Information Security Management System - Versionsgeschichte

Horst Gräbner: danke für den Werbebeitrag

2024-12-06T15:51:09Z

danke für den Werbebeitrag

← Nächstältere Version		Version vom 6. Dezember 2024, 17:51 Uhr
Zeile 28:		Zeile 28:
	# Verankerung in der Organisation: Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen. Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt). Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt.		# Verankerung in der Organisation: Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen. Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt). Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt.
	# Verbindliche Ziele: Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.		# Verbindliche Ziele: Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.
	# Richtlinien: Verabschiedung von Sicherheitsrichtlinien ([[Sicherheitsrichtlinie\|Security Policy]]), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren ~~und~~ durch das oberste Management ~~verantwortet, sowie die volle Unterstützung erhält~~. Richtlinien sind jedoch nicht in der Hand einer einzelnen Person, sondern ein kollaboratives Werk zwischen allen Beteiligten. Bei der Erstellung einer Richtlinien können durchaus mehrere Abteilungen und Personen zusammenarbeiten. Erst wenn eine Richtlinie von allen betroffenen Personen verstanden wird, kann eine Richtlininenakzeptanz erzielt werden. Grundlegend muss insbesondere auf die Bekanntheit und Sinnhaftigkeit einer Richtlinie geachtet werden.<ref>{{Internetquelle \|url=https://www.gray-hat-it-security-consulting.de/isms-richtlinien-tiefer-betrachtet \|titel=ISMS Richtlinien tiefer betrachtet. \|sprache=de \|abruf=2024-11-15}}</ref>		# Richtlinien: Verabschiedung von Sicherheitsrichtlinien ([[Sicherheitsrichtlinie\|Security Policy]]), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management.
	# Personalmanagement: Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.		# Personalmanagement: Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.
	# Aktualität des Wissens: Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.		# Aktualität des Wissens: Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.

SirStephanikus: /* Allgemeine Ansätze */

2024-11-15T19:35:58Z

Allgemeine Ansätze

← Nächstältere Version		Version vom 15. November 2024, 21:35 Uhr
Zeile 28:		Zeile 28:
	# Verankerung in der Organisation: Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen. Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt). Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt.		# Verankerung in der Organisation: Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen. Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt). Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt.
	# Verbindliche Ziele: Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.		# Verbindliche Ziele: Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.
	# Richtlinien: Verabschiedung von Sicherheitsrichtlinien ([[Sicherheitsrichtlinie\|Security Policy]]), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren und durch das oberste Management verantwortet, sowie die volle Unterstützung erhält. Richtlinien sind jedoch nicht in der Hand einer einzelnen Person, sondern ein kollaboratives Werk zwischen allen Beteiligten. Bei der Erstellung einer Richtlinien können durchaus mehrere Abteilungen und Personen zusammenarbeiten. Erst wenn eine Richtlinie von allen betroffenen Personen verstanden wird, kann eine Richtlininenakzeptanz erzielt werden.<ref>{{Internetquelle \|url=https://www.gray-hat-it-security-consulting.de/isms-richtlinien-tiefer-betrachtet \|titel=ISMS Richtlinien tiefer betrachtet. \|sprache=de \|abruf=2024-11-15}}</ref>		# Richtlinien: Verabschiedung von Sicherheitsrichtlinien ([[Sicherheitsrichtlinie\|Security Policy]]), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren und durch das oberste Management verantwortet, sowie die volle Unterstützung erhält. Richtlinien sind jedoch nicht in der Hand einer einzelnen Person, sondern ein kollaboratives Werk zwischen allen Beteiligten. Bei der Erstellung einer Richtlinien können durchaus mehrere Abteilungen und Personen zusammenarbeiten. Erst wenn eine Richtlinie von allen betroffenen Personen verstanden wird, kann eine Richtlininenakzeptanz erzielt werden. Grundlegend muss insbesondere auf die Bekanntheit und Sinnhaftigkeit einer Richtlinie geachtet werden.<ref>{{Internetquelle \|url=https://www.gray-hat-it-security-consulting.de/isms-richtlinien-tiefer-betrachtet \|titel=ISMS Richtlinien tiefer betrachtet. \|sprache=de \|abruf=2024-11-15}}</ref>
	# Personalmanagement: Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.		# Personalmanagement: Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.
	# Aktualität des Wissens: Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.		# Aktualität des Wissens: Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.

