IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz - Der Weg zur Zertifizierung

von: Heinrich Kersten, Jürgen Reuter, Klaus-Werner Schröder, Heinrich Kersten, Klaus-Dieter Wolfenstetter

Vieweg+Teubner (GWV), 2008

ISBN: 9783834894250 , 267 Seiten

Format: PDF, OL

Kopierschutz: DRM

Windows PC,Mac OSX Apple iPad, Android Tablet PC's Online-Lesen für: Windows PC,Mac OSX,Linux

Preis: 36,99 EUR

Mehr zum Inhalt

IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz - Der Weg zur Zertifizierung


 

Vorwort

6

Inhaltsverzeichnis

12

1 Gesetze und Standards im Umfeld der Informationssicherheit

15

1.1 Corporate Governance und Risikomanagement

15

1.2 Die Bedeutung des öffentlichen Beschaffungsrechts

20

1.3 Standards zu Managementsystemen

21

1.4 Zertifizierfähige Modelle

24

1.5 Konkrete Standards zur IT-Sicherheit

28

2 Vergleich der Begrifflichkeiten

33

2.1 Organisation, Werte und Sicherheitsziele

33

2.2 Risiken und Analysen

36

2.3 Maßnahmenauswahl und Risikobehandlung

42

2.4 Sicherheitsdokumente

45

3 Das ISMS nach ISO 27001

49

3.1 Das Modell des ISMS

49

3.2 PLAN: Das ISMS festlegen

53

3.3 DO: Umsetzen und Durchführen des ISMS

68

3.4 CHECK: Beobachten und Überwachen des ISMS

76

3.5 ACT: Pflegen und Verbessern des ISMS

82

3.6 Anforderungen an die Dokumentation

86

3.7 Dokumentenlenkung

89

3.8 Lenkung der Aufzeichnungen

93

3.9 Verantwortung des Managements

93

3.10 Interne ISMS-Audits

97

3.11 Managementbewertung des ISMS

98

3.12 Verbesserung des ISMS

101

3.13 Maßnahmenziele und Maßnahmen

103

4 Festlegung des Anwendungsbereichs und Überlegungen zum Management

111

4.1 Anwendungsbereich des ISMS zweckmäßig bestimmen

111

4.2 Das Management-Forum für Informationssicherheit

113

4.3 Verantwortlichkeiten für die Informationssicherheit

114

4.4 Integration von Sicherheit in die Geschäftsprozesse

115

4.5 Bestehende Risikomanagementansätze ergänzen

117

4.6 Bürokratische Auswüchse

117

5 Informationswerte bestimmen

119

5.1 Welche Werte sollen berücksichtigt werden?

119

5.2 Wo und wie kann man Werte ermitteln?

121

5.3 Wer ist für die Sicherheit der Werte verantwortlich?

125

5.4 Wer bestimmt, wie wichtig ein Wert ist?

126

6 Risiken einschätzen

129

6.1 Normative Mindestanforderungen aus ISO 27001

129

6.2 Schutzbedarf nach Grundschutz

137

6.3 Erweiterte Analyse nach IT-Grundschutz

142

7 Maßnahmenziele und Maßnahmen bearbeiten

145

7.1 Vorgehen nach ISO 27001

145

7.2 Auswahl der Maßnahmen und Erwägung von Optionen

146

7.3 Anwendung der Maßnahmenkataloge

225

8 Maßnahmen: Validieren und Freigeben

227

8.1 Validierung von Maßnahmen

227

8.2 Maßnahmenbeobachtung und -überprüfung

229

8.3 Maßnahmenfreigabe

229

9 Audits und Zertifizierungen

231

9.1 Ziele und Nutzen

231

9.2 Prinzipielle Vorgehensweise

234

9.3 Vorbereiten eines Audits

241

9.4 Durchführung eines Audits

245

9.5 Auswertung des Audits und Optimierung der Prozesse

248

9.6 Grundschutz-Audit

249

10 Zum Abschluss…

251

Verzeichnis der Maßnahmen aus Anhang A der ISO 27001

255

Einige Fachbegriffe: deutsch / englisch

263

Verzeichnis der Abbildungen und Tabellen

265

Verwendete Abkürzungen

267

Quellenhinweise

271

Sachwortverzeichnis

275