Neun Schritte zum Erfolg: Ein Überblick zur Implementierung der Norm ISO 27001:2013
Von Alan Calder
()
Über dieses E-Book
In sinnvoller, nicht technischer Sprache führt Sie dieser Leitfaden durch die wichtigsten Schritte eines ISO 27001-Projekts, um Ihnen den Erfolg desselben zu garantieren - von der Einführung bis hin zur Zertifizierung:
- Projektmandat
- Projektanbahnung
- Initiierung eines ISMS
- Management-Framework
- Grundlegende Sicherheitskriterien
- Risikomanagement
- Implementierung
- Maßnahme, Überwachung und Überprüfung
- Zertifizierung
In dieser dritten Auflage und ausgerichtet auf ISO 27001: 2013 eignet sich das Handbuch ideal für alle jene, die sich zum ersten Mal mit der Norm beschäftigen.
"Es ist als hätten Sie einen $ 300 / h-Berater an Ihrer Seite, wenn Sie die Aspekte der Gewinnung von Management-Unterstützung, Planung, Problembestimmung (Scoping), Kommunikation etc. betrachten."
Thomas F. Witwicki
Mit Hilfe dieses Buches erfahren Sie wie Sie:
- Unterstützung im Management und die Aufmerksamkeit des Vorstands erhalten;
- Erstellen Sie ein Management-Framework und eine Gap-Analyse, um klar zu verstehen, was Sie bereits unter Kontrolle haben und worauf ihre Bemühungen abzielen sollen;
- Strukturieren Sie Ihr Projekt und statten Sie es mit Ressourcen aus – einschließlich der Festlegung, ob Sie einen Berater verwenden werden oder die Tätigkeit selbst durchführen sowie der Überprüfung der vorhandenen Mittel und Ressourcen, die ihre Arbeit erleichtern werden;
- Führen Sie eine fünfstufige Risikobewertung durch und erstellen Sie eine Aussage zur Anwendbarkeit sowie einen Risikoplan;
- Integrieren Sie Ihr ISO 27001 ISMS mit einem ISO 9001 QMS und anderem Managementsystem;
- Adressieren Sie die Dokumentationsherausforderungen, denen Sie im Rahmen der Erstellung von Geschäftsgrundsätzen, Verfahren, Arbeitsanweisungen und Datensätzen begegnen – einschließlich realisierbarer Alternativen zum kostspieligen Trial- und Error Ansatz
- Kontinuierliche Verbesserung Ihres ISMS, einschließlich interner Prüfungen und Tests sowie Kontrollen durch das Management;
Dieses Buch liefert Ihnen die nötige Anleitung zum Verständnis der Anforderungen der Norm und zur Gewährleistung, dass ihr Implementierungsprojekt ein Erfolg wird. Dabei werden sechs Geheimtipps für den Erfolg gegeben.
Background
Die Erlangung und Aufrechterhaltung der akkreditierten Zertifizierung nach der internationalen Norm für Informationssicherheit-Management - ISO 27001 - kann ein kompliziertes Vorhaben darstellen, besonders dann, wenn die Norm für Sie noch neu ist.
Autor Alan Calder kennt ISO 27001 in- und auswendig: der Gründer und Vorstandsvorsitzende von IT Governance, er leitete die erste Implementierung eines nach BS 7799 zertifizierten Managementsystems - dem Vorläufer der ISO 27001 - und arbeitet seither mit der Norm und seinen Nachfolgern zusammen.
Hunderte Organisationen weltweit haben akkreditierte Zertifizierungen nach ISO 27001 mit der IT-Governance-Beratung erlangt- wie in diesem Buch zusammengefasst.
Kaufen Sie dieses Buch heute und erlernen Sie die neun Schritte für eine erfolgreiche ISO 27001 ISMS Implementierung.Alan Calder
Alan Calder is a leading author on IT governance and information security issues. He is the CEO of GRC International Group plc, the AIM-listed company that owns IT Governance Ltd. Alan is an acknowledged international cyber security guru. He has been involved in the development of a wide range of information security management training courses that have been accredited by the International Board for IT Governance Qualifications (IBITGQ). He is a frequent media commentator on information security and IT governance issues, and has contributed articles and expert comment to a wide range of trade, national and online news outlets.
