Information Security Management System: Unterschied zwischen den Versionen
Zeile 85: | Zeile 85: | ||
= TMP = | = TMP = | ||
== Anhang == | == Anhang == | ||
=== Siehe auch === | === Siehe auch === |
Version vom 28. August 2023, 10:04 Uhr
Ein Information Security Management System (ISMS) ist ein Managementsystem für Informationssicherheit
Beschreibung
- Aufgabe des IT-Sicherheitsmanagements
- Systematische Absicherung eines informationsverarbeitenden IT-Verbundes
- Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden.
- Die Auswahl und Umsetzung von IT-Sicherheitsstandards zählt zu den Aufgaben des IT-Sicherheitsmanagements.
- Standards des IT-Sicherheitsmanagements
- IT-Grundschutz des BSI
- Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel).
- Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren.
- Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor.
- ISO/IEC 27001: Norm für Informationssicherheitsmanagementsysteme (ISMS)
- ISO/IEC 27002: Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)
- Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm
- Weitere Standards sind zu finden im Vorlage:Hauptartikel
- Verfahren und Regeln innerhalb einer Organisation zur Informationssicherheit
- definieren
- steuern
- kontrollieren
- aufrechterhalten
- fortlaufend verbessern
- Begriff wird im Standard ISO/IEC 27002 definiert
- ISO/IEC 27001 beschreibt ein ISMS
- Deutscher Anteil an dieser Normungsarbeit
Informationssicherheit und Datenschutz
Informationssicherheitsbeauftragte (ISB) und Datenschutzbeauftragter (DSB) haben überschneidende Zuständigkeiten
- müssen aber personell getrennt wahrgenommen werden.
- Mit der neuen Norm ISO/IEC 27701 wird das klassische Informationssicherheitsmanagementsystem um Datenschutzaspekte erweitert, sodass beide Beauftragte über das gleiche Dokumentenwerk gegenseitig zuarbeiten können.
Allgemeine Ansätze
Ansatz | Beschreibung |
---|---|
Verankerung in der Organisation | Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen.
|
Verbindliche Ziele | Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben. |
Richtlinien | Verabschiedung von Sicherheitsrichtlinien (Security Policy), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management. |
Personalmanagement | Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt. |
Aktualität des Wissens | Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt. |
Qualifikation und Fortbildung | Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist. |
Adaptive Sicherheit | Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst (Kontinuierlicher Verbesserungsprozess). |
Vorbereitung | Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet. |
Zertifizierung
Anhang
Siehe auch
Dokumentation
Links
Projekt
Weblinks
- BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)
- BSI-Standard 200-2: IT-Grundschutz-Methodik
- BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz
- VdS 10000 - Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)
TMP
Anhang
Siehe auch
Dokumentation
Links
Einzelnachweise
Projekt
Weblinks
Testfragen
Welches Modell liegt dem in -Standard 200-1 beschriebenen Sicherheitsprozess zugrunde?
A ein Zyklus aus den Schritten Plan, Do, Check und Act B ein Verfahren zur Definition eines State-of-the-Art-Informationssicherheitsniveaus C ein auf stetige Verbesserung angelegtes Modell D ein Modell aus technischen Sicherheitsmaßnahmen
Die Antworten A und C sind richtig.
Was sollte eine Leitlinie zur Informationssicherheit enthalten?
A detaillierte technische Vorgaben für die Konfiguration wichtiger -Systeme B Aussagen zur Bedeutung der Informationssicherheit für die betroffene Institution C grundlegende Regelungen zur Organisation der Informationssicherheit D konkrete Verhaltensregelungen für den Umgang mit vertraulichen Informationen
Die Antworten B und C sind richtig.
Welche Aufgaben haben üblicherweise Informationssicherheitsbeauftragte?
A die Entwicklung von Sicherheitskonzepten zu koordinieren B die eingesetzte Sicherheitstechnik zu konfigurieren C der Leitungsebene über den Stand der Informationssicherheit zu berichten D Presseanfragen zum Stand der Informationssicherheit im Unternehmen zu beantworten
Die Antworten A und C sind richtig.
Wie setzt sich ein -Management-Team geeignet zusammen?
A Aus jeder Abteilung des Unternehmens oder der Behörde werden Mitarbeiter entsandt, damit alle Bereiche gut vertreten sind. B Nur der -Leiter ordnet einige Mitarbeiter in das Team ab. C Die Zusammensetzung sollte auf Freiwilligkeit beruhen. Jeder der Interesse hat, wird aufgenommen. D Die Geschäftsleitung setzt das Team aus Verantwortlichen für bestimmte -Systeme, Anwendungen, Datenschutz und -Service und (sofern vorhanden) dem - zusammen.
Die Antwort D ist richtig.
Wer ist für die Freigabe der Leitlinie zur Informationssicherheit verantwortlich?
A das -Management-Team B der C die Unternehmens- oder Behördenleitung D die Öffentlichkeitsabteilung eines Unternehmens oder einer Behörde
Die Antwort C ist richtig.
Warum kann es sinnvoll sein, sich für eine Sicherheitskonzeption gemäß der Basis-Absicherung zu entscheiden?
A Die Erfüllung der zugehörigen Anforderungen reicht in der Regel für ein normales Unternehmen völlig aus. B Weil schnell Informationssicherheit umgesetzt werden muss und die Basis-Absicherung hierfür einen geeigneten Einstieg bietet. C Weil Informationssicherheit Schritt für Schritt umgesetzt werden soll. Mittelfristig kann das Sicherheitskonzept nach Standard-Absicherung ausgebaut werden. D Weil die hochwertigen Informationen dringend geschützt werden müssen. Die Basis-Absicherung sorgt für den angemessenen Schutz der „Kronjuwelen“ einer Institution.
Die Antworten B und C sind richtig.