ISMS Grundlagen nach ISO/IEC 27001

Questions and Answers

Der Begriff "Informationssicherheit" umfasst nur den Schutz von Daten.

False (B)

Welche der folgenden Aussagen zu Informationssicherheit ist falsch?

• Informationssicherheit ist unabhängig von der Größe und Art der Organisation relevant.
• Informationssicherheit beinhaltet die Bewahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
• Informationssicherheit ist vor allem für Banken und Finanzinstitute relevant. (correct)
• Informationssicherheit ist ein Teilbereich der IT-Sicherheit.

Was ist ein ISMS?

Ein ISMS ist ein Informationssicherheitsmanagementsystem.

Welche der folgenden Normen gehört zur ISMS-Normenfamilie ISO/IEC 27000?

ISO/IEC 27001 (C)

Der Standard ISO/IEC 27001 ist branchenspezifisch und kann nur von bestimmten Arten von Organisationen angewendet werden.

False (B)

Welche der folgenden Aussagen zu den Schutzzielen der Informationssicherheit ist richtig?

Alle drei obigen Aussagen sind richtig. (C)

Was ist ein Informationssicherheitsvorfall?

Ein Informationssicherheitsereignis, das zu einem Verlust von Informationen führt. (D)

Ein ISMS sollte regelmäßig überprüft und verbessert werden.

True (A)

Welche der folgenden Punkte ist kein Bestandteil eines ISMS?

Finanzbuchhaltung (A)

Nennen Sie drei Vorteile der Implementierung eines ISMS.

Drei Vorteile der Implementierung eines ISMS sind die Erhöhung des Vertrauens der Stakeholder, die Minimierung von Risiken und Schäden sowie die Stärkung der Organisationsabläufe.

Die ISO/IEC 27001 ist die einzige Norm, die sich auf Informationssicherheit konzentriert.

False (B)

Welche der folgenden Aussagen zum Anhang A der ISO/IEC 27001 ist falsch?

Anhang A ist ein verbindlicher Teil des Standards und muss vollständig umgesetzt werden. (A)

Die ISO/IEC 27001 umfasst die komplette Norm ISO/IEC 27000.

False (B)

Eine Zertifizierung nach ISO/IEC 27001 ist immer freiwillig.

True (A)

Flashcards

Informationssicherheitsmanagementsystem (ISMS)

Ein dokumentiertes, systematisches Vorgehen zum Schutz von Informationen und deren Vertraulichkeit, Integrität und Verfügbarkeit durch einen Satz von Managementpraktiken.

Vertraulichkeit, Integrität, Verfügbarkeit

Die drei wichtigen Säulen der Informationssicherheit. Sie beschreiben die drei Hauptaspekte, die durch ein ISMS geschützt werden sollen.

Werte (Asset)

Jede Art von Wert eines Unternehmens, die es schützen möchte, wie Informationen, Dokumente, Software, Hardware, Dienste und immaterielle Werte wie Reputation.

Informationssicherheitsvorfall (Security Incident)

Ein unerwartetes oder ungewolltes Ereignis, das die Informationssicherheit gefährdet und potenziell negative Auswirkungen auf das Unternehmen hat.

Managementsystem

Ein Managementsystem beschreibt eine Organisation oder ein Unternehmen, das über einen Satz von Elementen verfügt, die zur Steuerung, Verwaltung und Erreichung der Unternehmensziele beitragen.

Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001

Ein System, das die Sicherheit von Informationen plant, implementiert, betreibt, überwacht, überprüft und verbessert, indem es die relevanten Risiken im Zusammenhang mit den Werten eines Unternehmens berücksichtigt.

ISO/IEC 27000

Die ISO/IEC 27000 bezeichnet eine Familie von Normen und Standards, die sich auf Informationssicherheit und Managementsysteme für Informationssicherheit konzentrieren.

ISO/IEC 27001

Dieser Standard definiert die Mindestanforderungen an ein ISMS, die für alle Organisationen gelten, unabhängig von ihrer Größe und Branche.

ISO/IEC 27006

Dieser Standard definiert die Mindestanforderungen an Zertifizierungsstellen, die Audits und Zertifizierungen von ISMS durchführen.

ISO/IEC 27002

Dieser Standard bietet bewährte Verfahren und Anleitungen zur Umsetzung der Sicherheitsmaßnahmen, die in ISO/IEC 27001 im Anhang A definiert sind.

ISO/IEC 27004

Dieser Standard bietet allgemeine Leitlinien zur Entwicklung und Verwendung von Messmethoden zur Bewertung des ISMS.

ISO/IEC 27005

Dieser Standard bietet einen umfassenden Leitfaden für das Management von Informationssicherheitsrisiken, der die Anforderungen von ISO/IEC 27001 berücksichtigt.

