Praxisbuch ISO/IEC 27001

Name: Praxisbuch ISO/IEC 27001 | Management der Informationssicherheit und Vorbereitung auf die Zertifizierung
Brand: Hanser
Price: 69.99 EUR
Availability: OnlineOnly

Management der Informationssicherheit und Vorbereitung auf die Zertifizierung

Michael Brenner Nils gentschen Felde Wolfgang Hommel Stefan Metzger Helmut Reiser Thomas Schaaf(Autor*in)

Hanser (Verlag)

5. Auflage

Erschienen am 8. Juli 2024

288 Seiten

E-Book

ePUB mit Wasserzeichen-DRM

Systemvoraussetzungen

E-Book

PDF mit Wasserzeichen-DRM

Systemvoraussetzungen

978-3-446-47845-9 (ISBN)

69,99 €inkl. 7% MwSt.

Systemvoraussetzungen

für ePUB mit Wasserzeichen-DRM und PDF mit Wasserzeichen-DRM

(Hinweis: Die Auswahl des von Ihnen gewünschten Dateiformats und des Kopierschutzes erfolgt erst im System des E-Book Anbieters)

E-Book Einzellizenz

Als Download verfügbar

Beschreibung

- Das umfassende Praxisbuch zum Management der Informationssicherheit
- Enthält die vollständige Norm DIN EN ISO/IEC 27001:2024
- Unentbehrlich für Betreiber kritischer Infrastrukturen (-> IT-Sicherheitsgesetz)
- Mit 80 Prüfungsfragen zur Vorbereitung auf die Foundation-Zertifizierung
- Ihr exklusiver Vorteil: E-Book inside beim Kauf des gedruckten Buches

Informationen sind das wertvollste Kapital vieler Organisationen. Geraten sie in falsche Hände, kann sogar das Überleben eines Unternehmens gefährdet sein. Zur Informationssicherheit müssen alle ihren Beitrag leisten, von der Arbeitsebene bis zum Topmanagement. Die ISO / IEC 27001 stellt dabei die wichtigste internationale Norm dar, an der man praktisch in keiner Branche vorbeikommt. Ein dieser Norm entsprechendes Informationssicherheitsmanagementsystem (ISMS) ist zunehmend Voraussetzung für die Erfüllung von Kunden-Anforderungen sowie von gesetzlichen und behördlichen Vorgaben, u. a. im Rahmen des IT-Sicherheitsgesetzes.
In diesem Buch erhalten Sie die optimale Unterstützung für den Aufbau eines wirksamen ISMS. Die Autoren vermitteln zunächst das notwendige Basiswissen zur ISO / IEC 27001 sowie zur übergeordneten Normenreihe und erklären anschaulich die Grundlagen. Im Hauptteil finden Sie alle wesentlichen Teile der deutschen Fassung der Norm, DIN EN ISO / IEC 27001, im Wortlaut. Hilfreiche Erläuterungen, wertvolle Praxistipps für Maßnahmen und Auditnachweise helfen Ihnen bei der Umsetzung der Norm. Ebenfalls enthalten sind Prüfungsfragen und -antworten, mit deren Hilfe Sie sich optimal auf Ihre persönliche Foundation-Zertifizierung vorbereiten können. Das Buch schließt mit einem Abdruck der kompletten Norm DIN EN ISO/ IEC 27001:2024.

Die Autoren: Michael Brenner, Nils gentschen Felde, Wolfgang Hommel, Stefan Metzger, Helmut Reiser und Thomas Schaaf arbeiten u. a. an der Ludwig-Maximilians-Universität München, der Universität der Bundeswehr München und am Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften. Als Mitglieder der Forschungsgruppe Munich Network Management Team (www.mnmteam.org) forschen und lehren sie alle zu den Themen Informationssicherheitsmanagement und IT-Service-Management.

