mITSM - ISO27k Foundation Skript v.7.2 (PDF)
Document Details
Uploaded by Deleted User
Tags
Related
Summary
This document is an overview of an ISMS Foundation training course, focusing on information security, management systems, and the ISO/IEC 27000 family of standards. It outlines the course content and structure including the learning outcomes and certification process.
Full Transcript
m ISMS Foundation nach ISO/IEC 27001 m SCHULUNGSUNTERLAGEN m Inhaltsverzeichnis Grundlagen und Motivation …………………………………………………… 10 Informationssicherheit ………………………………………...
m ISMS Foundation nach ISO/IEC 27001 m SCHULUNGSUNTERLAGEN m Inhaltsverzeichnis Grundlagen und Motivation …………………………………………………… 10 Informationssicherheit …………………………………………………..………. 13 Managementsysteme …………………………………………………………….. 23 Informationssicherheitsmanagementsystem ………..………………. 30 Die ISMS-Normenfamilie ISO/IEC 27000 …………………………………. 34 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Kapitelstruktur der Norm ISO/IEC 27001............................ 44 Anwendungsbereich, Normative Verweisungen, Begriffe.. 46 Kontext der Organisation.................................................... 50 Managementverantwortung und Führungsstärke............. 53 Planung............................................................................... 56 Unterstützung (Support)..................................................... 64 Betrieb................................................................................. 68 Bewertung der Leistung...................................................... 70 Verbesserung...................................................................... 75 ISO/IEC 27001, Anhang A Maßnahmenziele und Maßnahmen ……..…………….….......... 77 Zertifizierung nach ISO/IEC 27001 ………………………………............ 103 Verwandte Standards und Rahmenwerke ………………………........ 106 ISO/IEC 27001 Foundation v.7.2 Herzlich willkommen zur Schulung ISMS Foundation nach ISO/IEC 27001 ISO/IEC 27001 Foundation v.7.2 Organisatorisches Vorstellungsrunde Einordnung der Schulung Die neue ISO/IEC 27001:2022 Prüfung Agenda ISO 27001 Foundation 2 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Wer ist mITSM? Schulung und Beratung seit 2003 Training und Personenzertifizierungen Service Management Informationssicherheit Projektmanagement Datenschutz Cybersecurity, Pentesting, Compliance, Requirements Engineering, Data Analytics, Blockchain, DevOps, Design Thinking und mehr … Beratung Auditierung, Coaching Einführung von Managementsystemen ISO 27001 Foundation 3 © 2003-2024 mITSM Wir verändern durch Wissen. In einem familiären Umfeld erweitern wir gemeinsam das Wissen unserer Kunden und helfen ihnen damit, weiterzukommen. Wir inspirieren sie zum aktiven Lernen und initiieren so Veränderungsprozesse durch aktive Förderung. Schulung und Zertifizierung Als Premium-Bildungsanbieter mit Sitz in München bringen wir Bewegung zu Menschen und in Organisationen. Wir inspirieren und vermitteln Wissen im Rahmen von Trainings und Zertifizierungen in den Bereichen IT Security Management, Service Management, Projektmanagement und mehr. Beratung und Auditierung In den gemeinsamen Beratungsprozessen nehmen wir uns der Effizienz, der Sicherheit und der Wirtschaftlichkeit unserer Kunden an. Unsere Experten in den Bereichen Beratung, Auditierung und Coaching bauen Management- Systeme und -Prozesse gemeinsam mit unseren Kunden auf. Von diesem praktischen Wissen profitieren auch die Teilnehmer unserer Schulungen und Workshops und damit wiederum unsere Kunden. ISO/IEC 27001 Foundation v.7.2 Organisatorisches Kleine Vorstellungsrunde Name Funktion/Rolle Erfahrung mit Informationssicherheit und ISO/IEC 27001 Erfahrungen mit IT-Security / Managementsystem Erwartungen an die Schulung Gegebenenfalls ein konkretes Projekt, bei dem ISO/IEC 27001 eingesetzt werden soll ISO 27001 Foundation 4 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Organisatorisches Einordnung der Schulung / Kursnutzen Grundlegendes Verständnis von Informationssicherheit Anwendungsmöglichkeiten in der Praxis Verstehen der Konzepte und Prinzipien hinter Informationssicherheit und Informationssicherheitsmanagementsystemen Kenntnisse über die wichtigsten Bestandteile von ISO/IEC 27001 