Michael Brenner, Nils gentschen Felde, Wolfgang Hommel, Stefan Metzger, Helmut Reiser, Thomas Schaaf
Praxisbuch ISO/IEC 27001
Management der Informationssicherheit und Vorbereitung auf die Zertifizierung. Zur Norm ISO/IEC 27001:2015
Inhaltsverzeichnis
6
Vorwort
12
1 Einführung und Basiswissen
14
1.1 Worum geht es in ISO/IEC 27001?
14
1.2 Begriffsbildung
15
1.2.1 Informationen
15
1.2.2 Informationssicherheit
15
1.2.3 Sicherheitsanforderungen und Schutzziele
16
1.2.3.1 Vertraulichkeit (Confidentiality)
16
1.2.3.2 Integrität (Integrity)
17
1.2.3.3 Verfügbarkeit (Availability)
17
1.2.3.4 Authentizität (Authenticity) und Authentisierung (Authentication)
17
1.2.3.5 Nichtabstreitbarkeit/Verbindlichkeit (Non-repudiation)
18
1.2.3.6 Verlässlichkeit (Reliability)
18
1.2.3.7 Zugriffssteuerung (Access Control)
18
1.2.3.8 Zurechenbarkeit (Accountability)
18
1.3 IT-Sicherheitsgesetz & Co.
19
1.4 Überblick über die folgenden Kapitel
19
1.5 Beispiele für Prüfungsfragen zu diesem Kapitel
19
2 Die Standardfamilie ISO/IEC 27000 im Überblick
22
2.1 Warum Standardisierung?
22
2.2 Grundlagen der ISO/IEC 27000
23
2.3 Normative vs. informative Standards
23
2.4 Die Standards der ISMS-Familie und ihre Zusammenhänge
24
2.4.1 ISO/IEC 27000: Grundlagen und Überblick über die Standardfamilie
25
2.4.2 Normative Anforderungen
25
2.4.2.1 ISO/IEC 27001: Anforderungen an ein ISMS
25
2.4.2.2 ISO/IEC 27006: Anforderungen an Zertifizierer
25
2.4.2.3 ISO/IEC 27009: Anforderungen an die branchenspezifische Anwendung von ISO/IEC 27001
26
2.4.3 Allgemeine Leitfäden
26
2.4.3.1 ISO/IEC 27002: Leitfaden für das Informationssicherheitsmanagement
26
2.4.3.2 ISO/IEC 27003: Umsetzungsempfehlungen
26
2.4.3.3 ISO/IEC 27004: Messungen
27
2.4.3.4 ISO/IEC 27005: Risikomanagement
27
2.4.3.5 ISO/IEC 27007 und ISO/IEC TR 27008: Audit-Leitfäden
27
2.4.4 Sektor- und maßnahmenspezifische Leitfäden
27
2.5 Zusammenfassung
28
2.6 Beispiele für Prüfungsfragen zu diesem Kapitel
28
3 Grundlagen von Informationssicherheitsmanagementsystemen
30
3.1 Das ISMS und seine Bestandteile
30
3.1.1 (Informations-)Werte
31
3.1.2 Richtlinien, Prozesse und Verfahren
31
3.1.3 Dokumente und Aufzeichnungen
32
3.1.4 Zuweisung von Verantwortlichkeiten
33
3.1.5 Maßnahmenziele und Maßnahmen
34
3.2 Was bedeutet Prozessorientierung?
35
3.3 Die PDCA-Methodik: Plan-Do-Check-Act
36
3.3.1 Planung (Plan)
37
3.3.2 Umsetzung (Do)
38
3.3.3 Überprüfung (Check)
38
3.3.3.1 Konformität
38
3.3.3.2 Effektivität
39
3.3.3.3 Effizienz
39
3.3.4 Verbesserung (Act)
39
3.4 Zusammenfassung
39
3.5 Beispiele für Prüfungsfragen zu diesem Kapitel
40
4 ISO/IEC 27001 – Spezifikationen und Mindestanforderungen
42
4.0 Einleitung
44
4.0.1 Allgemeines
44
4.0.2 Kompatibilität mit anderen Normen für Managementsysteme
45
4.1 Anwendungsbereich
45
4.2 Normative Verweisungen
46
4.3 Begriffe
46