AUS DEM INHALT //
- Einführung und Basiswissen
- Die Standardfamilie ISO / IEC 27000 im Überblick
- Grundlagen von Informationssicherheitsmanagementsystemen
- ISO / IEC 27001
- Spezifikationen und Mindestanforderungen
- Maßnahmen im Rahmen des ISMS
- Verwandte Standards und Rahmenwerke
- Zertifizierungsmöglichkeiten und Begriffsbildung nach ISO/ IEC 27000
- Abdruck der vollständigen DIN EN ISO / IEC 27001:2024
- Vergleich der Normenfassungen von 2017 und 2024
- Prüfungsfragen mit Antworten zur ISO / IEC 27000 Foundation

Rezensionen / Stimmen

"Das Buch bietet Unterstützung beim Aufbau eines wirksamen ISMS. Die Autoren vermitteln Basiswissen zur ISO/IEC 27001 sowie zur übergeordneten Normenreihe und erklären die Grundlagen. Es finden sich alle wesentlichen Teile der deutschen Fassung der Norm sowie die komplette EN ISO/IEC 27100:2024 im Wortlaut. Erläuterungen, Praxistipps für Maßnahmen und Audithinweise helfen bei der Umsetzung." QZ Qualität und Zuverlässigkeit, September 2024

"Man bekommt sehr sehr viele Informationen in dem Buch und zusätzlich ist auch die Norm am Ende komplett abgedruckt. Das Preis-Leistungsverhältnis stimmt. Uns gefällt das Gesamtpaket vom Hanser Verlag sehr gut. Angefangen mit der der super guten Leseprobe, die auch ihren Namen verdient. Haben wir es schon gesagt? Klare Kaufempfehlung. Als Einarbeitung ins Thema und vor allen Dingen auch als Vorbereitung für eine etwaige Prüfung auf die 27001." Rechtsanwalt Michael Rohrlich und Marc Oliver Thoma, mth-training (Youtube), 11.09.2024