Vorbereitung auf die Foundation-Prüfung ISO 27001 Foundation 5 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Organisatorisches ISMS nach ISO/IEC 27001: Schulungs- und Zertifizierungsschema ISMS Auditor nach ISO 27001 3 Tage AUDITOR LEVEL (2 Tage intensiv) ISMS Security Officer nach ISO 27001 5 Tage PROFESSIONAL LEVEL (4 Tage intensiv) ISMS Foundation nach ISO 27001 2 Tage FOUNDATION LEVEL ISO 27001 Foundation 6 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Organisatorisches ICO Zertifizierungsschema ISO 27001 Foundation 7 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Organisatorisches Zertifizierungsprüfung (ICO) Format: Multiple Choice Sprache: Deutsch Dauer: 45 Minuten Anzahl Fragen: 30 Es gibt je zwei oder drei Antwortmöglichkeiten Es können mehrere Antworten richtig sein Richtig beantwortet ist eine Frage, wenn alle der richtigen und keine der falschen Antworten angekreuzt sind Zum Bestehen müssen mindestens 60 Prozent der Fragen korrekt beantwortet werden Mehr Informationen und eine Step-by-Step-Anleitung für die Online-Prüfung der ICO gibt es unter www.mitsm.de/ico-online ISO 27001 Foundation 8 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Organisatorisches Agenda Grundlagen und Motivation Informationssicherheit Managementsysteme Informationssicherheitsmanagementsystem Die ISMS-Normenfamilie ISO/IEC 27000 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 ISO/IEC 27001, Anhang A – Maßnahmen Zertifizierung nach ISO/IEC 27001 Verwandte Standards und Rahmenwerke Prüfungsvorbereitung ISO 27001 Foundation 9 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Grundlagen und Motivation Motivation Einordnung des Themas ISO 27001 Foundation 10 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Grundlagen und Motivation Motivation Immer mehr Sicherheitsvorfälle Gesteigertes, auch öffentliches, Interesse an Sicherheit von Daten und Informationen Dadurch: Gesetzliche Vorgaben Gesteigertes Datenschutzbewusstsein (DSGVO) IT-Sicherheitsgesetz (KRITIS) Vorgaben in Ausschreibungen Forderungen in vielen Branchen, z.B. Automobilindustrie, Energiesektor ISO 27001 Foundation 11 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Grundlagen und Motivation Einordnung des Themas: Bausteine der Informationssicherheit Informationssicherheit Physische Logische Personelle Sicherheit Sicherheit Sicherheit IT/Cyber- Sicherheit Organisatorische Sicherheit ISO 27001 Foundation 12 © 2003-2024 mITSM Physische Sicherheit: Maßnahmen zur Vermeidung von unmittelbaren oder physischen Gefahren auf Mitarbeiter, Systeme und Objekte (Objektschutz) Personelle Sicherheit: Maßnahmen zur Gewährleistung und Verbesserung der Sicherheit durch Bewachung, Pförtner- und Empfangsdienste, etc. Logische Sicherheit: Organisatorische und technische Maßnahmen zum Schutz vor Gefahren einer logischen Organisation IT-Sicherheit: Maßnahmen zum Schutz informationstechnischer Systeme Organisatorische Sicherheit: Organisatorische Maßnahmen zur Gewährleistung und Verbesserung der Sicherheit durch z.B. Handlungsanweisungen, Vorgehensweisen, etc. ISO/IEC 27001 Foundation v.7.2 Informationssicherheit Werte Schutzziele der Informationssicherheit Weitere Schutzziele Informationssicherheitsereignisse und –vorfälle ISO 27001 Foundation 13 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Informationssicherheit Werte – Assets Wert (Asset) Jede Art von (Vermögens-)Wert eines Unternehmens oder einer Organisation Mögliche Typen von Assets: Informationen Dokumente Software (z.B. Programme) und Hardware (z.B. Laptops) Services Menschen mit ihren Qualifikationen, Fähigkeiten und Erfahrungen Immaterielle Werte wie Reputation und Ansehen ISO 27001 Foundation 14 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Informationssicherheit Informationssicherheit Informationssicherheit 27000, Bewahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Information 3.28 Informationssicherheit als Ergebnis eines Systems aus Grundsätzen Planungsaktivitäten Verantwortung Prozessen und Verfahren Ressourcen ISO 27001 Foundation 15 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Informationssicherheit Cybersecurity und Privacy Protection (Datenschutz) Cybersecurity Anwendung von Technologien, Prozessen