ISO/IEC 27011

Dieser Standard bietet Leitlinien zum Aufbau eines ISMS in Telekommunikationsunternehmen.

ISO/IEC 27019

Dieser Standard bietet Leitlinien zum Aufbau eines ISMS in Organisationen der Energieversorgung.

ISO/IEC 27799

Dieser Standard bietet Leitlinien zum Aufbau eines ISMS in Organisationen des Gesundheitswesens.

Anwendungsbereich (Scope) des ISMS

Dieser Standard definiert den Umfang des ISMS, die zu schützenden Werte (Assets), die spezifischen Bereiche, die abgedeckt werden, und die Grenzen des ISMS.

Informationssicherheitsziele

Die obersten Ziele des ISMS, die die Richtung der Sicherheitstrategie eines Unternehmens festlegen.

Kriterien zur Risikoakzeptanz

Diese Ziele beschreiben die Kriterien, die zur Bewertung der Akzeptanz von Risiken verwendet werden, und definieren die Grenzen, innerhalb derer ein Risiko als akzeptabel betrachtet wird.

Risikoidentifikation

Dieser Prozess ermöglicht die Ermittlung von Informationssicherheitsrisiken, indem er die möglichen Schwachstellen, die zu schützenden Werte und die potenziellen Bedrohungen berücksichtigt.

Risikoanalyse

Dieser Prozess beinhaltet die Analyse von Risiken, die Ermittlung der Eintrittswahrscheinlichkeit und der potenziellen Schadenshöhe und die Bewertung des Gesamtrisikos.

Risikobehandlung

Dieser Prozess beinhaltet die Auswahl und Umsetzung von Maßnahmen zur Reduzierung, Vermeidung, Übertragung oder Akzeptanz von Risiken.

Kritische Erfolgsfaktoren (critical success factors)

Diese sind die wichtigsten Faktoren, die zum Erfolg des ISMS beitragen, wie z.B., die Unterstützung des Managements, die Beteiligung der Mitarbeiter, die klare Kommunikation und die kontinuierliche Verbesserung.

Bewertung des ISMS

Dieser Prozess beinhaltet die regelmäßige Überwachung und Messung der Effektivität des ISMS, die Durchführung interner Audits und die Bewertung des ISMS durch das Management.

Kontinuierliche Verbesserung des ISMS

Dieser Prozess beinhaltet die Planung und Umsetzung von Verbesserungsmaßnahmen, um die Eignung, Angemessenheit und Wirksamkeit des ISMS zu verbessern.

Struktur einer Maßnahme (Control)

Diese Beschreibung umfasst die relevanten Informationen zu einer bestimmten Sicherheitsmaßnahme, wie den Zweck, die Anleitung zur Implementierung und weitere wichtige Informationen.

Erklärung zum Anwendungsbereich (scope statement)

Ein Dokument, das den Anwendungsbereich des ISMS festlegt, die relevanten Werte (Assets) beschreibt und die spezifischen Bereiche und Grenzen des ISMS definiert.

Informationssicherheitspolitik (IS-Policy)

Ein Dokument, das die Informationssicherheitspolitik eines Unternehmens festhält, die wichtigsten Entscheidungen und Prinzipien der Informationssicherheit zusammenfasst und die grundlegenden Sicherheitsanforderungen definiert.

Erklärung zur Anwendbarkeit (statement of applicability)

Ein Dokument, das die Anwendbarkeit der Maßnahmen aus Anhang A von ISO/IEC 27001 beschreibt, die spezifischen Entscheidungen und Begründungen für die Auswahl der Maßnahmen sowie für den Ausschluss bestimmter Maßnahmen enthält.

ISMS-Dokumentation

Dieses Dokument umfasst alle wichtigen Aufzeichnungen und Dokumente, die für das ISMS erforderlich sind, wie z. B. Risikoeinschätzungen, Risikobehandlungspläne, Auditberichte und Informationen zu Ereignissen und Vorfällen.

Study Notes

ISMS Foundation nach ISO/IEC 27001

• Das Dokument beschreibt die Grundlagen eines Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001.
• Es umfasst verschiedene Themen, u.a. Grundlagen und Motivation, Informationssicherheit, Managementsysteme, das ISMS-Normenmodell und deren Mindestanforderungen, die Kapitelstruktur der Norm ISO/IEC 27001.
• Die Inhalte umfassen auch Planung, Unterstützung (Support), Betrieb, Bewertung der Leistung, Verbesserung und die Zertifizierung nach ISO/IEC 27001, sowie Zertifizierungsschemata und die ICO-Zertifizierungsprüfung.
• Der Lehrgang behandelt die wichtigsten Elemente der Zertifizierungsprüfung.
• Die Agenda umfasst Grundlagen und Motivation, Informationssicherheit, Managementsysteme, das ISMS-Normenmodell, Mindestanforderungen, die Kapitelstruktur der Norm ISO/IEC 27001, verschiedene Maßnahmen und die Prüfungsvorbereitung.
• Der Kurs vermittelt ein Verständnis von Informationssicherheit, die Anwendungsmöglichkeiten in der Praxis und die wichtigsten Aspekte des Standards ISO/IEC 27001.
• Der Fokus liegt auf der Vorbereitung auf die Foundation-Prüfung.