Ähnlich wie Neun Schritte zum Erfolg
Ähnliche E-Books
IT Sicherheitsmanagement: Ihr Praxis - Leitfaden! Bewertung: 0 von 5 Sternen0 BewertungenMPU-Selbsthilfe: 4. Band MPU-Labor-Wegweiser: Alkohol und/oder Drogen Bewertung: 0 von 5 Sternen0 BewertungenOrganisation: Praxisbezogenes Lehrmittel für höhere Fachschulen Bewertung: 0 von 5 Sternen0 BewertungenSensoren für Kraft, Druck, Drehmoment und Durchfluss: Kompendium Messtechnik und Sensorik, Teil 9 Bewertung: 5 von 5 Sternen5/5Key Performance Indicators zur Optimierung von Instandhaltungsprozessen Bewertung: 0 von 5 Sternen0 BewertungenGeprüfte Schutz- und Sicherheitskraft: Band 1: Rechtsgrundlagen Fragen, Antworten und Fallbeispiele Bewertung: 0 von 5 Sternen0 BewertungenKompendium Kalibrierung: Edition 2020 Bewertung: 0 von 5 Sternen0 BewertungenLiefertreue und Lieferpünktlichkeit: Definieren, messen, analysieren und verbessern Bewertung: 0 von 5 Sternen0 BewertungenLeitfaden Marketing Automation: Digital neue Kunden gewinnen: Vom Lead Management über Big Data zum Lifecycle Marketing Bewertung: 0 von 5 Sternen0 BewertungenGlaube oder Gewissheit - Wie Überzeugungen Ihr Leben bestimmen Bewertung: 0 von 5 Sternen0 BewertungenProzess-FMEA Arbeitsbuch: Erstellen Sie Ihre erste eigene FMEA Bewertung: 0 von 5 Sternen0 BewertungenMessen von Wechselgrößen: Kompendium Messtechnik und Sensorik, Teil 3 Bewertung: 5 von 5 Sternen5/530 Minuten für erfolgreiche Presse- und Öffentlichkeitsarbeit Bewertung: 0 von 5 Sternen0 BewertungenMessmittelmanagement und Kalibrierung: Edition 2020 Bewertung: 5 von 5 Sternen5/5Erfolgreich gründen - Start-up im Studium: Studieren im Quadrat Bewertung: 0 von 5 Sternen0 BewertungenGrundlagen der Sachkunde des Bewachungsgewerbes und Vorschriftensammlung Bewertung: 0 von 5 Sternen0 BewertungenOptimierung von Anlaufmanagement und Entwicklungsprozessen Bewertung: 0 von 5 Sternen0 Bewertungen30 Minuten Qualitätsmanagement Bewertung: 0 von 5 Sternen0 BewertungenProjektmanagement: Kein Buch mit sieben Siegeln Bewertung: 0 von 5 Sternen0 BewertungenFMEA konkret: Präventive Risikoanalyse konkret mit FMEA plus. Die Buchreihe für erfolgreiche Entwickler, Trainer und Moderatoren. Bewertung: 0 von 5 Sternen0 BewertungenTool Box: Das beinahe ultimative Universal-Handbuch für Führungskräfte Bewertung: 0 von 5 Sternen0 BewertungenBGH-Rechtsprechung Strafrecht - Jahrbuch 2018 Bewertung: 0 von 5 Sternen0 BewertungenAnleitung zum erfolgreichen Affiliate Marketer Bewertung: 0 von 5 Sternen0 BewertungenSix Sigma und BPM: Integriertes Prozessmanagement Bewertung: 0 von 5 Sternen0 BewertungenMessen, Prüfen, Kalibrieren und Eichen: Kompendium Messtechnik und Sensorik, Teil 1 Bewertung: 5 von 5 Sternen5/5
Computer für Sie
Anglizismen und andere "Fremdwords" deutsch erklärt: Über 1000 aktuelle Begriffe Bewertung: 0 von 5 Sternen0 BewertungenKybernetik, Kommunikation und Konflikt: Gregory Bateson und (s)eine kybernetische Konflikttheorie Bewertung: 0 von 5 Sternen0 Bewertungen...Als die Noten laufen lernten...Band 2: Kabarett-Operette-Revue-Film-Exil. Unterhaltungsmusik bis 1945 Bewertung: 0 von 5 Sternen0 BewertungenEinstieg in ChatGPT: Künstliche Intelligenz verstehen und nutzen: Ein praktischer Ratgeber für Einsteiger Bewertung: 0 von 5 Sternen0 BewertungenLexikon der Symbole und Archetypen für die Traumdeutung Bewertung: 5 von 5 Sternen5/560+ Webtools - Für den Unterricht und mehr: Unterricht Digital gestalten und spielerisch Online Unterrichten Bewertung: 0 von 5 Sternen0 BewertungenWordPress - Elementor Bewertung: 0 von 5 Sternen0 BewertungenEinstieg