und Kontrollmechanismen um Systeme, Netzwerke, Programme, Geräte und Daten vor Angriffen zu schützen. Privacy Protection (Datenschutz) Beschreibt den Schutz vor der missbräuchlichen Verarbeitung personen-bezogener Daten sowie den Schutz des Rechts auf informationelle Selbstbestimmung. ISO 27001 Foundation 16 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Informationssicherheit Schutzziel: Vertraulichkeit 27000, 3.10 Sender Empfänger Unbefugter Dritter ISO 27001 Foundation 17 © 2003-2024 mITSM Englisch: Confidentiality Eigenschaft, dass Information unbefugten Personen, Entitäten oder Prozessen nicht verfügbar gemacht oder offengelegt wird. Wenn ein unbefugter Dritter die Nachricht mitlesen kann, so ist dies ein Verstoß gegen die Vertraulichkeit (Security Incident). ISO/IEC 27001 Foundation v.7.2 Informationssicherheit Schutzziel: Integrität 27000, 3.36 Sender Empfänger Unbefugter Dritter ISO 27001 Foundation 18 © 2003-2024 mITSM Englisch: Integrity Eigenschaft der Richtigkeit und Vollständigkeit Wenn ein unbefugter Dritter die Nachricht verändert, so ist dies ein Verstoß gegen die Integrität (Security Incident). ISO/IEC 27001 Foundation v.7.2 Informationssicherheit Schutzziel: Verfügbarkeit 27000, 3.7 Sender Empfänger Unbefugter Dritter ISO 27001 Foundation 19 © 2003-2024 mITSM Englisch: Availability Eigenschaft zugänglich und nutzbar zu sein, wenn eine befugte Entität Bedarf hat Wenn ein unbefugter Dritter die Nachrichtenübermittlung verhindert, so ist dies ein Verstoß gegen die Verfügbarkeit (Security Incident). ISO/IEC 27001 Foundation v.7.2 Informationssicherheit Weitere Schutzziele Authentizität Echtheit von Informationen oder Identitäten Rechenschaftspflicht (en: accountability, DIN Übersetzung: Zurechenbarkeit) Übernahme von Verantwortung, Rechenschaft oder Haftung für Informationswerte (Assets) Nicht-Abstreitbarkeit Niemand kann das Senden oder Empfangen von Informationen abstreiten oder leugnen (Proof of Origin, Proof of Delivery) Zuverlässigkeit Sicherstellung eines konsistenten Verhaltens und Lieferung vorgesehener Ergebnisse durch eine Person oder Instanz ISO 27001 Foundation 20 © 2003-2024 mITSM Authentizität (en: authenticity; ISO/IEC 27000:2018, Abschnitt 3.6) Rechenschaftspflicht (en: accountability, ISO/IEC 27000:2018, Abschnitt DIN Übersetzung Zurechenbarkeit) Nichtabstreitbarkeit (en: non-repudiation; erwähnt: ISO/IEC 27000:2018, Abschnitt 3.28 „Anmerkung 1“) Zuverlässlichkeit (en: reliability; ISO/IEC 27000:2018, Abschnitt 3.55) ISO/IEC 27001 Foundation v.7.2 Informationssicherheit Informationssicherheitsereignisse und –vorfälle Informationssicherheitsereignis 27000, 3.30 Erkanntes Auftreten eines Zustands eines Systems, Dienstes oder Netzwerks, der eine mögliche Verletzung der Politik oder die Unwirksamkeit von Maßnahmen oder eine vorher nicht bekannte Situation, die sicherheitsrelevant sein kann, anzeigt. Informationssicherheitsvorfall 27000, 3.31 Einzelnes oder eine Reihe von ungewollten oder unerwarteten Informationssicherheitsereignissen, die eine erhebliche Wahrscheinlichkeit besitzen, Geschäftstätigkeiten zu gefährden und die Informationssicherheit zu bedrohen ISO 27001 Foundation 21 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Informationssicherheit Informationssicherheitsereignisse und -vorfälle Überwachung der Informationssicherheit (information security monitoring) IS-Event IS-Event IS-Event IS-Event IS-Event Analyse Analyse Analyse Analyse Analyse Kein Kein IS-Vorfall IS-Vorfall IS-Vorfall IS-Vorfall IS-Vorfall Reaktion, Reaktion, Reaktion, Gegenmaßnahmen Gegenmaßnahmen Gegenmaßnahmen ISO 27001 Foundation 22 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Managementsysteme Grundlagen Politik, Prozesse und Verfahren Prozessorientierung Dokumentation Deming-Zyklus (PDCA) ISO 27001 Foundation 23 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Managementsysteme Grundlagen Managementsystem 27000, 3.41 Satz zusammenhängender und sich gegenseitig beeinflussender Elemente einer Organisation, um Politiken, Ziele und Prozesse zum Erreichen dieser Ziele festzulegen. Normative Gesetze Vorgaben Unternehmen Kunden (Governance) ISO 27001 Foundation 24 © 2003-2024 mITSM Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27000, 