem die gesamte Organisation, auch in Bezug auf menschliches Verhalten und Geschäftsprozesse, ein.

Dieser Praxisleitfaden stellt eine praktikable Anleitung für das Management der Informationssicherheit dar. Erst die Organisation und die Regeln – dann die Technik. Mit der Einführung einer ganzheitlichen und nachhaltigen Informationssicherheit werden auch die Themen Compliance, Risikomanagement und Business Continuity Management behandelt. Erst durch eine übergreifende Betrachtung werden die Anforderungen an das Management, diese wesentlichen Managementfelder zu bearbeiten, erfüllt.

Die Aufgabe des Managements ist nicht nur die Vermeidung von Gefahren, sondern auch die Identifizierung von Chancen. Damit das Risikomanagement diese Funktion erfüllen kann, müssen Risiken – und hier sind auch die operationalen Risiken einzubeziehen – definiert, erkannt und bewertet werden.

In diese Publikation sind Ergebnisse der Arbeitsgruppe „Informationssicherheitsmanagement“ des deutschen TeleTrusT - Bundesverband IT-Sicherheit e.V. eingeflossen (www.teletrust.de).

Ich wünsche allen Leserinnen und Lesern viele hilfreiche und nützliche Impulse für die Praxis.

Berlin, im Februar 2016 Holger Mühlbauer

2Informationssicherheit beginnt beim Management

2.1Managementbereitschaft

Die Meinung, dass eine Organisation mit technischen Sicherheitsmaßnahmen in der IT, einem Datenschutzbeauftragten und dem Werksschutz (Zugangskontrolle und physische Sicherheit) gut aufgestellt sei, ist leider nach wie vor weit verbreitet. Jedoch fungieren IT-Abteilungen von heute als Herzstück des reibungslosen Ablaufs der meisten täglichen Geschäftsprozesse, sind nahezu mit allen Unternehmensbereichen verbunden und damit weit mehr als reiner Lieferant von Technologie.