Neun Schritte zum Erfolg: Ein Überblick zur Implementierung der Norm ISO 27001:2013
By Alan Calder
()
About this ebook
In sinnvoller, nicht technischer Sprache führt Sie dieser Leitfaden durch die wichtigsten Schritte eines ISO 27001-Projekts, um Ihnen den Erfolg desselben zu garantieren - von der Einführung bis hin zur Zertifizierung:
- Projektmandat
- Projektanbahnung
- Initiierung eines ISMS
- Management-Framework
- Grundlegende Sicherheitskriterien
- Risikomanagement
- Implementierung
- Maßnahme, Überwachung und Überprüfung
- Zertifizierung
In dieser dritten Auflage und ausgerichtet auf ISO 27001: 2013 eignet sich das Handbuch ideal für alle jene, die sich zum ersten Mal mit der Norm beschäftigen.
"Es ist als hätten Sie einen $ 300 / h-Berater an Ihrer Seite, wenn Sie die Aspekte der Gewinnung von Management-Unterstützung, Planung, Problembestimmung (Scoping), Kommunikation etc. betrachten."
Thomas F. Witwicki
Mit Hilfe dieses Buches erfahren Sie wie Sie:
- Unterstützung im Management und die Aufmerksamkeit des Vorstands erhalten;
- Erstellen Sie ein Management-Framework und eine Gap-Analyse, um klar zu verstehen, was Sie bereits unter Kontrolle haben und worauf ihre Bemühungen abzielen sollen;
- Strukturieren Sie Ihr Projekt und statten Sie es mit Ressourcen aus – einschließlich der Festlegung, ob Sie einen Berater verwenden werden oder die Tätigkeit selbst durchführen sowie der Überprüfung der vorhandenen Mittel und Ressourcen, die ihre Arbeit erleichtern werden;
- Führen Sie eine fünfstufige Risikobewertung durch und erstellen Sie eine Aussage zur Anwendbarkeit sowie einen Risikoplan;
- Integrieren Sie Ihr ISO 27001 ISMS mit einem ISO 9001 QMS und anderem Managementsystem;
- Adressieren Sie die Dokumentationsherausforderungen, denen Sie im Rahmen der Erstellung von Geschäftsgrundsätzen, Verfahren, Arbeitsanweisungen und Datensätzen begegnen – einschließlich realisierbarer Alternativen zum kostspieligen Trial- und Error Ansatz
- Kontinuierliche Verbesserung Ihres ISMS, einschließlich interner Prüfungen und Tests sowie Kontrollen durch das Management;
Dieses Buch liefert Ihnen die nötige Anleitung zum Verständnis der Anforderungen der Norm und zur Gewährleistung, dass ihr Implementierungsprojekt ein Erfolg wird. Dabei werden sechs Geheimtipps für den Erfolg gegeben.
Background
Die Erlangung und Aufrechterhaltung der akkreditierten Zertifizierung nach der internationalen Norm für Informationssicherheit-Management - ISO 27001 - kann ein kompliziertes Vorhaben darstellen, besonders dann, wenn die Norm für Sie noch neu ist.
Autor Alan Calder kennt ISO 27001 in- und auswendig: der Gründer und Vorstandsvorsitzende von IT Governance, er leitete die erste Implementierung eines nach BS 7799 zertifizierten Managementsystems - dem Vorläufer der ISO 27001 - und arbeitet seither mit der Norm und seinen Nachfolgern zusammen.
Hunderte Organisationen weltweit haben akkreditierte Zertifizierungen nach ISO 27001 mit der IT-Governance-Beratung erlangt- wie in diesem Buch zusammengefasst.
Kaufen Sie dieses Buch heute und erlernen Sie die neun Schritte für eine erfolgreiche ISO 27001 ISMS Implementierung.Alan Calder
Alan Calder is a leading author on IT governance and information security issues. He is the CEO of GRC International Group plc, the AIM-listed company that owns IT Governance Ltd. Alan is an acknowledged international cyber security guru. He has been involved in the development of a wide range of information security management training courses that have been accredited by the International Board for IT Governance Qualifications (IBITGQ). He is a frequent media commentator on information security and IT governance issues, and has contributed articles and expert comment to a wide range of trade, national and online news outlets.