3.2: Bestandteil des übergreifenden Managementsystems; es umfasst Planung und Design, Implementierung, Betrieb, Überwachung, Review und Verbesserung der Informationssicherheit und stützt sich auf das Management von Geschäftsrisiken. Normative Vorgaben: Zum Beispiel DIN-Normen, ISO/IEC 27000, ISO/IEC 9000, etc. ISO/IEC 27001 Foundation v.7.2 Managementsysteme Politik, Prozesse und Verfahren Politik (Policy) Definitionsebene Top-Management Prozess-Owner Prozess Steuerungsebene Aktivitäten und Rollen Prozess-Manager Input Output Verfahren Durchführungsebene Abteilungen Personen wendet an ISO 27001 Foundation 25 © 2003-2024 mITSM Richtlinie z.B. Informationssicherheitsleitlinie (IS – Policy) Prozess, z.B. zum Umgang mit Risiken für die Informationssicherheit Verfahren, z.B. Verfahren zur Klassifizierung und Bewertung identifizierter Risiken ISO/IEC 27001 Foundation v.7.2 Managementsysteme Politik, Prozesse, Verfahren Politik (policy) 27000, Absichten und Ausrichtung einer Organisation, wie von der obersten Leitung 3.53 formell ausgedrückt. Prozess (process) 27000, Satz zusammenhängender und sich gegenseitig beeinflussender Tätigkeiten, der 3.54 Eingaben in Ergebnisse umwandelt. Verfahren (procedure) Vorgegebener Weg, eine Aktivität oder einen Prozess abzuwickeln. ISO 27001 Foundation 26 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Managementsysteme Prozessorientierung Kennzeichen gut definierter Prozesse Zusammenhängende Aktivitäten Klar definierte Schnittstellen Messbare und wiederholbare Ergebnisse Input Output Grundidee der Prozessorientierung in Managementsystemen Prozessuale Steuerung anfallender Aufgaben Dadurch: Stärkere Zielorientierung Standardisierung der Abläufe und Verfahren sowie des Tool-Einsatzes Klare Zuständigkeiten/Verantwortlichkeiten Erhöhung der Effektivität und Effizienz ISO 27001 Foundation 27 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Managementsysteme Dokumentation Dokumentierte Information 27000, Information, die von einer Organisation gelenkt und aufrechterhalten werden muss, 3.19 und das Medium, auf dem sie enthalten ist. Zur Dokumentation eines Managementsystems gehören typischerweise Politik und weitere Richtlinien Prozesse Verfahren Assets Aufzeichnungen über Anwendung und Umsetzung ISO 27001 Foundation 28 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Managementsysteme Deming-Zyklus (PDCA) Plan Act Do Check Vorgehensmodell zum Qualitätsmanagement nach W. E. Deming Zyklische Optimierung der Qualität führt zu kontinuierlicher Verbesserung ISO 27001 Foundation 29 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Informationssicherheitsmanagementsystem Kernaspekte eines ISMS Nutzen eines ISMS ISO 27001 Foundation 30 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Informationssicherheitsmanagementsystem Informationssicherheitsmanagement (ISMS) Systematischer Ansatz zur Wahrung und Aufrechterhaltung von Vertraulichkeit, Integrität und Verfügbarkeit mit angemessenen Mitteln. P Assetmanagement Management von A Sicherheitsmaßnahmen D Risikomanagement Kontinuierliche Bewertung und Verbesserung C ISO 27001 Foundation 31 © 2003-2024 mITSM Kernaspekte eines ISMS Vorgabe von Politik, Richtlinien, Prozessen und Verfahren Zuweisung von Verantwortlichkeiten Inventarisierung von Assets Risikomanagement bestehend aus Risikobeurteilung und Risikobehandlung Planung und Umsetzung konkreter Sicherheitsmaßnahmen Regelmäßige Überprüfung und Bewertung (z.B. durch Audits) Kontinuierliche Verbesserung ISO/IEC 27001 Foundation v.7.2 Informationssicherheitsmanagementsystem Nutzen der Umsetzung eines ISMS Erhöhung des Vertrauens der Stakeholder in die Organisation Minimierung von Risiken und Schäden durch Betrachtung von Eintrittswahrscheinlichkeiten Auswirkungen im Zusammenhang mit dem Risikomanagement Balance von geeigneten Sicherheitsmaßnahmen und den damit verbundenen Kosten („die richtigen Dinge tun“) Klare Definition von Zuständigkeiten und Verantwortlichkeiten Stärkung der Organisationsabläufe ISO 27001 Foundation 32 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Informationssicherheitsmanagementsystem Nutzen der Umsetzung eines ISMS Erfüllung gesetzlicher Anforderungen und/oder regulativer Anforderungen