SirStephanikus: /* Allgemeine Ansätze */

2024-11-15T19:31:31Z

Allgemeine Ansätze

← Nächstältere Version		Version vom 15. November 2024, 21:31 Uhr
Zeile 28:		Zeile 28:
	# Verankerung in der Organisation: Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen. Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt). Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt.		# Verankerung in der Organisation: Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen. Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt). Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt.
	# Verbindliche Ziele: Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.		# Verbindliche Ziele: Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.
	# Richtlinien: Verabschiedung von Sicherheitsrichtlinien ([[Sicherheitsrichtlinie\|Security Policy]]), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management.		# Richtlinien: Verabschiedung von Sicherheitsrichtlinien ([[Sicherheitsrichtlinie\|Security Policy]]), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren und durch das oberste Management verantwortet, sowie die volle Unterstützung erhält. Richtlinien sind jedoch nicht in der Hand einer einzelnen Person, sondern ein kollaboratives Werk zwischen allen Beteiligten. Bei der Erstellung einer Richtlinien können durchaus mehrere Abteilungen und Personen zusammenarbeiten. Erst wenn eine Richtlinie von allen betroffenen Personen verstanden wird, kann eine Richtlininenakzeptanz erzielt werden.<ref>{{Internetquelle \|url=https://www.gray-hat-it-security-consulting.de/isms-richtlinien-tiefer-betrachtet \|titel=ISMS Richtlinien tiefer betrachtet. \|sprache=de \|abruf=2024-11-15}}</ref>
	# Personalmanagement: Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.		# Personalmanagement: Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.
	# Aktualität des Wissens: Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.		# Aktualität des Wissens: Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.

SgwSebastian: /* ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz */ Aktualisierung der Angabe, dass seit Dezember 2023 eine deutsche Version der ISO 27001 2022 verfügbar ist.

2024-06-27T13:44:42Z

ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz: Aktualisierung der Angabe, dass seit Dezember 2023 eine deutsche Version der ISO 27001 2022 verfügbar ist.

← Nächstältere Version		Version vom 27. Juni 2024, 15:44 Uhr
Zeile 14:		Zeile 14:
	Das BSI legt dabei besonderen Wert auf die drei Bereiche [[Vertraulichkeit]], [[Integrität (Informationssicherheit)\|Integrität]] und [[Verfügbarkeit]] von Informationen.		Das BSI legt dabei besonderen Wert auf die drei Bereiche [[Vertraulichkeit]], [[Integrität (Informationssicherheit)\|Integrität]] und [[Verfügbarkeit]] von Informationen.

	Im Oktober 2022 wurde die Norm auf die ISO 27001:2022<ref>{{Internetquelle \|url=https://byght.io/iso-27001-2022-update/ \|titel=ISO 27001:2022 Update - Byght \|datum=2022-11-27 \|sprache=de-DE \|abruf=2023-04-12}}</ref> aktualisiert. ~~Eine~~ ~~deutsche~~ ~~Übersetzung~~ ~~steht~~ ~~derzeit~~ ~~noch~~ ~~aus~~.		Im Oktober 2022 wurde die Norm auf die ISO 27001:2022<ref>{{Internetquelle \|url=https://byght.io/iso-27001-2022-update/ \|titel=ISO 27001:2022 Update - Byght \|datum=2022-11-27 \|sprache=de-DE \|abruf=2023-04-12}}</ref> aktualisiert. Seit Dezember 2023 ist diese auch in deutscher Sprache veröffentlicht.<ref>{{Internetquelle \|url=https://www.dinmedia.de/de/norm/din-en-iso-iec-27001/370680635 \|titel=DIN EN ISO/IEC 27001 - 2024-01 - DIN Media \|sprache=de \|abruf=2024-06-27}}</ref>

