:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/08/4108bcbb5b54b2aea3729797f41c64b0/0115212126.jpeg "Nachhaltige Cyber-Resilienz steht und fällt mit einer unternehmensweiten Cybersicherheitskultur der gemeinsamen Verantwortung, die den Menschen ins Zentrum stellt. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
ISO 27001:2005 – Organisation der Informationssicherheit Bestimmungen und Tipps für das Sicherheits-Management in Unternehmen
Wer sich mit der Norm ISO/IEC 27001:2005 befasst, kommt an der Organisation der Informationssicherheit nicht herum. Dies ist ein Teilaspekt im Managementsystem für Informationssicherheit (ISMS) und gehört zu den Best-Practices aus ISO 17799:2005. Dort ist es das zweite von insgesamt elf Überwachungsbereichen. Dieser Artikel beschreibt die in der Norm spezifizierten Kontrollen sowie Kontrollziele und zieht einige Parallelen zur Grundsicherheit des BSI und zur Praxis.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Die Norm unterteilt die Organisation der Informationssicherheit in zwei Blöcke: Der „internen Organisation“ und den „externen Parteien“. Der interne Bereich beschreibt, wie die IT-Sicherheit innerhalb der Organisation zu verwalten ist. Mit „externen Parteien“ sind IT-Dienstleistungsfirmen, Geschäftspartner oder Kunden angesprochen. Zusammengefasst sind die beiden folgenden Ziele wichtig:
Block A: Verantwortung des Firmenmanagements und Aufgaben der Mitarbeiter. Darunter fallen auch grundlegende Betrachtungen hinsichtlich der Verantwortlichkeiten in der Organisation. Wie bei den Sicherheitsrichtlinien dürfen auch die Tätigkeiten des Sicherheitsstabs die gesetzlichen Vorschriften nicht verletzen.
Block B: Zusammenspiel interner- und externer Organisationen, das heißt wie verhält es sich mit der IT-Sicherheit in Bezug auf Beraterfirmen, IT-Dienstleitern oder Kunden.
Block A: IT-Sicherheitsorganisation – Verantwortung des Firmenmanagements und Aufgaben der Mitarbeiter
ISMS-Prozesse können am effektivsten umgesetzt werden, wenn eine gewisse IT-Sicherheitsorganisation geschaffen wird. Damit nicht gleich mit Kanonen auf Spatzen geschossen wird, unterliegt die Organisation gewissen Randbedingungen, wie:
- Größe der Organisation (Anzahl der Mitarbeiter bzw. Anzahl der Computerbenutzer)
- Art bzw. Beschaffenheit der Organisation (öffentlicher Dienst, Industrie, Militär, usw.)
- Angestrebter Sicherheitsgrad (oder auch Sicherheitsniveau)
Unter diesen Randbedingungen soll IT-Sicherheit laut ISO 27001:2005 mit folgenden Zielen aufgebaut werden:
a. Die Unternehmensleitung hat die Verpflichtung, die IT-Sicherheit zu führen und zu verwalten.
b. Repräsentanten verschiedenster Unternehmensteile/Organisationen koordinieren die IT-Sicherheit und bilden Ausschüsse.
c. Die Verantwortlichen im IT-Sicherheitsprozess sollten klar bestimmt, und die Tätigkeitsfelder müssen exakt definiert sein.
d. Autorisierungsprozesse für Informationen, die Einrichtungen durchlaufen, sollten definiert und eingerichtet sein. Dahinter verbirgt sich die Verwaltung und Einrichtung differenzierter Autorisierungen. Es regelt, welche Rechte ein Benutzer oder Gerät zu einem bestimmten Zeitpunkt oder Standort haben darf.
e. Non-Disclosure Agreements, die verhindern, dass vertrauliche Informationen jeder Art die Organisation verlassen, bzw. an nicht autorisierte Dritte weiter gegeben werden. Hierbei muss selbstverständlich auch das Recht des jeweiligen Landes eingehalten werden, was bei multinationalen Institutionen zu verschiedenen „Geheimhaltungsvereinbarungen“ führen kann.
f. Kontakte zu relevanten öffentlichen Einrichtungen, wie polizeiliche Behörden oder Feuerwehr sollten aufgebaut werden, damit im „Ernstfall“ ein schnelles Handeln erfolgen kann. Bei einem Datendiebstahl ermöglicht es unter Umständen eine Wiederbeschaffung der Daten.
g. Kontakte zu Interessengruppen, wie zum Beispiel dem Bundesamt für Sicherheit in der Informationstechnik (BSI), helfen präventiv auf Risiken einzuwirken. So können beispielsweise Gefahrenwarnungen zu einer Schadensabwendung führen.
Seite 2: Beispiel einer Organisation für Informationssicherheit
Artikelfiles und Artikellinks
(ID:2006353)
:quality(80)/p7i.vogel.de/wcms/a8/05/a80509053aff785e878adeb2e6e4da1a/0112115041.jpeg "Die ISO 27000 ist eine Normenreihe und einführender Standard für Informationssicherheitsmanagementsysteme. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")