Suchen und Finden
Mehr zum Inhalt
IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz - Der Weg zur Zertifizierung
Vorwort
6
Inhaltsverzeichnis
12
1 Gesetze und Standards im Umfeld der Informationssicherheit
15
1.1 Corporate Governance und Risikomanagement
15
1.2 Die Bedeutung des öffentlichen Beschaffungsrechts
20
1.3 Standards zu Managementsystemen
21
1.4 Zertifizierfähige Modelle
24
1.5 Konkrete Standards zur IT-Sicherheit
28
2 Vergleich der Begrifflichkeiten
33
2.1 Organisation, Werte und Sicherheitsziele
33
2.2 Risiken und Analysen
36
2.3 Maßnahmenauswahl und Risikobehandlung
42
2.4 Sicherheitsdokumente
45
3 Das ISMS nach ISO 27001
49
3.1 Das Modell des ISMS
49
3.2 PLAN: Das ISMS festlegen
53
3.3 DO: Umsetzen und Durchführen des ISMS
68
3.4 CHECK: Beobachten und Überwachen des ISMS
76
3.5 ACT: Pflegen und Verbessern des ISMS
82
3.6 Anforderungen an die Dokumentation
86
3.7 Dokumentenlenkung
89
3.8 Lenkung der Aufzeichnungen
93
3.9 Verantwortung des Managements
93
3.10 Interne ISMS-Audits
97
3.11 Managementbewertung des ISMS
98
3.12 Verbesserung des ISMS
101
3.13 Maßnahmenziele und Maßnahmen
103
4 Festlegung des Anwendungsbereichs und Überlegungen zum Management
111
4.1 Anwendungsbereich des ISMS zweckmäßig bestimmen
111
4.2 Das Management-Forum für Informationssicherheit
113
4.3 Verantwortlichkeiten für die Informationssicherheit
114
4.4 Integration von Sicherheit in die Geschäftsprozesse
115
4.5 Bestehende Risikomanagementansätze ergänzen
117
4.6 Bürokratische Auswüchse
117
5 Informationswerte bestimmen
119
5.1 Welche Werte sollen berücksichtigt werden?
119
5.2 Wo und wie kann man Werte ermitteln?
121
5.3 Wer ist für die Sicherheit der Werte verantwortlich?
125
5.4 Wer bestimmt, wie wichtig ein Wert ist?
126
6 Risiken einschätzen
129
6.1 Normative Mindestanforderungen aus ISO 27001
129
6.2 Schutzbedarf nach Grundschutz
137
6.3 Erweiterte Analyse nach IT-Grundschutz
142
7 Maßnahmenziele und Maßnahmen bearbeiten
145
7.1 Vorgehen nach ISO 27001
145
7.2 Auswahl der Maßnahmen und Erwägung von Optionen
146
7.3 Anwendung der Maßnahmenkataloge
225
8 Maßnahmen: Validieren und Freigeben
227
8.1 Validierung von Maßnahmen
227
8.2 Maßnahmenbeobachtung und -überprüfung
229
8.3 Maßnahmenfreigabe
229
9 Audits und Zertifizierungen
231
9.1 Ziele und Nutzen
231
9.2 Prinzipielle Vorgehensweise
234
9.3 Vorbereiten eines Audits
241
9.4 Durchführung eines Audits
245
9.5 Auswertung des Audits und Optimierung der Prozesse
248
9.6 Grundschutz-Audit
249
10 Zum Abschluss…
251
Verzeichnis der Maßnahmen aus Anhang A der ISO 27001
255
Einige Fachbegriffe: deutsch / englisch
263
Verzeichnis der Abbildungen und Tabellen
265
Verwendete Abkürzungen
267
Quellenhinweise
271
Sachwortverzeichnis
275
Alle Preise verstehen sich inklusive der gesetzlichen MwSt.