	=== Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) ===		=== Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) ===

Kuebi: Änderungen von 2A01:599:441:BA1B:5707:1154:6907:755C (Diskussion) auf die letzte Version von Crazy1880 zurückgesetzt

2023-10-06T14:59:27Z

Änderungen von 2A01:599:441:BA1B:5707:1154:6907:755C (Diskussion) auf die letzte Version von Crazy1880 zurückgesetzt

← Nächstältere Version		Version vom 6. Oktober 2023, 16:59 Uhr
Zeile 1:		Zeile 1:
	Ein {{lang\|en\|'''Information Security Management System'''}} ('''ISMS''', {{enS}} für „Managementsystem für Informationssicherheit“) ist die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die [[Informationssicherheit]] dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.		Ein {{lang\|en\|'''Information Security Management System'''}} ('''ISMS''', {{enS}} für „Managementsystem für Informationssicherheit“) ist die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die [[Informationssicherheit]] dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

			Der Begriff wird im Standard [[ISO/IEC 27002]] definiert. [[ISO/IEC 27001]] definiert ein ISMS. Der deutsche Anteil an dieser Normungsarbeit wird vom [[IT-Sicherheitsverfahren\|DIN NIA-01-27 IT-Sicherheitsverfahren]] betreut.

	== Zertifizierung ==		== Zertifizierung ==

2A01:599:441:BA1B:5707:1154:6907:755C am 6. Oktober 2023 um 14:56 Uhr

2023-10-06T14:56:52Z

← Nächstältere Version		Version vom 6. Oktober 2023, 16:56 Uhr
Zeile 1:		Zeile 1:
	Ein {{lang\|en\|'''Information Security Management System'''}} ('''ISMS''', {{enS}} für „Managementsystem für Informationssicherheit“) ist die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die [[Informationssicherheit]] dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.		Ein {{lang\|en\|'''Information Security Management System'''}} ('''ISMS''', {{enS}} für „Managementsystem für Informationssicherheit“) ist die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die [[Informationssicherheit]] dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

	Der Begriff wird im Standard [[ISO/IEC 27002]] definiert. [[ISO/IEC 27001]] definiert ein ISMS. Der deutsche Anteil an dieser Normungsarbeit wird vom [[IT-Sicherheitsverfahren\|DIN NIA-01-27 IT-Sicherheitsverfahren]] betreut.

	== Zertifizierung ==		== Zertifizierung ==

Crazy1880: Unicode-Steuerzeichen

2023-07-08T07:24:27Z

Unicode-Steuerzeichen

← Nächstältere Version		Version vom 8. Juli 2023, 09:24 Uhr
Zeile 1:		Zeile 1:
	Ein {{lang\|en\|'''Information Security Management System'''}} ('''ISMS''', ~~engl.~~ für „Managementsystem für Informationssicherheit“) ist die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die [[Informationssicherheit]] dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.		Ein {{lang\|en\|'''Information Security Management System'''}} ('''ISMS''', {{enS}} für „Managementsystem für Informationssicherheit“) ist die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die [[Informationssicherheit]] dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

	Der Begriff wird im Standard [[ISO/IEC 27002]] definiert. [[ISO/IEC 27001]] definiert ein ISMS. Der deutsche Anteil an dieser Normungsarbeit wird vom [[IT-Sicherheitsverfahren\|DIN NIA-01-27 IT-Sicherheitsverfahren]] betreut.		Der Begriff wird im Standard [[ISO/IEC 27002]] definiert. [[ISO/IEC 27001]] definiert ein ISMS. Der deutsche Anteil an dieser Normungsarbeit wird vom [[IT-Sicherheitsverfahren\|DIN NIA-01-27 IT-Sicherheitsverfahren]] betreut.