Related to Neun Schritte zum Erfolg
Related ebooks
Kosten der IT-Sicherheit: Ein Ausgangspunkt für weitergehende Untersuchungen Rating: 0 out of 5 stars0 ratingsISO27001/ISO27002: Ein Taschenführer Rating: 0 out of 5 stars0 ratingsRisikomanagement und Unternehmenskultur: Berücksichtigung der kulturellen Aspekte im Rahmen des Risikomanagements Rating: 0 out of 5 stars0 ratingsDas ERP als Erfolgsfaktor für Unternehmen: Grundlagen, innerbetriebliche Funktionen, E-Business, Auswahlmethode Rating: 0 out of 5 stars0 ratingsIT Management: Grundlagen, Organisation, Aufgaben, Outsourcing, Herausforderungen Rating: 0 out of 5 stars0 ratingsProzess-FMEA Arbeitsbuch: Erstellen Sie Ihre erste eigene FMEA Rating: 0 out of 5 stars0 ratingsSensoren für Kraft, Druck, Drehmoment und Durchfluss: Kompendium Messtechnik und Sensorik, Teil 9 Rating: 5 out of 5 stars5/5Kompendium Kalibrierung: Edition 2020 Rating: 0 out of 5 stars0 ratingsMessmittelmanagement und Kalibrierung: Edition 2020 Rating: 5 out of 5 stars5/5Kurzanleitung Project Libre Rating: 0 out of 5 stars0 ratingsPraxisleitfaden zur Einführung von ISO TS 16949: Einführung der ISO TS in einem KMU-Zulieferbetrieb Rating: 0 out of 5 stars0 ratingsPlanung eines Videoüberwachungssystems: Gängige Standards in Analog- und IP-Technologie Rating: 0 out of 5 stars0 ratingsDer große Bewerbungsratgeber: Stellensuche, Bewerbung, Vorstellungsgespräch, Assessment Center, Gehaltsverhandlung, Aufstieg Rating: 0 out of 5 stars0 ratingsKompendium Messtechnik und Sensorik: Ein Grundlagenüberblick für die Praxis Rating: 0 out of 5 stars0 ratingsMessen, Prüfen, Kalibrieren und Eichen: Kompendium Messtechnik und Sensorik, Teil 1 Rating: 5 out of 5 stars5/5Duden Ratgeber – Technische Dokumentation: Verständliche Texte für Produkte erstellen und gestalten Rating: 0 out of 5 stars0 ratingsPflichtenheft 1: Für Instandhalter Rating: 0 out of 5 stars0 ratingsGeschichten vom Scrum: Von Sprints, Retrospektiven und agilen Werten Rating: 4 out of 5 stars4/5Risiken in der IT: Erkennen - Steuern - Verbessern: Ein Modell für effektives Risikomanagement in Entwicklung und Betrieb Rating: 0 out of 5 stars0 ratingsQualitätsmanagement in der Physio- und Naturheilpraxis: Was bring mir ein QM-System nach DIN EN ISO 9001:2015? Rating: 0 out of 5 stars0 ratingsFrauen kontern besser: So werden Sie richtig schlagfertig Rating: 0 out of 5 stars0 ratingsDas strategische Lieferantenmanagement: Einflussgrößen und Aufgabenfelder Rating: 0 out of 5 stars0 ratingsArbeitsteilung im Einkauf: Eine Methode zur Kostenreduktion Rating: 0 out of 5 stars0 ratingsLeitfaden Marketing Automation: Digital neue Kunden gewinnen: Vom Lead Management über Big Data zum Lifecycle Marketing Rating: 0 out of 5 stars0 ratingsSix Sigma und BPM: Integriertes Prozessmanagement Rating: 0 out of 5 stars0 ratingsKompendium Messdatenerfassung und -auswertung: Ein Grundlagenüberblick für Studium und Beruf Rating: 0 out of 5 stars0 ratings30 Minuten Qualitätsmanagement Rating: 0 out of 5 stars0 ratingsDas Schrauberhandbuch: Technik – Wartung – Instandsetzung Rating: 0 out of 5 stars0 ratingsDie ISO 9001:2015 verständlich formuliert: Qualitätsmanagement praktisch umsetzen Rating: 0 out of 5 stars0 ratings
