Praxisbuch ISO/IEC 27001

Inhaltsverzeichnis

Vorwort

1 Einführung und Basiswissen

1.1 Worum geht es in ISO/IEC 27001?

1.2 Begriffsbildung

1.2.1 Informationen

1.2.2 Informationssicherheit

1.2.3 Sicherheitsanforderungen und Schutzziele

1.2.3.1 Vertraulichkeit (Confidentiality)

1.2.3.2 Integrität (Integrity)

1.2.3.3 Verfügbarkeit (Availability)

1.2.3.4 Authentizität (Authenticity) und Authentisierung (Authentication)

1.2.3.5 Nichtabstreitbarkeit/Verbindlichkeit (Non-repudiation)

1.2.3.6 Verlässlichkeit (Reliability)

1.2.3.7 Zugriffssteuerung (Access Control)

1.2.3.8 Zurechenbarkeit (Accountability)

1.3 IT-Sicherheitsgesetz & Co.

1.4 Überblick über die folgenden Kapitel

1.5 Beispiele für Prüfungsfragen zu diesem Kapitel

2 Die Standardfamilie ISO/IEC 27000 im Überblick

2.1 Warum Standardisierung?

2.2 Grundlagen der ISO/IEC 27000

2.3 Normative vs. informative Standards

2.4 Die Standards der ISMS-Familie und ihre Zusammenhänge

2.4.1 ISO/IEC 27000: Grundlagen und Überblick über die Standardfamilie

2.4.2 Normative Anforderungen

2.4.2.1 ISO/IEC 27001: Anforderungen an ein ISMS

2.4.2.2 ISO/IEC 27006: Anforderungen an Zertifizierer

2.4.2.3 ISO/IEC 27009: Anforderungen an die branchenspezifische Anwendung von ISO/IEC 27001

2.4.3 Allgemeine Leitfäden

2.4.3.1 ISO/IEC 27002: Leitfaden für das Informationssicherheitsmanagement

2.4.3.2 ISO/IEC 27003: Umsetzungsempfehlungen

2.4.3.3 ISO/IEC 27004: Messungen

2.4.3.4 ISO/IEC 27005: Risikomanagement

2.4.3.5 ISO/IEC 27007 und ISO/IEC TR 27008: Audit-Leitfäden

2.4.4 Sektor- und maßnahmenspezifische Leitfäden

2.5 Zusammenfassung

2.6 Beispiele für Prüfungsfragen zu diesem Kapitel

3 Grundlagen von Informationssicherheitsmanagementsystemen

3.1 Das ISMS und seine Bestandteile

3.1.1 (Informations-)Werte

3.1.2 Richtlinien, Prozesse und Verfahren

3.1.3 Dokumente und Aufzeichnungen

3.1.4 Zuweisung von Verantwortlichkeiten

3.1.5 Maßnahmenziele und Maßnahmen

3.2 Was bedeutet Prozessorientierung?

3.3 Die PDCA-Methodik: Plan-Do-Check-Act

3.3.1 Planung (Plan)

3.3.2 Umsetzung (Do)

3.3.3 Überprüfung (Check)

