Information Security Management System: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| Zeile 2: | Zeile 2: | ||
== Beschreibung == | == Beschreibung == | ||
Aufgabe des ''[[IT-Sicherheitsmanagement]]s'' | |||
* Systematische Absicherung eines informationsverarbeitenden IT-Verbundes | * Systematische Absicherung eines informationsverarbeitenden IT-Verbundes | ||
* Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden. | * Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden. | ||
| Zeile 14: | Zeile 14: | ||
* [[ISO/IEC 27002]]: Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005) | * [[ISO/IEC 27002]]: Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005) | ||
Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm. | ; Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm. | ||
: Weitere Standards sind zu finden im {{Hauptartikel|IT-Sicherheitsmanagement}} | |||
Weitere Standards sind zu finden im {{Hauptartikel|IT-Sicherheitsmanagement}} | |||
; Verfahren und Regeln innerhalb einer Organisation zur Informationssicherheit | ; Verfahren und Regeln innerhalb einer Organisation zur Informationssicherheit | ||
| Zeile 43: | Zeile 42: | ||
|- | |- | ||
| Verankerung in der Organisation || Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen. | | Verankerung in der Organisation || Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen. | ||
* Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt). Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt. | * Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt). Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt. | ||
|- | |- | ||
| Verbindliche Ziele || Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben. | | Verbindliche Ziele || Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben. | ||
Version vom 7. Juni 2023, 18:23 Uhr
Ein Information Security Management System (ISMS) ist ein Managementsystem für Informationssicherheit
Beschreibung
Aufgabe des IT-Sicherheitsmanagements
- Systematische Absicherung eines informationsverarbeitenden IT-Verbundes
- Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden.
- Die Auswahl und Umsetzung von IT-Sicherheitsstandards zählt zu den Aufgaben des IT-Sicherheitsmanagements.
- Standards des IT-Sicherheitsmanagements sind beispielsweise:
- IT-Grundschutz des BSI
- Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel).
- Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren.
- Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor.
- ISO/IEC 27001: Norm für Informationssicherheitsmanagementsysteme (ISMS)
- ISO/IEC 27002: Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)
- Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm.
- Weitere Standards sind zu finden im Vorlage:Hauptartikel
- Verfahren und Regeln innerhalb einer Organisation zur Informationssicherheit
- definieren
- steuern
- kontrollieren
- aufrechterhalten
- fortlaufend verbessern
- Begriff wird im Standard ISO/IEC 27002 definiert
- ISO/IEC 27001 beschreibt ein ISMS
- Deutscher Anteil an dieser Normungsarbeit
Informationssicherheit und Datenschutz
Informationssicherheitsbeauftragte (ISB) und Datenschutzbeauftragter (DSB) haben teilweise überschneidende Zuständigkeiten, müssen aber personell getrennt wahrgenommen werden.
- Mit der neuen Norm ISO/IEC 27701 wird das klassische Informationssicherheitsmanagementsystem um Datenschutzaspekte erweitert, sodass beide Beauftragte über das gleiche Dokumentenwerk gegenseitig zuarbeiten können.
Allgemeine Ansätze
| Ansatz | Beschreibung |
|---|---|
| Verankerung in der Organisation | Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen.
|
| Verbindliche Ziele | Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben. |
| Richtlinien | Verabschiedung von Sicherheitsrichtlinien (Security Policy), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management. |
| Personalmanagement | Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt. |
| Aktualität des Wissens | Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt. |
| Qualifikation und Fortbildung | Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist. |
| Adaptive Sicherheit | Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst (Kontinuierlicher Verbesserungsprozess). |
| Vorbereitung | Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet. |
Zertifizierung