Computers For You
Anglizismen und andere "Fremdwords" deutsch erklärt: Über 1000 aktuelle Begriffe Rating: 0 out of 5 stars0 ratingsDie KI Bibel, mit künstlicher Intelligenz Geld verdienen: Echte Fallbeispiele und Anleitungen zum Umsetzen Rating: 1 out of 5 stars1/5Scribus Desktop Publishing: Das Einsteigerseminar Rating: 0 out of 5 stars0 ratings60+ Webtools - Für den Unterricht und mehr: Unterricht Digital gestalten und spielerisch Online Unterrichten Rating: 0 out of 5 stars0 ratingsMachine Learning – kurz & gut: Eine Einführung mit Python, Pandas und Scikit-Learn Rating: 5 out of 5 stars5/5Einstieg in ChatGPT: Künstliche Intelligenz verstehen und nutzen: Ein praktischer Ratgeber für Einsteiger Rating: 0 out of 5 stars0 ratingsLexikon der Symbole und Archetypen für die Traumdeutung Rating: 5 out of 5 stars5/5...Als die Noten laufen lernten...Band 2: Kabarett-Operette-Revue-Film-Exil. Unterhaltungsmusik bis 1945 Rating: 0 out of 5 stars0 ratingsWordPress - Elementor Rating: 0 out of 5 stars0 ratingsTastenkombinationen für den Mac: Alle wichtigen Funktionen Rating: 0 out of 5 stars0 ratingsRaspberry Pi Kinderleicht: Pi 4 mit 8 GB Rating: 0 out of 5 stars0 ratingsKybernetik, Kommunikation und Konflikt: Gregory Bateson und (s)eine kybernetische Konflikttheorie Rating: 0 out of 5 stars0 ratingsNeuronale Netze selbst programmieren: Ein verständlicher Einstieg mit Python Rating: 0 out of 5 stars0 ratingsData Warehouse im Rahmen der Business Intelligence: Konzeption eines Vorgehensmodells Rating: 0 out of 5 stars0 ratingsEinführung ins Darknet: Darknet ABC Rating: 0 out of 5 stars0 ratingsShopware 6 Handbuch Rating: 0 out of 5 stars0 ratingsNimm den Chor doch selber auf: Crashkurs für das Aufnehmen und Mischen von Chören Rating: 0 out of 5 stars0 ratingsEinstieg in den Online-Unterricht: Videokonferenzen in der Erwachsenenbildung Rating: 0 out of 5 stars0 ratingsDie KI sei mit euch: Macht, Illusion und Kontrolle algorithmischer Vorhersage Rating: 0 out of 5 stars0 ratingsDocker und die Containerwelt: Einstieg und Expertentipps rund um Docker-Container Rating: 1 out of 5 stars1/5Erste Schritte mit dem Raspberry Pi: Installation, Konfiguration, Tuning und Praxis für alle aktuellen Raspberry-Pi-Modelle Rating: 0 out of 5 stars0 ratingsAufstieg der Roboter: Wie unsere Arbeitswelt gerade auf den Kopf gestellt wird - und wie wir darauf reagieren müssen Rating: 0 out of 5 stars0 ratingsRunning Lean: Das How-to für erfolgreiche Innovationen Rating: 4 out of 5 stars4/5Games | Game Design | Game Studies: Eine Einführung (Deutschsprachige Ausgabe) Rating: 0 out of 5 stars0 ratingsBig Data: Die neue Intelligenz des Menschen (GEO eBook) Rating: 0 out of 5 stars0 ratingsDie Geschichte des Computers: Wie es bis zur Form des heutigen 'PC' kam. Rating: 0 out of 5 stars0 ratingsDatenbanken: Grundlagen und Entwurf Rating: 0 out of 5 stars0 ratingsCommand Line Kung Fu: Bash-Scripting-Tricks, Linux Tipps und praktische Einzeiler für die Shell Rating: 0 out of 5 stars0 ratingsNiklas Luhmann: "... stattdessen ...": Eine biografische Einführung Rating: 0 out of 5 stars0 ratings
