Buffl

Managementaufgaben

LM
von Levin M.

ISO 27001 - Leitlinie Sicherheitsleitlinie


ISO 27001


ISO 27001 - Begriffe



ISO 27001 - Risiken


ISO 27001 - Risikobehandlung


ISO 27001: Controls / Maßnahmen


- Dokumentation von Zielen, Zuständigkeiten, Ressourcen, etc.

- Abstraktes „Management-Dokument“

- Sicherheitsziele: Vertraulichkeit, Integrität, Verfügbarkeit

- Vertraulichkeit: Nur autorisierte Personen haben Zugang zu Informationen

- Integrität: Nur autorisierte Änderungen an Daten erlaubt

- Verfügbarkeit: Daten, Systeme und Dienste müssen schnell und für autorisierte Zwecke verfügbar sein, akzeptable Verzögerungen erlaubt

———————————————————————-

Assets: Alles von Wert für eine Organisation (z.B. Grundstücke, Gebäude, Maschinen, Geschäftsprozesse, Daten, Systeme, Anwendungen, IT-Services, Image, Kreditwürdigkeit).

Ereignis (Event): Änderung des Zustands in der Informationsverarbeitung im Rahmen der Risikobeurteilung.

Sicherheitsereignis (Security Event): Hat Auswirkungen auf die Sicherheit.

Sicherheitsvorfall (Security Incident): Ereignis mit hoher Wahrscheinlichkeit für Sicherheitsauswirkungen.

Sicherheits-Notfall: Sicherheitsvorfall mit gravierenden oder katastrophalen Auswirkungen auf die Sicherheit.

———————————————————————-

Risiko:

- Eintritt von Sicherheitsereignissen in der Informationssicherheit.

- Kombination aus Eintrittswahrscheinlichkeit und Schadenhöhe.

- Tritt auf, wenn Schwachstellen durch fehlende, ungeeignete oder fehlerhafte Sicherheitsmaßnahmen vorhanden sind.

Risikoidentifizierung:

- Ermittlung von Risiken für Informationswerte im Anwendungsbereich des ISMS.

- Durchführung in Zusammenarbeit mit Verantwortlichen (Asset/Risk Owner).

Risikoanalyse:

- Abschätzung von Schadenhöhe und Eintrittshäufigkeit für jedes Risiko.

- Einordnung in Risikoklassen.

Risikobewertung:

- Bewertung der Auswirkungen eines Risikos auf die Organisation.

- Einstufung der Risiken (z.B. TOLERABEL, MITTEL, HOCH, KATASTROPHAL).

- Umfasst Risikoidentifizierung, Risikoanalyse und Risikobewertung.

————————————————————————

Typische Optionen zur Risikobehandlung sind:

- Risikoakzeptanz: Man übernimmt das Risiko ohne Maßnahmen.

- Risikoverlagerung: Verlagerung an einen sicheren Ort oder Versicherung.

- Risikoreduktion: Einsatz von Sicherheitsmaßnahmen.

- Risikobeseitigung: Änderung oder Einstellung des risikoreichen Prozesses.

—————————————————————

Kontrollanforderungen und Vorgehensweise:

- Organisationen müssen alle relevanten Sicherheitsanforderungen erfüllen.

- Wenn eine Anforderung als irrelevant betrachtet wird, muss dies begründet werden.

Praktische Schritte:

1. Erstellen einer Tabelle mit 114 Controls in der ersten Spalte.

2. Hinzufügen einer Spalte für jedes Top-Level-Asset.

3. Eintragen der Relevanz jedes Controls für jedes Asset.

4. Dient als zentraler Baustein für die Risikobehandlung.

5. Kostenschätzungen für geplante Maßnahmen werden in den Genehmigungsprozess integriert.

6. Zusammenfassung der Daten im Statement of Applicability (SoA).

Author

Levin M.

Informationen

Zuletzt geändert