4.4 Kontext der Organisation
47
4.4.1 Verstehen der Organisation und ihres Kontextes
47
4.4.2 Verstehen der Erfordernisse und Erwartungen interessierter Parteien
48
4.4.3 Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems
49
4.4.4 Informationssicherheitsmanagementsystem
49
4.5 Führung
50
4.5.1 Führung und Verpflichtung
50
4.5.2 Politik
51
4.5.3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation
52
4.6 Planung
53
4.6.1 Maßnahmen zum Umgang mit Risiken und Chancen
53
4.6.2 Informationssicherheitsziele und Planung zu deren Erreichung
58
4.7 Unterstützung
59
4.7.1 Ressourcen
59
4.7.2 Kompetenz
59
4.7.3 Bewusstsein
60
4.7.4 Kommunikation
60
4.7.5 Dokumentierte Information
61
4.8 Betrieb
63
4.8.1 Betriebliche Planung und Steuerung
63
4.8.2 Informationssicherheitsrisikobeurteilung
64
4.8.3 Informationssicherheitsrisikobehandlung
65
4.9 Bewertung der Leistung
65
4.9.1 Überwachung, Messung, Analyse und Bewertung
65
4.9.2 Internes Audit
67
4.9.3 Managementbewertung
69
4.10 Verbesserung
70
4.10.1 Nichtkonformität und Korrekturmaßnahmen
70
4.10.2 Fortlaufende Verbesserung
71
4.11 Zusammenfassung
72
4.12 Beispiele für Prüfungsfragen zu diesem Kapitel
72
5 Maßnahmenziele und Maßnahmen im Rahmen des ISMS
76
5.1 A.5 Informationssicherheitsrichtlinien
78
5.1.1 A.5.1 Vorgaben der Leitung für Informationssicherheit
78
5.2 A.6 Organisation der Informationssicherheit
80
5.2.1 A.6.1 Interne Organisation
80
5.2.2 A.6.2 Mobilgeräte und Telearbeit
82
5.3 A.7 Personalsicherheit
83
5.3.1 A.7.1 Vor der Beschäftigung
84
5.3.2 A.7.2 Während der Beschäftigung
85
5.3.3 A.7.3 Beendigung und Änderung der Beschäftigung
86
5.4 A.8 Verwaltung der Werte
87
5.4.1 A.8.1 Verantwortlichkeit für Werte
87
5.4.2 A.8.2 Informationsklassifizierung
89
5.4.3 A.8.3 Handhabung von Datenträgern
90
5.5 A.9 Zugangssteuerung
93
5.5.1 A.9.1 Geschäftsanforderungen an die Zugangssteuerung
93
5.5.2 A.9.2 Benutzerzugangsverwaltung
94
5.5.3 A.9.3 Benutzerverantwortlichkeiten
96
5.5.4 A.9.4 Zugangssteuerung für Systeme und Anwendungen
96
5.6 A.10 Kryptographie
99
5.6.1 A.10.1 Kryptographische Maßnahmen
99
5.7 A.11 Physische und umgebungsbezogene Sicherheit
101
5.7.1 A.11.1 Sicherheitsbereiche
101
5.7.2 A.11.2 Geräte und Betriebsmittel
103
5.8 A.12 Betriebssicherheit
107
5.8.1 A.12.1 Betriebsabläufe und -verantwortlichkeiten
107
5.8.2 A.12.2 Schutz vor Schadsoftware
109
5.8.3 A.12.3 Datensicherung
110
5.8.4 A.12.4 Protokollierung und Überwachung
111
5.8.5 A.12.5 Steuerung von Software im Betrieb
112
5.8.6 A.12.6 Handhabung technischer Schwachstellen
113
5.8.7 A.12.7 Audit von Informationssystemen
114
5.9 A.13 Kommunikationssicherheit
116
5.9.1 A.13.1 Netzwerksicherheitsmanagement
116
5.9.2 A.13.2 Informationsübertragung
117
5.10 A.14 Anschaffung, Entwicklung und Instandhalten von Systemen
120
5.10.1 A.14.1 Sicherheitsanforderungen an Informationssysteme