Reviews for Neun Schritte zum Erfolg
0 ratings0 reviews
Book preview
Neun Schritte zum Erfolg - Alan Calder
Neun Schritte zum Erfolg
Ein Überblick zur Implementierung der Norm ISO 27001:2013
Neun Schritte zum Erfolg
Ein Überblick zur Implementierung der
Norm ISO 27001:2013
ALAN CALDER
Es wurde jede erdenkliche Anstrengung unternommen, um die Sorgfältigkeit der in diesem Buch enthaltenen Informationen im Zeitpunkt des Drucks zu gewährleisten. Dennoch können Autor und Herausgeber keinerlei Verantwortung für allfällige Fehler oder Auslassungen übernehmen. Jede wie immer geartete Meinung, die in diesem Buch zum Ausdruck gebracht wird, entspricht der des Autors und nicht des Herausgebers. Angegebene Webseiten dienen lediglich als Referenz und nicht als Bestätigung, jeder Webseiten-Besuch erfolgt auf eigene Gefahr des Lesers. Herausgeber oder Autor übernehmen keinerlei Haftung für allfällige Verluste oder Schäden, die durch Handlungen bzw. unterlassene Handlungen gegenüber anderen Personen als Folge des Materials in dieser Veröffentlichung entstehen.
Abgesehen von der ehrlichen Handlungsweise zum Zwecke der Forschung oder privaten Studie bzw. Kritik oder Rezensionen entsprechend den Vorgaben des Copyright, Designs und Patents Act 1998, darf diese Publikation nur mit vorheriger schriftlicher Genehmigung des Herausgebers oder im Falle der reprographischen Vervielfältigung gemäß den Lizenzbedingungen der Copyright Licensing Agency in jeder Form vervielfältigt, gespeichert oder übertragen werden. Anfragen in Bezug auf eine Vervielfältigung außerhalb der vorgenannten Bedingungen sind dem Herausgeber unter der hier folgenden Adresse zu übermitteln:
IT Governance Publishing
IT Governance Limited
Unit 3, Clive Court
Bartholomew’s Walk
Cambridgeshire Business Park
Ely, Cambridgeshire
CB7 4EA
United Kingdom
www.itgovernance.co.uk
© Alan Calder 2017
Der Autor erklärt die Autorenrechte nach dem Urheberrecht, Designs and Patents Act, 1988, um als Autor dieser Arbeit identifiziert zu werden
Zum ersten mal im Vereinigten Königreich 2017
von IT Governance Publishing veröffentlicht: ISBN: 978-1-84928-869-9
ÜBER DEN AUTOR
Alan Calder ist Gründer und Vorstandsvorsitzender der IT Governance Ltd (www.itgovernance.eu), ein Informations-, Analyse- und Beratungsunternehmen, das Betriebe bei der Verwaltung von IT-Governance-, Risikomanagement-, Compliance- und Informationssicherheitsfragen unterstützt. Er verfügt über eine langjährige Führungserfahrung im privaten wie im öffentlichen Sektor.
Das Unternehmen betreibt auf der ganzen Welt Webseiten, die eine Reihe von Büchern, Werkzeugen und anderen Veröffentlichungen zu IT-Governance, Risikomanagement, Compliance und Informationssicherheit vertreiben.
