Praxisbuch ISO/IEC 27001 (eBook)
288 Seiten
Carl Hanser Verlag GmbH & Co. KG
978-3-446-47845-9 (ISBN)
- Enthält die vollständige Norm DIN EN ISO/IEC 27001:2024
- Unentbehrlich für Betreiber kritischer Infrastrukturen (-> IT-Sicherheitsgesetz)
- Mit 80 Prüfungsfragen zur Vorbereitung auf die Foundation-Zertifizierung
- Ihr exklusiver Vorteil: E-Book inside beim Kauf des gedruckten Buches
Informationen sind das wertvollste Kapital vieler Organisationen. Geraten sie in falsche Hände, kann sogar das Überleben eines Unternehmens gefährdet sein. Zur Informationssicherheit müssen alle ihren Beitrag leisten, von der Arbeitsebene bis zum Topmanagement. Die ISO / IEC 27001 stellt dabei die wichtigste internationale Norm dar, an der man praktisch in keiner Branche vorbeikommt. Ein dieser Norm entsprechendes Informationssicherheitsmanagementsystem (ISMS) ist zunehmend Voraussetzung für die Erfüllung von Kunden-Anforderungen sowie von gesetzlichen und behördlichen Vorgaben, u. a. im Rahmen des IT-Sicherheitsgesetzes.
In diesem Buch erhalten Sie die optimale Unterstützung für den Aufbau eines wirksamen ISMS. Die Autoren vermitteln zunächst das notwendige Basiswissen zur ISO / IEC 27001 sowie zur übergeordneten Normenreihe und erklären anschaulich die Grundlagen. Im Hauptteil finden Sie alle wesentlichen Teile der deutschen Fassung der Norm, DIN EN ISO / IEC 27001, im Wortlaut. Hilfreiche Erläuterungen, wertvolle Praxistipps für Maßnahmen und Auditnachweise helfen Ihnen bei der Umsetzung der Norm. Ebenfalls enthalten sind Prüfungsfragen und -antworten, mit deren Hilfe Sie sich optimal auf Ihre persönliche Foundation-Zertifizierung vorbereiten können. Das Buch schließt mit einem Abdruck der kompletten Norm DIN EN ISO/ IEC 27001:2024.
Die Autoren: Michael Brenner, Nils gentschen Felde, Wolfgang Hommel, Stefan Metzger, Helmut Reiser und Thomas Schaaf arbeiten u. a. an der Ludwig-Maximilians-Universität München, der Universität der Bundeswehr München und am Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften. Als Mitglieder der Forschungsgruppe Munich Network Management Team (www.mnmteam.org) forschen und lehren sie alle zu den Themen Informationssicherheitsmanagement und IT-Service-Management.
AUS DEM INHALT //
- Einführung und Basiswissen
- Die Standardfamilie ISO / IEC 27000 im Überblick
- Grundlagen von Informationssicherheitsmanagementsystemen
- ISO / IEC 27001
- Spezifikationen und Mindestanforderungen
- Maßnahmen im Rahmen des ISMS
- Verwandte Standards und Rahmenwerke
- Zertifizierungsmöglichkeiten und Begriffsbildung nach ISO/ IEC 27000
- Abdruck der vollständigen DIN EN ISO / IEC 27001:2024
- Vergleich der Normenfassungen von 2017 und 2024
- Prüfungsfragen mit Antworten zur ISO / IEC 27000 Foundation
1 | Einführung und Basiswissen |
Kaum eine Woche vergeht mehr ohne Berichte über gravierende IT-Sicherheitsvorfälle bei bekannten Unternehmen oder Behörden in der Fach- oder Tagespresse und dringend zu installierende Updates für Betriebssysteme und Standardsoftware. Die Digitalisierung vieler Abläufe und Vernetzung nahezu aller Systeme bis hin zum Wasserkocher im Smart Home bietet viele Vorzüge, aber auch deutlich in Erscheinung tretende Risiken. Lange Zeit fand das Thema Informationssicherheit nur wenig Beachtung sowohl in der Öffentlichkeit als auch in den oberen Leitungsebenen von Organisationen. Inzwischen hat sich die Hoffnung auf eine Selbstregulierung des Markts allerdings zerschlagen – das Pendel nicht nur im deutschsprachigen und europäischen Raum schlägt um in Richtung strikter gesetzlicher und branchenspezifischer Vorgaben, wiederum mit ihren Vor- und Nachteilen.
Die Plage Ransomware als nur eines von vielen Beispielen veranschaulicht sowohl die Entwicklung als auch die Breite der Problematik recht eingängig: Auf der einen Seite war Schadsoftware, die PCs kompromittiert, Dateien verschlüsselt und nur gegen Lösegeldzahlung wieder zugänglich macht, zunächst ein Massenphänomen, das insbesondere Privatpersonen betroffen hat. Erst in den letzten rund zehn Jahren haben sich die Kriminellen zu Ransomware-Gangs organisiert, professionalisiert und sich auf die Monetarisierung über mehr oder weniger zahlungskräftige Organisationen als Opfer spezialisiert. Auf der anderen Seite laufen Ransomware-Vorfälle nicht ausschließlich technisch ab, auch der „Faktor Mensch“ spielt eine Schlüsselrolle: Häufig dienen Phishing-E-Mails oder Links auf mit Schadsoftware verseuchte Inhalte über Social-Media-Plattformen als Einfallstor für die Angreifer.
