Praxisbuch ISO/IEC 27001
Management der Informationssicherheit und Vorbereitung auf die Zertifizierung
5. Auflage
Erschienen am 8. Juli 2024
288 Seiten
978-3-446-47845-9 (ISBN)
Beschreibung
- Das umfassende Praxisbuch zum Management der Informationssicherheit
- Enthält die vollständige Norm DIN EN ISO/IEC 27001:2024
- Unentbehrlich für Betreiber kritischer Infrastrukturen (-> IT-Sicherheitsgesetz)
- Mit 80 Prüfungsfragen zur Vorbereitung auf die Foundation-Zertifizierung
- Ihr exklusiver Vorteil: E-Book inside beim Kauf des gedruckten Buches
Informationen sind das wertvollste Kapital vieler Organisationen. Geraten sie in falsche Hände, kann sogar das Überleben eines Unternehmens gefährdet sein. Zur Informationssicherheit müssen alle ihren Beitrag leisten, von der Arbeitsebene bis zum Topmanagement. Die ISO / IEC 27001 stellt dabei die wichtigste internationale Norm dar, an der man praktisch in keiner Branche vorbeikommt. Ein dieser Norm entsprechendes Informationssicherheitsmanagementsystem (ISMS) ist zunehmend Voraussetzung für die Erfüllung von Kunden-Anforderungen sowie von gesetzlichen und behördlichen Vorgaben, u. a. im Rahmen des IT-Sicherheitsgesetzes.
In diesem Buch erhalten Sie die optimale Unterstützung für den Aufbau eines wirksamen ISMS. Die Autoren vermitteln zunächst das notwendige Basiswissen zur ISO / IEC 27001 sowie zur übergeordneten Normenreihe und erklären anschaulich die Grundlagen. Im Hauptteil finden Sie alle wesentlichen Teile der deutschen Fassung der Norm, DIN EN ISO / IEC 27001, im Wortlaut. Hilfreiche Erläuterungen, wertvolle Praxistipps für Maßnahmen und Auditnachweise helfen Ihnen bei der Umsetzung der Norm. Ebenfalls enthalten sind Prüfungsfragen und -antworten, mit deren Hilfe Sie sich optimal auf Ihre persönliche Foundation-Zertifizierung vorbereiten können. Das Buch schließt mit einem Abdruck der kompletten Norm DIN EN ISO/ IEC 27001:2024.
Die Autoren: Michael Brenner, Nils gentschen Felde, Wolfgang Hommel, Stefan Metzger, Helmut Reiser und Thomas Schaaf arbeiten u. a. an der Ludwig-Maximilians-Universität München, der Universität der Bundeswehr München und am Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften. Als Mitglieder der Forschungsgruppe Munich Network Management Team (www.mnmteam.org) forschen und lehren sie alle zu den Themen Informationssicherheitsmanagement und IT-Service-Management.
AUS DEM INHALT //
- Einführung und Basiswissen
- Die Standardfamilie ISO / IEC 27000 im Überblick
- Grundlagen von Informationssicherheitsmanagementsystemen
- ISO / IEC 27001
- Spezifikationen und Mindestanforderungen
- Maßnahmen im Rahmen des ISMS
- Verwandte Standards und Rahmenwerke
- Zertifizierungsmöglichkeiten und Begriffsbildung nach ISO/ IEC 27000
- Abdruck der vollständigen DIN EN ISO / IEC 27001:2024
- Vergleich der Normenfassungen von 2017 und 2024
- Prüfungsfragen mit Antworten zur ISO / IEC 27000 Foundation
Rezensionen / Stimmen
