Information Security Management System: Unterschied zwischen den Versionen
(118 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
'''Information Security Management System''' (ISMS) - [[Managementsystem]] für [[Informationssicherheit]] | |||
== Beschreibung == | == Beschreibung == | ||
; IT-Sicherheitsmanagement | |||
[[Managementsystem]] zur Gewährleistung der [[Informationssicherheit]]/[[IT-Sicherheit]] | |||
; Aufgaben | |||
* Systematische Absicherung eines [[IT-Verbund]]es | |||
* Gefahren und Bedrohungen abwehren | |||
** [[Informationssicherheit]] | |||
** [[Datenschutz]] | |||
* Auswahl und Umsetzung von ''IT-Sicherheitsmaßnahmen'' | |||
** für Geschäftsprozesse | |||
* Vorgehensweise | |||
** Eine normierte Vorgehensweise durch Verwenden von ''IT-Standards'' ermöglichen | |||
; Begriffsherkunft | |||
Der Begriff des ''IT-Sicherheitsmanagements'' taucht erstmals mit der Veröffentlichung der ''Green Books'' im Jahre 1989 auf | |||
* Aus einem Teil der Green Books entwickelte sich die [[BS 7799#Entstehungsgeschichte|BS-7799]]-Norm für Informationssicherheit | |||
* Gleichwohl wurden bereits von amerikanischen Behörden in den 1970er-Jahren Methoden für ein strukturiertes Vorgehen zur Absicherung gegen Bedrohungen der Informationssicherheit verwendet | |||
* In den 1980er-Jahren folgten im englischsprachigen Bereich einige Studien und Aufsätze zum Thema ''computer abuse and security'' und wie eine effektive Informationssicherheit durch organisatorische Maßnahmen in einem Unternehmen erreicht werden konnte | |||
; | === Sicherheitstechnik === | ||
; Institutionen nutzt Sicherheitstechnik | |||
Beispielsweise um sich vor Gefahren aus dem Internet abzusichern | |||
* Virenschutzprogramme | |||
* Spamfilter | |||
* gestaffelte Firewalls | |||
* Software zur Angriffserkennung | |||
=== Sicherheitsorganisation === | |||
; Organisatorische Maßnahme | |||
Richtlinien | |||
* Für die Benutzung mobiler Systeme | |||
* Mitarbeiter über Gefahren im Internet informieren | |||
* ... | |||
; Fehlende Konzeption | |||
Sowohl die Anwendung von Technik als auch die Einführung organisatorischer Maßnahmen erfolgt oft jedoch ohne Konzept und Erfolgskontrolle | |||
; Isolierte Maßnahmen | |||
Für eine angemessene Informationssicherheit ist die isolierte Umsetzung einzelner technischer oder organisatorischer Maßnahmen erfahrungsgemäß, allerdings weder effektiv noch effizient | |||
* Vielmehr ist ein Rahmen erforderlich, der dafür sorgt, dass alle Maßnahmen zielgerichtet gesteuert und überwacht werden | |||
; Komponenten eines Managementsystem für Informationssicherheit | |||
; Managementprinzipien | |||
* etwa der Vorgabe von Zielen in der Organisation, der Erstellung von Kommunikationsgrundsätzen oder Regelungen für Kosten-Nutzen-Analysen, | |||
; Ressourcen und Mitarbeitern | |||
* Steuerung des Einsatzes von Technik und Personal | |||
* Beschreibung des Sicherheitsprozesses | |||
; Worauf sollten Sie beim Aufbau und Betrieb eines ISMS achten? | |||
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_1.html BSI-Standard 200-1: Managementsysteme für Informationssicherheit] | |||
* Die dort genannten Empfehlungen werden im [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html -Standard 200-2: -Grundschutz-Methodik] konkretisiert | |||
* In den Kapiteln 3 und 4 erfahren Sie dort beispielsweise, worauf bei der Initiierung und Organisation des Sicherheitsprozesses zu achten ist | |||
; Aspekte des Managements von Informationssicherheit gemäß IT-Grundschutz | |||
{| class="wikitable options" | |||
