ISMS/Verfahren: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 2: | Zeile 2: | ||
=== Beschreibung === | === Beschreibung === | ||
{| class="wikitable options" | {| class="wikitable options big" | ||
|- | |- | ||
! | ! Verfahren !! Beschreibung | ||
|- | |- | ||
| [[Sicherheits-Governance]] || | | [[Sicherheits-Governance]] || | ||
Zeile 18: | Zeile 18: | ||
* In den vergangenen Jahren haben diese Begriffe auch in den Bereichen Informatik und Informationssicherheit Einzug gehalten | * In den vergangenen Jahren haben diese Begriffe auch in den Bereichen Informatik und Informationssicherheit Einzug gehalten | ||
=== Einhaltung von Gesetzen und Vorschriften === | ==== Einhaltung von Gesetzen und Vorschriften ==== | ||
Aktionäre, Kunden, Geschäftspartner und Regierungen erwarten | Aktionäre, Kunden, Geschäftspartner und Regierungen erwarten | ||
* dass die Unternehmensleitung das Unternehmen in Übereinstimmung mit anerkannten Geschäftspraktiken und unter Einhaltung von Gesetzen und anderen Vorschriften führt | * dass die Unternehmensleitung das Unternehmen in Übereinstimmung mit anerkannten Geschäftspraktiken und unter Einhaltung von Gesetzen und anderen Vorschriften führt | ||
Zeile 25: | Zeile 25: | ||
* Eine umsichtige Person ist auch gewissenhaft (aufmerksam, fortlaufend) in ihrer Sorgfaltspflicht gegenüber dem Unternehmen | * Eine umsichtige Person ist auch gewissenhaft (aufmerksam, fortlaufend) in ihrer Sorgfaltspflicht gegenüber dem Unternehmen | ||
=== "due care" und "due diligence" === | ==== "due care" und "due diligence" ==== | ||
Im Bereich der Informationssicherheit bietet Harris die folgenden Definitionen der Begriffe "due care" und "due diligence" an: | Im Bereich der Informationssicherheit bietet Harris die folgenden Definitionen der Begriffe "due care" und "due diligence" an: | ||
:''"Due care are steps that are taken to show that a company has taken responsibility for the activities that take place within the corporation and has taken the necessary steps to help protect the company, its resources, and employees''." | :''"Due care are steps that are taken to show that a company has taken responsibility for the activities that take place within the corporation and has taken the necessary steps to help protect the company, its resources, and employees''." | ||
Zeile 32: | Zeile 32: | ||
; Bei diesen Definitionen sollten zwei wichtige Punkte beachtet werden | ; Bei diesen Definitionen sollten zwei wichtige Punkte beachtet werden | ||
* Erstens werden bei der Sorgfaltspflicht Schritte unternommen, die sich nachweisen lassen; das bedeutet, dass die Schritte überprüft und gemessen werden können oder sogar greifbare Artefakte hervorbringen | * Erstens werden bei der Sorgfaltspflicht Schritte unternommen, die sich nachweisen lassen; das bedeutet, dass die Schritte überprüft und gemessen werden können oder sogar greifbare Artefakte hervorbringen | ||
* Dies bedeutet, dass Menschen tatsächlich etwas tun, um die Schutzmechanismen zu überwachen und aufrechtzuerhalten, und dass diese Aktivitäten fortlaufend sind | * Dies bedeutet, dass Menschen tatsächlich etwas tun, um die Schutzmechanismen zu überwachen und aufrechtzuerhalten, und dass diese Aktivitäten fortlaufend sind | ||
=== Verantwortung === | === Verantwortung === | ||
Zeile 39: | Zeile 39: | ||
; Sorgfaltspflicht bei der Anwendung der Informationssicherheit praktizieren | ; Sorgfaltspflicht bei der Anwendung der Informationssicherheit praktizieren | ||
* Der Duty of Care Risk Analysis Standard (DoCRA) bietet Grundsätze und Praktiken für die Bewertung von Risiken | * Der Duty of Care Risk Analysis Standard (DoCRA) bietet Grundsätze und Praktiken für die Bewertung von Risiken | ||
* Dabei werden alle Parteien berücksichtigt, die von diesen Risiken betroffen sein könnten | * Dabei werden alle Parteien berücksichtigt, die von diesen Risiken betroffen sein könnten | ||