"Das Buch bietet Unterstützung beim Aufbau eines wirksamen ISMS. Die Autoren vermitteln Basiswissen zur ISO/IEC 27001 sowie zur übergeordneten Normenreihe und erklären die Grundlagen. Es finden sich alle wesentlichen Teile der deutschen Fassung der Norm sowie die komplette EN ISO/IEC 27100:2024 im Wortlaut. Erläuterungen, Praxistipps für Maßnahmen und Audithinweise helfen bei der Umsetzung." QZ Qualität und Zuverlässigkeit, September 2024 "Man bekommt sehr sehr viele Informationen in dem Buch und zusätzlich ist auch die Norm am Ende komplett abgedruckt. Das Preis-Leistungsverhältnis stimmt. Uns gefällt das Gesamtpaket vom Hanser Verlag sehr gut. Angefangen mit der der super guten Leseprobe, die auch ihren Namen verdient. Haben wir es schon gesagt? Klare Kaufempfehlung. Als Einarbeitung ins Thema und vor allen Dingen auch als Vorbereitung für eine etwaige Prüfung auf die 27001." Rechtsanwalt Michael Rohrlich und Marc Oliver Thoma, mth-training (Youtube), 11.09.2024Weitere Details
Weitere Ausgaben
Andere Ausgaben
Michael Brenner | Nils gentschen Felde | Wolfgang Hommel
Praxisbuch ISO/IEC 27001
Management der Informationssicherheit und Vorbereitung auf die Zertifizierung
Buch
07/2024
5. Auflage
Hanser
69,99 €
Sofort lieferbar
Michael Brenner | Nils gentschen Felde | Wolfgang Hommel
Praxisbuch ISO/IEC 27001
Management der Informationssicherheit und Vorbereitung auf die Zertifizierung
E-Book
07/2024
5. Auflage
Hanser
69,99 €
Als Download verfügbar
Personen
Inhalt
- Intro
- Inhaltsverzeichnis
- Vorwort
- 1 Einführung und Basiswissen
- 1.1 Worum geht es in ISO/IEC 27000 und ISO/IEC 27001?
- 1.2 Begriffsbildung
- 1.2.1 Informationen
- 1.2.2 Informationssicherheit
- 1.2.3 Sicherheitsanforderungen und Schutzziele
- 1.3 IT-Sicherheitsgesetz & KRITIS
- 1.3.1 Was ist "KRITIS"?
- 1.3.2 Wer ist in Deutschland von KRITIS betroffen?
- 1.3.3 KRITIS-Anforderungen - Informationssicherheit nach dem "Stand der Technik"
- 1.4 Datenschutz-Grundverordnung
- 1.5 Weitere Richtlinien und Verordnungen der Europäischen Union
- 1.5.1 NIS-2-Richtlinie
- 1.5.2 Richtlinie über die Resilienz kritischer Einrichtungen (EU RCE Directive/CER-Richtlinie)
- 1.5.3 Cyber Resilience Act (CRA)
- 1.5.4 DORA-Verordnung
- 1.6 Überblick über die folgenden Kapitel
- 1.7 Beispiele für Prüfungsfragen zu diesem Kapitel
- 2 Die Standardfamilie ISO/IEC 27000 im Überblick
- 2.1 Warum Standardisierung?
- 2.2 Grundlagen der ISO/IEC 27000
- 2.3 Normative vs. informative Standards
- 2.4 Die Standards der ISMS-Familie und ihre Zusammenhänge
- 2.4.1 ISO/IEC 27000: Grundlagen und Überblick über die Standardfamilie
- 2.4.2 Normative Anforderungen
- 2.4.3 Allgemeine Leitfäden
- 2.4.4 Sektor- und maßnahmenspezifische Leitfäden
- 2.5 Zusammenfassung
- 2.6 Beispiele für Prüfungsfragen zu diesem Kapitel
- 3 Grundlagen von Informationssicherheitsmanagementsystemen
- 3.1 Das ISMS und seine Bestandteile
- 3.1.1 (Informations-)Werte
- 3.1.2 Richtlinien, Prozesse und Verfahren
- 3.1.3 Dokumente und Aufzeichnungen
- 3.1.4 Zuweisung von Verantwortlichkeiten
- 3.1.5 Maßnahmen
- 3.2 Was bedeutet Prozessorientierung?