|- | |||
! Aspekt !! Beschreibung | |||
|- | |||
| [[IT-Grundschutz/Sicherheitsprozess|Sicherheitsprozess]] || | |||
|- | |||
| [[IT-Grundschutz/Managementprinzipien|Managementprinzipien]] || | |||
|- | |||
| [[IT-Grundschutz/Sicherheitsorganisation|Sicherheitsorganisation]] || | |||
|- | |||
| [[IT-Grundschutz/Sicherheitsleitlinie|Sicherheitsleitlinie]] || | |||
|- | |||
| [[IT-Grundschutz/Sicherheitskonzept|Sicherheitskonzept]] || | |||
|- | |||
| [[IT-Grundschutz/Dokumentation|Dokumentation]] || | |||
|} | |||
== Aufgabe == | |||
; Systematische Absicherung eines [[IT-Grundschutz/Informationsverbund|Informationsverbund]]s | |||
* Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden | |||
* Die Auswahl und Umsetzung von ''IT-Sicherheitsstandards'' zählt zu den Aufgaben des IT-Sicherheitsmanagements | |||
== Standards == | |||
; [[IT-Grundschutz]] des [[BSI]] | |||
* Die [[IT-Grundschutz-Kataloge]] definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen | |||
* Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren | |||
* Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor | |||
; [[ISO/IEC 27001]] | |||
: Norm für Informationssicherheitsmanagementsysteme (ISMS) | |||
; [[ISO/IEC 27002]] | |||
: Leitfaden für das Informationssicherheitsmanagement | |||
Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm | |||
; Folgende Standards werden dem IT-Sicherheitsmanagement zugerechnet | |||
Weltweit am stärksten verbreitet ist die ISO/IEC-27001-Norm | |||
{|class="wikitable options" | |||
| [[IT-Grundschutz]] des [[BSI]] || [[IT-Grundschutz-Kataloge]] definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Anforderungen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen ([[Waschzettel#Öffentlichkeitsarbeit, Public Relations, Marketing|Waschzettel]]) | |||
|- | |||
| Für Systeme mit hohem Schutzbedarf || geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren | |||
|- | |||
| Die Grundschutz-Kataloge sind primär in Deutschland bekannt || liegen allerdings auch englischsprachig vor | |||
|- | |||
| [[ISO/IEC 27001]] || Norm für Informationsicherheitsmanagementsysteme (ISMS) | |||
|- | |||
| [[ISO/IEC 27002]] || Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005) | |||
|- | |||
| [[BS 7799]]-1 und BS 7799-2 || Vorgänger der ISO/IEC 27001 und ISO/IEC 27002 | |||
|} | |||
; Weitere Standards mit IT-Sicherheitsaspekten | |||
{|class="wikitable options" | |||
| [[ITIL]] || Best-Practices-Sammlung für das IT-Servicemanagement | |||
|- | |||
| [[ISO/IEC 20000]] || die ISO/IEC-Norm für IT-Servicemanagement | |||
|- | |||
| [[BS 15000]] || Britischer Standard für IT-Servicemanagement | |||
|- | |||
| [[COBIT]] || IT-Governance-Framework | |||
|- | |||
| [[ISO/IEC 13335]] || Ehemalige Normenreihe zum Sicherheitsmanagement in der Informations- und Kommunikationstechnik | |||
|- | |||
| [[EN ISO 27799]] || Medizinische Informatik – Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (speziell für den Gesundheitsbereich) | |||
|- | |||
| [[VdS 10005]] || Richtlinie für IT-Sicherheit im kleinen Mittelstand | |||
|- | |||
| [[Payment Card Industry Data Security Standard]] (PCI-DSS) || Regelwerk für die Abwicklung von Kreditkartentransaktionen | |||
|- | |||
| Benchmarks des [[Center for Internet Security]] || | |||
|- | |||
| [[Federal Information Processing Standard]]s (FIPS) || weitere des US [[National Institute of Standards and Technology]] (NIST) | |||
|} | |||
== Verfahren und Regeln == | |||
; Verfahren und Regeln innerhalb einer Organisation | |||
