Informationssicherheitsmanagement nach ISO 27001

Schützen Sie Ihr Unternehmen: Sicherheit mit Struktur

Wer Sicherheit wie Flickenschusterei betreibt, handelt fahrlässig! Nachhaltige IT-Sicherheit im Unternehmen benötigt einen systematischen und strukturierten Ansatz, an dem Sie sich orientieren können. Der Rahmen der ISO 27001 hilft Ihnen, relevante Risiken zu identifizieren, geeignete Schutzmaßnahmen einzuführen und die Sicherheit kontinuierlich zu verbessern. In diesem praxisorientierten Leitfaden zeigt Ihnen Andreas Wisler Schritt für Schritt, wie ein Information Security Management System (ISMS) aufgebaut, gelebt und erfolgreich zertifiziert wird. Konkrete Beispiele zeigen Ihnen, wie Unternehmen unterschiedlicher Größe ein ISMS eingeführt haben, praktische Tipps von der Risikoanalyse bis zum Audit helfen Ihnen bei der Umsetzung.

• ISMS aufbauen und praktisch umsetzen
• Vorbereitung auf Audits und Zertifizierung
• Schnittstellen zu anderen Normen und Standards

Aus dem Inhalt:

• Was ist ein ISMS: Definition und Ziele
• Abgrenzungen und Schnittstellen
• Begriffe der Informationssicherheit
• Die Normreihe 27000: Geschichte, Aufbau und Inhalt
• Die Anhänge der Norm: organisatorische, personenbezogene, physische und technologische Maßnahmen
• ISMS umsetzen: Vorgehen, Beispieldokumente und Ressourcen
• Informationssicherheit messen: Kennzahlen, Metriken und Reifemodelle

Geleitwort des Fachgutachters . . . 13

1. Einleitung . . . 15

1. 1 . . . Für wen ist dieses Buch? . . . 15

1. 2 . . . Was erwartet Sie? . . . 16

2. Was ist ein ISMS? . . . 21

2. 1 . . . Ziele und Vorteile eines ISMS . . . 22

2. 2 . . . Abgrenzung zu anderen Managementsystemen . . . 26

3. Warum auch Sie ein ISMS verwenden sollten? . . . 29

3. 1 . . . Bedeutung der Informationssicherheit . . . 30

3. 2 . . . Risiken und Bedrohungen für Unternehmen . . . 33

3. 3 . . . Wirtschaftliche und rechtliche Notwendigkeit . . . 35

4. Begriffe zur Informationssicherheit . . . 37

4. 1 . . . Was sind Informationen? . . . 37

4. 2 . . . Die CIA-Triade . . . 40

4. 3 . . . Authentizität und Verbindlichkeit . . . 41

4. 4 . . . Grundbegriffe . . . 43

5. Einführung in die Normenreihe ISO 27000 . . . 47

5. 1 . . . Inhalt und Aufbau . . . 48

6. Die ISO 27001 verstehen . . . 55

6. 1 . . . NK 4 -- Kontext der Organisation . . . 55

6. 2 . . . NK 5 -- Führung . . . 63

6. 3 . . . NK 6 -- Planung . . . 70

6. 4 . . . Einschub: Praxisbeispiel Risikomanagement . . . 77

6. 5 . . . NK 7 -- Unterstützung . . . 84

6. 6 . . . NK 8 -- Betrieb . . . 93

6. 7 . . . NK 9 -- Bewertung der Leistung . . . 96

6. 8 . . . NK 10 -- Verbesserung . . . 102

7. Die Anhänge der ISO 27001: die Controls A. 5 bis A. 8 . . . 107

7. 1 . . . Die Attribut-Tabelle . . . 108

7. 2 . . . NK A. 5 -- Organisatorische Maßnahmen . . . 112

7. 3 . . . NK A. 6 -- Personenbezogene Maßnahmen . . . 158

7. 4 . . . NK A. 7 -- Physische Maßnahmen . . . 165

7. 5 . . . NK A. 8 -- Technologische Maßnahmen . . . 180

8. Wie wird ein ISMS umgesetzt? . . . 215

8. 1 . . . Leitfaden für KMUs: Best Practices für die Umsetzung . . . 215

8. 2 . . . Stolpersteine . . . 218

8. 3 . . . Mindestens notwendige Dokumente . . . 219

8. 4 . . . Tools und Ressourcen . . . 221

9. Informationssicherheit messen . . . 225

9. 1 . . . ISO 27004 -- Überwachung, Messung, Analyse und Bewertung . . . 225

9. 2 . . . Kennzahlen und Metriken für ein ISMS . . . 228

9. 3 . . . Das Reifegrad-Modell . . . 231

10. Audits . . . 235

10. 1 . . . Interne vs. externe Audits . . . 238

10. 2 . . . ISO 19011 -- Auditierung von Managementsystemen . . . 238

10. 3 . . . Das Audit-Programm . . . 244

10. 4 . . . Audit-Plan . . . 246

10. 5 . . . Audit-Bericht . . . 248

10. 6 . . . Audit-Fragen . . . 250

10. 7 . . . Typische Audit-Feststellungen . . . 282

11. Zertifizierung . . . 285

11. 1 . . . Ablauf . . . 285

11. 2 . . . Akkreditierung . . . 287

12. Weitere Normen bzw. Standards . . . 291

12. 1 . . . ISO 27003 -- Umsetzung eines ISMS . . . 291

12. 2 . . . ISO 27799 -- Informationssicherheit im Gesundheitswesen . . . 293

12. 3 . . . ISO 27006 -- Anforderungen an die Zertifizierer . . . 296

12. 4 . . . ISO 27007 -- Leitfaden für das Auditieren eines ISMS . . . 299

12. 5 . . . ISO 27008 -- Leitlinien für die Bewertung von Informationssicherheitskontrollen . . . 302

12. 6 . . . ISO 27018 -- Sicherheit in Cloud-Diensten . . . 305

12. 7 . . . ISO 27701 -- Datenschutz-Managementsystem . . . 307

12. 8 . . . CISIS12 . . . 311

12. 9 . . . VdS 10000 . . . 317

12. 10 . . . Vergleich von ISO 27001, VdS 10000 und CISIS12 . . . 319

12. 11 . . . DIN SPEC 27076 -- IT-Sicherheitsberatung für Klein- und Kleinstunternehmen . . . 320

12. 12 . . . Umsetzung eines ISMS mit BSI-Standards . . . 325

12. 13 . . . NIST Cybersecurity Framework . . . 331

12. 14 . . . COBIT . . . 334

13. Gesetzliche Anforderungen . . . 337

13. 1 . . . Datenschutz . . . 337

13. 2 . . . Cyber Resilience Act (CRA) . . . 342

13. 3 . . . NIS-2 . . . 344

13. 4 . . . TISAX 6 . . . 353

Anhang . . . 357

A . . . Beispieldokumente . . . 357

B . . . Die DIN EN ISO/IEC 27001:2024-01 mit Anhang und Änderung im Wortlaut . . . 455

Index . . . 493