Weitere Details

Weitere Ausgaben

Personen

Inhalt

Intro
Inhaltsverzeichnis
Vorwort
1 Einführung und Basiswissen
1.1 Worum geht es in ISO/IEC 27000 und ISO/IEC 27001?
1.2 Begriffsbildung
1.2.1 Informationen
1.2.2 Informationssicherheit
1.2.3 Sicherheitsanforderungen und Schutzziele
1.3 IT-Sicherheitsgesetz & KRITIS
1.3.1 Was ist "KRITIS"?
1.3.2 Wer ist in Deutschland von KRITIS betroffen?
1.3.3 KRITIS-Anforderungen - Informationssicherheit nach dem "Stand der Technik"
1.4 Datenschutz-Grundverordnung
1.5 Weitere Richtlinien und Verordnungen der Europäischen Union
1.5.1 NIS-2-Richtlinie
1.5.2 Richtlinie über die Resilienz kritischer Einrichtungen (EU RCE Directive/CER-Richtlinie)
1.5.3 Cyber Resilience Act (CRA)
1.5.4 DORA-Verordnung
1.6 Überblick über die folgenden Kapitel
1.7 Beispiele für Prüfungsfragen zu diesem Kapitel
2 Die Standardfamilie ISO/IEC 27000 im Überblick
2.1 Warum Standardisierung?
2.2 Grundlagen der ISO/IEC 27000
2.3 Normative vs. informative Standards
2.4 Die Standards der ISMS-Familie und ihre Zusammenhänge
2.4.1 ISO/IEC 27000: Grundlagen und Überblick über die Standardfamilie
2.4.2 Normative Anforderungen
2.4.3 Allgemeine Leitfäden
2.4.4 Sektor- und maßnahmenspezifische Leitfäden
2.5 Zusammenfassung
2.6 Beispiele für Prüfungsfragen zu diesem Kapitel
3 Grundlagen von Informationssicherheitsmanagementsystemen
3.1 Das ISMS und seine Bestandteile
3.1.1 (Informations-)Werte
3.1.2 Richtlinien, Prozesse und Verfahren
3.1.3 Dokumente und Aufzeichnungen
3.1.4 Zuweisung von Verantwortlichkeiten
3.1.5 Maßnahmen
3.2 Was bedeutet Prozessorientierung?
3.3 Die PDCA-Methodik: Plan-Do-Check-Act
3.3.1 Planung (Plan)
3.3.2 Umsetzung (Do)
3.3.3 Überprüfung (Check)
3.3.4 Verbesserung (Act)
3.4 Zusammenfassung
3.5 Beispiele für Prüfungsfragen zu diesem Kapitel
4 DIN EN ISO/IEC 27001 - Spezifikationen und Mindestanforderungen
4.0 Einleitung
4.0.1 Allgemeines
4.0.2 Kompatibilität mit anderen Normen für Managementsysteme
4.1 Anwendungsbereich
4.2 Normative Verweisungen
4.3 Begriffe
4.4 Kontext der Organisation
4.4.1 Verstehen der Organisation und ihres Kontextes
4.4.2 Verstehen der Erfordernisse und Erwartungen interessierter Parteien
4.4.3 Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems
4.4.4 Informationssicherheitsmanagementsystem
4.5 Führung
4.5.1 Führung und Verpflichtung
4.5.2 Politik
4.5.3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation
4.6 Planung
4.6.1 Maßnahmen zum Umgang mit Risiken und Chancen
4.6.2 Informationssicherheitsziele und Planung zu deren Erreichung
4.6.3 Planung von Änderungen
4.7 Unterstützung
4.7.1 Ressourcen
4.7.2 Kompetenz
4.7.3 Bewusstsein
4.7.4 Kommunikation
4.7.5 Dokumentierte Information
4.8 Betrieb
4.8.1 Betriebliche Planung und Steuerung
4.8.2 Informationssicherheitsrisikobeurteilung
4.8.3 Informationssicherheitsrisikobehandlung
4.9 Bewertung der Leistung
4.9.1 Überwachung, Messung, Analyse und Bewertung
4.9.2 Internes Audit
4.9.3 Managementbewertung
4.10 Verbesserung
4.10.1 Fortlaufende Verbesserung
4.10.2 Nichtkonformität und Korrekturmaßnahmen
4.11 Zusammenfassung
4.12 Beispiele für Prüfungsfragen zu diesem Kapitel
5 Maßnahmen im Rahmen des ISMS
5.1 A.5 Organisatorisches Maßnahmen
5.1.1 [A.5.1] Informationssicherheitspolitik und -richtlinien
5.1.2 [A.5.2] Informationssicherheitsrollen und -verantwortlichkeiten