; [[Informationssicherheit]] | ; [[Informationssicherheit]] | ||
* definieren | * definieren | ||
Zeile 32: | Zeile 146: | ||
* [[IT-Sicherheitsverfahren|DIN NIA-01-27 IT-Sicherheitsverfahren]] | * [[IT-Sicherheitsverfahren|DIN NIA-01-27 IT-Sicherheitsverfahren]] | ||
== Informationssicherheit und Datenschutz == | === Informationssicherheit und Datenschutz === | ||
Informationssicherheitsbeauftragte (ISB) und Datenschutzbeauftragter (DSB) | ; Überschneidende Zuständigkeiten | ||
; Informationssicherheitsbeauftragte (ISB) und Datenschutzbeauftragter (DSB) | |||
* Sollten personell getrennt wahrgenommen werden | |||
; ISO/IEC 27701 | |||
Mit der ISO/IEC 27701 wird das klassische Informationssicherheitsmanagementsystem um Datenschutzaspekte erweitert | |||
* Sodass beide Beauftragte über das gleiche Dokumentenwerk gegenseitig zuarbeiten können | |||
{| class="wikitable | === Allgemeine Ansätze === | ||
{| class="wikitable options" | |||
|- | |- | ||
! Ansatz !! Beschreibung | ! Ansatz !! Beschreibung | ||
|- | |- | ||
| Verankerung in der Organisation || Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen | | Verankerung in der Organisation || Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen | ||
* Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt) | * Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt) | ||
* Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt | |||
|- | |- | ||
| Verbindliche Ziele || Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben. | | Verbindliche Ziele || Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben. | ||
|- | |- | ||
| Richtlinien || Verabschiedung von Sicherheitsrichtlinien ([[Sicherheitsrichtlinie|Security Policy]]), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management | | Richtlinien || Verabschiedung von Sicherheitsrichtlinien ([[Sicherheitsrichtlinie|Security Policy]]), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management | ||
|- | |- | ||
| Personalmanagement || Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt. | | Personalmanagement || Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt. | ||
|- | |- | ||
| Aktualität des Wissens || Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt. | | Aktualität des Wissens || Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt. | ||
|- | |- | ||
| Qualifikation und Fortbildung || Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist. | | Qualifikation und Fortbildung || Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist. | ||
|- | |- | ||
| Adaptive Sicherheit || Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst ([[Kontinuierlicher Verbesserungsprozess]]) | | Adaptive Sicherheit || Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst ([[Kontinuierlicher Verbesserungsprozess]]) | ||
|- | |- | ||
| Vorbereitung || Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet | | Vorbereitung || Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet | ||
|} | |} | ||
== Zertifizierung == | === Zertifizierung === | ||
[[IT-Grundschutz/Zertifizierung]] | |||
<noinclude> | |||
== Anhang == | == Anhang == | ||
=== Siehe auch === | === Siehe auch === | ||
{{Special:PrefixIndex/ | {{Special:PrefixIndex/ISMS}} | ||
---- | |||
{{Special:PrefixIndex/Managementsystem}} | |||
==== Links ==== | ==== Links ==== | ||
===== Weblinks ===== | ===== Weblinks ===== | ||
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/ | # [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/BSI-Standards/BSI-Standard-200-1-Managementsysteme-fuer-Informationssicherheit/bsi-standard-200-1-managementsysteme-fuer-informationssicherheit_node.html BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)] | ||