in den Online-Unterricht: Videokonferenzen in der Erwachsenenbildung Bewertung: 0 von 5 Sternen0 BewertungenEinführung ins Darknet: Darknet ABC Bewertung: 0 von 5 Sternen0 BewertungenTechnische analyse leicht gemacht: Wie Sie Diagramme zur technischen Analyse erstellen und interpretieren, um Ihre Online-Handelsaktivitäten zu verbessern Bewertung: 0 von 5 Sternen0 BewertungenWeg ins Darknet und Im Darknet Bewertung: 0 von 5 Sternen0 BewertungenDas Excel SOS-Handbuch: Wie sie Excel (2010-2019 & 365) schnell & einfach meistern. Die All-in-One Anleitung für ihren privaten & beruflichen Excel-Erfolg! Bewertung: 0 von 5 Sternen0 BewertungenKinderlieder: 100 Liedertexte der schönsten Kinderlieder Bewertung: 4 von 5 Sternen4/5Linux-Musikserver - Die Anleitung: 1hourbook Bewertung: 0 von 5 Sternen0 BewertungenCommand Line Kung Fu: Bash-Scripting-Tricks, Linux Tipps und praktische Einzeiler für die Shell Bewertung: 0 von 5 Sternen0 BewertungenDatenintensive Anwendungen designen: Konzepte für zuverlässige, skalierbare und wartbare Systeme Bewertung: 0 von 5 Sternen0 BewertungenNiklas Luhmann: "... stattdessen ...": Eine biografische Einführung Bewertung: 0 von 5 Sternen0 BewertungenDigitalisierung verstehen: Was wir über Arbeit, Bildung und die Gesellschaft der Zukunft wissen müssen Bewertung: 0 von 5 Sternen0 BewertungenPhotoshop CS5: Fotos optimieren · Bildfehler korrigieren Bewertung: 0 von 5 Sternen0 BewertungenBig Data: Die neue Intelligenz des Menschen (GEO eBook) Bewertung: 0 von 5 Sternen0 BewertungenDocker und die Containerwelt: Einstieg und Expertentipps rund um Docker-Container Bewertung: 1 von 5 Sternen1/5Die Geschichte des Computers: Wie es bis zur Form des heutigen 'PC' kam. Bewertung: 0 von 5 Sternen0 BewertungenShopware 6 Handbuch Bewertung: 0 von 5 Sternen0 BewertungenPraktische Statistik für Data Scientists: 50+ essenzielle Konzepte mit R und Python Bewertung: 0 von 5 Sternen0 BewertungenDatenbanken: Grundlagen und Entwurf Bewertung: 0 von 5 Sternen0 BewertungenMaschinelles Lernen In Aktion: Einsteigerbuch Für Laien, Schritt-Für-Schritt Anleitung Für Anfänger Bewertung: 0 von 5 Sternen0 BewertungenCloud Computing Grundlagen: Technisch / rechtlich / wirtschaftlich und architekturell Bewertung: 0 von 5 Sternen0 BewertungenUnterirdisches Slowenien: Ein Exkursionsführer zu den Höhlen des Klassischen Karstes Bewertung: 0 von 5 Sternen0 BewertungenUX-Missverständnisse: Was sich User wirklich wünschen Bewertung: 0 von 5 Sternen0 Bewertungen
Rezensionen für Neun Schritte zum Erfolg
0 Bewertungen0 Rezensionen
Buchvorschau
Neun Schritte zum Erfolg - Alan Calder
Neun Schritte zum Erfolg
Ein Überblick zur Implementierung der Norm ISO 27001:2013
Neun Schritte zum Erfolg
Ein Überblick zur Implementierung der
Norm ISO 27001:2013
ALAN CALDER
Es wurde jede erdenkliche Anstrengung unternommen, um die Sorgfältigkeit der in diesem Buch enthaltenen Informationen im Zeitpunkt des Drucks zu gewährleisten. Dennoch können Autor und Herausgeber keinerlei Verantwortung für allfällige Fehler oder Auslassungen übernehmen. Jede wie immer geartete Meinung, die in diesem Buch zum Ausdruck gebracht wird, entspricht der des Autors und nicht des Herausgebers. Angegebene Webseiten dienen lediglich als Referenz und nicht als Bestätigung, jeder Webseiten-Besuch erfolgt auf eigene Gefahr des Lesers. Herausgeber oder Autor übernehmen keinerlei Haftung für allfällige Verluste oder Schäden, die durch Handlungen bzw. unterlassene Handlungen gegenüber anderen Personen als Folge des Materials in dieser Veröffentlichung entstehen.
