Nicht aus der Schweiz? Besuchen Sie lehmanns.de

Praxisbuch ISO/IEC 27001 (eBook)

Management der Informationssicherheit und Vorbereitung auf die Zertifizierung
eBook Download: PDF | EPUB
2024 | 5., aktualisierte Auflage
288 Seiten
Carl Hanser Verlag GmbH & Co. KG
978-3-446-48267-8 (ISBN)

Lese- und Medienproben

Praxisbuch ISO/IEC 27001 - Michael Brenner, Nils gentschen Felde, Wolfgang Hommel, Stefan Metzger, Helmut Reiser, Thomas Schaaf
Systemvoraussetzungen
Systemvoraussetzungen
69,99 inkl. MwSt
(CHF 68,35)
Der eBook-Verkauf erfolgt durch die Lehmanns Media GmbH (Berlin) zum Preis in Euro inkl. MwSt.
  • Download sofort lieferbar
  • Zahlungsarten anzeigen
- Das umfassende Praxisbuch zum Management der Informationssicherheit
- Enthält die vollständige Norm DIN EN ISO/IEC 27001:2024
- Unentbehrlich für Betreiber kritischer Infrastrukturen (-> IT-Sicherheitsgesetz)
- Mit 80 Prüfungsfragen zur Vorbereitung auf die Foundation-Zertifizierung
- Ihr exklusiver Vorteil: E-Book inside beim Kauf des gedruckten Buches
Informationen sind das wertvollste Kapital vieler Organisationen. Geraten sie in falsche Hände, kann sogar das Überleben eines Unternehmens gefährdet sein. Zur Informationssicherheit müssen alle ihren Beitrag leisten, von der Arbeitsebene bis zum Topmanagement. Die ISO / IEC 27001 stellt dabei die wichtigste internationale Norm dar, an der man praktisch in keiner Branche vorbeikommt. Ein dieser Norm entsprechendes Informationssicherheitsmanagementsystem (ISMS) ist zunehmend Voraussetzung für die Erfüllung von Kunden-Anforderungen sowie von gesetzlichen und behördlichen Vorgaben, u. a. im Rahmen des IT-Sicherheitsgesetzes.
In diesem Buch erhalten Sie die optimale Unterstützung für den Aufbau eines wirksamen ISMS. Die Autoren vermitteln zunächst das notwendige Basiswissen zur ISO / IEC 27001 sowie zur übergeordneten Normenreihe und erklären anschaulich die Grundlagen. Im Hauptteil finden Sie alle wesentlichen Teile der deutschen Fassung der Norm, DIN EN ISO / IEC 27001, im Wortlaut. Hilfreiche Erläuterungen, wertvolle Praxistipps für Maßnahmen und Auditnachweise helfen Ihnen bei der Umsetzung der Norm. Ebenfalls enthalten sind Prüfungsfragen und -antworten, mit deren Hilfe Sie sich optimal auf Ihre persönliche Foundation-Zertifizierung vorbereiten können. Das Buch schließt mit einem Abdruck der kompletten Norm DIN EN ISO/ IEC 27001:2024.
Die Autoren: Michael Brenner, Nils gentschen Felde, Wolfgang Hommel, Stefan Metzger, Helmut Reiser und Thomas Schaaf arbeiten u. a. an der Ludwig-Maximilians-Universität München, der Universität der Bundeswehr München und am Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften. Als Mitglieder der Forschungsgruppe Munich Network Management Team (www.mnmteam.org) forschen und lehren sie alle zu den Themen Informationssicherheitsmanagement und IT-Service-Management.
AUS DEM INHALT //
- Einführung und Basiswissen
- Die Standardfamilie ISO / IEC 27000 im Überblick
- Grundlagen von Informationssicherheitsmanagementsystemen
- ISO / IEC 27001
- Spezifikationen und Mindestanforderungen
- Maßnahmen im Rahmen des ISMS
- Verwandte Standards und Rahmenwerke
- Zertifizierungsmöglichkeiten und Begriffsbildung nach ISO/ IEC 27000
- Abdruck der vollständigen DIN EN ISO / IEC 27001:2024
- Vergleich der Normenfassungen von 2017 und 2024
- Prüfungsfragen mit Antworten zur ISO / IEC 27000 Foundation