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/ | # [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/BSI-Standards/BSI-Standard-200-2-IT-Grundschutz-Methodik/bsi-standard-200-2-it-grundschutz-methodik_node.html BSI-Standard 200-2: IT-Grundschutz-Methodik] | ||
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/ | # [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/BSI-Standards/BSI-Standard-200-3-Risikomanagement/bsi-standard-200-3-risikomanagement_node.html BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz] | ||
# [https://service.vds.de/fileadmin/vds_publikationen/cyber/V10000_low.pdf VdS 10000 - Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)] | # [https://service.vds.de/fileadmin/vds_publikationen/cyber/V10000_low.pdf VdS 10000 - Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)] | ||
[[Kategorie:ISMS]] | |||
[[Kategorie: | |||
</noinclude> | </noinclude> |
Aktuelle Version vom 25. November 2024, 22:22 Uhr
Information Security Management System (ISMS) - Managementsystem für Informationssicherheit
Beschreibung
- IT-Sicherheitsmanagement
Managementsystem zur Gewährleistung der Informationssicherheit/IT-Sicherheit
- Aufgaben
- Systematische Absicherung eines IT-Verbundes
- Gefahren und Bedrohungen abwehren
- Auswahl und Umsetzung von IT-Sicherheitsmaßnahmen
- für Geschäftsprozesse
- Vorgehensweise
- Eine normierte Vorgehensweise durch Verwenden von IT-Standards ermöglichen
- Begriffsherkunft
Der Begriff des IT-Sicherheitsmanagements taucht erstmals mit der Veröffentlichung der Green Books im Jahre 1989 auf
- Aus einem Teil der Green Books entwickelte sich die BS-7799-Norm für Informationssicherheit
- Gleichwohl wurden bereits von amerikanischen Behörden in den 1970er-Jahren Methoden für ein strukturiertes Vorgehen zur Absicherung gegen Bedrohungen der Informationssicherheit verwendet
- In den 1980er-Jahren folgten im englischsprachigen Bereich einige Studien und Aufsätze zum Thema computer abuse and security und wie eine effektive Informationssicherheit durch organisatorische Maßnahmen in einem Unternehmen erreicht werden konnte
Sicherheitstechnik
- Institutionen nutzt Sicherheitstechnik
Beispielsweise um sich vor Gefahren aus dem Internet abzusichern
- Virenschutzprogramme
- Spamfilter
- gestaffelte Firewalls
- Software zur Angriffserkennung
Sicherheitsorganisation
- Organisatorische Maßnahme
Richtlinien
- Für die Benutzung mobiler Systeme
- Mitarbeiter über Gefahren im Internet informieren
- ...
- Fehlende Konzeption
Sowohl die Anwendung von Technik als auch die Einführung organisatorischer Maßnahmen erfolgt oft jedoch ohne Konzept und Erfolgskontrolle
- Isolierte Maßnahmen
Für eine angemessene Informationssicherheit ist die isolierte Umsetzung einzelner technischer oder organisatorischer Maßnahmen erfahrungsgemäß, allerdings weder effektiv noch effizient
- Vielmehr ist ein Rahmen erforderlich, der dafür sorgt, dass alle Maßnahmen zielgerichtet gesteuert und überwacht werden
- Komponenten eines Managementsystem für Informationssicherheit
- Managementprinzipien
- etwa der Vorgabe von Zielen in der Organisation, der Erstellung von Kommunikationsgrundsätzen oder Regelungen für Kosten-Nutzen-Analysen,
- Ressourcen und Mitarbeitern
- Steuerung des Einsatzes von Technik und Personal
- Beschreibung des Sicherheitsprozesses
- Worauf sollten Sie beim Aufbau und Betrieb eines ISMS achten?
