ISO 27001:2022

ISO/IEC 27001:2022 ist ein internationaler Standard für Informationssicherheits-Managementsysteme.

Der Schutz von Vertraulichkeit Integrität und Verfügbarkeit von Informationen.

Information Security Management System.

Für Organisationen jeder Größe und Branche mit schützenswerten Informationen.

Vertraulichkeit Integrität Verfügbarkeit.

ISO 27001 definiert Anforderungen ISO 27002 beschreibt Maßnahmen.

Reduzierte Controls von 114 auf 93 und neue Struktur mit vier Control-Themen.

Organisatorisch Personenbezogen Physisch Technologisch.

Eine Liste empfohlener Sicherheitsmaßnahmen.

Nein sie müssen risikobasiert bewertet werden.

Systematische Identifikation und Bewertung von Informationssicherheitsrisiken.

Die Kombination aus Eintrittswahrscheinlichkeit und Schadensauswirkung.

Maßnahmen zur Reduzierung Vermeidung Übertragung oder Akzeptanz von Risiken.

Ein Dokument das festlegt welche Controls angewendet werden und warum.

Plan Do Check Act zur kontinuierlichen Verbesserung des ISMS.

Regelmäßige Optimierung von Prozessen und Maßnahmen.

Einteilung von Informationen nach Schutzbedarf.

Öffentlich Intern Vertraulich Streng vertraulich.

Verwaltung von Informationswerten und deren Schutz.

Alles was für die Organisation einen Informationswert hat.

Sicherstellen dass nur berechtigte Personen Zugriff erhalten.

Zugriff nur auf notwendige Informationen.

Vergabe minimal erforderlicher Rechte.

Ein Ereignis das Informationssicherheit beeinträchtigt.

Prozess zur Erkennung Behandlung und Nachverfolgung von Vorfällen.

Sicherstellung des Geschäftsbetriebs bei Störungen.

BCM fokussiert Verfügbarkeit ISMS ganzheitliche Sicherheit.

Sensibilisierung von Mitarbeitern für Sicherheitsrisiken.

Menschen sind häufig das größte Sicherheitsrisiko.

Sicherstellung von Sicherheitsanforderungen bei Dienstleistern.

Risiken durch externe Partner oder Lieferanten.

Kontrolle über Erstellung Änderung und Freigabe von Dokumenten.

Interne Prüfung der Wirksamkeit des ISMS.

Bewertung des ISMS durch die Leitung.

Die oberste Leitung.

Eine verbindliche Vorgabe zum Umgang mit Informationen.

Schutz von Gebäuden Räumen und Hardware.

Einsatz technischer Maßnahmen wie Firewalls oder Verschlüsselung.

Schutz von Informationen durch kryptografische Verfahren.

Überprüfung der Identität eines Benutzers.

Vergabe von Berechtigungen nach Authentifizierung.

Aufzeichnung sicherheitsrelevanter Ereignisse.

Zur frühzeitigen Erkennung von Angriffen oder Anomalien.

Abweichung von gesetzlichen oder normativen Anforderungen.

Nachweis eines wirksamen ISMS gegenüber Dritten.

Nein aber oft vertraglich oder regulatorisch gefordert.

Koordination Umsetzung und Überwachung der Informationssicherheit.

Koordination von Sicherheitsmaßnahmen Pflege des ISMS Beratung von Fachbereichen und Überwachung der Einhaltung von Richtlinien.

Der CISO ist strategisch auf Management-Ebene angesiedelt der ISO arbeitet operativ und koordinierend.

Schutz von Informationen vor unbefugtem Zugriff.

Sicherstellung dass Informationen korrekt und unverändert sind.

Sicherstellung dass Informationen bei Bedarf verfügbar sind.

Ein formaler Prozess zur bewussten Annahme von Restrisiken durch das Management.

Eine potenzielle Ursache für einen Sicherheitsvorfall.

Eine Schwachstelle die von einer Bedrohung ausgenutzt werden kann.

Risiko kombiniert Bedrohung Schwachstelle und Auswirkung.

Der definierte Geltungsbereich des Informationssicherheitsmanagementsystems.

Er bestimmt welche Prozesse Systeme und Standorte abgesichert werden müssen.

Eine verbindliche Vorgabe zum sicheren Umgang mit Informationen.

Eine konkrete technische oder organisatorische Vorgabe zur Umsetzung von Policies.

Eine Empfehlung zur praktischen Umsetzung von Sicherheitsmaßnahmen.

Policy ist verpflichtend Standard konkret Guideline empfehlend.

Eine fachlich verantwortliche Person für Informationen.

Verantwortliche Person für den sicheren Betrieb eines Systems.

Verwaltung von Identitäten Rollen und Zugriffsrechten.

Regelmäßige Überprüfung ob Zugriffe noch erforderlich sind.

Prozess zur Benutzeranlage Änderung und Deaktivierung.

Regeln zur Erstellung Nutzung und Änderung von Passwörtern.

Authentifizierung mit mindestens zwei unabhängigen Faktoren.

Ein definierter Ablauf zur Behandlung von Sicherheitsvorfällen.

Ein Incident ist ein Ereignis ein Breach eine bestätigte Datenschutzverletzung.

Nachvollziehbarkeit Analyse und Erkennung von Angriffen.

Ein System zur zentralen Sammlung und Auswertung von Sicherheitslogs.

Ein kontrollierter Angriff zur Identifikation von Schwachstellen.

Pentest simuliert Angriffe Scan sucht automatisiert Schwachstellen.

Regelmäßige Aktualisierung von Software zur Schließung von Sicherheitslücken.

Absicherung von Systemen durch Reduktion unnötiger Funktionen.

Strategie zur Sicherung und Wiederherstellung von Daten.

Backup ist Datensicherung Recovery die Wiederherstellung.

Recovery Time Objective maximale Wiederherstellungszeit.

Recovery Point Objective maximaler Datenverlustzeitraum.

Analyse der Auswirkungen von Systemausfällen.

Sicherstellung von Informationssicherheit in Cloud-Umgebungen.

Aufteilung der Sicherheitsverantwortung zwischen Cloud-Anbieter und Kunde.

Schutz personenbezogener Daten gemäß DSGVO.

DSGVO ist Gesetz ISO 27001 ein Managementstandard.

Schulung von Mitarbeitenden zu Sicherheitsrisiken.

Phishing ist eine der häufigsten Angriffsarten.

Manipulation von Menschen zur Erlangung von Informationen.

Festgestellte Abweichung oder Verbesserungspotenzial.

Eine Abweichung von normativen Anforderungen.

Laufende Verbesserung von Sicherheitsprozessen.

Über KPIs Audits Vorfallzahlen und Reifegradmodelle.

Sie belegt Nachvollziehbarkeit Wirksamkeit und Compliance.