	== Zertifizierung ==		== Zertifizierung ==
	Je nach Branche und Gesetz muss eine Organisation ein zertifiziertes ISMS betreiben – oft mit jährlichen externen Audit. In anderen Branchen mit weniger strikter Auslegung gilt eine freiwillige Zertifizierung mitunter auch als Wettbewerbsvorteil, um Kunden und Dienstleistern gegenüber die Sicherheit ihrer Informationen nachzuweisen<ref>{{Internetquelle \|url=https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/zertifizierung-und-anerkennung.html?nn=128152 \|titel=Der Wert der Informationssicherheit: Zertifizierung und Anerkennung durch das BSI \|sprache=de \|abruf=2023-04-12}}</ref>.		Je nach Branche und Gesetz muss eine Organisation ein zertifiziertes ISMS betreiben – oft mit jährlichen externen Audit. In anderen Branchen mit weniger strikter Auslegung gilt eine freiwillige Zertifizierung mitunter auch als Wettbewerbsvorteil, um Kunden und Dienstleistern gegenüber die Sicherheit ihrer Informationen nachzuweisen<ref>{{Internetquelle \|url=https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/zertifizierung-und-anerkennung.html?nn=128152 \|titel=Der Wert der Informationssicherheit: Zertifizierung und Anerkennung durch das BSI \|sprache=de \|abruf=2023-04-12}}</ref>.

	Neben der Zertifizierung direkt auf die [[ISO/IEC-27000-Reihe]] gibt es in Deutschland drei typische Varianten:		Neben der Zertifizierung direkt auf die [[ISO/IEC-27000-Reihe]] gibt es in Deutschland drei typische Varianten:
Zeile 14:		Zeile 14:
	Das BSI legt dabei besonderen Wert auf die drei Bereiche [[Vertraulichkeit]], [[Integrität (Informationssicherheit)\|Integrität]] und [[Verfügbarkeit]] von Informationen.		Das BSI legt dabei besonderen Wert auf die drei Bereiche [[Vertraulichkeit]], [[Integrität (Informationssicherheit)\|Integrität]] und [[Verfügbarkeit]] von Informationen.

	Im Oktober 2022 wurde die Norm auf die ISO 27001:2022<ref>{{Internetquelle \|url=https://byght.io/iso-27001-2022-update/ \|titel=ISO 27001:2022 ~~Update~~ - Byght \|datum=2022-11-27 \|sprache=de-DE \|abruf=2023-04-12}}</ref> aktualisiert. Eine deutsche Übersetzung steht derzeit noch aus.		Im Oktober 2022 wurde die Norm auf die ISO 27001:2022<ref>{{Internetquelle \|url=https://byght.io/iso-27001-2022-update/ \|titel=ISO 27001:2022 Update - Byght \|datum=2022-11-27 \|sprache=de-DE \|abruf=2023-04-12}}</ref> aktualisiert. Eine deutsche Übersetzung steht derzeit noch aus.

