Information Security Management System: Unterschied zwischen den Versionen
Zeile 2: | Zeile 2: | ||
== Beschreibung == | == Beschreibung == | ||
Die Aufgabe des ''[[IT-Sicherheitsmanagement]]s'' ist die systematische Absicherung eines informationsverarbeitenden IT-Verbundes. | ; Die Aufgabe des ''[[IT-Sicherheitsmanagement]]s'' ist die systematische Absicherung eines informationsverarbeitenden IT-Verbundes. | ||
* Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden. | * Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden. | ||
* Die Auswahl und Umsetzung von ''IT-Sicherheitsstandards'' zählt zu den Aufgaben des IT-Sicherheitsmanagements. | * Die Auswahl und Umsetzung von ''IT-Sicherheitsstandards'' zählt zu den Aufgaben des IT-Sicherheitsmanagements. |
Version vom 3. Juni 2023, 13:07 Uhr
Ein Information Security Management System (ISMS) ist ein Managementsystem für Informationssicherheit
Beschreibung
- Die Aufgabe des IT-Sicherheitsmanagements ist die systematische Absicherung eines informationsverarbeitenden IT-Verbundes.
- Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden.
- Die Auswahl und Umsetzung von IT-Sicherheitsstandards zählt zu den Aufgaben des IT-Sicherheitsmanagements.
- Standards des IT-Sicherheitsmanagements sind beispielsweise:
- IT-Grundschutz des BSI
- Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel).
- Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren.
- Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor.
- ISO/IEC 27001: Norm für Informationssicherheitsmanagementsysteme (ISMS)
- ISO/IEC 27002: Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)
Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm.
Weitere Standards sind zu finden im Vorlage:Hauptartikel
- Verfahren und Regeln innerhalb einer Organisation zur Informationssicherheit
- definieren
- steuern
- kontrollieren
- aufrechterhalten
- fortlaufend verbessern
- Begriff wird im Standard ISO/IEC 27002 definiert
- ISO/IEC 27001 beschreibt ein ISMS
- Deutscher Anteil an dieser Normungsarbeit
Informationssicherheit und Datenschutz
Informationssicherheitsbeauftragte (ISB) und Datenschutzbeauftragter (DSB) haben teilweise überschneidende Zuständigkeiten, müssen aber personell getrennt wahrgenommen werden.
- Mit der neuen Norm ISO/IEC 27701 wird das klassische Informationssicherheitsmanagementsystem um Datenschutzaspekte erweitert, sodass beide Beauftragte über das gleiche Dokumentenwerk gegenseitig zuarbeiten können.
Allgemeine Ansätze
Ansatz | Beschreibung |
---|---|
Verankerung in der Organisation | Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen.
|
Verbindliche Ziele | Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben. |
Richtlinien | Verabschiedung von Sicherheitsrichtlinien (Security Policy), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management. |
Personalmanagement | Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt. |
Aktualität des Wissens | Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt. |
Qualifikation und Fortbildung | Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist. |
Adaptive Sicherheit | Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst (Kontinuierlicher Verbesserungsprozess). |
Vorbereitung | Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet. |
Zertifizierung
Anhang
Siehe auch
Dokumentation
Links
Projekt
Weblinks
- BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)
- BSI-Standard 200-2: IT-Grundschutz-Methodik
- BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz
- VdS 10000 - Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)