5.1.3 [A.5.3] Aufgabentrennung
5.1.4 [A.5.4] Verantwortlichkeiten der Leitung
5.1.5 [A.5.5] Kontakt mit Behörden
5.1.6 [A.5.6] Kontakt mit speziellen Interessensgruppen
5.1.7 [A.5.7] Informationen über die Bedrohungslage
5.1.8 [A.5.8] Informationssicherheit im Projektmanagement
5.1.9 [A.5.9] Inventar der Informationen und anderen damit verbundenen Werte
5.1.10 [A.5.10] Zulässiger Gebrauch von Informationen und anderen damit verbundenen Werten
5.1.11 [A.5.11] Rückgabe von Werten
5.1.12 [A.5.12] Klassifizierung von Informationen
5.1.13 [A.5.13] Kennzeichnung von Informationen
5.1.14 [A.5.14] Informationsübermittlung
5.1.15 [A.5.15] Zugangssteuerung
5.1.16 [A.5.16] Identitätsmanagement
5.1.17 [A.5.17] Authentisierungsinformationen
5.1.18 [A.5.18] Zugangsrechte
5.1.19 [A.5.19] Informationssicherheit in Lieferantenbeziehungen
5.1.20 [A.5.20] Behandlung von Informationssicherheit in Lieferantenvereinbarungen
5.1.21 [A.5.21] Umgang mit der Informationssicherheit in der Lieferkette der Informations- und Kommunikationstechnologie (IKT)
5.1.22 [A.5.22] Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.1.23 [A.5.23] Informationssicherheit für die Nutzung von Cloud-Diensten
5.1.24 [A.5.24] Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen
5.1.25 [A.5.25] Beurteilung und Entscheidung über Informationssicherheitsereignisse
5.1.26 [A.5.26] Reaktion auf Informationssicherheitsvorfälle
5.1.27 [A.5.27] Erkenntnisse aus Informationssicherheitsvorfällen
5.1.28 [A.5.28] Sammeln von Beweismaterial
5.1.29 [A.5.29] Informationssicherheit bei Störungen
5.1.30 [A.5.30] IKT-Bereitschaft für Business-Continuity
5.1.31 [A.5.31] Juristische, gesetzliche, regulatorische und vertragliche Anforderungen
5.1.32 [A.5.32] Geistige Eigentumsrechte
5.1.33 [A.5.33] Schutz von Aufzeichnungen
5.1.34 [A.5.34] Datenschutz und Schutz von personenbezogenen Daten (PbD)
5.1.35 [A.5.35] Unabhängige Überprüfung der Informationssicherheit
5.1.36 [A.5.36] Einhaltung von Richtlinien, Vorschriften und Normen für die Informationssicherheit
5.1.37 [A.5.37] Dokumentierte Betriebsabläufe
5.2 A.6 Personenbezogene Maßnahmen
5.2.1 [A.6.1] Sicherheitsüberprüfung
5.2.2 [A.6.2] Beschäftigungs- und Vertragsbedingungen
5.2.3 [A.6.3] Informationssicherheitsbewusstsein, -ausbildung und -schulung
5.2.4 [A.6.4] Maßregelungsprozess
5.2.5 [A.6.5] Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung
5.2.6 [A.6.6] Vertraulichkeits- oder Geheimhaltungsvereinbarungen
5.2.7 [A.6.7] Remote-Arbeit
5.2.8 [A.6.8] Meldung von Informationssicherheitsereignissen
5.3 A.7 Physische Maßnahmen
5.3.1 [A.7.1] Physische Sicherheitsperimeter
5.3.2 [A.7.2] Physischer Zutritt
5.3.3 [A.7.3] Sichern von Büros, Räumen und Einrichtungen
5.3.4 [A.7.4] Physische Sicherheitsüberwachung
5.3.5 [A.7.5] Schutz vor physischen und umweltbedingten Bedrohungen
5.3.6 [A.7.6] Arbeiten in Sicherheitsbereichen
5.3.7 [A.7.7] Aufgeräumte Arbeitsumgebung und Bildschirmsperren
5.3.8 [A.7.8] Platzierung und Schutz von Geräten und Betriebsmitteln
5.3.9 [A.7.9] Sicherheit von Assets außerhalb der Standorte der Organisation
5.3.10 [A.7.10] Speichermedien
5.3.11 [A.7.11] Versorgungseinrichtungen
5.3.12 [A.7.12] Sicherheit der Verkabelung
5.3.13 [A.7.13] Instandhaltung von Geräten und Betriebsmitteln
5.3.14 [A.7.14] Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln
5.4 A.8 Technologische Maßnahmen
5.4.1 [A.8.1] Endpunktgeräte des Benutzers
5.4.2 [A.8.2] Privilegierte Zugangsrechte
5.4.3 [A.8.3] Informationszugangsbeschränkung
5.4.4 [A.8.4] Zugriff auf den Quellcode
5.4.5 [A.8.5] Sichere Authentisierung
5.4.6 [A.8.6] Kapazitätssteuerung
5.4.7 [A.8.7] Schutz gegen Schadsoftware
5.4.8 [A.8.8] Handhabung von technischen Schwachstellen
5.4.9 [A.8.9] Konfigurationsmanagement
5.4.10 [A.8.10] Löschung von Informationen
5.4.11 [A.8.11] Datenmaskierung
5.4.12 [A.8.12] Verhinderung von Datenlecks
5.4.13 [A.8.13] Sicherung von Informationen
5.4.14 [A.8.14] Redundanz von informationsverarbeitenden Einrichtungen
5.4.15 [A.8.15] Protokollierung
5.4.16 [A.8.16] Überwachung von Aktivitäten
5.4.17 [A.8.17] Uhrensynchronisation
5.4.18 [A.8.18] Gebrauch von Hilfsprogrammen mit privilegierten Rechten
5.4.19 [A.8.19] Installation von Software auf Systemen im Betrieb
5.4.20 [A.8.20] Netzwerksicherheit
5.4.21 [A.8.21] Sicherheit von Netzwerkdiensten
5.4.22 [A.8.22] Trennung von Netzwerken
5.4.23 [A.8.23] Webfilterung
5.4.24 [A.8.24] Verwendung von Kryptographie
5.4.25 [A.8.25] Lebenszyklus einer sicheren Entwicklung
5.4.26 [A.8.26] Anforderungen an die Anwendungssicherheit
5.4.27 [A.8.27] Sichere Systemarchitektur und Entwicklungsgrundsätze
5.4.28 [A.8.28] Sichere Codierung
5.4.29 [A.8.29] Sicherheitsprüfung bei Entwicklung und Abnahme
5.4.30 [A.8.30] Ausgegliederte Entwicklung
5.4.31 [A.8.31] Trennung von Entwicklungs-, Test- und Produktivumgebungen
5.4.32 [A.8.32] Änderungssteuerung
5.4.33 [A.8.33] Testdaten
5.4.34 [A.8.34] Schutz der Informationssysteme während Tests im Rahmen von Audits
5.5 Beispiele für Prüfungsfragen zu diesem Kapitel
6 Verwandte Standards und Rahmenwerke
6.1 Standards und Rahmenwerke für IT- und Informationssicherheit
6.1.1 IT-Grundschutz-Kompendium
6.1.2 BSI-Standards
6.1.3 CISIS12
6.1.4 Cybersecurity Framework
6.1.5 ISO/IEC 15408
6.1.6 VDA ISA (TISAX)
6.2 Standards und Rahmenwerke für Qualitätsmanagement, Auditierung und Zertifizierung
6.2.1 ISO 9000
6.2.2 ISO 19011
6.2.3 ISO/IEC 17020
6.3 Standards und Rahmenwerke für Governance und Management in der IT
6.3.1 ITIL
6.3.2 ISO/IEC 20000
6.3.3 FitSM
6.4 Beispiele für Prüfungsfragen zu diesem Kapitel
7 Zertifizierungsmöglichkeiten nach ISO/IEC 27000
7.1 ISMS-Zertifizierung nach ISO/IEC 27001
7.1.1 Grundlagen der Zertifizierung von Managementsystemen
7.1.2 Typischer Ablauf einer Zertifizierung
7.1.3 Auditumfang
7.1.4 Akzeptanz und Gültigkeit des Zertifikats
7.1.5 Aufwände und Kosten für Zertifizierungen
7.2 Personenqualifizierung auf Basis von ISO/IEC 27000
7.2.1 Programme zur Ausbildung und Zertifizierung von Personal
7.2.2 Erlangen eines Foundation-Zertifikats
7.3 Zusammenfassung
7.4 Beispiele für Prüfungsfragen zu diesem Kapitel
A Begriffsbildung nach ISO/IEC 27000
B Abdruck der DIN EN ISO/IEC 27001:2024
B.1 DIN EN ISO/IEC 27001:2024
B.2 DIN EN ISO/IEC 27001:2024, Anhang A
B.3 Vergleich: DIN EN ISO/IEC 27001 Anhang A :2024 vs. :2017
C Prüfungsfragen mit Antworten zur ISO/IEC 27001 Foundation
C.1 Antworten auf die Prüfungsfragen zu den einzelnen Buchkapiteln
C.2 Ein beispielhafter Prüfungsfragebogen zur ISO/IEC 27001-Foundation-Prüfung
C.3 Antworten auf den Prüfungsfragebogen zur ISO/IEC 27001-Foundation-Prüfung
Literaturverzeichnis
Index

