Motivation für ISM-Systeme (3)
Selbstauferlegt
Von Kundenseite gefordert
Durch Gesetzgeber gefordert
Ziele von ISM-Systemen (3)
Verbessertes Risikomanagement
Wirksames Sicherheitsmgmt
Geschäftsvorteil
PDCA-Zyklus 4 Schritte
Plan: Planung des ISMS
Do: Umsetzung der Planung und Betrieb des ISMS
Check: Überprüfung der etablierten Prozesse und Maßnahmen
Act: Festlegung von Korrekturmaßnahmen zur Verbesserung des ISMS
Inhalte der IS0 27001
Dokumentation
Fähigkeiten und Awareness
ISMS – Prozesse
Lieferantenbeziehungen
Interne Audits
Performance Monitoring & KPIs
Risikomgmt
Rollen und Verantwortlichkeiten
Leit- und Richtlinien
Führungsverhalten und Verpflichtungen
Identifizieren des Geltungsbereichs (Scope)
Interne Geltungsbereiche (7)
Unternehmen
Interne Vorgaben
Kultur
Struktur
Standorte
Assets
Geschäftsmodell
Externer Geltungsbereich (5)
Gesetzliche Anforderungen
Regulatorische Anforderungen
Vertragliche Anforderungen
Dienstleister
Kunden
Identifizieren von Kernprozessen und -aktivitäten (3)
Informationsgüter
Produkte & DLangebote
Geschäftsvorgänge
Identifizierung der Infrastruktur (4)
HW
SW
Netzwerke
Standort
Identifizierung u. Analyse der Interessenten (Grafik)
Begrenzung des Geltungsbereichs - Grenzdefinition über Zutritt
Physikalische und räumliche Grenzen definieren
Einzelne Standorte könnten bspw. ausgeschlossen werde
Begrenzung des Geltungsbereichs - Grenzdefinition über Zugang und Zugriff
Logische und technische Grenzen definieren
Einzelne IT-Systeme könnten bspw. ausgeschlossen werden
Begrenzung des Geltungsbereichs - Grenzdefinition über organisatorische Grenzen
Organisationsstrukturen definieren
Einzelne Abteilungen, die keinen Einfluss auf Informationssicherheit haben könnten ausgeschlossen werden
Informationssicherheitsleitlinie – Inhalte: (6)
Schutzziele
Informationsklassifizierung
Ziele / Schlüsselkennzahlen
Verantwortung
Sicherheitsprozesse (PDCA)
Richtliniensysteme / Dokumentenlenkung
Aufbau einer typischen ISMS-Dokumentation (Graifk)
Def. Datenlenkung
dient der Regelung von Vorgehensweisen für die Identifizierung, Erstellung, Pflege, Überprüfung und Freigabe der Dokumente des Unternehmens
Übliche Dokumenteninformationen:
Autor
Verantwortlicher
Freigegeben durch
Gültigkeit
Status
Ablageort
Revisionshistorie
Ziel und Zweck
Geltungsbereich
Dokumentationsverwaltungsprozess 9 Schritte
1. Identifizierung
2. Erstellung / Update
3. Klassifizierung und Sicherheit
4. Überprüfung
5. Genehmigung
6. Veröffentlichung
7. Angemessene Verwendung
8. Archivierung
9. Entsorgung
Führung eines ISMS: 8 Rollen
weitere Rollen
CIO: Leiter der IT
Asset Owner: Verantwortlich für ein Asset
Risk Owner: Verantwortlich für ein Risiko
Development Manager: Entwickler / Technischer Verantwortlicher für ein Asset
Provider Manager: Verantwortlicher für Dienstleistungen
Datenschutzbeauftragter: Verantwortlich für Datenschutz
3 Mögliche Ausschüsse
Steering Committee: Entscheidungsgremium für Projektmanagement
Ausschuss für Informationssicherheit: Sicherstellung eines reibungslosen Betriebsablaufs des ISMS
Mgmt-Ausschuss: Festlegung der Jahresziele, Bereitstellung von Ressourcen
5 Grundsätze der Kommunikationsstrategie
Transparenz
Angemessenheit
Glaubwürdigkeit
Klarheit
Reaktionsfähigkeit
3 Schulungsmethoden für Awareness
Training
Sensibilisierung
Kommunikation
3 Werkzeuge der Überwachung des ISMS
Kennzahlensystem: Messung des ISMS-Zustandes
Interne Audits: Überprüfung des ISMS auf Konformität durch eine unabhängige Partei
Mgmt-Review: Überprüfung der Wirksamkeit des ISMS durch die oberste Leitung
6 Anforderungen an KPIs
Widerspiegeln des Reifegrads des ISMS
SMART und in Unternehmensziele integrierbar
Aussagekräftige Datenbasis
Aufwand für die Erhebung angemessen
Technisch als auch organisatorische KPIs
Ableiten von konkreten Maßnahmen
4 Arten von Audits
Kontinuierlicher Verbesserungsprozess
Zuletzt geändertvor 4 Monaten
