ISMS/Standard: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| Zeile 13: | Zeile 13: | ||
! Option !! Beschreibung | ! Option !! Beschreibung | ||
|- | |- | ||
| Kostensenkung || | | Kostensenkung || | ||
* Praxiserprobte Vorgehensmodelle | * Praxiserprobte Vorgehensmodelle | ||
* Methodische Vereinheitlichung | * Methodische Vereinheitlichung | ||
| Zeile 25: | Zeile 25: | ||
* Verbesserung des Sicherheitsniveaus durch die Notwendigkeit der zyklischen Bewertung | * Verbesserung des Sicherheitsniveaus durch die Notwendigkeit der zyklischen Bewertung | ||
|- | |- | ||
| Wettbewerbsvorteile || | | Wettbewerbsvorteile || | ||
* Zertifizierung des Unternehmens sowie von Produkten | * Zertifizierung des Unternehmens sowie von Produkten | ||
* Nachweisfähigkeit bei öffentlichen und privatwirtschaftlichen Vergabeverfahren | * Nachweisfähigkeit bei öffentlichen und privatwirtschaftlichen Vergabeverfahren | ||
| Zeile 70: | Zeile 70: | ||
| [[ISO/27000]] | | [[ISO/27000]] | ||
|- | |- | ||
| | | | ||
|} | |} | ||
[[File:img-006-002.png|600px]] | [[File:img-006-002.png|600px]] | ||
| Zeile 98: | Zeile 98: | ||
|- | |- | ||
| [[COBIT]] || | | [[COBIT]] || | ||
|- | |- | ||
| [[COSO]] || | | [[COSO]] || | ||
|- | |- | ||
| Zeile 105: | Zeile 105: | ||
| [[ISO/IEC 13335]] || | | [[ISO/IEC 13335]] || | ||
|- | |- | ||
| [[ISO/IEC 9000]] || | | [[ISO/IEC 9000]] || | ||
|} | |} | ||
Version vom 13. April 2024, 13:41 Uhr
Informationssicherheit - Normen und Standards im Überblick
Beschreibung
- Der Aufwand für die Sicherung der IT-Ressourcen in einem Unternehmen kann mitunter sehr hoch sein
- Da traditionellerweise zuerst eine Analyse der vorhandenen schützenswerten Objekte (Assets) und eine Risiko- und Bedrohungsanalyse erfolgen muss.
- Danach werden die notwendigen Sicherheitsmaßnahmen ausgewählt, die zum Schutz der jeweiligen Assets für nötig erachtet werden.
- Um den Zeit- und Arbeitsaufwand für die Sicherung reduzieren zu können und unternommene Sicherheitsbemühungen besser vergleichen zu können, werden in der Praxis oft Kriterienkataloge angewandt, die den Sicherheitsverantwortlichen bei seiner Arbeit unterstützen.
- Die verschiedenen Kriterienwerke haben aber eine unterschiedliche Auslegung bezüglich der Anwendung, der verwendeten Methoden und der betrachteten Problemstellungen.
Nutzen von Standards
| Option | Beschreibung |
|---|---|
| Kostensenkung |
|
| Angemessenes Sicherheitsniveau |
|
| Wettbewerbsvorteile |
|
| Rechtssicherheit |
|
Zweck und Struktur relevanter Normen und Richtlinien
Arten von Normen und Standards
- Standards zur Informationssicherheit im Überblick
Beispiele für Normen und Standards
| IT-Grundschutz-Kompendium |
| BSI-Standard |
| ISO/IEC 13335 |
| ISO/IEC 19790 |
| ISO/IEC 2700X |
| Common Criteria/ITSEC/ISO/IEC 15408 |
| ISO 9000 |
| COBIT |
| ITIL |
| DIN EN 50600 |
| ISO/27000 |
Verbindlichkeit
Modalverben - beschreiben die Verbindlichkeit einer Anforderung
- Beschreibung
- MUSS und SOLL
| Ausdruck | Verbindlichkeit |
|---|---|
| MUSS, DARF NUR | Anforderung muss unbedingt erfüllt werden |
| DARF NICHT, DARF KEIN | Darf in keinem Fall getan werden |
| SOLLTE | Anforderung ist normalerweise zu erfüllt (MUSS, wenn kann). Abweichung in stichhaltig begründeten Fällen möglich. |
| SOLLTE NICHT, SOLLTE KEIN | Dieser Ausdruck bedeutet, dass etwas normalerweise nicht getan werden darf, bei stichhaltigen Gründen aber trotzdem erfolgen kann. |
| Ausdruck | Verbindlichkeit |
|---|---|
| MUST, MUST NOT, SHALL, SHALL NOT | Anforderung muss zwingend eingehalten werden |
| SHOULD, SHOULD NOT, RECOMMENDED, NOT RECOMMENDED | Empfohlene Anforderung, Abweichung in Begründeten Einelfällen möglich. |
| MAY, OPTIONAL | Anforderung liegt im Ermessen des Herstellers |
ISO/IEC Standards
BSI-Standards
IT-Grundschutz-Kompendium
Weitere Normen und Standards
| Standard | Beschreibung |
|---|---|
| Common Criteria | |
| ISIS12 | |
| COBIT | |
| COSO | |
| ITIL | IT_Infrastructure_Libary |
| ISO/IEC 13335 | |
| ISO/IEC 9000 |
Anhang
Siehe auch
- Branchenspezifische Sicherheitsstandards
- IT-Grundschutz-Profile
- DIN/50600
- Security_Policy
- IT-Sicherheitsbeauftragte
Links
Weblinks