Organisatorisches

• Die Schulung behandelt die neue ISO/IEC 27001:2022.
• Bestandteil sind die Vorstellungsrunde, Einordnung der Schulung, Prüfung und Agenda.
• Der Kursanbieter, mITSM, ist seit 2003 tätig in Ausbildung und Beratung in Themen wie Service Management, Informationssicherheit und Projektmanagement.
• Die Schulung und Zertifizierung umfasst IT-Security Management, Service Management, Projektmanagement und mehr.

Grundlagen und Motivation

• Die Motivation für die Informationssicherheit ist durch steigende Sicherheitsvorfälle und die Relevanz von Datenschutzbewusstsein sowie die gesetzlichen Vorschriften (DSGVO, IT-Sicherheitsgesetz) gegeben.
• Informationssicherheit umfasst physische, logische, personelle und organisatorische Sicherheit.

Informationssicherheit

• Informationssicherheit beinhaltet die Wahrung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
• Zu den Werten (Assets) gehören Informationen, Dokumente, Software, Hardware, Menschen und immaterielle Werte wie Reputation.
• Wichtige Schutzziele der Informationssicherheit umfassen Authentizität, Rechenschaftspflicht, Nicht-Abstreitbarkeit und Zuverlässigkeit.

Managementsysteme

• Managementsysteme orientieren sich an Politik, Prozessen und Verfahren.
• Die Prozessorientierung beinhaltet klar definierte Schnittstellen, messbare Ergebnisse und wiederholbare Prozessabläufe.
• Dokumentation umfasst Richtlinien, Prozesse, Verfahren, Assets und Aufzeichnungen über Anwendung und Umsetzung.
• Der Deming-Zyklus (Planen, Umsetzen, Prüfen und Handeln) ist ein wichtiger Bestandteil der Prozessorientierung.

Informationsicherheitsmanagementsystem

• Ein ISMS ist ein System zur Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
• Kernaspekte beinhalten Politik, Richtlinien, Prozesse, Verfahren, Verantwortlichkeiten und Risikobehandlung.
• Der Nutzen der Umsetzung eines ISMS liegt in der erhöhten Akzeptanz der Stakeholder, der Minimierung von Risiken und Schäden durch eine fundierte Risikobetrachtung und die Verbesserung der Organisation.
• Die Umsetzung eines ISMS hilft dabei, gesetzliche Anforderungen, Kundenanforderungen und den Wettbewerbsvorteil zu berücksichtigen.

Die ISMS Normenfamilie ISO/IEC 27000

• Die ISO/IEC 27000-Familie bietet Normen und Leitfäden zum Informationssicherheits-Management, inklusive mindest-anforderungen, zur Zertifizierungsstelle und für allgemeine und branchenspezifische Leitfäden.
• ISO/IEC 27001 enthält die Mindestanforderungen an ein Informationssicherheits-Management-System (ISMS).
• ISO/IEC 27002 liefert Richtlinien für die Implementierung von Sicherheitskontrollen (Controls).

Mindestanforderungen nach ISO/IEC 27001:2022

• Die Mindestanforderungen umfassen die Kapitelstruktur, den Anwendungsbereich, normative Verweisungen, Begriffe, Kontext der Organisation, Managementverantwortung / Führungsstärke, Planung, Unterstützung, Betrieb, Bewertung der Leistung und die Verbesserung.

Zertifizierung nach ISO/IEC 27001

• Der Weg zur Zertifizierung umfasst die Auswahl einer Zertifizierungsstelle, die Festlegung des Geltungsbereichs, das initiale Assessment, das Zertifizierungsaudit und die Erteilung des Zertifikats.
• Die Hierarchie der Organisation umfasst internationale und nationale Akkreditierungsstellen, die Zertifizierungsstellen akkreditieren und die Zertifizierung aufrechterhalten.

Verwandte Standards und Rahmenwerke

• Zu den relevanten Standards gehören das BSI IT-Grundschutz, CISIS12, TISAX, ISO/IEC 15408 (Common Criteria), ISO 9000, ISO/IEC 20000 und FitSM.