	=== Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) ===		=== Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) ===
	{{Hauptartikel\|ISIS12}}		{{Hauptartikel\|ISIS12}}
	ISMS nach ISO/IEC 27001 oder den IT-Grundschutz-Katalogen des BSI stellen aus verschiedenen Gründen oft große Hürden für Unternehmen des Mittelstands ([[Kleine und mittlere Unternehmen\|Kleine und mittlere Unternehmen (KMU)]]) dar, vor allem wenn diese nicht in der IT-Branche tätig sind.<ref>[https://www.zdnet.de/41557734/isis-12-management-der-informationssicherheit-fuer-den-mittelstand/ ZDNet-Artikel vom 7. November 2011]</ref> Schwierigkeiten bestehen erfahrungsgemäß unter anderem darin, ausreichend ausgebildetes Personal in den meist kleinen IT-Abteilungen abstellen zu können. Weiterhin stellt die in dem ISO/IEC 27001-Standard geforderte Risikoanalyse sowie das Auswählen von konkreten Maßnahmen viele Unternehmen in der Realität vor unlösbare Aufgaben. Das sogenannte „Netz für Informationssicherheit im Mittelstand (NIM)“ (Mitglieder u. a. Bayerischer IT-Sicherheitscluster, Universität und Hochschule Regensburg)<ref>{{Webarchiv\|url=http://www.isis12.de/it-speicher/firmen/0-632-Tyellow,1,0.html ~~\|wayback=20130313155019~~ \|text=ISI12-Netzwerkmitglieder \|archiv-bot=2019-04-18 21:07:34 InternetArchiveBot }}</ref> entwickelte daher – aus IT-Grundschutz und ISO/IEC 27001 abgeleitet – ein wissenschaftlich abgestütztes Modell zur Einführung eines ISMS in 12 konkreten Schritten. Wesentliches Augenmerk wurde darauf gelegt, dass nicht jedes Bedrohungsszenario abgedeckt wird, sondern den Unternehmen eine klare Handlungsanweisung in begrenztem Umfang, mit integriertem Einführungskonzept und in verständlicher Sprache an die Hand gegeben wird.		ISMS nach ISO/IEC 27001 oder den IT-Grundschutz-Katalogen des BSI stellen aus verschiedenen Gründen oft große Hürden für Unternehmen des Mittelstands ([[Kleine und mittlere Unternehmen\|Kleine und mittlere Unternehmen (KMU)]]) dar, vor allem wenn diese nicht in der IT-Branche tätig sind.<ref>[https://www.zdnet.de/41557734/isis-12-management-der-informationssicherheit-fuer-den-mittelstand/ ZDNet-Artikel vom 7. November 2011]</ref> Schwierigkeiten bestehen erfahrungsgemäß unter anderem darin, ausreichend ausgebildetes Personal in den meist kleinen IT-Abteilungen abstellen zu können. Weiterhin stellt die in dem ISO/IEC 27001-Standard geforderte Risikoanalyse sowie das Auswählen von konkreten Maßnahmen viele Unternehmen in der Realität vor unlösbare Aufgaben. Das sogenannte „Netz für Informationssicherheit im Mittelstand (NIM)“ (Mitglieder u. a. Bayerischer IT-Sicherheitscluster, Universität und Hochschule Regensburg)<ref>{{Webarchiv \|url=http://www.isis12.de/it-speicher/firmen/0-632-Tyellow,1,0.html \|text=ISI12-Netzwerkmitglieder \|wayback=20130313155019 \|archiv-bot=2019-04-18 21:07:34 InternetArchiveBot}}</ref> entwickelte daher – aus IT-Grundschutz und ISO/IEC 27001 abgeleitet – ein wissenschaftlich abgestütztes Modell zur Einführung eines ISMS in 12 konkreten Schritten. Wesentliches Augenmerk wurde darauf gelegt, dass nicht jedes Bedrohungsszenario abgedeckt wird, sondern den Unternehmen eine klare Handlungsanweisung in begrenztem Umfang, mit integriertem Einführungskonzept und in verständlicher Sprache an die Hand gegeben wird.

	=== VdS Richtlinien 10000 (VdS 10000) ===		=== VdS Richtlinien 10000 (VdS 10000) ===
Zeile 26:		Zeile 26:
	== Allgemeine Ansätze ==		== Allgemeine Ansätze ==
	In der Praxis lassen sich die Eigenschaften und Ziele eines ISMS wie folgt definieren:		In der Praxis lassen sich die Eigenschaften und Ziele eines ISMS wie folgt definieren:
	# Verankerung in der Organisation: Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen. Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt). Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt.		# Verankerung in der Organisation: Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen. Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB genannt). Alternativ kann sich die Organisation auch eines externen Dienstleisters bedienen, der den ISB stellt.
	# Verbindliche Ziele: Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.		# Verbindliche Ziele: Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.
	# Richtlinien: Verabschiedung von Sicherheitsrichtlinien ([[Sicherheitsrichtlinie\|Security Policy]]), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management.		# Richtlinien: Verabschiedung von Sicherheitsrichtlinien ([[Sicherheitsrichtlinie\|Security Policy]]), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management.
	# Personalmanagement: Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.		# Personalmanagement: Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.
	# Aktualität des Wissens: Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.		# Aktualität des Wissens: Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.
	# Qualifikation und Fortbildung: Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist.		# Qualifikation und Fortbildung: Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist.
	# Adaptive Sicherheit: Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst ([[Kontinuierlicher Verbesserungsprozess]]).		# Adaptive Sicherheit: Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst ([[Kontinuierlicher Verbesserungsprozess]]).
	# Vorbereitung: Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet.		# Vorbereitung: Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet.

