ISO / IEC 27001 Anforderungen an Informationssicherheits-Managementsysteme

Inhalt

Kontext der Organisation (aus Kapitel 4)

Unter „Externen Themen“ versteht man solche, die nicht der Kontrolle der Organisation unterliegen. Diese beziehen sich häufig auf das Umfeld der Organisation. Die Analyse des Organisationsumfeldes kann die folgenden Aspekte beinhaltet:

  • soziale und kulturelle
  • politische, gesetzliche, normative und regulatorische
  • finanzielle und makroökonomische
  • technologische
  • natürliche
  • wettbewerbliche

Diese Aspekte des Organisationsumfelds stellen fortlaufend Themen dar, die die Informationssicherheit betreffen und wie die Informationssicherheit gemanaget werden kann.

Zum Beispiel können externe Themen für eine spezifische Organisation folgendes beinhalten:

  • die gesetzliche Folgen bei Nutzung eines outgesourcten IT services (gesetzlicher Aspekt)
  • Naturcharakteristiken natürlicher Gegebenheiten möglicher Naturkatastrophen wie Feuer, Überflutung und Erdbeben (natürliche Aspekte)
  • Technischer Fortschritt von Hackertools und Nutzung von Kryptographie (Technologischer Aspekt)
  • Die generelle Nachfrage nach Dientleistungen der Organisation (soziale, kulturelle oder finanzielle Aspekte)

„Internen Themen“ unterliegen der Kontolle der Organisation. Das Analysieren von internen Themen kann die folgenden Aspekte beinhalten:

  • Organisationskultur / Unternehmenskultur
  • Politik, Ziele und die Strategie wie man sie erreicht
  • Führungsverhalten, Organisationsstruktur, Rollen und Verantwortlichkeiten
  • Standards, Richtlinien und angewendete Modelle der Organisation
  • Vertragliche Beziehungen die direkt die Organisationsprozesse betreffen die im ISMS einbezogen wurden
  • Prozesse und Vorgehensweisen
  • Der Einsatz von Ressourcen und Wissen (z.B. Kapital, Zeit, Personen, Prozesse, Systeme und Technologien)
  • Physische Infrastruktur und Umgebung/Umfeld
  • Informationssysteme, Informationsflüsse und Entscheidungsprozesse (beide formell und informell)
  • Vorherige Audits und vorherige Risikobewertungsergebnisse

Die Führung und ihre Verpflichtung (aus Kapitel 5.1)

Politik (aus Kapitel 5.2)

Rollen, Verantwortungen und Befugnisse der Organisation (aus Kapitel 5.3)

Definition „Informationssicherheit“

Informationssicherheit ist nicht IT-Sicherheit. Sie beschäftigt sich mit der Aufrechterhaltung von Informationen. Die ersten 3 Begriffe sind die Hauptbegriffe, die letzten 4 Begriffe können als zusätzliche Eigenschaften einbezogen werden:

BegriffISO 27000 Definition
VertraulichkeitEigenschaft, dass Information unbefugten Personen, Entitäten oder Prozessen (2.61) nicht offengelegt wird.
IntegritätEigenschaft der Richtigkeit und Vollständigkeit.
VerfügbarkeitEigenschaft zugänglich zu sein, wenn eine befugte Entität Bedarf hat.
AuthentizitätEigenschaft, dass eine Entität das ist, was sie angibt zu sein.
ZurechenbarkeitÜbernahme von Verantwortung, Rechenschaft und/oder Haftung für Informationswerte (Assets).
NichtabstreitbarkeitFähigkeit, das Eintreten eines behaupteten Ereignisses (2.25) oder einer behaupteten Handlung samt ihren Entitäten nachzuweisen.
VerlässlichkeitEigenschaft der Übereinstimmung zwischen beabsichtigtem Verhalten und den Ergebnissen.
Die ersten 3 Begriffe sind gelten immer. Die letzten 4 Begriffe können als zusätzliche Eigenschaften einbezogen werden

Änderungen von Einflussgrößen einer Organisation

Die folgenden Organisationseinflussgrößen können sich im Laufe der Zeit ändern und erfordern daher einen kontinuierlichen Verbesserungsprozess / Anpassungen des ISMS:

  • Bedürfnisse und Ziele
  • Sicherheitsanforderungen
  • Größe und Struktur
  • organisatorische Abläufe

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.