atsec

The information security provider.
StartseiteSitemapBlog
  • Dienstleistungen
  • Unternehmen
  • Aktuelles
  • Technische Informationen
  • Kontakt
English | 汉语

Testen und Bewerten
Common Criteria
FIPS 140-2
Cryptographic Algorithm Testing
 Sicherheits-Monitoring
Windows Security
Systemhärtung

Compliance und Audits
ISO/IEC 27001
SOX/ESOX
NASPO

Beraten und Ausbilden
Audits und Penetrationtests
Mainframe-Penetrationstests
Datenschutz
Physical Security Audits
Trainings und Weiterbildung

 zurück zu den technischen Informationen
 

ISO/IEC 27001: Häufig gestellte Fragen

Informationssicherheit, ISMS und ISO/IEC 27001

  • Was ist Informationssicherheit?

  • Was ist ein ISMS?

  • Warum eine Zertifizierung?

  • Wie ist die Geschichte der Standards?

  • Wie sieht die Zukunft der Standards aus?

  • Warum ISO/IEC 27002 (ISO/IEC 17799)?

  • Warum ISO/IEC 27001?

  • In welcher Beziehung steht ISO/IEC 27001 zu anderen Management System Standards wie z.B. ISO 9001 u. 14001?

  • Warum sollte man in die Implementierung eines ISMS investieren und nach ISO/IEC 27001 zertifizieren?

Risikobewertung und Risikomanagement

  • Was ist Risikobewertung (Risikoanalysen)?

  • Was ist Risikomanagement?

  • Warum ist Risikobewertung und Risikomanagement für die Informationssicherheit relevant?

  • Was ist Risikobewertung im Zusammenhang mit ISO/IEC 27001?

  • Definiert ISO/IEC 27001 die Methodik von Risikobewertung?

  • Muss die Organisation nach der Implementierung das Risiko neu bewerten?

Zertifizierung

  • Was ist eine ISMS Zertifizierung?

  • Was ist eine Akkreditierungsstelle?

  • Wer bestimmt eine Akkreditierungsstelle?

  • Wie sieht der Zertifizierungsprozess aus?

 

Information Security, ISMS, ISO/IEC 27001, ISO/IEC 27002 (ISO/IEC 17799)

Was ist Informationssicherheit?
Informationssicherheit bedeutet den Schutz von Informationen um folgende Sicherheitsziele zu gewährleisten:

  • Vertraulichkeit: nur autorisierte Instanzen dürfen Zugang zur Information erhalten
  • Integrität: bereit gestellte Information ist vollständig, konsistent, aktuell und darf nicht ohne Autorisierung verändert werden
  • Verfügbarkeit: die Information steht autorisierten Nutzern dann zur Verfügung, wenn sie benötigt wird

Informationssicherheit wird durch die Anwendung geeigneter Sicherheitsmaßnahmen erreicht (Sicherheitsrichtlinien, Prozesse, Verfahren, Organisationsstrukturen sowie Software- und Hardware-Funktionen).

[nach oben] 

Was ist ein ISMS?
Ein Informationssicherheitsmanagementsystem (ISMS) ist ein Managementsystem, dass auf der Basis eines systematischen Ansatzes zur Bestimmung der Geschäftsrisiken versucht, die Informationssicherheit in einem Unternehmen umzusetzen, zu betreiben, zu überwachen, zu bewerten und zu verbessern. Ein ISMS bietet einen organisatorischen Ansatz um Informationssicherheit zu gewährleisten. ISO/IEC 27001 (BS 7799) ist ein Informationssicherheitstandard, der auf das ISMS eines Unternehmens ausgerichtet ist. Andere Informationssicherheitsstandards sind viel spezifizierter und haben einen anderen Fokus:

  • IT Systeme (FISMA und ISO 13335-2)
  • Produkte (Common Criteria, ISO 15408, FIPS 140-2)

[nach oben] 

Warum eine Zertifizierung?
Die Zertifizierung eines Management Systems bringt einige Vorteile. Sie stellt aus Sicht von ISMS Experten eine unabhängige Bewertung ihrer Organisation auf Konformität zu Best Practices dar.

Treiber für Zertifizierung sind:

  • Meeting U.S. direkte legislative Anforderungen
    • Sarbanes Oxley Section 404
    • SAS/70 Anforderungen
    • HIPAA Anforderungen (Sicherheitsregel)
    • California’s privacy laws including SB 1436
       
  • Direkte Erfüllung von gesetzlichen Anforderungen der USA:
    • Sarbanes Oxley Section 404
    • SAS/70 Anforderungen
    • HIPAA Anforderungen (Sicherheitsregeln)
    • Datenschutzgesetze von Kalifornien inklusive SB 1436
       
  • Indirekte Erfüllung gesetzlicher und organisatorischer Anforderungen:
    • Rechtsvorschriften zum Datenschutz
    • Die Notwendigkeit zu prüfen, ob internationale gesetzliche Anforderungen eingehalten werden.
       