BSI-Standard 200-1: Managementsysteme für Informationssicherheit
- Die dort genannten Empfehlungen werden im -Standard 200-2: -Grundschutz-Methodik konkretisiert
- In den Kapiteln 3 und 4 erfahren Sie dort beispielsweise, worauf bei der Initiierung und Organisation des Sicherheitsprozesses zu achten ist
- Aspekte des Managements von Informationssicherheit gemäß IT-Grundschutz
Aspekt | Beschreibung |
---|---|
Sicherheitsprozess | |
Managementprinzipien | |
Sicherheitsorganisation | |
Sicherheitsleitlinie | |
Sicherheitskonzept | |
Dokumentation |
Aufgabe
- Systematische Absicherung eines Informationsverbunds
- Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden
- Die Auswahl und Umsetzung von IT-Sicherheitsstandards zählt zu den Aufgaben des IT-Sicherheitsmanagements
Standards
- IT-Grundschutz des BSI
- Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen
- Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren
- Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor
- ISO/IEC 27001
- Norm für Informationssicherheitsmanagementsysteme (ISMS)
- ISO/IEC 27002
- Leitfaden für das Informationssicherheitsmanagement
Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm
- Folgende Standards werden dem IT-Sicherheitsmanagement zugerechnet
Weltweit am stärksten verbreitet ist die ISO/IEC-27001-Norm
IT-Grundschutz des BSI | IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Anforderungen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel) |
Für Systeme mit hohem Schutzbedarf | geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren |
Die Grundschutz-Kataloge sind primär in Deutschland bekannt | liegen allerdings auch englischsprachig vor |
ISO/IEC 27001 | Norm für Informationsicherheitsmanagementsysteme (ISMS) |
ISO/IEC 27002 | Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005) |
BS 7799-1 und BS 7799-2 | Vorgänger der ISO/IEC 27001 und ISO/IEC 27002 |
- Weitere Standards mit IT-Sicherheitsaspekten
ITIL | Best-Practices-Sammlung für das IT-Servicemanagement |
ISO/IEC 20000 | die ISO/IEC-Norm für IT-Servicemanagement |
BS 15000 | Britischer Standard für IT-Servicemanagement |
COBIT | IT-Governance-Framework |
ISO/IEC 13335 | Ehemalige Normenreihe zum Sicherheitsmanagement in der Informations- und Kommunikationstechnik |
EN ISO 27799 | Medizinische Informatik – Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (speziell für den Gesundheitsbereich) |
VdS 10005 | Richtlinie für IT-Sicherheit im kleinen Mittelstand |
Payment Card Industry Data Security Standard (PCI-DSS) | Regelwerk für die Abwicklung von Kreditkartentransaktionen |
Benchmarks des Center for Internet Security | |
Federal Information Processing Standards (FIPS) | weitere des US National Institute of Standards and Technology (NIST) |
Verfahren und Regeln
- Verfahren und Regeln innerhalb einer Organisation
- Informationssicherheit
- definieren
- steuern
- kontrollieren
- aufrechterhalten
- fortlaufend verbessern
- Begriff wird im Standard ISO/IEC 27002 definiert
- ISO/IEC 27001 beschreibt ein ISMS
- Deutscher Anteil an dieser Normungsarbeit
Informationssicherheit und Datenschutz
- Überschneidende Zuständigkeiten
- Informationssicherheitsbeauftragte (ISB) und Datenschutzbeauftragter (DSB)
- Sollten personell getrennt wahrgenommen werden
- ISO/IEC 27701
Mit der ISO/IEC 27701 wird das klassische Informationssicherheitsmanagementsystem um Datenschutzaspekte erweitert
- Sodass beide Beauftragte über das gleiche Dokumentenwerk gegenseitig zuarbeiten können
Allgemeine Ansätze
Ansatz | Beschreibung |
---|---|
Verankerung in der Organisation | Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen
|
Verbindliche Ziele | Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben. |
Richtlinien | Verabschiedung von Sicherheitsrichtlinien (Security Policy), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management |
Personalmanagement | Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt. |
Aktualität des Wissens | Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt. |
Qualifikation und Fortbildung | Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist. |
Adaptive Sicherheit | Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst (Kontinuierlicher Verbesserungsprozess) |
Vorbereitung | Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet |
Zertifizierung
Anhang
Siehe auch
- ISMS-Beauftragte
- ISMS.1 Sicherheitsmanagement
- ISMS/Audit und Zertifizierungen
- ISMS/Geschichte
- ISMS/Glossar
- ISMS/Massnahmen
- ISMS/Rahmenbedingungen
- ISMS/Recht
- ISMS/Recht/Grundlagen
- ISMS/Recht/Haftung
- ISMS/Recht/Strafrecht
- ISMS/Standard
- ISMS/Umsetzungsbereiche
- ISMS/Verfahren
- ISMS:Richtlinien
- ISMS Management-Team