Inhalt
Kontext der Organisation (aus Kapitel 4)
Unter „Externen Themen“ versteht man solche, die nicht der Kontrolle der Organisation unterliegen. Diese beziehen sich häufig auf das Umfeld der Organisation. Die Analyse des Organisationsumfeldes kann die folgenden Aspekte beinhaltet:
- soziale und kulturelle
- politische, gesetzliche, normative und regulatorische
- finanzielle und makroökonomische
- technologische
- natürliche
- wettbewerbliche
Diese Aspekte des Organisationsumfelds stellen fortlaufend Themen dar, die die Informationssicherheit betreffen und wie die Informationssicherheit gemanaget werden kann.
Zum Beispiel können externe Themen für eine spezifische Organisation folgendes beinhalten:
- die gesetzliche Folgen bei Nutzung eines outgesourcten IT services (gesetzlicher Aspekt)
- Naturcharakteristiken natürlicher Gegebenheiten möglicher Naturkatastrophen wie Feuer, Überflutung und Erdbeben (natürliche Aspekte)
- Technischer Fortschritt von Hackertools und Nutzung von Kryptographie (Technologischer Aspekt)
- Die generelle Nachfrage nach Dientleistungen der Organisation (soziale, kulturelle oder finanzielle Aspekte)
„Internen Themen“ unterliegen der Kontolle der Organisation. Das Analysieren von internen Themen kann die folgenden Aspekte beinhalten:
- Organisationskultur / Unternehmenskultur
- Politik, Ziele und die Strategie wie man sie erreicht
- Führungsverhalten, Organisationsstruktur, Rollen und Verantwortlichkeiten
- Standards, Richtlinien und angewendete Modelle der Organisation
- Vertragliche Beziehungen die direkt die Organisationsprozesse betreffen die im ISMS einbezogen wurden
- Prozesse und Vorgehensweisen
- Der Einsatz von Ressourcen und Wissen (z.B. Kapital, Zeit, Personen, Prozesse, Systeme und Technologien)
- Physische Infrastruktur und Umgebung/Umfeld
- Informationssysteme, Informationsflüsse und Entscheidungsprozesse (beide formell und informell)
- Vorherige Audits und vorherige Risikobewertungsergebnisse
Die Führung und ihre Verpflichtung (aus Kapitel 5.1)
Politik (aus Kapitel 5.2)
Rollen, Verantwortungen und Befugnisse der Organisation (aus Kapitel 5.3)
Definition „Informationssicherheit“
Informationssicherheit ist nicht IT-Sicherheit. Sie beschäftigt sich mit der Aufrechterhaltung von Informationen. Die ersten 3 Begriffe sind die Hauptbegriffe, die letzten 4 Begriffe können als zusätzliche Eigenschaften einbezogen werden:
Begriff | ISO 27000 Definition |
Vertraulichkeit | Eigenschaft, dass Information unbefugten Personen, Entitäten oder Prozessen (2.61) nicht offengelegt wird. |
Integrität | Eigenschaft der Richtigkeit und Vollständigkeit. |
Verfügbarkeit | Eigenschaft zugänglich zu sein, wenn eine befugte Entität Bedarf hat. |
Authentizität | Eigenschaft, dass eine Entität das ist, was sie angibt zu sein. |
Zurechenbarkeit | Übernahme von Verantwortung, Rechenschaft und/oder Haftung für Informationswerte (Assets). |
Nichtabstreitbarkeit | Fähigkeit, das Eintreten eines behaupteten Ereignisses (2.25) oder einer behaupteten Handlung samt ihren Entitäten nachzuweisen. |
Verlässlichkeit | Eigenschaft der Übereinstimmung zwischen beabsichtigtem Verhalten und den Ergebnissen. |
Änderungen von Einflussgrößen einer Organisation
Die folgenden Organisationseinflussgrößen können sich im Laufe der Zeit ändern und erfordern daher einen kontinuierlichen Verbesserungsprozess / Anpassungen des ISMS:
- Bedürfnisse und Ziele
- Sicherheitsanforderungen
- Größe und Struktur
- organisatorische Abläufe