Informationssicherheitsmanagement nach ISO 27001

Schützen Sie Ihr Unternehmen: Sicherheit mit Struktur Wer Sicherheit wie Flickenschusterei betreibt, handelt fahrlässig! Nachhaltige IT-Sicherheit im Unternehmen benötigt einen systematischen und strukturierten Ansatz, an dem Sie sich orientieren können. Der Rahmen der ISO 27001 hilft Ihnen, relevante Risiken zu identifizieren, geeignete Schutzmaßnahmen einzuführen und die Sicherheit kontinuierlich zu verbessern. In diesem praxisorientierten Leitfaden zeigt Ihnen Andreas Wisler Schritt für Schritt, wie ein Information Security Management System (ISMS) aufgebaut, gelebt und erfolgreich zertifiziert wird. Konkrete Beispiele zeigen Ihnen, wie Unternehmen unterschiedlicher Größe ein ISMS eingeführt haben, praktische Tipps von der Risikoanalyse bis zum Audit helfen Ihnen bei der Umsetzung.- ISMS aufbauen und praktisch umsetzen- Vorbereitung auf Audits und Zertifizierung- Schnittstellen zu anderen Normen und Standards Aus dem Inhalt:- Was ist ein ISMS: Definition und Ziele- Abgrenzungen und Schnittstellen- Begriffe der Informationssicherheit- Die Normreihe 27000: Geschichte, Aufbau und Inhalt- Die Anhänge der Norm: organisatorische, personenbezogene, physische und technologische Maßnahmen- ISMS umsetzen: Vorgehen, Beispieldokumente und Ressourcen- Informationssicherheit messen: Kennzahlen, Metriken und Reifemodelle

Geleitwort des Fachgutachters ... 13 1. Einleitung ... 15 1.1 ... Für wen ist dieses Buch? ... 15 1.2 ... Was erwartet Sie? ... 16 2. Was ist ein ISMS? ... 21 2.1 ... Ziele und Vorteile eines ISMS ... 22 2.2 ... Abgrenzung zu anderen Managementsystemen ... 26 3. Warum auch Sie ein ISMS verwenden sollten? ... 29 3.1 ... Bedeutung der Informationssicherheit ... 30 3.2 ... Risiken und Bedrohungen für Unternehmen ... 33 3.3 ... Wirtschaftliche und rechtliche Notwendigkeit ... 35 4. Begriffe zur Informationssicherheit ... 37 4.1 ... Was sind Informationen? ... 37 4.2 ... Die CIA-Triade ... 40 4.3 ... Authentizität und Verbindlichkeit ... 41 4.4 ... Grundbegriffe ... 43 5. Einführung in die Normenreihe ISO 27000 ... 47 5.1 ... Inhalt und Aufbau ... 48 6. Die ISO 27001 verstehen ... 55 6.1 ... NK 4 -- Kontext der Organisation ... 55 6.2 ... NK 5 -- Führung ... 63 6.3 ... NK 6 -- Planung ... 70 6.4 ... Einschub: Praxisbeispiel Risikomanagement ... 77 6.5 ... NK 7 -- Unterstützung ... 84 6.6 ... NK 8 -- Betrieb ... 93 6.7 ... NK 9 -- Bewertung der Leistung ... 96 6.8 ... NK 10 -- Verbesserung ... 102 7. Die Anhänge der ISO 27001: die Controls A.5 bis A.8 ... 107 7.1 ... Die Attribut-Tabelle ... 108 7.2 ... NK A.5 -- Organisatorische Maßnahmen ... 112 7.3 ... NK A.6 -- Personenbezogene Maßnahmen ... 158 7.4 ... NK A.7 -- Physische Maßnahmen ... 165 7.5 ... NK A.8 -- Technologische Maßnahmen ... 180 8. Wie wird ein ISMS umgesetzt? ... 215 8.1 ... Leitfaden für KMUs: Best Practices für die Umsetzung ... 215 8.2 ... Stolpersteine ... 218 8.3 ... Mindestens notwendige Dokumente ... 219 8.4 ... Tools und Ressourcen ... 221 9. Informationssicherheit messen ... 225 9.1 ... ISO 27004 -- Überwachung, Messung, Analyse und Bewertung ... 225 9.2 ... Kennzahlen und Metriken für ein ISMS ... 228 9.3 ... Das Reifegrad-Modell ... 231 10. Audits ... 235 10.1 ... Interne vs. externe Audits ... 238 10.2 ... ISO 19011 -- Auditierung von Managementsystemen ... 238 10.3 ... Das Audit-Programm ... 244 10.4 ... Audit-Plan ... 246 10.5 ... Audit-Bericht ... 248 10.6 ... Audit-Fragen ... 250 10.7 ... Typische Audit-Feststellungen ... 282 11. Zertifizierung ... 285 11.1 ... Ablauf ... 285 11.2 ... Akkreditierung ... 287 12. Weitere Normen bzw. Standards ... 291 12.1 ... ISO 27003 -- Umsetzung eines ISMS ... 291 12.2 ... ISO 27799 -- Informationssicherheit im Gesundheitswesen ... 293 12.3 ... ISO 27006 -- Anforderungen an die Zertifizierer ... 296 12.4 ... ISO 27007 -- Leitfaden für das Auditieren eines ISMS ... 299 12.5 ... ISO 27008 -- Leitlinien für die Bewertung von Informationssicherheitskontrollen ... 302 12.6 ... ISO 27018 -- Sicherheit in Cloud-Diensten ... 305 12.7 ... ISO 27701 -- Datenschutz-Managementsystem ... 307 12.8 ... CISIS12 ... 311 12.9 ... VdS 10000 ... 317 12.10 ... Vergleich von ISO 27001, VdS 10000 und CISIS12 ... 319 12.11 ... DIN SPEC 27076 -- IT-Sicherheitsberatung für Klein- und Kleinstunternehmen ... 320 12.12 ... Umsetzung eines ISMS mit BSI-Standards ... 325 12.13 ... NIST Cybersecurity Framework ... 331 12.14 ... COBIT ... 334 13. Gesetzliche Anforderungen ... 337 13.1 ... Datenschutz ... 337 13.2 ... Cyber Resilience Act (CRA) ... 342 13.3 ... NIS-2 ... 344 13.4 ... TISAX 6 ... 353 Anhang ... 357 A ... Beispieldokumente ... 357 B ... Die DIN EN ISO/IEC 27001:2024-01 mit Anhang und Änderung im Wortlaut ... 455 Index ... 493