- 3.3 Die PDCA-Methodik: Plan-Do-Check-Act
- 3.3.1 Planung (Plan)
- 3.3.2 Umsetzung (Do)
- 3.3.3 Überprüfung (Check)
- 3.3.4 Verbesserung (Act)
- 3.4 Zusammenfassung
- 3.5 Beispiele für Prüfungsfragen zu diesem Kapitel
- 4 DIN EN ISO/IEC 27001 - Spezifikationen und Mindestanforderungen
- 4.0 Einleitung
- 4.0.1 Allgemeines
- 4.0.2 Kompatibilität mit anderen Normen für Managementsysteme
- 4.1 Anwendungsbereich
- 4.2 Normative Verweisungen
- 4.3 Begriffe
- 4.4 Kontext der Organisation
- 4.4.1 Verstehen der Organisation und ihres Kontextes
- 4.4.2 Verstehen der Erfordernisse und Erwartungen interessierter Parteien
- 4.4.3 Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems
- 4.4.4 Informationssicherheitsmanagementsystem
- 4.5 Führung
- 4.5.1 Führung und Verpflichtung
- 4.5.2 Politik
- 4.5.3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation
- 4.6 Planung
- 4.6.1 Maßnahmen zum Umgang mit Risiken und Chancen
- 4.6.2 Informationssicherheitsziele und Planung zu deren Erreichung
- 4.6.3 Planung von Änderungen
- 4.7 Unterstützung
- 4.7.1 Ressourcen
- 4.7.2 Kompetenz
- 4.7.3 Bewusstsein
- 4.7.4 Kommunikation
- 4.7.5 Dokumentierte Information
- 4.8 Betrieb
- 4.8.1 Betriebliche Planung und Steuerung
- 4.8.2 Informationssicherheitsrisikobeurteilung
- 4.8.3 Informationssicherheitsrisikobehandlung
- 4.9 Bewertung der Leistung
- 4.9.1 Überwachung, Messung, Analyse und Bewertung
- 4.9.2 Internes Audit
- 4.9.3 Managementbewertung
- 4.10 Verbesserung
- 4.10.1 Fortlaufende Verbesserung
- 4.10.2 Nichtkonformität und Korrekturmaßnahmen
- 4.11 Zusammenfassung
- 4.12 Beispiele für Prüfungsfragen zu diesem Kapitel
- 5 Maßnahmen im Rahmen des ISMS
- 5.1 A.5 Organisatorisches Maßnahmen
- 5.1.1 [A.5.1] Informationssicherheitspolitik und -richtlinien
- 5.1.2 [A.5.2] Informationssicherheitsrollen und -verantwortlichkeiten
- 5.1.3 [A.5.3] Aufgabentrennung
- 5.1.4 [A.5.4] Verantwortlichkeiten der Leitung
- 5.1.5 [A.5.5] Kontakt mit Behörden
- 5.1.6 [A.5.6] Kontakt mit speziellen Interessensgruppen
- 5.1.7 [A.5.7] Informationen über die Bedrohungslage
- 5.1.8 [A.5.8] Informationssicherheit im Projektmanagement
- 5.1.9 [A.5.9] Inventar der Informationen und anderen damit verbundenen Werte
- 5.1.10 [A.5.10] Zulässiger Gebrauch von Informationen und anderen damit verbundenen Werten
- 5.1.11 [A.5.11] Rückgabe von Werten
- 5.1.12 [A.5.12] Klassifizierung von Informationen
- 5.1.13 [A.5.13] Kennzeichnung von Informationen
- 5.1.14 [A.5.14] Informationsübermittlung
- 5.1.15 [A.5.15] Zugangssteuerung
- 5.1.16 [A.5.16] Identitätsmanagement
- 5.1.17 [A.5.17] Authentisierungsinformationen
- 5.1.18 [A.5.18] Zugangsrechte
- 5.1.19 [A.5.19] Informationssicherheit in Lieferantenbeziehungen
- 5.1.20 [A.5.20] Behandlung von Informationssicherheit in Lieferantenvereinbarungen
- 5.1.21 [A.5.21] Umgang mit der Informationssicherheit in der Lieferkette der Informations- und Kommunikationstechnologie (IKT)