Erfüllung von Kundenanforderungen (z.B. TISAX®) Wettbewerbsvorteil Sensibilisierung der Mitarbeiter und beteiligter Partner Unterstützung der Geschäftsführung bei der sachbezogenen Entscheidungsfindung ISO 27001 Foundation 33 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Die ISMS Normenfamilie ISO/IEC 27000 Übersicht über ISO/IEC 27000 ff. Normative Anforderungen Allgemeine Leitfäden Branchenspezifische Leitfäden ISO 27001 Foundation 34 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Die ISMS Normenfamilie ISO/IEC 27000 Die Familie der ISMS Standards (Auszug) ISO/IEC 27000 Überblick Übersicht und Begriffe Normative ISO/IEC 27001 ISO/IEC 27006 Standards Mindestanforderungen Mindestanforderungen an ein ISMS an Zertifizierungsstellen Allgemeine ISO/IEC 27002 ISO/IEC 27003 ISO/IEC 27004 ISO/IEC 27005 Standards Umsetzung Umsetzung Messungen und Risiko- Anhang A ISMS Überwachung management Branchen- spezifische ISO/IEC 27011 ISO/IEC 27019 ISO/IEC 27799 Standards Telekommunikations- Energieversorgung Organisationen im unternehmen Gesundheitswesen ISO 27001 Foundation 35 © 2003-2024 mITSM Neben den hier aufgeführten allgemeinen und branchenspezifischen Standards gibt es noch weitere, z.B. ISO/IEC 27018: Schutz persönlicher Daten in der Cloud ISO/IEC 27001 Foundation v.7.2 Die ISMS Normenfamilie ISO/IEC 27000 ISO/IEC 27000 ISO/IEC 27000 ISO/IEC 27000 bezeichnet Übersicht und Begriffe Einerseits die gesamte Normenfamilie 27000 Das Dokument 27000 mit Überblick und Begriffen eines ISMS Inhalte des Dokumentes ISO/IEC 27000 ISMS-Normenfamilie Begriffe und Definitionen Prozessorientierung eines ISMS Bedeutung und Wichtigkeit eines ISMS Kritische Erfolgsfaktoren Überblick über die ISMS-Normenfamilie ISO 27001 Foundation 36 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Die ISMS Normenfamilie ISO/IEC 27000 ISO/IEC 27001 ISO/IEC 27001 Informationssicherheit, Cybersicherheit und Datenschutz – Mindestanforderungen an ein ISMS Informationssicherheitsmanagementsysteme – Anforderungen Inhalt: Normative Mindestanforderungen zur Festlegung Umsetzung Überprüfung Verbesserung eines ISMS Beschreibung von Maßnahmen zur Risikomodifikation (Anhang A) Einsatzbereich/Zweck: Basis für Konformitätsaudits und Zertifizierungen ISO 27001 Foundation 37 © 2003-2024 mITSM ISO/IEC 27001 ist ein universeller Standard, der für alle Arten von Organisationen, unabhängig von der Branche, angewendet werden kann. Er ist somit gleichermaßen für kommerzielle Unternehmen und Konzerne, sowie für KMUs, gemeinnützige Einrichtungen und staatliche Einrichtungen geeignet. ISO/IEC 27001 Foundation v.7.2 Die ISMS Normenfamilie ISO/IEC 27000 ISO/IEC 27006 ISO/IEC 27006 Informationstechnik - IT-Sicherheitsverfahren - Anforderungen an Mindestanforderungen Institutionen, die Audits und Zertifizierungen von Informationssicherheits- an Zertifizierungsstellen Managementsystemen anbieten Inhalt: Normative Anforderungen an Organisationen, die Audits nach ISO/IEC 27001 durchführen (Zertifizierungsstellen) Anleitungen als Ergänzung Zweck: Ergänzung zu ISO/IEC 17021 zur Akkreditierung von Zertifizierungsstellen ISO 27001 Foundation 38 © 2003-2024 mITSM Im Zusammenhang mit der Akkreditierung von Zertifizierungsstellen bzw. „Konformitätsbewertungsstellen“ ist die Norm ISO/IEC 17021 relevant. Sie definiert international einheitliche Anforderungen an diejenigen, die Managementsysteme auditieren und zertifizieren (nicht beschränkt auf Informationssicherheit). ISO/IEC 27001 Foundation v.7.2 Die ISMS Normenfamilie ISO/IEC 27000 ISO/IEC 27002 ISO/IEC 27002 Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre – Umsetzung Anhang A Informationssicherheitsmaßnahmen Inhalt Erläuterung der Zwecke (Purposes) und Maßnahmen (Controls) aus Anhang A, ISO/IEC 27001 Bereitstellung anerkannter/erprobter Anleitungen zur Umsetzung der Maßnahmen Zweck/Einsatzbereich Umsetzungsanleitungen zu den Sicherheitsmaßnahmen, die in den Abschnitten A.5 bis A.8 von ISO/IEC 27001 spezifiziert sind ISO 27001 Foundation 39 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Die ISMS Normenfamilie ISO/IEC 27000 ISO/IEC 27003, 27004, 27005 ISO/IEC 27003 ISO/IEC 27003 Umsetzung ISMS Allgemeiner Standard zum Aufbau ISO 27004 eines ISMS Messungen