Abgesehen von der ehrlichen Handlungsweise zum Zwecke der Forschung oder privaten Studie bzw. Kritik oder Rezensionen entsprechend den Vorgaben des Copyright, Designs und Patents Act 1998, darf diese Publikation nur mit vorheriger schriftlicher Genehmigung des Herausgebers oder im Falle der reprographischen Vervielfältigung gemäß den Lizenzbedingungen der Copyright Licensing Agency in jeder Form vervielfältigt, gespeichert oder übertragen werden. Anfragen in Bezug auf eine Vervielfältigung außerhalb der vorgenannten Bedingungen sind dem Herausgeber unter der hier folgenden Adresse zu übermitteln:
IT Governance Publishing
IT Governance Limited
Unit 3, Clive Court
Bartholomew’s Walk
Cambridgeshire Business Park
Ely, Cambridgeshire
CB7 4EA
United Kingdom
www.itgovernance.co.uk
© Alan Calder 2017
Der Autor erklärt die Autorenrechte nach dem Urheberrecht, Designs and Patents Act, 1988, um als Autor dieser Arbeit identifiziert zu werden
Zum ersten mal im Vereinigten Königreich 2017
von IT Governance Publishing veröffentlicht: ISBN: 978-1-84928-869-9
ÜBER DEN AUTOR
Alan Calder ist Gründer und Vorstandsvorsitzender der IT Governance Ltd (www.itgovernance.eu), ein Informations-, Analyse- und Beratungsunternehmen, das Betriebe bei der Verwaltung von IT-Governance-, Risikomanagement-, Compliance- und Informationssicherheitsfragen unterstützt. Er verfügt über eine langjährige Führungserfahrung im privaten wie im öffentlichen Sektor.
Das Unternehmen betreibt auf der ganzen Welt Webseiten, die eine Reihe von Büchern, Werkzeugen und anderen Veröffentlichungen zu IT-Governance, Risikomanagement, Compliance und Informationssicherheit vertreiben.