	== Informationssicherheit und Datenschutz ==		== Informationssicherheit und Datenschutz ==
	Der Informationssicherheitsbeauftragte (ISB) und Datenschutzbeauftragter (DSB) haben teilweise überschneidende Zuständigkeiten, müssen aber personell getrennt wahrgenommen werden. Mit der neuen Norm ISO/IEC 27701 wird das klassische Informationssicherheitsmanagementsystem um Datenschutzaspekte erweitert, so dass beide Beauftragte über das gleiche Dokumentenwerk gegenseitig zuarbeiten können.<ref>{{Literatur		Der Informationssicherheitsbeauftragte (ISB) und Datenschutzbeauftragter (DSB) haben teilweise überschneidende Zuständigkeiten, müssen aber personell getrennt wahrgenommen werden. Mit der neuen Norm ISO/IEC 27701 wird das klassische Informationssicherheitsmanagementsystem um Datenschutzaspekte erweitert, so dass beide Beauftragte über das gleiche Dokumentenwerk gegenseitig zuarbeiten können.<ref>{{Literatur \|Autor=Sebastian Krüsmann \|Titel=Nachbarschaftlich verbunden \|Sammelwerk=[[iX – Magazin für professionelle Informationstechnik\|iX]] \|Nummer=7 \|Datum=2020 \|Seiten=54-59 \|Kommentar=Stand 2020-08-09: Durch einen heise-Bug zur Zeit kein Einzelartikel-Kauf-Link verfügbar \|Online=https://www.heise.de/select/ix/2020/7/2009808322640295303 \|Abruf=2020-08-09}}</ref>
	\| Autor=Sebastian Krüsmann
	\| Titel=Nachbarschaftlich verbunden
	\| Sammelwerk=[[iX – Magazin für professionelle Informationstechnik\|iX]]
	\| Nummer=7
	\| Datum=2020
	\| Seiten=54-59
	\| Online=https://www.heise.de/select/ix/2020/7/2009808322640295303
	\| Kommentar=Stand 2020-08-09: Durch einen heise-Bug zur Zeit kein Einzelartikel-Kauf-Link verfügbar
	\| Abruf=2020-08-09
	}}</ref>

	== Weblinks ==		== Weblinks ==

Rilegator: Typo

2023-07-07T11:52:07Z

Typo

← Nächstältere Version		Version vom 7. Juli 2023, 13:52 Uhr
Zeile 14:		Zeile 14:
	Das BSI legt dabei besonderen Wert auf die drei Bereiche [[Vertraulichkeit]], [[Integrität (Informationssicherheit)\|Integrität]] und [[Verfügbarkeit]] von Informationen.		Das BSI legt dabei besonderen Wert auf die drei Bereiche [[Vertraulichkeit]], [[Integrität (Informationssicherheit)\|Integrität]] und [[Verfügbarkeit]] von Informationen.