ISO/IEC 27004 ISO 27005 Allgemeiner Standard zur Entwicklung Risikomanagement und Verwendung von Messungen ISO/IEC 27005 Allgemeiner Standard zum Risikomanagement, welcher die normativen Anforderungen von ISO/IEC 27001 berücksichtigt ISO 27001 Foundation 40 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 IT Risk Management nach ISO 27005 Workshop IT-Risikomanagement Eintägiger Workshop nach dem Standard ISO/IEC 27005 mit Leitlinien für ein systematisches und prozess- ISO/IEC 27005:2018 orientiertes Risikomanagement Informationssicherheits- Risikomanagement Weiterbildung für alle Mitarbeiter, die Sicherheits- verantwortung tragen ISO 27001 Foundation 41 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Die ISMS Normenfamilie ISO/IEC 27000 ISO/IEC 27011, 27019 ISO/IEC 27011 ISO/IEC 27011 Telekommunikation Leitlinien zum Aufbau eines ISMS in ISO/IEC 27019 Telekommunikationsunternehmen Energieversorgung Adaption der Anleitungen aus ISO/IEC 27002 in Bezug auf die Telekommunikationsbranche ISO/IEC 27019 Leitlinien zum Aufbau eines ISMS in Organisationen im Bereich Energieversorgung Anpassung der Anleitungen aus ISO/IEC 27002 mit Blick auf die Energiebranche ISO 27001 Foundation 42 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Die ISMS Normenfamilie ISO/IEC 27000 ISO/IEC 27799 ISO 27799 ISO/IEC 27799 Gesundheitswesen Leitlinien zum Aufbau eines ISMS in Organisationen im Gesundheitswesen Anpassung der Anleitungen aus ISO/IEC 27002 mit Blick auf die Gesundheitsbranche ISO 27001 Foundation 43 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001:2022 Kapitelstruktur der Norm ISO/IEC 27001 Anwendungsbereich, Normative Verweisungen, Begriffe Kontext der Organisation Managementverantwortung und Führungsstärke Planung Unterstützung (Support) Betrieb Bewertung der Leistung Verbesserung ISO 27001 Foundation 44 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Kapitalstruktur der Norm ISO/IEC 27001 1 2 3 Einleitung Anwendungs- Normative Begriffe bereich Verweisungen 4 5 6 7 8 9 10 Kontext der Führung Planung Unter- Betrieb Bewertung Ver- Organisation stützung der Leistung besserung Kapitelstruktur der Kapitel 4 bis 10 ist angelehnt an die PDCA-Methodik (Deming-Cycle) Alle ISO-Normen, die Managementsysteme beschreiben, haben denselben grundlegenden Aufbau und unterscheiden sich inhaltlich hauptsächlich in den Kapiteln 6 und 8 ISO 27001 Foundation 45 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001:2022 Kapitelstruktur der Norm ISO/IEC 27001 Anwendungsbereich, Normative Verweisungen, Begriffe Kontext der Organisation Managementverantwortung und Führungsstärke Planung Unterstützung (Support) Betrieb Bewertung der Leistung Verbesserung ISO 27001 Foundation 46 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Anwendungsbereich Kapitel 1 Universeller Standard für alle Arten von Organisationen1 unabhängig von ihrer Größe Definierte Anforderungen zur Festlegung Umsetzung Pflege und kontinuierlicher Verbesserung eines dokumentierten ISMS im Kontext der betrachteten Organisation Alle Anforderungen aus ISO/IEC 27001 generisch Ausschlüsse von den Anforderungen aus ISO/IEC 27001, Kapitel 4 bis 10, unzulässig, wenn Konformität mit der Norm beansprucht wird ISO 27001 Foundation 47 © 2003-2024 mITSM 1 Beispiele für Organisationen: Kommerzielle Unternehmen Staatliche Einrichtungen Gemeinnützige Organisationen ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Normative Verweisungen Kapitel 2 ISO/IEC 27001 ISO/IEC 27000 Mindestanforderungen Überblick und Terminologie an ein ISMS Informationen zur Spezifikation von Standardfamilie Sicherheitsmaßnahmen (controls) Verzeichnis der Begriffe ISO/IEC 27001 verweist in diesem Kapitel auf die ISO/IEC 27000 als Überblicksdokument ISO 27001 Foundation 48 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Begriffe Kapitel 3 ISO/IEC 27001 verweist in Abschnitt 3 auf die Begriffsdefinition in ISO/IEC 27000, Kapitel 3 ISO/IEC 27001 enthält selbst keine (weiteren) Begriffserklärungen ISO 27001 Foundation 49 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Kapitelstruktur der Norm ISO/IEC 27001 Anwendungsbereich, Normative Verweisungen, Begriffe Kontext der Organisation Managementverantwortung und Führungsstärke