IT-Sicherheitsmanagement nach ISO 27001 und IT-Grundschutz (BSI)
In Zeiten einer immer stärker werdenden und offeneren Kommunikation über das Internet, im Intranet und Extranet sowie beim Zugriff entfernter Mitarbeiter auf das Unternehmensnetz lauern immer mehr Gefahren. Viele Arbeitsprozesse werden elektronisch gesteuert und große Mengen von Informationen sind digital gespeichert, werden verarbeitet und in Netzen übermittelt. Damit sind Wirtschaftunternehmen, Verwaltungen und Bürger von dem einwandfreien Funktionieren der eingesetzten IT abhängig.
Die Bedrohung von außen ist aber nur die eine Seite. Studien zeigen, dass die Bedrohung, die von den eigenen Mitarbeitern ausgeht, nicht zu unterschätzen ist. Mitarbeiter des Unternehmens verfügen im Gegensatz zu externen Angreifern über viel mehr Möglichkeiten, Schaden versehentlich oder absichtlich anzurichten.
Angesichts dieser vielfältigen und wachsenden Gefährdungspotentiale und der steigenden Abhängigkeit stellen sich damit für alle Anwender hinsichtlich der IT-Sicherheit die Fragen, wie kann ich, wo, mit welchen Mitteln mehr Sicherheit erreichen.
Nur eine regelmäßige Überprüfung der IT-Infrastruktur sowie der Organisation, in die die IT-Infrastruktur eingebettet ist, erlaubt es Sicherheitslücken zu finden, sie zu beseitigen und das Gesamtsystem den Sicherheitsanforderungen anzupassen.
Auf einen Blick
 

IT-Sicherheitsmanagement -

Der IT-Grundschutz (BSI)

Die ISO 27001

Nutzen eines ISMS

Inhaltsverzeichnis der 
ISO 27001

IT-Grundschutzhandbuch
   

Informationen anfordern

Home

 

 

Der IT-Grundschutz nach BSI
Der IT-Grundschutz nach BSI (Bundesamt für Sicherheit in der Informationstechnik) beschreibt detailliert Standard-Sicherheitsmaßnahmen, die praktisch für jedes IT-System zu beachten sind.
Es umfasst:
  • Standardsicherheitsmaßnahmen für typische IT-Systeme mit "normalem" Schutzbedarf
  • eine Darstellung der pauschal angenommenen Gefährdungslage
  • ausführliche Maßnahmenbeschreibungen als Umsetzungshilfe
  • eine Beschreibung des Prozesses zum Erreichen und Aufrechterhalten eines angemessenen IT-Sicherheitsniveaus
  • eine einfache Verfahrensweise zur Ermittlung des erreichten IT-Sicherheitsniveaus in Form eines Soll-Ist-Vergleichs

Die Struktur und eine Übersicht über die Inhalte des IT-Grundschutzhandbuchs finden Sie hier.

 

Die ISO 27001 - IT-Sicherheitsmanagement
Die Herstellung und Aufrechterhaltung einer umfassenden Informationssicherheit in einer Organisation ist ein globaler Prozess. Diesen Ansatz verfolgt das die Norm ISO 27001 mit der Einführung eines systematischen Managements der Informationssicherheit in der Organisation, das auch zertifizierbar ist. Ein nach ISO 27001 aufgebautes Informationssicherheits-Managementsystem (ISMS) bietet eine Grundlage zur Identifikation und Beherrschung spezifischer IT-Risiken sowie zur Sicherstellung der benötigten Zuverlässigkeit von IT-Systemen.
Als Teil eines Managementsystemansatzes zur Entwicklung, Umsetzung und Verbesserung der Wirksamkeit des Informationssicherheits-Managementsystems einer Organisation führt die ISO 27001 außerdem ein PDCA-Modell ein:
PDCA:  Plan-Do-Check-Act -„Planen­-Durchführen-Prüfen-Handeln".
Die ISO 27001 beruht auf zwei Hauptbestandteilen:
  • Die Beschreibung der Anforderungen an ein ISMS
  • Die Beschreibung der detaillierten Maßnahmen im Anhang

Der ISMS Standard ISO 27001 basiert auf der ISO 17799:2005 und wurde im Kommittee ISO/IEC JTC1 SC 27 entwickelt. Die ISO 27001 spezifiziert die Anforderungen an ein ISMS (Information Security Management System) und ist, genau wie ISO 9001, ein Management-System-Standard, nach dem auch zertifiziert werden kann. 
Die ISO 27001 ist mit anderen Management-Standards wie die ISO 9001:2000 und ISO 14001:2004 harmonisiert. Dadurch ist es möglich, konsistente und integrierte Management-Systeme zu implementieren. Die ISO 27001 beinhaltet außerdem ein Plan-Do-Check-Act-Modell (PDCA) als Teil des Management-System Ansatzes zur Entwicklung, Umsetzung und kontinuierlichen Verbesserung des ISMS.
Die Maßnahmenziele und Maßnahmen im Anhang der ISO 27001 wurden direkt aus der ISO 17799:2005 abgeleitet und aufgenommen. Die in der ISO 17799:2005 enthaltenen Abschnitte 5 bis 15 enthalten Ratschläge zur Umsetzung und Anleitungen für allgemein anerkannte Verfahren, um die die aufgeführten Maßnahmen unterstützen.
Die Zertifizierung eines ISMS einer Organisation soll nachweisen, dass die zertifizierte Organisation ein System zum Management von Informationssicherheit wirksam eingeführt und umgesetzt hat, welches die Ansprüche von Standards oder normativen Dokumenten erfüllt.
 Eine Übersicht über die bisher erteilten ISO 27001 Zertifikate finden Sie im Certificate Register. Dieses Register zeigt alle Organisationen, die bis jetzt zertifiziert wurden.  Das Register wird regelmäßig aktualisiert, in Zusammenarbeit mit den Zertifizierungsstellen, die ISMS Zertifikate ausstellen.

Das Inhaltsverzeichnis der ISO 27001 finden Sie hier.
 

Nutzen eines ISMS

Durch IT-Sicherheitsmanagement sollen Informationen und Daten vor dem Verlust von Vertraulichkeit, Integrität und Verfügbarkeit geschützt werden.
Vertraulichkeit:
Gewährleistung des bedarfsorientierten Zugangs zu Informationen und zugehörigen Werten für berechtigte Benutzer.
Integrität:
Sicherstellung der Richtigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden.
Verfügbarkeit:
Vermeidung einer nicht annehmbaren Verzögerung bei der Durchführung eines berechtigten Zugriffs auf Informationen.

Mit IT-Sicherheitsmanagement können Sie:

  • die Leistungsfähigkeit Ihrer Sicherheitsprozesse ermitteln
  • generelle Sicherheitsschwachstellen innerhalb Ihrer Organisation aufdecken
  • präventiv Schäden verhindern
  • Risiken im eigenen Unternehmen reduzieren
  • als IT-Dienstleister Ihren Kunden die erwartete Sicherheit für Daten und Informationen geben
  • die Verfügbarkeit Ihrer IT-Systeme erhöhen
  • Fehler und Störungen und deren Kosten reduzieren
  • Ihr Basel II Rating gegenüber den Banken durch Nachweis der Sicherheit verbessern