INHALTE
Einführung
Die ISO 27000-Familie
Bevor Sie starten
Kapitel 1: Projektmandat
Strategische Ausrichtung
Priorisierung und Bestätigung
Änderungsmanagement
Die Funktion des CEO
Das Projektmandat
Kapitel 2: Projektinitiierung
Ziele
Projektmanagement
Projektleitung
Senior Management-Unterstützung
Projektteam
Projektplan
Strukturierte Ansatz für die Umsetzung
Abgestufter Ansatz
Projektplan
Integration in bestehende Systeme für Sicherheitsmanagement
Qualitätssystemintegration
Blick nach vorne
Kosten und Projektüberwachung
Riskenregister
Kapitel 3: ISMS-Initiierung
Kontinuierliche Verbesserung
Sicherheitsverbesserungsplan
Ausweitung der RACI-Matrix
Unterlangen
Vier Dokumentationsstufen
Dokumentationsansätze
Kapitel 4: Management-Framework
Problembestimmung (Scoping)
Endpunkt-Sicherheit
Festlegung von Grenzen
Netzwerkabbildung
Verfahrensabkürzung
Hauptvereinbarungen formalisieren
Politik für Informationssicherheit
Kommunikationsstrategie
Eigenes Personal
Kapitel 5: Grundlegende Sicherheitskriterien
Kapitel 6: Risikomanagement
Einführung in das Risikomanagement
Grundlegende Sicherheitskontrollen
Risikobewertung
Fünf-Schritte-Risikobewertungsverfahren
Risikoworkshop
Auwirkungen
Kontrollen
Risikobewertungsinstrumente
Kontrollen
Art der Kontrollen
Kontrolle Auswahlkriterien
Erklärung zur Anwendbarkeit
Plan zur Risikobewältigung
Kapitel 7: Implementierung
Kompetenzen
Die ‘Alle Personen’-Anforderung
Bewusstsein des Personals
Ausgelagerte Prozesse
Kapitel 8: Maßnahme, Überwachung und Überprüfung
Internes Audit und Tests
Managementbewertung
Kapitel 9: Zertifizierung
ISO 27001 Ressourcen
ITG Ressourcen
EINFÜHRUNG
Cyber-Risiko hat sich zu einem kritischen Business-Problem entwickelt und setzt das Senior Management zunehmend unter Druck - von Seiten der Kunden, Regulierungsbehörden und Partner - welche gewährleisten wollen, dass ihre Organisation in der Lage ist, sich dagegen zu wehren, entsprechend zu reagieren und sich vom Cyber-Angriff zu erholen.
Der Widerstand gegen Cyberattacken macht eine Organisation notwendig, die in der Lage ist, mehr als nur eine reine digitale Abwehr einzurichten; ein beachtlicher Prozentsatz erfolgreicher Angriffe entsteht in der analogen, physischen Welt oder wird durch physikalische und ökologische Anfälligkeiten unterstützt und verschärft. Eine wirksame Cyber-Sicherheit erfordert daher ein umfassendes, systematisches und starkes System für Informationssicherheitsmanagement; Vorstände, Kunden und Aufsichtsbehörden wollen sicherstellen, dass Informationsrisiken festgestellt und behoben werden.
Die internationale Norm ISO/IEC 27001:2013 Informationstechnologie – Sicherheitstechniken – Informationssicherheit-Managementsysteme – Anforderungen ist die Grundlage für die Verwaltung der Informationssicherheit im Einklang mit den geschäftlichen, vertraglichen und aufsichtsrechtlichen Anforderungen einer Organisation und ihrer Risikoneigung. Informationssicherheit ist seit jeher ein internationales Thema und diese Version der Norm spiegelt die in acht Jahren erlangten Verbesserungen im Verständnis eines effektiven Informationssicherheitsmanagements wider. Es wird auch auf die Entwicklung der Cyber-Bedrohungslandschaft im Laufe dieser Zeitspanne Rücksicht genommen und dies ermöglicht viele Best-Practice-Kontrollen.
Informationssicherheit ist nun auch ein Thema für Management und eine Verantwortung der Führungsebene. Design und Implementierung eines Informationssicherheitsmanagement-Systems (ISMS) ist Aufgabe des Managements und nicht der Technologie. Es erfordert den vollen Einsatz der Managementfähigkeiten und -attribute, vom Projektmanagement und von der Priorisierung durch Kommunikation, über Verkaufsfähigkeiten und Motivation zur Delegation bis hin zur Überwachung und Disziplin. Ein fähiger Manager, der keine technologischen Background oder Einsicht in das Thema hat, kann eine erfolgreiche ISMS-Implementierung führen, aber ohne entsprechende Managementkenntnisse scheitert selbst der technologisch anspruchsvollste Informationssicherheitsexperte an der Aufgabe.
Dies gilt insbesondere dann, wenn die Organisation einen maximalen, langfristigen Unternehmenswert aus der Umsetzung eines ISMS ableiten will. Die Erlangung externer Zertifizierungen entwickelt sich zunehmend zu einer Standardausgabe für die Geschäftstätigkeit. Das Bewusstsein für die Informationssicherheit und eine gut funktionierende interne Vorgehensweise, die es einer Organisation ermöglicht, sicher im stürmischen Meer des Informationszeitalters zu surfen, erfordern einen grundlegenden Kulturwandel: die Umstellung von industriellen auf nachindustriellen Tätigkeiten.