  • Als Teil eines Lieferanten-Management-Programm
    • Einige Großunternehmen setzen voraus, dass Lieferanten die Einhaltung des Best-Practice Standards nachweisen.
    • In einigen Branchen wird eine Zertifizierung von Kunden gefordert. Dies ist vor allem in der Finanzbranche, Rechenzentren und bei Online-Service-Providern der Fall.
       
  • Zur Reduzierung von Versicherungsprämien
    • Wenn nachweislich die Best Practice Standards erfüllt werden, ist z.T. eine Reduzierung der Versicherungsprämien möglich.
       
  • Als Teil der Grundsätze der Unternehmensführung
    • Unternehmen müssen darauf achten, ihren Interessengruppen wie Sponsoren, Anteilseignern und Investoren zu zeigen, dass sie Best Practices erfüllen und dem Thema Informationssicherheit ein hohes Maß an Beachtung schenken.

[nach oben] 

Wie ist die Geschichte der Standards?
Der ISMS Standard war zunächst ein Britischer Standard (BS 7799) der aus zwei Teilen bestand:

  • BS 7799-1, der Leitfaden
  • BS 7799-2, die Spezifikation für ein ISMS, die als Grundlage für eine Zertifizierung der Organisation verwendet wird

Beide Teile des Standards wurden später als internationale Standards freigegeben:

  • BS 7799-1 wurde der internationale Standard ISO/IEC 17799 und wurde nachträglich umbenannt in ISO/IEC 27002.
  • BS 7799-2 wurde der internationale Standard ISO/IEC 27001.

[nach oben] 

Wie sieht die Zukunft der Standards aus?
Die aktuellen Standards werden weiterentwickelt und weitere Standards in der ISO/IEC 27000-Familie sind derzeit in Entwicklung.

[nach oben] 

Warum ISO/IEC 27002 (ISO/IEC 17799)?
ISO/IEC 27002 (ISO/IEC 17799) bietet eine Anleitung zur Planung und Umsetzung eines Programms, um Informationen zu schützen. Darüber hinaus wird eine Liste von Sicherheitsmaßnahmen zur Verfügung gestellt.

[nach oben] 

Warum ISO/IEC 27001?
ISO / IEC 27001 stellt den Standard zur Verfügung, gegen den die Zertifizierung erfolgt.
Eine Organisation, die eine ISMS-Zertifizierung anstrebt, wird gegen den Standard ISO/IEC 27001 geprüft.

[nach oben] 

In welcher Beziehung steht ISO/IEC 27001 zu anderen Management System Standards wie z.B. ISO 9001 und 14001?
ISO/IEC 27001 ist sowohl an ISO 9001 (quality management systems) als auch an ISO 14001 (environmental management systems) angeglichen. Die drei Standards teilen Systemelemente und Prinzipien, einschließlich der Verabschiedung eines Regelkreis nach dem PDCA-Modell (Plan, Do, Check, Act). Dieser Ansatz macht es möglich, die Systeme, soweit es sinnvoll ist, einzubinden.

[nach oben] 

Warum sollte man in die Implementierung eines ISMS investieren und nach ISO/IEC 27001 zertifizieren?
Wenn Informationen für Ihr Unternehmen wichtig sind, sollten Sie um Ihre Vermögenswerte mit Hilfe eines zukunftsfähigen Frameworks schützen.
Wenn Sie ein ISMS implementieren, sollten Sie erwägen sich gegen ISO / IEC 27001 zertifizieren zu lassen, um so zu einer immer größer werdenden Gemeinschaft von Unternehmen zu gehören, die eine Zertifizierung bereits erfolgreich abgeschlossen haben. Eine erfolgreiche ISMS Zertifizierung gewährleistet, dass ihr ISMS von einem unabhängigen Auditoren Team geprüft und die Einhaltung des internationalen Standards zertifiziert wurde. Dies kann ein Abgrenzungsmerkmal für Ihr Unternehmen sein. ISO/IEC 27001 kann das Ansehen ihres Unternehmens in der Art steigern, das die Befähigung zur Entwicklung von Geschäftsmethoden zum Schutz von Informationen wahrgenommen wird.

[nach oben] 

Risikobewertung und Risikomanagement

Eine verantwortungsbewusste Organisation muss das Risiko für die entsprechenden Informationen bewerten und die Entscheidung treffen, welche Risiken nicht tolerierbar sind, d.h. kontrolliert werden müssen und wie Restrisiken durch sorgfältig durchdachte Sicherheitsrichtlinien und Verfahren gehandhabt werden können.