1 Einführung und Basiswissen

Kaum eine Woche vergeht mehr ohne Berichte über gravierende IT-Sicherheitsvorfälle bei bekannten Unternehmen oder Behörden in der Fach- oder Tagespresse und dringend zu installierende Updates für Betriebssysteme und Standardsoftware. Die Digitalisierung vieler Abläufe und Vernetzung nahezu aller Systeme bis hin zum Wasserkocher im Smart Home bietet viele Vorzüge, aber auch deutlich in Erscheinung tretende Risiken. Lange Zeit fand das Thema Informationssicherheit nur wenig Beachtung sowohl in der Öffentlichkeit als auch in den oberen Leitungsebenen von Organisationen. Inzwischen hat sich die Hoffnung auf eine Selbstregulierung des Markts allerdings zerschlagen – das Pendel nicht nur im deutschsprachigen und europäischen Raum schlägt um in Richtung strikter gesetzlicher und branchenspezifischer Vorgaben, wiederum mit ihren Vor- und Nachteilen.

Die Plage Ransomware als nur eines von vielen Beispielen veranschaulicht sowohl die Entwicklung als auch die Breite der Problematik recht eingängig: Auf der einen Seite war Schadsoftware, die PCs kompromittiert, Dateien verschlüsselt und nur gegen Lösegeldzahlung wieder zugänglich macht, zunächst ein Massenphänomen, das insbesondere Privatpersonen betroffen hat. Erst in den letzten rund zehn Jahren haben sich die Kriminellen zu Ransomware-Gangs organisiert, professionalisiert und sich auf die Monetarisierung über mehr oder weniger zahlungskräftige Organisationen als Opfer spezialisiert. Auf der anderen Seite laufen Ransomware-Vorfälle nicht ausschließlich technisch ab, auch der „Faktor Mensch“ spielt eine Schlüsselrolle: Häufig dienen Phishing-E-Mails oder Links auf mit Schadsoftware verseuchte Inhalte über Social-Media-Plattformen als Einfallstor für die Angreifer.

Insbesondere in Zeiten des anhaltenden Fachkräftemangels im IT-Sektor ist deshalb eklatant, dass sich Organisationen systematisch um Informationssicherheit kümmern müssen. Vorfälle bedeuten oftmals nicht nur schlechte Presse, sondern können durch längere Ausfälle oder ausgespähte Betriebsgeheimnisse sogar existenzbedrohend sein. Die „Aufräumarbeiten“ nach einem typischen Ransomware-Vorfall beschäftigen das IT-Personal oft monatelang und lähmen dadurch die Weiterentwicklung der Organisation nachhaltig. Neben den rein technischen Aspekten sind häufig auch personenbezogene Daten involviert, sodass mit einem IT-Sicherheitsvorfall oft auch ein Datenschutzvorfall einhergeht, der die Reputation und das Vertrauen von Beschäftigten, Kunden und Partnern beschädigt.

Die Gesetzgebung hat darauf zwischenzeitlich reagiert. Bereits 2015 wurde in Deutschland die erste Fassung des IT-Sicherheitsgesetzes eingeführt und 2021 überarbeitet. Damit einher gingen Verordnungen zur Festlegung sogenannter Kritischer Infrastrukturen (KRITIS), für die höhere rechtliche Anforderungen in Bezug auf die IT-Sicherheit erlassen wurden. KRITIS-Betreiber wurden verpflichtet, angemessene technische und organisatorische Maßnahmen für die IT-Sicherheit umzusetzen und dabei den Stand der Technik einzuhalten. Auch die vielfältigen regulatorischen Bemühungen der Europäischen Union, von der Datenschutz-Grundverordnung (DSGVO) über die NIS-2-Richtlinie und den Cyber Resilience Act bis hin zur Richtlinie für Critical Entities Resilience (CER), drehen sich im Kern darum, dass Organisationen ihren Umgang mit – also das Management von – Informationssicherheit professionalisieren und auf ein angemessenes Niveau heben.

Wenn sich eine Organisation heute vornimmt, einen strukturierten Ansatz zum wirksamen Management der Informationssicherheit einzuführen, kommt sie an der Standardreihe ISO/IEC 27000 praktisch nicht vorbei. Bei ISO/IEC 27000 handelt es sich um eine Reihe von Dokumenten, in denen verschiedene Aspekte des Informationssicherheitsmanagements betrachtet werden. Dass es sich um von der ISO (International Organization for Standardization) und der IEC (International Electrotechnical Commission) standardisierte Dokumente handelt, erhöht dabei die Verbreitung, Bedeutung und Akzeptanz dieser Standards maßgeblich. Das zentrale und wichtigste Dokument der Reihe ist dabei DIN EN ISO/IEC 27001.