1 Einführung und Basiswissen

Kaum eine Woche vergeht mehr ohne Berichte über gravierende IT-Sicherheitsvorfälle bei bekannten Unternehmen oder Behörden in der Fach- oder Tagespresse und dringend zu installierende Updates für Betriebssysteme und Standardsoftware. Die Digitalisierung vieler Abläufe und Vernetzung nahezu aller Systeme bis hin zum Wasserkocher im Smart Home bietet viele Vorzüge, aber auch deutlich in Erscheinung tretende Risiken. Lange Zeit fand das Thema Informationssicherheit nur wenig Beachtung sowohl in der Öffentlichkeit als auch in den oberen Leitungsebenen von Organisationen. Inzwischen hat sich die Hoffnung auf eine Selbstregulierung des Markts allerdings zerschlagen - das Pendel nicht nur im deutschsprachigen und europäischen Raum schlägt um in Richtung strikter gesetzlicher und branchenspezifischer Vorgaben, wiederum mit ihren Vor- und Nachteilen.

Die Plage Ransomware als nur eines von vielen Beispielen veranschaulicht sowohl die Entwicklung als auch die Breite der Problematik recht eingängig: Auf der einen Seite war Schadsoftware, die PCs kompromittiert, Dateien verschlüsselt und nur gegen Lösegeldzahlung wieder zugänglich macht, zunächst ein Massenphänomen, das insbesondere Privatpersonen betroffen hat. Erst in den letzten rund zehn Jahren haben sich die Kriminellen zu Ransomware-Gangs organisiert, professionalisiert und sich auf die Monetarisierung über mehr oder weniger zahlungskräftige Organisationen als Opfer spezialisiert. Auf der anderen Seite laufen Ransomware-Vorfälle nicht ausschließlich technisch ab, auch der "Faktor Mensch" spielt eine Schlüsselrolle: Häufig dienen Phishing-E-Mails oder Links auf mit Schadsoftware verseuchte Inhalte über Social-Media-Plattformen als Einfallstor für die Angreifer.

Insbesondere in Zeiten des anhaltenden Fachkräftemangels im IT-Sektor ist deshalb eklatant, dass sich Organisationen systematisch um Informationssicherheit kümmern müssen. Vorfälle bedeuten oftmals nicht nur schlechte Presse, sondern können durch längere Ausfälle oder ausgespähte Betriebsgeheimnisse sogar existenzbedrohend sein. Die "Aufräumarbeiten" nach einem typischen Ransomware-Vorfall beschäftigen das IT-Personal oft monatelang und lähmen dadurch die Weiterentwicklung der Organisation nachhaltig. Neben den rein technischen Aspekten sind häufig auch personenbezogene Daten involviert, sodass mit einem IT-Sicherheitsvorfall oft auch ein Datenschutzvorfall einhergeht, der die Reputation und das Vertrauen von Beschäftigten, Kunden und Partnern beschädigt.

Die Gesetzgebung hat darauf zwischenzeitlich reagiert. Bereits 2015 wurde in Deutschland die erste Fassung des IT-Sicherheitsgesetzes eingeführt und 2021 überarbeitet. Damit einher gingen Verordnungen zur Festlegung sogenannter Kritischer Infrastrukturen (KRITIS), für die höhere rechtliche Anforderungen in Bezug auf die IT-Sicherheit erlassen wurden. KRITIS-Betreiber wurden verpflichtet, angemessene technische und organisatorische Maßnahmen für die IT-Sicherheit umzusetzen und dabei den Stand der Technik einzuhalten. Auch die vielfältigen regulatorischen Bemühungen der Europäischen Union, von der Datenschutz-Grundverordnung (DSGVO) über die NIS-2-Richtlinie und den Cyber Resilience Act bis hin zur Richtlinie für Critical Entities Resilience (CER), drehen sich im Kern darum, dass Organisationen ihren Umgang mit - also das Management von - Informationssicherheit professionalisieren und auf ein angemessenes Niveau heben.

Wenn sich eine Organisation heute vornimmt, einen strukturierten Ansatz zum wirksamen Management der Informationssicherheit einzuführen, kommt sie an der Standardreihe ISO/IEC 27000 praktisch nicht vorbei. Bei ISO/IEC 27000 handelt es sich um eine Reihe von Dokumenten, in denen verschiedene Aspekte des Informationssicherheitsmanagements betrachtet werden. Dass es sich um von der ISO (International Organization for Standardization) und der IEC (International Electrotechnical Commission) standardisierte Dokumente handelt, erhöht dabei die Verbreitung, Bedeutung und Akzeptanz dieser Standards maßgeblich. Das zentrale und wichtigste Dokument der Reihe ist dabei DIN EN ISO/IEC 27001.