- 5.1.22 [A.5.22] Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
- 5.1.23 [A.5.23] Informationssicherheit für die Nutzung von Cloud-Diensten
- 5.1.24 [A.5.24] Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen
- 5.1.25 [A.5.25] Beurteilung und Entscheidung über Informationssicherheitsereignisse
- 5.1.26 [A.5.26] Reaktion auf Informationssicherheitsvorfälle
- 5.1.27 [A.5.27] Erkenntnisse aus Informationssicherheitsvorfällen
- 5.1.28 [A.5.28] Sammeln von Beweismaterial
- 5.1.29 [A.5.29] Informationssicherheit bei Störungen
- 5.1.30 [A.5.30] IKT-Bereitschaft für Business-Continuity
- 5.1.31 [A.5.31] Juristische, gesetzliche, regulatorische und vertragliche Anforderungen
- 5.1.32 [A.5.32] Geistige Eigentumsrechte
- 5.1.33 [A.5.33] Schutz von Aufzeichnungen
- 5.1.34 [A.5.34] Datenschutz und Schutz von personenbezogenen Daten (PbD)
- 5.1.35 [A.5.35] Unabhängige Überprüfung der Informationssicherheit
- 5.1.36 [A.5.36] Einhaltung von Richtlinien, Vorschriften und Normen für die Informationssicherheit
- 5.1.37 [A.5.37] Dokumentierte Betriebsabläufe
- 5.2 A.6 Personenbezogene Maßnahmen
- 5.2.1 [A.6.1] Sicherheitsüberprüfung
- 5.2.2 [A.6.2] Beschäftigungs- und Vertragsbedingungen
- 5.2.3 [A.6.3] Informationssicherheitsbewusstsein, -ausbildung und -schulung
- 5.2.4 [A.6.4] Maßregelungsprozess
- 5.2.5 [A.6.5] Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung
- 5.2.6 [A.6.6] Vertraulichkeits- oder Geheimhaltungsvereinbarungen
- 5.2.7 [A.6.7] Remote-Arbeit
- 5.2.8 [A.6.8] Meldung von Informationssicherheitsereignissen
- 5.3 A.7 Physische Maßnahmen
- 5.3.1 [A.7.1] Physische Sicherheitsperimeter
- 5.3.2 [A.7.2] Physischer Zutritt
- 5.3.3 [A.7.3] Sichern von Büros, Räumen und Einrichtungen
- 5.3.4 [A.7.4] Physische Sicherheitsüberwachung
- 5.3.5 [A.7.5] Schutz vor physischen und umweltbedingten Bedrohungen
- 5.3.6 [A.7.6] Arbeiten in Sicherheitsbereichen
- 5.3.7 [A.7.7] Aufgeräumte Arbeitsumgebung und Bildschirmsperren
- 5.3.8 [A.7.8] Platzierung und Schutz von Geräten und Betriebsmitteln
- 5.3.9 [A.7.9] Sicherheit von Assets außerhalb der Standorte der Organisation
- 5.3.10 [A.7.10] Speichermedien
- 5.3.11 [A.7.11] Versorgungseinrichtungen
- 5.3.12 [A.7.12] Sicherheit der Verkabelung
- 5.3.13 [A.7.13] Instandhaltung von Geräten und Betriebsmitteln
- 5.3.14 [A.7.14] Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln
- 5.4 A.8 Technologische Maßnahmen
- 5.4.1 [A.8.1] Endpunktgeräte des Benutzers
- 5.4.2 [A.8.2] Privilegierte Zugangsrechte
- 5.4.3 [A.8.3] Informationszugangsbeschränkung
- 5.4.4 [A.8.4] Zugriff auf den Quellcode
- 5.4.5 [A.8.5] Sichere Authentisierung
- 5.4.6 [A.8.6] Kapazitätssteuerung
- 5.4.7 [A.8.7] Schutz gegen Schadsoftware
- 5.4.8 [A.8.8] Handhabung von technischen Schwachstellen
- 5.4.9 [A.8.9] Konfigurationsmanagement
- 5.4.10 [A.8.10] Löschung von Informationen
- 5.4.11 [A.8.11] Datenmaskierung