1.1 Worum geht es in ISO/IEC 27000 und ISO/IEC 27001?

ISO/IEC 27000 ist eine Standardfamilie, also eine ganze Reihe von zusammenhängenden Standards, die sich insgesamt hauptsächlich mit drei Kernbereichen befasst:

1.      Begriffe: Es werden die wichtigsten Fachbegriffe aus der Welt der Informationssicherheit einheitlich und verbindlich definiert.

2.      Grundlegendes Managementsystem: Es wird beschrieben, was eine Organisation umzusetzen hat und sicherstellen muss, um die eigenen Aktivitäten und Maßnahmen im Bereich Informationssicherheit wirksam steuern zu können.

3.      Maßnahmen: Es werden Maßnahmen beschrieben, die eine Organisation grundsätzlich umzusetzen hat, um ein hohes Maß an Informationssicherheit gewährleisten zu können.

DIN EN ISO/IEC 27001 ist zwar „nur“ eines der Dokumente in der Standardfamilie, ihm kommt aber eine ganz besondere Bedeutung zu: Es gibt die (Mindest-)Anforderungen an organisatorische Prozesse und umzusetzende Maßnahmen verbindlich vor und bildet somit die Grundlage für die Zertifizierung sowohl der Informationssicherheitsmanagementsysteme (ISMS) von Organisationen als auch von Einzelpersonen.

Dieses Buch behandelt ebenfalls alle drei Kernbereiche. Während die beiden letzteren in späteren Kapiteln vertieft behandelt werden, beschäftigt sich dieses Kapitel zunächst mit der grundlegenden Begriffsbildung.

1.2 Begriffsbildung

Die Standardfamilie ISO/ IEC 27000 dient ganz wesentlich dazu, die Verwendung von Fachbegriffen zu vereinheitlichen. Nur so kann erreicht werden, dass diejenigen, die sich mit Informationssicherheitsmanagement beschäftigen, nicht aneinander vorbeireden, obwohl sie eigentlich inhaltlich dasselbe meinen.

Im Folgenden werden die wichtigsten Begriffe und Grundlagen rund um das Thema Informationssicherheit eingeführt, die zum Verständnis von DIN EN ISO/IEC 27001 erforderlich sind. Ergänzend finden Sie alle offiziellen, kompakten Begriffsdefinitionen aus der ISO/IEC 27000 im Wortlaut in Anhang A dieses Buchs.

1.2.1 Informationen

In unserer längst hochgradig digital vernetzten Welt stellen Informationen Werte dar, die von entscheidender Wichtigkeit für den Betrieb einer Organisation sind. Dabei sind diese Informationen allerdings einer größeren Zahl von Bedrohungen ausgesetzt, die sich ihrerseits teilweise weiterentwickeln. Informationssysteme, Netze und Organisationen sind beispielsweise durch Cyber-Angriffe (Ransomware, Denial-of-Service-Angriffe, Hacking, Spam etc.), Sabotage, Spionage und Vandalismus, aber auch Elementarschäden durch Wasser, Feuer sowie Katastrophen gefährdet. Gesetzliche Regelungen (wie z. B. das IT-Sicherheitsgesetz oder die Datenschutz-Grundverordnung) fordern entsprechend Schutzmaßnahmen für sensible Informationen.

Der Begriff „Informationen“ wird hierbei sehr weit gefasst. Sie können in Form verschiedener Medien vorliegen, also geschrieben, gedruckt, elektronisch, als Film etc., und auf unterschiedlichen Wegen übermittelt werden, z. B. per Post, per Funk/WLAN, über das Internet usw. Unabhängig vom Medium und vom Übertragungsweg ist die Aufgabe der Informationssicherheit, diese Informationen angemessen vor Bedrohungen zu schützen. Nur so können die Risiken minimiert, der Geschäftsbetrieb gesichert und die Wettbewerbsfähigkeit, Rentabilität sowie die Chancen einer Organisation maximiert werden.