Insbesondere in Zeiten des anhaltenden Fachkräftemangels im IT-Sektor ist deshalb eklatant, dass sich Organisationen systematisch um Informationssicherheit kümmern müssen. Vorfälle bedeuten oftmals nicht nur schlechte Presse, sondern können durch längere Ausfälle oder ausgespähte Betriebsgeheimnisse sogar existenzbedrohend sein. Die „Aufräumarbeiten“ nach einem typischen Ransomware-Vorfall beschäftigen das IT-Personal oft monatelang und lähmen dadurch die Weiterentwicklung der Organisation nachhaltig. Neben den rein technischen Aspekten sind häufig auch personenbezogene Daten involviert, sodass mit einem IT-Sicherheitsvorfall oft auch ein Datenschutzvorfall einhergeht, der die Reputation und das Vertrauen von Beschäftigten, Kunden und Partnern beschädigt.
Die Gesetzgebung hat darauf zwischenzeitlich reagiert. Bereits 2015 wurde in Deutschland die erste Fassung des IT-Sicherheitsgesetzes eingeführt und 2021 überarbeitet. Damit einher gingen Verordnungen zur Festlegung sogenannter Kritischer Infrastrukturen (KRITIS), für die höhere rechtliche Anforderungen in Bezug auf die IT-Sicherheit erlassen wurden. KRITIS-Betreiber wurden verpflichtet, angemessene technische und organisatorische Maßnahmen für die IT-Sicherheit umzusetzen und dabei den Stand der Technik einzuhalten. Auch die vielfältigen regulatorischen Bemühungen der Europäischen Union, von der Datenschutz-Grundverordnung (DSGVO) über die NIS-2-Richtlinie und den Cyber Resilience Act bis hin zur Richtlinie für Critical Entities Resilience (CER), drehen sich im Kern darum, dass Organisationen ihren Umgang mit – also das Management von – Informationssicherheit professionalisieren und auf ein angemessenes Niveau heben.
Wenn sich eine Organisation heute vornimmt, einen strukturierten Ansatz zum wirksamen Management der Informationssicherheit einzuführen, kommt sie an der Standardreihe ISO/IEC 27000 praktisch nicht vorbei. Bei ISO/IEC 27000 handelt es sich um eine Reihe von Dokumenten, in denen verschiedene Aspekte des Informationssicherheitsmanagements betrachtet werden. Dass es sich um von der ISO (International Organization for Standardization) und der IEC (International Electrotechnical Commission) standardisierte Dokumente handelt, erhöht dabei die Verbreitung, Bedeutung und Akzeptanz dieser Standards maßgeblich. Das zentrale und wichtigste Dokument der Reihe ist dabei DIN EN ISO/IEC 27001.
1.1 | Worum geht es in ISO/IEC 27000 und ISO/IEC 27001? |
ISO/IEC 27000 ist eine Standardfamilie, also eine ganze Reihe von zusammenhängenden Standards, die sich insgesamt hauptsächlich mit drei Kernbereichen befasst:
1. Begriffe: Es werden die wichtigsten Fachbegriffe aus der Welt der Informationssicherheit einheitlich und verbindlich definiert.
2. Grundlegendes Managementsystem: Es wird beschrieben, was eine Organisation umzusetzen hat und sicherstellen muss, um die eigenen Aktivitäten und Maßnahmen im Bereich Informationssicherheit wirksam steuern zu können.
3. Maßnahmen: Es werden Maßnahmen beschrieben, die eine Organisation grundsätzlich umzusetzen hat, um ein hohes Maß an Informationssicherheit gewährleisten zu können.
DIN EN ISO/IEC 27001 ist zwar „nur“ eines der Dokumente in der Standardfamilie, ihm kommt aber eine ganz besondere Bedeutung zu: Es gibt die (Mindest-)Anforderungen an organisatorische Prozesse und umzusetzende Maßnahmen verbindlich vor und bildet somit die Grundlage für die Zertifizierung sowohl der Informationssicherheitsmanagementsysteme (ISMS) von Organisationen als auch von Einzelpersonen.
Dieses Buch behandelt ebenfalls alle drei Kernbereiche. Während die beiden letzteren in späteren Kapiteln vertieft behandelt werden, beschäftigt sich dieses Kapitel zunächst mit der grundlegenden Begriffsbildung.
1.2 | Begriffsbildung |
Die Standardfamilie ISO/ IEC 27000 dient ganz wesentlich dazu, die Verwendung von Fachbegriffen zu vereinheitlichen. Nur so kann erreicht werden, dass diejenigen, die sich mit Informationssicherheitsmanagement beschäftigen, nicht aneinander vorbeireden, obwohl sie eigentlich inhaltlich dasselbe meinen.