1.1 Worum geht es in ISO/IEC 27000 und ISO/IEC 27001?

ISO/IEC 27000 ist eine Standardfamilie, also eine ganze Reihe von zusammenhängenden Standards, die sich insgesamt hauptsächlich mit drei Kernbereichen befasst:

1. Begriffe: Es werden die wichtigsten Fachbegriffe aus der Welt der Informationssicherheit einheitlich und verbindlich definiert.

2. Grundlegendes Managementsystem: Es wird beschrieben, was eine Organisation umzusetzen hat und sicherstellen muss, um die eigenen Aktivitäten und Maßnahmen im Bereich Informationssicherheit wirksam steuern zu können.

3. Maßnahmen: Es werden Maßnahmen beschrieben, die eine Organisation grundsätzlich umzusetzen hat, um ein hohes Maß an Informationssicherheit gewährleisten zu können.

DIN EN ISO/IEC 27001 ist zwar "nur" eines der Dokumente in der Standardfamilie, ihm kommt aber eine ganz besondere Bedeutung zu: Es gibt die (Mindest-)Anforderungen an organisatorische Prozesse und umzusetzende Maßnahmen verbindlich vor und bildet somit die Grundlage für die Zertifizierung sowohl der Informationssicherheitsmanagementsysteme (ISMS) von Organisationen als auch von Einzelpersonen.

Dieses Buch behandelt ebenfalls alle drei Kernbereiche. Während die beiden letzteren in späteren Kapiteln vertieft behandelt werden, beschäftigt sich dieses Kapitel zunächst mit der grundlegenden Begriffsbildung.

1.2 Begriffsbildung

Die Standardfamilie ISO/ IEC 27000 dient ganz wesentlich dazu, die Verwendung von Fachbegriffen zu vereinheitlichen. Nur so kann erreicht werden, dass diejenigen, die sich mit Informationssicherheitsmanagement beschäftigen, nicht aneinander vorbeireden, obwohl sie eigentlich inhaltlich dasselbe meinen.

Im Folgenden werden die wichtigsten Begriffe und Grundlagen rund um das Thema Informationssicherheit eingeführt, die zum Verständnis von DIN EN ISO/IEC 27001 erforderlich sind. Ergänzend finden Sie alle offiziellen, kompakten Begriffsdefinitionen aus der ISO/IEC 27000 im Wortlaut in Anhang A dieses Buchs.

1.2.1 Informationen

In unserer längst hochgradig digital vernetzten Welt stellen Informationen Werte dar, die von entscheidender Wichtigkeit für den Betrieb einer Organisation sind. Dabei sind diese Informationen allerdings einer größeren Zahl von Bedrohungen ausgesetzt, die sich ihrerseits teilweise weiterentwickeln. Informationssysteme, Netze und Organisationen sind beispielsweise durch Cyber-Angriffe (Ransomware, Denial-of-Service-Angriffe, Hacking, Spam etc.), Sabotage, Spionage und Vandalismus, aber auch Elementarschäden durch Wasser, Feuer sowie Katastrophen gefährdet. Gesetzliche Regelungen (wie z. B. das IT-Sicherheitsgesetz oder die Datenschutz-Grundverordnung) fordern entsprechend Schutzmaßnahmen für sensible Informationen.

Der Begriff "Informationen" wird hierbei sehr weit gefasst. Sie können in Form verschiedener Medien vorliegen, also geschrieben, gedruckt, elektronisch, als Film etc., und auf unterschiedlichen Wegen übermittelt werden, z. B. per Post, per Funk/WLAN, über das Internet usw. Unabhängig vom Medium und vom Übertragungsweg ist die Aufgabe der Informationssicherheit, diese Informationen angemessen vor Bedrohungen zu schützen. Nur so können die Risiken minimiert, der Geschäftsbetrieb gesichert und die Wettbewerbsfähigkeit, Rentabilität sowie die Chancen einer Organisation maximiert werden.