INHALTE
Einführung
Die ISO 27000-Familie
Bevor Sie starten
Kapitel 1: Projektmandat
Strategische Ausrichtung
Priorisierung und Bestätigung
Änderungsmanagement
Die Funktion des CEO
Das Projektmandat
Kapitel 2: Projektinitiierung
Ziele
Projektmanagement
Projektleitung
Senior Management-Unterstützung
Projektteam
Projektplan
Strukturierte Ansatz für die Umsetzung
Abgestufter Ansatz
Projektplan
Integration in bestehende Systeme für Sicherheitsmanagement
Qualitätssystemintegration
Blick nach vorne
Kosten und Projektüberwachung
Riskenregister
Kapitel 3: ISMS-Initiierung
Kontinuierliche Verbesserung
Sicherheitsverbesserungsplan
Ausweitung der RACI-Matrix
Unterlangen
Vier Dokumentationsstufen
Dokumentationsansätze
Kapitel 4: Management-Framework
Problembestimmung (Scoping)
Endpunkt-Sicherheit
Festlegung von Grenzen
Netzwerkabbildung
Verfahrensabkürzung
Hauptvereinbarungen formalisieren
Politik für Informationssicherheit
Kommunikationsstrategie
Eigenes Personal
Kapitel 5: Grundlegende Sicherheitskriterien
Kapitel 6: Risikomanagement
Einführung in das Risikomanagement
Grundlegende Sicherheitskontrollen
Risikobewertung
Fünf-Schritte-Risikobewertungsverfahren
Risikoworkshop
Auwirkungen
Kontrollen
Risikobewertungsinstrumente
Kontrollen
Art der Kontrollen
Kontrolle Auswahlkriterien
Erklärung zur Anwendbarkeit
Plan zur Risikobewältigung
Kapitel 7: Implementierung
Kompetenzen
Die ‘Alle Personen’-Anforderung
Bewusstsein des Personals
Ausgelagerte Prozesse
Kapitel 8: Maßnahme, Überwachung und Überprüfung
Internes Audit und Tests
Managementbewertung
Kapitel 9: Zertifizierung
ISO 27001 Ressourcen
ITG Ressourcen
EINFÜHRUNG
Cyber-Risiko hat sich zu einem kritischen Business-Problem entwickelt und setzt das Senior Management zunehmend unter Druck - von Seiten der Kunden, Regulierungsbehörden und Partner - welche gewährleisten wollen, dass ihre Organisation in der Lage ist, sich dagegen zu wehren, entsprechend zu reagieren und sich vom Cyber-Angriff zu erholen.
Der Widerstand gegen Cyberattacken macht eine Organisation notwendig, die in der Lage ist, mehr als nur eine reine digitale Abwehr einzurichten; ein beachtlicher Prozentsatz erfolgreicher Angriffe entsteht in der analogen, physischen Welt oder wird durch physikalische und ökologische Anfälligkeiten unterstützt und verschärft. Eine wirksame Cyber-Sicherheit erfordert daher ein umfassendes, systematisches und starkes System für Informationssicherheitsmanagement; Vorstände, Kunden und Aufsichtsbehörden wollen sicherstellen, dass Informationsrisiken festgestellt und behoben werden.
Die internationale Norm ISO/IEC 27001:2013 Informationstechnologie – Sicherheitstechniken – Informationssicherheit-Managementsysteme – Anforderungen ist die Grundlage für die Verwaltung der Informationssicherheit im Einklang mit den geschäftlichen, vertraglichen und aufsichtsrechtlichen Anforderungen einer Organisation und ihrer Risikoneigung. Informationssicherheit ist seit jeher ein internationales Thema und diese Version der Norm spiegelt die in acht Jahren erlangten Verbesserungen im Verständnis eines effektiven Informationssicherheitsmanagements wider. Es wird auch auf die Entwicklung der Cyber-Bedrohungslandschaft im Laufe dieser Zeitspanne Rücksicht genommen und dies ermöglicht viele Best-Practice-Kontrollen.
Informationssicherheit ist nun auch ein Thema für Management und eine Verantwortung der Führungsebene. Design und Implementierung eines Informationssicherheitsmanagement-Systems (ISMS) ist Aufgabe des Managements und nicht der Technologie. Es erfordert den vollen Einsatz der Managementfähigkeiten und -attribute, vom Projektmanagement und von der Priorisierung durch Kommunikation, über Verkaufsfähigkeiten und Motivation zur Delegation bis hin zur Überwachung und Disziplin. Ein fähiger Manager, der keine technologischen Background oder Einsicht in das Thema hat, kann eine erfolgreiche ISMS-Implementierung führen, aber ohne entsprechende Managementkenntnisse scheitert selbst der technologisch anspruchsvollste Informationssicherheitsexperte an der Aufgabe.
Dies gilt insbesondere dann, wenn die Organisation einen maximalen, langfristigen Unternehmenswert aus der Umsetzung eines ISMS ableiten will. Die Erlangung externer Zertifizierungen entwickelt sich zunehmend zu einer Standardausgabe für die Geschäftstätigkeit. Das Bewusstsein für die Informationssicherheit und eine gut funktionierende interne Vorgehensweise, die es einer Organisation ermöglicht, sicher im stürmischen Meer des Informationszeitalters zu surfen, erfordern einen grundlegenden Kulturwandel: die Umstellung von industriellen auf nachindustriellen Tätigkeiten.