Ich weiß das deswegen, weil mein Background jener eines General Managers ist und nicht der eines Technologen. Ich kam 1995 zur Informationssicherheit, da ich über die Risiken in der Informationssicherheit eines Unternehmens besorgt war, dessen Geschäftsführer ich damals war. Wenn man Geschäftsführer ist und das Interesse dafür aufbringt, kann man ein ISMS zustande bringen – wie ich es mehrmals tat. Während dieses Buch die Lernkurve für andere Geschäftsführer in vergleichbarer Position verkürzt, richtet es sich tatsächlich an den Manager - oft ein IT- oder Informationssicherheitsmanager, manchmal ein Qualitätsmanager -, der mit der Umsetzung einer ISO 27001-Implementierung beauftragt wird und verstehen möchte, wie der Weg zu einem positiven Ergebnis führt. Es basiert auf den Erfahrungen vieler ISO 27001-Implementierungen und spiegelt die neunstufige Implementierungsmethodik wider, die nun alle ISO 27001 Produkte und Services unterstützt, auf die zugegriffen werden kann IT Governance Ltd, das Unternehmen, das ich 2005 gegründet habe. Diese neun Schritte funktionieren in jeder Organisation - öffentlicher Sektor, Freiwilligensektor oder privater Sektor - weltweit. Technologieinfrastruktur, Geschäftsmodell, Organisationsarchitektur und regulatorische Anforderungen liefern alle den Kontext für die Implementierung eines ISO 27001 ISMS, beschränken jedoch deren Anwendbarkeit nicht. Wir haben geholfen, ein ISO 27001 ISMS in Unternehmen mit weniger als zwei Personen, in Mammut-, Multi-Land-globalen Unternehmen und in Organisationen aller Größen und Typen zu implementieren.
Die zweitgrößte Herausforderung für einen Technologen für Informationssicherheit besteht meiner Meinung nach überall auf der Welt darin, die Aufmerksamkeit der Vorstände zu bekommen und diese zu erhalten. Die größte Herausforderung ist das Erlangen – und Beibehalten – des Interesses und der Anwendung auf das Projekt. Die permanente Presse und Aufmerksamkeit für Cyber-Risiken bringt das Thema auf die Tagesordnung und wenn Vorstände endlich verstehen, dass sie systematisch und umfassend gegen Sicherheitsrisiken vorgehen müssen, beginnen sie sich für Informationen von ihren Sicherheitsspezialisten zu interessieren. Sie entwickeln sogar Interesse daran, organisatorische Dollars in Hardware- und Softwarelösungen zu investieren und die Entwicklung eines neuen ISMS oder die Verschärfung eines bestehenden ISMS in Auftrag zu geben.
Ein erfolgreiches ISMS-Projekt stammt von und stützt sich auf eine echte Top-Management-Unterstützung. Der Fortschritt ist schneller, wenn das Projekt als glaubwürdige Geschäftsnotwendigkeit betrachtet wird: zum Beispiel, um ein Outsourcing oder einen anderen Kundenvertrag zu gewinnen oder eine öffentliche Finanzierungspflicht einzuhalten, die Wettbewerbsfähigkeit zu verbessern oder regulatorische Compliance-Kosten und Risiken zu reduzieren.
Als wir uns das erste Mal dem Thema Informationssicherheit widmeten war das, als mein Unternehmen im Jahr 1995 sowohl die ISO 9001-Zertifizierung als auch die Investor in People (IiP)-Anerkennung als Bedingung für ihre Branding- und Handelslizenz erfüllen musste. Wir wollten auch Informationssicherheits- und Umweltmanagementservices verkaufen und - aus der Absicht, das zu predigen, was wir gepredigt hatten, sowie aus der Entschlossenheit, die identifizierbaren Vorteile der Bewältigung all dieser Geschäftskomponenten zu erreichen - haben wir uns für BS 7799 und ISO 14001 zur