120
5.10.2 A.14.2 Sicherheit in Entwicklungs- und Unterstützungsprozessen
121
5.10.3 A.14.3 Testdaten
124
5.11 A.15 Lieferantenbeziehungen
126
5.11.1 A.15.1 Informationssicherheit in Lieferantenbeziehungen
126
5.11.2 A.15.2 Steuerung der Dienstleistungserbringung von Lieferanten
127
5.12 A.16 Handhabung von Informationssicherheitsvorfällen
129
5.12.1 A.16.1 Handhabung von Informationssicherheitsvorfällen und Verbesserungen
129
5.13 A.17 Informationssicherheitsaspekte beim Business Continuity Management
132
5.13.1 A.17.1 Aufrechterhalten der Informationssicherheit
133
5.13.2 A.17.2 Redundanzen
134
5.14 A.18 Compliance
135
5.14.1 A.18.1 Einhaltung gesetzlicher und vertraglicher Anforderungen
136
5.14.2 A.18.2 Überprüfungen der Informationssicherheit
137
5.15 Zusammenfassung
139
5.16 Beispiele für Prüfungsfragen zu diesem Kapitel
139
6 Verwandte Standards und Rahmenwerke
144
6.1 Standards und Rahmenwerke für IT- und Informationssicherheit
144
6.1.1 IT-Grundschutz-Kataloge
144
6.1.2 IT-Grundschutz-Standards
145
6.1.3 ISIS12
146
6.1.4 Cybersecurity Framework
146
6.1.5 ISO/IEC 15408
147
6.2 Standards und Rahmenwerke für Qualitätsmanagement, Auditierung und Zertifizierung
148
6.2.1 ISO 9000
148
6.2.2 ISO 19011
148
6.2.3 ISO/IEC 17020
149
6.3 Standards und Rahmenwerke für Risikomanagement
150
6.3.1 ISO 31000
150
6.3.2 COSO ERM
150
6.4 Standards und Rahmenwerke für Governance und Management in der IT
151
6.4.1 ITIL
151
6.4.2 ISO/IEC 20000
152
6.4.3 FitSM
153
6.4.4 COBIT
154
6.5 Beispiele für Prüfungsfragen zu diesem Kapitel
155
7 Zertifizierungsmöglichkeiten nach ISO/IEC 27000
158
7.1 ISMS-Zertifizierung nach ISO/IEC 27001
158
7.1.1 Grundlagen der Zertifizierung von Managementsystemen
158
7.1.1.1 Zertifizierung
158
7.1.1.2 Akkreditierung
159
7.1.2 Typischer Ablauf einer Zertifizierung
160
7.1.3 Auditumfang
162
7.1.4 Akzeptanz und Gültigkeit des Zertifikats
162
7.2 Personenqualifizierung auf Basis von ISO/IEC 27000
162
7.2.1 Programme zur Ausbildung und Zertifizierung von Personal
163
7.2.1.1 TÜV Süd: Qualifizierungsprogramm nach ISO/IEC 27000
163
7.2.1.2 APMG: ISO/IEC 27001 Certification
163
7.2.1.3 Peoplecert: ISO 27000 Information Security M.S.
164
7.2.1.4 ICO: Ausbildungsschema ISMS nach ISO/IEC 27000
164
7.2.2 Das Foundation-Zertifikat des TÜV Süd
165
7.2.2.1 Prüfungsspezifikation
165
7.2.2.2 Vorbereitung auf die Foundation-Prüfung
166
7.3 Zusammenfassung
167
7.4 Beispiele für Prüfungsfragen zu diesem Kapitel
168
A Begriffsbildung nach ISO/IEC 27000
170
B Abdruck der DIN ISO/IEC 27001
189
C Prüfungsfragen mit Antworten zur ISO/IEC 27001 Foundation
223
C.1 Antworten auf die Prüfungsfragen zu den einzelnen Buchkapiteln
223
C.2 Ein beispielhafter Prüfungsfragebogen zur ISO/IEC 27001-Foundation-Prüfung
230
Literaturverzeichnis
249
Index
252
© 2009-2024 ciando GmbH