3.3.3.1 Konformität

3.3.3.2 Effektivität

3.3.3.3 Effizienz

3.3.4 Verbesserung (Act)

3.4 Zusammenfassung

3.5 Beispiele für Prüfungsfragen zu diesem Kapitel

4 ISO/IEC 27001 – Spezifikationen und Mindestanforderungen

4.0 Einleitung

4.0.1 Allgemeines

4.0.2 Kompatibilität mit anderen Normen für Managementsysteme

4.1 Anwendungsbereich

4.2 Normative Verweisungen

4.3 Begriffe

4.4 Kontext der Organisation

4.4.1 Verstehen der Organisation und ihres Kontextes

4.4.2 Verstehen der Erfordernisse und Erwartungen interessierter Parteien

4.4.3 Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems

4.4.4 Informationssicherheitsmanagementsystem

4.5 Führung

4.5.1 Führung und Verpflichtung

4.5.2 Politik

4.5.3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation

4.6 Planung

4.6.1 Maßnahmen zum Umgang mit Risiken und Chancen

4.6.2 Informationssicherheitsziele und Planung zu deren Erreichung

4.7 Unterstützung

4.7.1 Ressourcen

4.7.2 Kompetenz

4.7.3 Bewusstsein

4.7.4 Kommunikation

4.7.5 Dokumentierte Information

4.8 Betrieb

4.8.1 Betriebliche Planung und Steuerung

4.8.2 Informationssicherheitsrisikobeurteilung

4.8.3 Informationssicherheitsrisikobehandlung

4.9 Bewertung der Leistung

4.9.1 Überwachung, Messung, Analyse und Bewertung

4.9.2 Internes Audit

4.9.3 Managementbewertung

4.10 Verbesserung

4.10.1 Nichtkonformität und Korrekturmaßnahmen

4.10.2 Fortlaufende Verbesserung

4.11 Zusammenfassung

4.12 Beispiele für Prüfungsfragen zu diesem Kapitel

5 Maßnahmenziele und Maßnahmen im Rahmen des ISMS

5.1 A.5 Informationssicherheitsrichtlinien

5.1.1 A.5.1 Vorgaben der Leitung für Informationssicherheit

5.2 A.6 Organisation der Informationssicherheit

5.2.1 A.6.1 Interne Organisation

5.2.2 A.6.2 Mobilgeräte und Telearbeit

5.3 A.7 Personalsicherheit

5.3.1 A.7.1 Vor der Beschäftigung

5.3.2 A.7.2 Während der Beschäftigung

5.3.3 A.7.3 Beendigung und Änderung der Beschäftigung

5.4 A.8 Verwaltung der Werte

5.4.1 A.8.1 Verantwortlichkeit für Werte

5.4.2 A.8.2 Informationsklassifizierung

5.4.3 A.8.3 Handhabung von Datenträgern

5.5 A.9 Zugangssteuerung

5.5.1 A.9.1 Geschäftsanforderungen an die Zugangssteuerung

5.5.2 A.9.2 Benutzerzugangsverwaltung

5.5.3 A.9.3 Benutzerverantwortlichkeiten

5.5.4 A.9.4 Zugangssteuerung für Systeme und Anwendungen

5.6 A.10 Kryptographie

5.6.1 A.10.1 Kryptographische Maßnahmen

5.7 A.11 Physische und umgebungsbezogene Sicherheit

5.7.1 A.11.1 Sicherheitsbereiche

5.7.2 A.11.2 Geräte und Betriebsmittel

5.8 A.12 Betriebssicherheit

5.8.1 A.12.1 Betriebsabläufe und -verantwortlichkeiten

5.8.2 A.12.2 Schutz vor Schadsoftware

5.8.3 A.12.3 Datensicherung

5.8.4 A.12.4 Protokollierung und Überwachung

5.8.5 A.12.5 Steuerung von Software im Betrieb

5.8.6 A.12.6 Handhabung technischer Schwachstellen

5.8.7 A.12.7 Audit von Informationssystemen

5.9 A.13 Kommunikationssicherheit

5.9.1 A.13.1 Netzwerksicherheitsmanagement

5.9.2 A.13.2 Informationsübertragung

5.10 A.14 Anschaffung, Entwicklung und Instandhalten von Systemen

5.10.1 A.14.1 Sicherheitsanforderungen an Informationssysteme

5.10.2 A.14.2 Sicherheit in Entwicklungs- und Unterstützungsprozessen

5.10.3 A.14.3 Testdaten

5.11 A.15 Lieferantenbeziehungen

5.11.1 A.15.1 Informationssicherheit in Lieferantenbeziehungen

5.11.2 A.15.2 Steuerung der Dienstleistungserbringung von Lieferanten

5.12 A.16 Handhabung von Informationssicherheitsvorfällen

5.12.1 A.16.1 Handhabung von Informationssicherheitsvorfällen und Verbesserungen

5.13 A.17 Informationssicherheitsaspekte beim Business Continuity Management

5.13.1 A.17.1 Aufrechterhalten der Informationssicherheit

5.13.2 A.17.2 Redundanzen

5.14 A.18 Compliance

5.14.1 A.18.1 Einhaltung gesetzlicher und vertraglicher Anforderungen

5.14.2 A.18.2 Überprüfungen der Informationssicherheit

5.15 Zusammenfassung

5.16 Beispiele für Prüfungsfragen zu diesem Kapitel

6 Verwandte Standards und Rahmenwerke

6.1 Standards und Rahmenwerke für IT- und Informationssicherheit

6.1.1 IT-Grundschutz-Kataloge

6.1.2 IT-Grundschutz-Standards

6.1.3 ISIS12

6.1.4 Cybersecurity Framework

6.1.5 ISO/IEC 15408

6.2 Standards und Rahmenwerke für Qualitätsmanagement, Auditierung und Zertifizierung

6.2.1 ISO 9000

6.2.2 ISO 19011

6.2.3 ISO/IEC 17020

6.3 Standards und Rahmenwerke für Risikomanagement

6.3.1 ISO 31000

6.3.2 COSO ERM

6.4 Standards und Rahmenwerke für Governance und Management in der IT

6.4.1 ITIL

6.4.2 ISO/IEC 20000

6.4.3 FitSM

6.4.4 COBIT

6.5 Beispiele für Prüfungsfragen zu diesem Kapitel

7 Zertifizierungsmöglichkeiten nach ISO/IEC 27000

7.1 ISMS-Zertifizierung nach ISO/IEC 27001

7.1.1 Grundlagen der Zertifizierung von Managementsystemen

7.1.1.1 Zertifizierung

7.1.1.2 Akkreditierung

7.1.2 Typischer Ablauf einer Zertifizierung

7.1.3 Auditumfang

7.1.4 Akzeptanz und Gültigkeit des Zertifikats

7.2 Personenqualifizierung auf Basis von ISO/IEC 27000

7.2.1 Programme zur Ausbildung und Zertifizierung von Personal

7.2.1.1 TÜV Süd: Qualifizierungsprogramm nach ISO/IEC 27000

7.2.1.2 APMG: ISO/IEC 27001 Certification

7.2.1.3 Peoplecert: ISO 27000 Information Security M.S.

7.2.1.4 ICO: Ausbildungsschema ISMS nach ISO/IEC 27000

7.2.2 Das Foundation-Zertifikat des TÜV Süd

7.2.2.1 Prüfungsspezifikation

7.2.2.2 Vorbereitung auf die Foundation-Prüfung

7.3 Zusammenfassung

7.4 Beispiele für Prüfungsfragen zu diesem Kapitel

A Begriffsbildung nach ISO/IEC 27000

B Abdruck der DIN ISO/IEC 27001

C Prüfungsfragen mit Antworten zur ISO/IEC 27001 Foundation

C.1 Antworten auf die Prüfungsfragen zu den einzelnen Buchkapiteln

C.2 Ein beispielhafter Prüfungsfragebogen zur ISO/IEC 27001-Foundation-Prüfung

Literaturverzeichnis

Index