* DoCRA hilft bei der Bewertung von Schutzmaßnahmen, ob diese geeignet sind, andere vor Schaden zu bewahren und gleichzeitig eine angemessene Belastung darstellen | * DoCRA hilft bei der Bewertung von Schutzmaßnahmen, ob diese geeignet sind, andere vor Schaden zu bewahren und gleichzeitig eine angemessene Belastung darstellen | ||
* Angesichts der zunehmenden Rechtsstreitigkeiten im Zusammenhang mit Datenschutzverletzungen müssen Unternehmen ein Gleichgewicht zwischen Sicherheitskontrollen, Einhaltung der Vorschriften und ihrem Auftrag herstellen | * Angesichts der zunehmenden Rechtsstreitigkeiten im Zusammenhang mit Datenschutzverletzungen müssen Unternehmen ein Gleichgewicht zwischen Sicherheitskontrollen, Einhaltung der Vorschriften und ihrem Auftrag herstellen | ||
<noinclude> | <noinclude> |
Aktuelle Version vom 18. November 2024, 18:16 Uhr
Informationssicherheit/Verfahren
Beschreibung
Verfahren | Beschreibung |
---|---|
Sicherheits-Governance | |
Vorfallsreaktionspläne | |
Änderungsmanagement |
Sorgfaltspflicht
„Vernünftige und umsichtige Person“, „Sorgfaltspflicht“
- Lange in Bereichen Finanzen, Wertpapiere und Recht verwendet
- In den vergangenen Jahren haben diese Begriffe auch in den Bereichen Informatik und Informationssicherheit Einzug gehalten
Einhaltung von Gesetzen und Vorschriften
Aktionäre, Kunden, Geschäftspartner und Regierungen erwarten
- dass die Unternehmensleitung das Unternehmen in Übereinstimmung mit anerkannten Geschäftspraktiken und unter Einhaltung von Gesetzen und anderen Vorschriften führt
- Dies wird oft als die Regel der „vernünftigen und umsichtigen Person“ beschrieben
- Eine umsichtige Person achtet darauf, dass alles Erforderliche getan wird, um das Unternehmen nach soliden Geschäftsprinzipien und auf legale, ethische Weise zu führen
- Eine umsichtige Person ist auch gewissenhaft (aufmerksam, fortlaufend) in ihrer Sorgfaltspflicht gegenüber dem Unternehmen
"due care" und "due diligence"
Im Bereich der Informationssicherheit bietet Harris die folgenden Definitionen der Begriffe "due care" und "due diligence" an:
- "Due care are steps that are taken to show that a company has taken responsibility for the activities that take place within the corporation and has taken the necessary steps to help protect the company, its resources, and employees."
Und [Due Diligence sind die] "kontinuierliche Aktivitäten, die sicherstellen, dass die Schutzmechanismen kontinuierlich aufrechterhalten werden und funktionsfähig sind."'
- Bei diesen Definitionen sollten zwei wichtige Punkte beachtet werden
- Erstens werden bei der Sorgfaltspflicht Schritte unternommen, die sich nachweisen lassen; das bedeutet, dass die Schritte überprüft und gemessen werden können oder sogar greifbare Artefakte hervorbringen
- Dies bedeutet, dass Menschen tatsächlich etwas tun, um die Schutzmechanismen zu überwachen und aufrechtzuerhalten, und dass diese Aktivitäten fortlaufend sind
Verantwortung
Organisationen haben eine Verantwortung
- Sorgfaltspflicht bei der Anwendung der Informationssicherheit praktizieren
- Der Duty of Care Risk Analysis Standard (DoCRA) bietet Grundsätze und Praktiken für die Bewertung von Risiken
- Dabei werden alle Parteien berücksichtigt, die von diesen Risiken betroffen sein könnten
- DoCRA hilft bei der Bewertung von Schutzmaßnahmen, ob diese geeignet sind, andere vor Schaden zu bewahren und gleichzeitig eine angemessene Belastung darstellen
- Angesichts der zunehmenden Rechtsstreitigkeiten im Zusammenhang mit Datenschutzverletzungen müssen Unternehmen ein Gleichgewicht zwischen Sicherheitskontrollen, Einhaltung der Vorschriften und ihrem Auftrag herstellen
Anhang
Siehe auch
- ISMS-Beauftragte
- ISMS.1 Sicherheitsmanagement
- ISMS/Audit und Zertifizierungen
- ISMS/Geschichte
- ISMS/Glossar
- ISMS/Massnahmen
- ISMS/Rahmenbedingungen
- ISMS/Recht
- ISMS/Recht/Grundlagen
- ISMS/Recht/Haftung
- ISMS/Recht/Strafrecht
- ISMS/Standard
- ISMS/Umsetzungsbereiche
- ISMS/Verfahren
- ISMS:Richtlinien
- ISMS Management-Team