1.2.2 Informationssicherheit

Für die Informationssicherheit existiert, anders als beispielsweise für Gewichte, Längen oder Temperaturen, keine physikalische Maßeinheit, um sie einfach in Zahlen - also quantitativ - auszudrücken. Deshalb wählen die Standards der Reihe ISO/ IEC 27000 - und damit auch das Hauptdokument DIN EN ISO/IEC 27001 - einen seit Langem praxisbewährten qualitativen Ansatz über sogenannte Schutzziele. Diese werden nachfolgend im Einzelnen vorgestellt und genauer erläutert.

1.2.3 Sicherheitsanforderungen und Schutzziele

Die Gefährdung wichtiger Informationen lässt sich alleine mit Beispielen natürlich nur ungenau und unvollständig beschreiben. In der ISO/IEC 27000 und im Security Engineering werden deshalb abstrakte Schutzziele bzw. Sicherheitsanforderungen für Informationswerte (zum Begriff der "(Informations-)Werte" vgl. Kapitel 3.1.1) definiert. Die zentralen Schutzziele sind die Vertraulichkeit, Integrität und Verfügbarkeit...

Inhalt (PDF)

Systemvoraussetzungen

Dateiformat: ePUB
Kopierschutz: Wasserzeichen-DRM (Digital Rights Management)

Systemvoraussetzungen:

Computer (Windows; MacOS X; Linux): Verwenden Sie eine Lese-Software, die das Dateiformat ePUB verarbeiten kann: z.B. Adobe Digital Editions oder FBReader – beide kostenlos (siehe E-Book Hilfe).
Tablet/Smartphone (Android; iOS): Installieren Sie die App Adobe Digital Editions oder eine andere Leseapp für E-Books, z.B. PocketBook (siehe E-Book Hilfe).
E-Book-Reader: Bookeen, Kobo, Pocketbook, Sony, Tolino u.v.a.m.

Das Dateiformat ePUB ist sehr gut für Romane und Sachbücher geeignet - also für „fließenden” Text ohne komplexes Layout. Bei E-Readern oder Smartphones passt sich der Zeilen- und Seitenumbruch automatisch den kleinen Displays an.
Mit Wasserzeichen-DRM wird hier ein „weicher” Kopierschutz verwendet. Daher ist technisch zwar alles möglich – sogar eine unzulässige Weitergabe. Aber an sichtbaren und unsichtbaren Stellen wird der Käufer des E-Books als Wasserzeichen hinterlegt, sodass im Falle eines Missbrauchs die Spur zurückverfolgt werden kann.

Weitere Informationen finden Sie in unserer E-Book Hilfe.

Dateiformat: PDF
Kopierschutz: Wasserzeichen-DRM (Digital Rights Management)

Systemvoraussetzungen:

Computer (Windows; MacOS X; Linux): Verwenden Sie zum Lesen die kostenlose Software Adobe Reader, Adobe Digital Editions oder einen anderen PDF-Viewer Ihrer Wahl (siehe E-Book Hilfe).
Tablet/Smartphone (Android; iOS): Installieren Sie bereits vor dem Download die kostenlose App Adobe Digital Editions oder die App PocketBook (siehe E-Book Hilfe).
E-Book-Reader: Bookeen, Kobo, Pocketbook, Sony, Tolino u.v.a.m.

Das Dateiformat PDF zeigt auf jeder Hardware eine Buchseite stets identisch an. Daher ist eine PDF auch für ein komplexes Layout geeignet, wie es bei Lehr- und Fachbüchern verwendet wird (Bilder, Tabellen, Spalten, Fußnoten). Bei kleinen Displays von E-Readern oder Smartphones sind PDF leider eher nervig, weil zu viel Scrollen notwendig ist. Mit Wasserzeichen-DRM wird hier ein „weicher” Kopierschutz verwendet. Daher ist technisch zwar alles möglich – sogar eine unzulässige Weitergabe. Aber an sichtbaren und unsichtbaren Stellen wird der Käufer des E-Books als Wasserzeichen hinterlegt, sodass im Falle eines Missbrauchs die Spur zurückverfolgt werden kann.

Weitere Informationen finden Sie in unserer E-Book Hilfe.

Als PDF speichern Als Link merken