- 5.4.12 [A.8.12] Verhinderung von Datenlecks
- 5.4.13 [A.8.13] Sicherung von Informationen
- 5.4.14 [A.8.14] Redundanz von informationsverarbeitenden Einrichtungen
- 5.4.15 [A.8.15] Protokollierung
- 5.4.16 [A.8.16] Überwachung von Aktivitäten
- 5.4.17 [A.8.17] Uhrensynchronisation
- 5.4.18 [A.8.18] Gebrauch von Hilfsprogrammen mit privilegierten Rechten
- 5.4.19 [A.8.19] Installation von Software auf Systemen im Betrieb
- 5.4.20 [A.8.20] Netzwerksicherheit
- 5.4.21 [A.8.21] Sicherheit von Netzwerkdiensten
- 5.4.22 [A.8.22] Trennung von Netzwerken
- 5.4.23 [A.8.23] Webfilterung
- 5.4.24 [A.8.24] Verwendung von Kryptographie
- 5.4.25 [A.8.25] Lebenszyklus einer sicheren Entwicklung
- 5.4.26 [A.8.26] Anforderungen an die Anwendungssicherheit
- 5.4.27 [A.8.27] Sichere Systemarchitektur und Entwicklungsgrundsätze
- 5.4.28 [A.8.28] Sichere Codierung
- 5.4.29 [A.8.29] Sicherheitsprüfung bei Entwicklung und Abnahme
- 5.4.30 [A.8.30] Ausgegliederte Entwicklung
- 5.4.31 [A.8.31] Trennung von Entwicklungs-, Test- und Produktivumgebungen
- 5.4.32 [A.8.32] Änderungssteuerung
- 5.4.33 [A.8.33] Testdaten
- 5.4.34 [A.8.34] Schutz der Informationssysteme während Tests im Rahmen von Audits
- 5.5 Beispiele für Prüfungsfragen zu diesem Kapitel
- 6 Verwandte Standards und Rahmenwerke
- 6.1 Standards und Rahmenwerke für IT- und Informationssicherheit
- 6.1.1 IT-Grundschutz-Kompendium
- 6.1.2 BSI-Standards
- 6.1.3 CISIS12
- 6.1.4 Cybersecurity Framework
- 6.1.5 ISO/IEC 15408
- 6.1.6 VDA ISA (TISAX)
- 6.2 Standards und Rahmenwerke für Qualitätsmanagement, Auditierung und Zertifizierung
- 6.2.1 ISO 9000
- 6.2.2 ISO 19011
- 6.2.3 ISO/IEC 17020
- 6.3 Standards und Rahmenwerke für Governance und Management in der IT
- 6.3.1 ITIL
- 6.3.2 ISO/IEC 20000
- 6.3.3 FitSM
- 6.4 Beispiele für Prüfungsfragen zu diesem Kapitel
- 7 Zertifizierungsmöglichkeiten nach ISO/IEC 27000
- 7.1 ISMS-Zertifizierung nach ISO/IEC 27001
- 7.1.1 Grundlagen der Zertifizierung von Managementsystemen
- 7.1.2 Typischer Ablauf einer Zertifizierung
- 7.1.3 Auditumfang
- 7.1.4 Akzeptanz und Gültigkeit des Zertifikats
- 7.1.5 Aufwände und Kosten für Zertifizierungen
- 7.2 Personenqualifizierung auf Basis von ISO/IEC 27000
- 7.2.1 Programme zur Ausbildung und Zertifizierung von Personal
- 7.2.2 Erlangen eines Foundation-Zertifikats
- 7.3 Zusammenfassung
- 7.4 Beispiele für Prüfungsfragen zu diesem Kapitel
- A Begriffsbildung nach ISO/IEC 27000
- B Abdruck der DIN EN ISO/IEC 27001:2024
- B.1 DIN EN ISO/IEC 27001:2024
- B.2 DIN EN ISO/IEC 27001:2024, Anhang A
- B.3 Vergleich: DIN EN ISO/IEC 27001 Anhang A :2024 vs. :2017
- C Prüfungsfragen mit Antworten zur ISO/IEC 27001 Foundation
- C.1 Antworten auf die Prüfungsfragen zu den einzelnen Buchkapiteln
- C.2 Ein beispielhafter Prüfungsfragebogen zur ISO/IEC 27001-Foundation-Prüfung
- C.3 Antworten auf den Prüfungsfragebogen zur ISO/IEC 27001-Foundation-Prüfung
- Literaturverzeichnis
- Index