Im Folgenden werden die wichtigsten Begriffe und Grundlagen rund um das Thema Informationssicherheit eingeführt, die zum Verständnis von DIN EN ISO/IEC 27001 erforderlich sind. Ergänzend finden Sie alle offiziellen, kompakten Begriffsdefinitionen aus der ISO/IEC 27000 im Wortlaut in Anhang A dieses Buchs.
1.2.1 | Informationen |
In unserer längst hochgradig digital vernetzten Welt stellen Informationen Werte dar, die von entscheidender Wichtigkeit für den Betrieb einer Organisation sind. Dabei sind diese Informationen allerdings einer größeren Zahl von Bedrohungen ausgesetzt, die sich ihrerseits teilweise weiterentwickeln. Informationssysteme, Netze und Organisationen sind beispielsweise durch Cyber-Angriffe (Ransomware, Denial-of-Service-Angriffe, Hacking, Spam etc.), Sabotage, Spionage und Vandalismus, aber auch Elementarschäden durch Wasser, Feuer sowie Katastrophen gefährdet. Gesetzliche Regelungen (wie z. B. das IT-Sicherheitsgesetz oder die Datenschutz-Grundverordnung) fordern entsprechend Schutzmaßnahmen für sensible Informationen.
Der Begriff „Informationen“ wird hierbei sehr weit gefasst. Sie können in Form verschiedener Medien vorliegen, also geschrieben, gedruckt, elektronisch, als Film etc., und auf unterschiedlichen Wegen übermittelt werden, z. B. per Post, per Funk/WLAN, über das Internet usw. Unabhängig vom Medium und vom Übertragungsweg ist die Aufgabe der Informationssicherheit, diese Informationen angemessen vor Bedrohungen zu schützen. Nur so können die Risiken minimiert, der Geschäftsbetrieb gesichert und die Wettbewerbsfähigkeit, Rentabilität sowie die Chancen einer Organisation maximiert werden.
1.2.2 | Informationssicherheit |
Für die Informationssicherheit existiert, anders als beispielsweise für Gewichte, Längen oder Temperaturen, keine physikalische Maßeinheit, um sie einfach in Zahlen – also quantitativ – auszudrücken. Deshalb wählen die Standards der Reihe ISO/ IEC 27000 – und damit auch das Hauptdokument DIN EN ISO/IEC 27001 – einen seit Langem praxisbewährten qualitativen Ansatz über sogenannte Schutzziele. Diese werden nachfolgend im Einzelnen vorgestellt und genauer erläutert.
1.2.3 | Sicherheitsanforderungen und Schutzziele |
Die Gefährdung wichtiger Informationen lässt sich alleine mit Beispielen natürlich nur ungenau und unvollständig beschreiben. In der ISO/IEC 27000 und im Security Engineering werden deshalb abstrakte Schutzziele bzw. Sicherheitsanforderungen für Informationswerte (zum Begriff der „(Informations-)Werte“ vgl. Kapitel 3.1.1) definiert. Die zentralen Schutzziele sind die Vertraulichkeit, Integrität und Verfügbarkeit...
Erscheint lt. Verlag | 8.7.2024 |
---|---|
Sprache | deutsch |
Themenwelt | Mathematik / Informatik ► Informatik |
Schlagworte | Controls • DSGVO • Foundation-Zertifizierung • Informationssicherheit • ISMS • ISO/IEC 27000:2022 • ISO/IEC 27002 • ISO/IEC 27002:2017 • IT-Sicherheit • IT-Sicherheitsgesetz • KRITIS |
ISBN-10 | 3-446-47845-0 / 3446478450 |
ISBN-13 | 978-3-446-47845-9 / 9783446478459 |
Informationen gemäß Produktsicherheitsverordnung (GPSR) | |
Haben Sie eine Frage zum Produkt? |
Größe: 13,0 MB
DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasserzeichen und ist damit für Sie personalisiert. Bei einer missbräuchlichen Weitergabe des eBooks an Dritte ist eine Rückverfolgung an die Quelle möglich.
Dateiformat: PDF (Portable Document Format)
Mit einem festen Seitenlayout eignet sich die PDF besonders für Fachbücher mit Spalten, Tabellen und Abbildungen. Eine PDF kann auf fast allen Geräten angezeigt werden, ist aber für kleine Displays (Smartphone, eReader) nur eingeschränkt geeignet.
Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür einen PDF-Viewer - z.B. den Adobe Reader oder Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür einen PDF-Viewer - z.B. die kostenlose Adobe Digital Editions-App.
Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.
Größe: 11,5 MB
DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasserzeichen und ist damit für Sie personalisiert. Bei einer missbräuchlichen Weitergabe des eBooks an Dritte ist eine Rückverfolgung an die Quelle möglich.
Dateiformat: EPUB (Electronic Publication)
EPUB ist ein offener Standard für eBooks und eignet sich besonders zur Darstellung von Belletristik und Sachbüchern. Der Fließtext wird dynamisch an die Display- und Schriftgröße angepasst. Auch für mobile Lesegeräte ist EPUB daher gut geeignet.
Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür die kostenlose Software Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür eine kostenlose App.
Geräteliste und zusätzliche Hinweise
Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.
aus dem Bereich