	Im Oktober 2022 wurde die Norm auf die ISO 27001:2022<ref>{{Internetquelle \|url=https://byght.io/iso-27001-2022-update/ \|titel=ISO 27001:2022 Update - Byght \|datum=2022-11-27 \|sprache=de-DE \|abruf=2023-04-12}}</ref> aktualisiert. ~~Ein~~ deutsche Übersetzung steht derzeit noch aus.		Im Oktober 2022 wurde die Norm auf die ISO 27001:2022<ref>{{Internetquelle \|url=https://byght.io/iso-27001-2022-update/ \|titel=ISO 27001:2022 Update - Byght \|datum=2022-11-27 \|sprache=de-DE \|abruf=2023-04-12}}</ref> aktualisiert. Eine deutsche Übersetzung steht derzeit noch aus.

	=== Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) ===		=== Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) ===

2A04:4540:6E00:BC00:547D:335B:9C2E:5354: Ergänzungen zur Zertifizierung + Norm-Update 2022

2023-04-12T14:46:03Z

Ergänzungen zur Zertifizierung + Norm-Update 2022

← Nächstältere Version		Version vom 12. April 2023, 16:46 Uhr
Zeile 4:		Zeile 4:

	== Zertifizierung ==		== Zertifizierung ==
	Je nach Branche und Gesetz muss eine Organisation ein zertifiziertes ISMS betreiben – oft mit jährlichen externen Audit. ~~Neben~~ ~~der~~ Zertifizierung ~~direkt~~ ~~auf~~ die ~~[[ISO~~/~~IEC~~-~~27000~~-~~Reihe]]~~ ~~gibt~~ es in ~~Deutschland~~ ~~drei~~ ~~typische~~ ~~Varianten:~~		Je nach Branche und Gesetz muss eine Organisation ein zertifiziertes ISMS betreiben – oft mit jährlichen externen Audit. In anderen Branchen mit weniger strikter Auslegung gilt eine freiwillige Zertifizierung mitunter auch als Wettbewerbsvorteil, um Kunden und Dienstleistern gegenüber die Sicherheit ihrer Informationen nachzuweisen<ref>{{Internetquelle \|url=https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/zertifizierung-und-anerkennung.html?nn=128152 \|titel=Der Wert der Informationssicherheit: Zertifizierung und Anerkennung durch das BSI \|sprache=de \|abruf=2023-04-12}}</ref>.

			Neben der Zertifizierung direkt auf die [[ISO/IEC-27000-Reihe]] gibt es in Deutschland drei typische Varianten:

	=== ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz ===		=== ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz ===
Zeile 11:		Zeile 13:

	Das BSI legt dabei besonderen Wert auf die drei Bereiche [[Vertraulichkeit]], [[Integrität (Informationssicherheit)\|Integrität]] und [[Verfügbarkeit]] von Informationen.		Das BSI legt dabei besonderen Wert auf die drei Bereiche [[Vertraulichkeit]], [[Integrität (Informationssicherheit)\|Integrität]] und [[Verfügbarkeit]] von Informationen.

			Im Oktober 2022 wurde die Norm auf die ISO 27001:2022<ref>{{Internetquelle \|url=https://byght.io/iso-27001-2022-update/ \|titel=ISO 27001:2022 Update - Byght \|datum=2022-11-27 \|sprache=de-DE \|abruf=2023-04-12}}</ref> aktualisiert. Ein deutsche Übersetzung steht derzeit noch aus.

	=== Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) ===		=== Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) ===

Bildungsbürger: /* Informationssicherheit und Datenschutz */ -BKL-Link

2023-01-18T14:18:21Z

Informationssicherheit und Datenschutz: -BKL-Link

← Nächstältere Version		Version vom 18. Januar 2023, 16:18 Uhr
Zeile 35:		Zeile 35:
	\| Autor=Sebastian Krüsmann		\| Autor=Sebastian Krüsmann
	\| Titel=Nachbarschaftlich verbunden		\| Titel=Nachbarschaftlich verbunden
	\| Sammelwerk=[[iX]]		\| Sammelwerk=[[iX – Magazin für professionelle Informationstechnik\|iX]]
	\| Nummer=7		\| Nummer=7
	\| Datum=2020		\| Datum=2020