1.2.2 Informationssicherheit

Für die Informationssicherheit existiert, anders als beispielsweise für Gewichte, Längen oder Temperaturen, keine physikalische Maßeinheit, um sie einfach in Zahlen – also quantitativ – auszudrücken. Deshalb wählen die Standards der Reihe ISO/ IEC 27000 – und damit auch das Hauptdokument DIN EN ISO/IEC 27001 – einen seit Langem praxisbewährten qualitativen Ansatz über sogenannte Schutzziele. Diese werden nachfolgend im Einzelnen vorgestellt und genauer erläutert.

1.2.3 Sicherheitsanforderungen und Schutzziele

Die Gefährdung wichtiger Informationen lässt sich alleine mit Beispielen natürlich nur ungenau und unvollständig beschreiben. In der ISO/IEC 27000 und im Security Engineering werden deshalb abstrakte Schutzziele bzw. Sicherheitsanforderungen für Informationswerte (zum Begriff der „(Informations-)Werte“ vgl. Kapitel 3.1.1) definiert. Die zentralen Schutzziele sind die Vertraulichkeit, Integrität und Verfügbarkeit...

Erscheint lt. Verlag 8.7.2024
Sprache deutsch
Themenwelt Mathematik / Informatik Informatik
Schlagworte Controls • DSGVO • Foundation-Zertifizierung • Informationssicherheit • ISMS • ISO/IEC 27000:2022 • ISO/IEC 27002 • ISO/IEC 27002:2017 • IT-Sicherheit • IT-Sicherheitsgesetz • KRITIS
ISBN-10 3-446-48267-9 / 3446482679
ISBN-13 978-3-446-48267-8 / 9783446482678
Informationen gemäß Produktsicherheitsverordnung (GPSR)
Haben Sie eine Frage zum Produkt?
PDFPDF (Wasserzeichen)
Größe: 13,0 MB

DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasser­zeichen und ist damit für Sie persona­lisiert. Bei einer missbräuch­lichen Weiter­gabe des eBooks an Dritte ist eine Rück­ver­folgung an die Quelle möglich.

Dateiformat: PDF (Portable Document Format)
Mit einem festen Seiten­layout eignet sich die PDF besonders für Fach­bücher mit Spalten, Tabellen und Abbild­ungen. Eine PDF kann auf fast allen Geräten ange­zeigt werden, ist aber für kleine Displays (Smart­phone, eReader) nur einge­schränkt geeignet.

Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür einen PDF-Viewer - z.B. den Adobe Reader oder Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür einen PDF-Viewer - z.B. die kostenlose Adobe Digital Editions-App.

Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.

EPUBEPUB (Wasserzeichen)
Größe: 11,5 MB

DRM: Digitales Wasserzeichen
Dieses eBook enthält ein digitales Wasser­zeichen und ist damit für Sie persona­lisiert. Bei einer missbräuch­lichen Weiter­gabe des eBooks an Dritte ist eine Rück­ver­folgung an die Quelle möglich.

Dateiformat: EPUB (Electronic Publication)
EPUB ist ein offener Standard für eBooks und eignet sich besonders zur Darstellung von Belle­tristik und Sach­büchern. Der Fließ­text wird dynamisch an die Display- und Schrift­größe ange­passt. Auch für mobile Lese­geräte ist EPUB daher gut geeignet.

Systemvoraussetzungen:
PC/Mac: Mit einem PC oder Mac können Sie dieses eBook lesen. Sie benötigen dafür die kostenlose Software Adobe Digital Editions.
eReader: Dieses eBook kann mit (fast) allen eBook-Readern gelesen werden. Mit dem amazon-Kindle ist es aber nicht kompatibel.
Smartphone/Tablet: Egal ob Apple oder Android, dieses eBook können Sie lesen. Sie benötigen dafür eine kostenlose App.
Geräteliste und zusätzliche Hinweise

Buying eBooks from abroad
For tax law reasons we can sell eBooks just within Germany and Switzerland. Regrettably we cannot fulfill eBook-orders from other countries.

Mehr entdecken
aus dem Bereich
Konzepte, Methoden, Lösungen und Arbeitshilfen für die Praxis

von Ernst Tiemeyer

eBook Download (2023)
Carl Hanser Verlag GmbH & Co. KG
CHF 68,35
Konzepte, Methoden, Lösungen und Arbeitshilfen für die Praxis

von Ernst Tiemeyer

eBook Download (2023)
Carl Hanser Verlag GmbH & Co. KG
CHF 68,35
Der Weg zur professionellen Vektorgrafik

von Uwe Schöler

eBook Download (2024)
Carl Hanser Verlag GmbH & Co. KG
CHF 29,30