Ich weiß das deswegen, weil mein Background jener eines General Managers ist und nicht der eines Technologen. Ich kam 1995 zur Informationssicherheit, da ich über die Risiken in der Informationssicherheit eines Unternehmens besorgt war, dessen Geschäftsführer ich damals war. Wenn man Geschäftsführer ist und das Interesse dafür aufbringt, kann man ein ISMS zustande bringen – wie ich es mehrmals tat. Während dieses Buch die Lernkurve für andere Geschäftsführer in vergleichbarer Position verkürzt, richtet es sich tatsächlich an den Manager - oft ein IT- oder Informationssicherheitsmanager, manchmal ein Qualitätsmanager -, der mit der Umsetzung einer ISO 27001-Implementierung beauftragt wird und verstehen möchte, wie der Weg zu einem positiven Ergebnis führt. Es basiert auf den Erfahrungen vieler ISO 27001-Implementierungen und spiegelt die neunstufige Implementierungsmethodik wider, die nun alle ISO 27001 Produkte und Services unterstützt, auf die zugegriffen werden kann IT Governance Ltd, das Unternehmen, das ich 2005 gegründet habe. Diese neun Schritte funktionieren in jeder Organisation - öffentlicher Sektor, Freiwilligensektor oder privater Sektor - weltweit. Technologieinfrastruktur, Geschäftsmodell, Organisationsarchitektur und regulatorische Anforderungen liefern alle den Kontext für die Implementierung eines ISO 27001 ISMS, beschränken jedoch deren Anwendbarkeit nicht. Wir haben geholfen, ein ISO 27001 ISMS in Unternehmen mit weniger als zwei Personen, in Mammut-, Multi-Land-globalen Unternehmen und in Organisationen aller Größen und Typen zu implementieren.
Die zweitgrößte Herausforderung für einen Technologen für Informationssicherheit besteht meiner Meinung nach überall auf der Welt darin, die Aufmerksamkeit der Vorstände zu bekommen und diese zu erhalten. Die größte Herausforderung ist das Erlangen – und Beibehalten – des Interesses und der Anwendung auf das Projekt. Die permanente Presse und Aufmerksamkeit für Cyber-Risiken bringt das Thema auf die Tagesordnung und wenn Vorstände endlich verstehen, dass sie systematisch und umfassend gegen Sicherheitsrisiken vorgehen müssen, beginnen sie sich für Informationen von ihren Sicherheitsspezialisten zu interessieren. Sie entwickeln sogar Interesse daran, organisatorische Dollars in Hardware- und Softwarelösungen zu investieren und die Entwicklung eines neuen ISMS oder die Verschärfung eines bestehenden ISMS in Auftrag zu geben.
Ein erfolgreiches ISMS-Projekt stammt von und stützt sich auf eine echte Top-Management-Unterstützung. Der Fortschritt ist schneller, wenn das Projekt als glaubwürdige Geschäftsnotwendigkeit betrachtet wird: zum Beispiel, um ein Outsourcing oder einen anderen Kundenvertrag zu gewinnen oder eine öffentliche Finanzierungspflicht einzuhalten, die Wettbewerbsfähigkeit zu verbessern oder regulatorische Compliance-Kosten und Risiken zu reduzieren.
Als wir uns das erste Mal dem Thema Informationssicherheit widmeten war das, als mein Unternehmen im Jahr 1995 sowohl die ISO 9001-Zertifizierung als auch die Investor in People (IiP)-Anerkennung als Bedingung für ihre Branding- und Handelslizenz erfüllen musste. Wir wollten auch Informationssicherheits- und Umweltmanagementservices verkaufen und - aus der Absicht, das zu predigen, was wir gepredigt hatten, sowie aus der Entschlossenheit, die identifizierbaren Vorteile der Bewältigung all dieser Geschäftskomponenten zu erreichen - haben wir uns für BS 7799 und ISO 14001 zur