[nach oben] 

Was ist Risikobewertung (Risikoanalyse)?
Risikobewertung ist ein Prozess, bei dem durch die Analyse von Bedrohungen für, Auswirkungen auf und Schwachstellen von Informationen und Informationssystemen und Unternehmen und die Wahrscheinlichkeit ihres Auftretens, Risiken zu identifiziert werden.

[nach oben] 

Was ist Risikomanagement?
Risikomanagement ist der Prozess zur Identifizierung, Behandlung und Minimierung oder Beseitigung von Sicherheitsrisiken.

[nach oben] 

Warum sind Risikobewertung und Risikomanagement für die Informationssicherheit relevant?
Die Kosten für den Schutz von Informationen müssen ins Verhältnis zu potentiellen Kosten von Sicherheitsverletzungen gesetzt werden. Ein Unternehmen muss sich seiner kompletten Sicherheitsrisiken bewusst sein, um die entsprechenden Managementmaßnahmen, sowie die zu implementierenden Sicherheitsmaßnahmen zu ermitteln und sich somit gegen diese Risiken zu schützen.

[nach oben] 

Was ist Risikobewertung im Zusammenhang mit ISO/IEC 27001?
Die Auswahl der richtigen Sicherheitsmaßnahmen erfordert einen Ansatz, der auf der Bewertung von Risiken beruht. Dieser Ansatz ist ein obligatorischer Teil des PLAN (identifizieren, analysieren und bewerten der Risiken), DO (wählen, implementieren und verwenden sie Sicherheitsmaßnahmen, um Risiken auf ein akzeptables Maß zu reduzieren), CHECK und ACT Modells nach ISO / IEC 27001 für die Erstellung, Durchführung und Aufrechterhaltung eines ISMS.

[nach oben] 

Definiert ISO/IEC 27001 die Methodik von Risikobewertung?
Der Standard spezifiziert nur, dass die Organisation einen systematischen Ansatz zur Risikobewertung (Methode der Risikobewertung, rechtliche Anforderungen, Policies und Ziele zur Verringerung der Risiken auf ein akzeptables Maß) haben muss. Eine spezifische Methode ist nicht vorgeschrieben.

Mehrere Methoden sind veröffentlicht und stehen zur Verfügung. Dazu gehören:

  • ISO/IEC 27005:2008 Information technology - Security techniques - Information security risk management

  • NIST SP 800-30 (Risk Management Guide for Information Technology Systems)

[nach oben] 

Muss die Organisation nach der Implementierung die Risiken neu bewerten?
Ein Unternehmen, das ein effektives Change Management betreibt, hat eine bessere Überlebenschance. Das PDCA-Prozess-Modell bietet ein Mittel zur Bewertung von Risiken, die das Ergebnis von Veränderungen im Geschäftsumfeld der Organisation sind.

[nach oben] 

Zertifizierung

Was ist eine ISMS Zertifizierung?
ISO/IEC 27001-Zertifizierung ist der Prozess, in dem ein Unternehmens-ISMS durch eine Akkreditierungsstelle gegen ISO/IEC 27001 geprüft wird.

[nach oben] 

Was ist ein Certification Body?
Eine unabhängige Zertifizierungsstelle (Certification Body), bewertet und bescheinigt, dass das ISMS einer Organisation die Anforderungen des Standards erfüllt.

[nach oben] 

Wer akkreditiert Zertifizierungsstellen?
Akkreditierte Organisationen beglaubigen die Kompetenz der Zertifizierungsstellen für Dienstleistungen in den Bereichen Produkt- und Management-System. Diese akkreditierten Organisationen sind zwar häufig, aber nicht immer, staatliche Stellen.

[nach oben] 

Wie sieht der Zertifizierungsprozess aus?
Der Zertifizierungsprozess beinhaltet:

  1. 1. Teil der Prüfung/ des Audits (auch als Desktop-Audit bekannt).
    Hier ist durch den Certification Body die zugehörige Dokumentation zu prüfen.
  2. Je nach Ergebnis aus Teil 1 sind Maßnahmen zu ergreifen.
  3. 2. Teil der Prüfung/ des Audits (Audit vor Ort).
    Hier schickt der Certification Body ein Audit-Team zur Prüfung der Implementierung des überprüften und dokumentierten ISMS.
  4. Behebung der Findings aus den Audits. Beschließung eines termingebundenen Kontrollplans.
  5. Ausstellung der Bescheinigung. (Abhängig von dem Certification Body kann es ein paar Wochen oder aber auch bis zu mehreren Monaten dauern.)

Nach der ersten Zertifizierung unterliegt das ISMS der Überwachung durch den Certification Body und muss nach drei Jahren rezertifiziert werden.

 

(c) 2012 atsec information security. | Impressum | Datenschutzhinweis | Umweltleitlinien | Security Policy |  atsec IT Security Blog atsecs Facebook-Seiten atsecs Twitter atsec auf LinkedIn atsec auf digg.com