Planung Unterstützung (Support) Betrieb Bewertung der Leistung Verbesserung ISO 27001 Foundation 50 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Kontext der Organisation Kapitel 4 Verstehen der Organisation und ihres Kontextes Branche Geschäftsform Aufbau und Struktur des Unternehmens Fachbereiche Standorte: national oder international Anzahl Mitarbeiter Verstehen der Erfordernisse und Erwartungen interessierter Parteien Wer sind die interessierten Parteien (Stakeholder)? Welche Anforderungen bezüglich Informationssicherheit haben sie? ISO 27001 Foundation 51 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Kontext der Organisation Kapitel 4 Festlegung des Anwendungsbereichs (Scope) des ISMS Was wird durch das ISMS abgedeckt? Wo sind die Grenzen des ISMS? Was wird nicht abgedeckt? Beispiele für Aspekte, die den Scope begrenzen können: Standorte (Teil-) Organisationen Assets Kundenkreise oder Geschäftsfelder Technologien ISMS aufbauen, aufrechterhalten, stetig verbessern ISO 27001 Foundation 52 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Kapitelstruktur der Norm ISO/IEC 27001 Anwendungsbereich, Normative Verweisungen, Begriffe Kontext der Organisation Managementverantwortung und Führungsstärke Planung Unterstützung (Support) Betrieb Bewertung der Leistung Verbesserung ISO 27001 Foundation 53 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Managementverantwortung und Führungsstärke Kapitel 5 Festlegung der (übergeordneten) Politik (Policy) zur Informationssicherheit Bereitstellung von Ressourcen Vermittlung und Kommunikation Sicherstellung der Zielerreichung Führung, Weisung und Unterstützung der Mitarbeiter Förderung der kontinuierlichen Verbesserung Definition wesentlicher Rollen und Verantwortlichkeiten ISO 27001 Foundation 54 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Managementverantwortung und Führungsstärke Kapitel 5 Informationssicherheitsziele Klares Bekenntnis zur Klares Bekenntnis zur Erfüllung relevanter kontinuierlichen Sicherheitsanforderungen IS-Policy Verbesserung Die Informationssicherheitspolitik (IS-Policy) muss dokumentiert sein organisationsweit kommuniziert werden für weitere relevante Gruppen zugänglich sein ISO 27001 Foundation 55 © 2003-2024 mITSM Die Informationssicherheitsziele umfassen: Normative Vorgaben Gesetze (branchenspezifische) Vorschriften Unternehmensvorgaben (Governance) Kundenanforderungen (z.B. aus SLAs) ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Kapitelstruktur der Norm ISO/IEC 27001 Anwendungsbereich, Normative Verweisungen, Begriffe Kontext der Organisation Managementverantwortung und Führungsstärke Planung Unterstützung (Support) Betrieb Bewertung der Leistung Verbesserung ISO 27001 Foundation 56 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Planung: Assetmanagement Ziel Inventarisierung der Assets innerhalb des Scopes des ISMS Input für das Risikomanagement Festlegung klarer Verantwortlichkeiten bezüglich der Assets (Asset-Owner) Typische Attribute in einem Asset-Inventar ID Typ Eigentümer (Asset Owner) Schutzbedarf (Vertraulichkeit, Integrität, Verfügbarkeit) Beschreibung ISO 27001 Foundation 57 © 2003-2024 mITSM Die wesentlichen Ziele im Zusammenhang mit dem Management organisationseigener Werte werden in ISO/IEC 27001, Anhang A.8 beschrieben. ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Planung: Assetmanagement Werteverwaltung Finanzbuchhaltung Versicherungen … Im Rahmen des ISMS relevant Risikomanagement Risiken Wichtig: Bezug zwischen Risiken und Assets Tatsächliche Assets Inventar der Assets im Scope Verschiedene denkbare Verwendungs- der Organisation (z.B. Asset-Datenbank) zwecke für ein Asset-Inventar ISO 27001 Foundation 58 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Planung: Risikomanagementprozess Risikomanagement Risikobeurteilung Risikobehandlung Identifikation Analyse Bewertung Informations- Kriterien zur quellen Risikoakzeptanz Fall 1: Risiko inakzeptabel Behandlung Eintrittswahrscheinlichkeit Risiko- erforderlich Risiko x signifikanz? Potenzielle Auswirkung Fall 2: Bewusste Risikoakzeptanz ISO 27001 Foundation 59 © 2003-2024 mITSM Möglichkeiten der Behandlung sind neben der Akzeptanz: Vermeiden von Risiken Verringern von Risiken (Anhang A) Übertragen Risikosignifikanz beschreibt die Notwendigkeit zu untersuchen, inwieweit ein bewertetes Risiko für das Unternehmen relevant ist (Level of Risk). ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Planung: Informationssicherheitsrisikobeurteilung Kapitel 6 1. Festlegung von Kriterien zur Risikoakzeptanz 2. Risikomanagementprozess / -verfahren festlegen (um Wiederholbarkeit sicherzustellen) 3. Risiken identifizieren und Risiko-Verantwortliche (Risk Owner) festlegen 4. Risiken analysieren Bestimmen der Risikohöhe durch Abschätzen von Eintrittswahrscheinlichkeit und potenzieller Schadensauswirkung 5. Risiken bewerten Abgleich der Risikohöhe mit den Kriterien zur Risikoakzeptanz Risiken für Risikobehandlung priorisieren ISO 27001 Foundation 60 © 2003-2024 mITSM Zur Risikoanalyse (spezifisch zu technischen exploits): OWASP Risk Rating: https://owasp-risk-rating.com/ ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Planung: Kriterien zur Risikoakzeptanz Kapitel 6 Ziel: Definition des akzeptablen Risikoniveaus Beispiele für Akzeptanzkriterien: Risiko hat eine Eintrittswahrscheinlichkeit unter 0,1 Prozent und der potenzielle monetäre Schaden liegt unter 50.000 Euro Risiko hat eine Eintrittswahrscheinlichkeit unter 0,5 Prozent und der potenzielle monetäre Schaden liegt unter 10.000 Euro Wert der Risikoexposition (Eintrittswahrscheinlichkeit * Schadenshöhe) kleiner als 5.000 Risiko bezieht sich ausschließlich auf vollständig gegen Schäden versicherte Werte (Assets) ISO 27001 Foundation 61 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Planung: Risikoidentifikation Kapitel 6 Ziel: Strukturierte Ermittlung von Informationssicherheitsrisiken Schwachstellen Assets Bedrohungen Welche Schwachstelle kann Um welchen organisations- Welche Bedrohungen hinsichtlich des Assets eigenen Wert innerhalb bestehen hinsichtlich des ausgenutzt werden? des Scopes geht es? Assets? Risiko Welche Risiken bestehen in Zusammenhang mit dem Asset? ISO 27001 Foundation 62 © 2003-2024 mITSM Beispiel Asset: Vertrauliche Kostenkalkulation (Dokument) Beispiel Schwachstelle: Sicherheitslücke im Dateiserver + Dokument nicht verschlüsselt Beispiel Bedrohung: Zugriff durch unbefugte Dritte (z.B. Kunden, Konkurrenten) ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Planung: Risikobehandlung Kapitel 6 Maßnahmen zur Risikobehandlung festlegen Bewusste Akzeptanz Verminderung Vermeidung ISO/IEC 27001, Anhang A: Übertragung Maßnahmenkatalog Risikobehandlungsplan formulieren Zustimmung der Risikoverantwortlichen (Risk Owner) zu den verbleibenden Restrisiken einholen ISO 27001 Foundation 63 © 2003-2024 mITSM Quelle möglicher Risikobehandlungsmaßnahmen: Die im Anhang A von ISO/IEC 27001 spezifizierten (Minimal-) Maßnahmen (controls) ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Kapitelstruktur der Norm ISO/IEC 27001 Anwendungsbereich, Normative Verweisungen, Begriffe Kontext der Organisation Managementverantwortung und Führungsstärke Planung Unterstützung (Support) Betrieb Bewertung der Leistung Verbesserung ISO 27001 Foundation 64 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Unterstützung (Support) Kapitel 7 Ressourcen zur Etablierung, Umsetzung, Pflege und Verbesserung Planung der erforderlichen Ressourcen Bereitstellung der geplanten Ressourcen Kompetenz: Identifikation der Anforderungen zur effektiven Ausführung von Rollen bzw. Aufgaben im Rahmen des ISMS Aufbau von Kompetenz, z.B. durch Schulungen Bewusstsein: Kenntnis der Informationssicherheits-Leitlinie(n) Bewusstsein für die Wichtigkeit des eigenen Beitrags zum ISMS Bewusstsein für die (möglichen) Konsequenzen bei Fehlverhalten ISO 27001 Foundation 65 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Unterstützung (Support) Kapitel 7 Kommunikation: Interne und externe Kommunikation Planvoll und überlegt kommunizieren (Was? Wann? Wer? Wie?) Dokumentenlenkung(document control) Richtiger Umgang mit dokumentierten Informationen Steuerung und Lenkung dokumentierter Informationen Genehmigung der Herausgabe/Veröffentlichung von Dokumenten ISO 27001 Foundation 66 © 2003-2024 mITSM Dokumentenlenkung beschäftigt sich nicht damit, was dokumentiert und aufgezeichnet wird, sondern wie mit Dokumenten und Aufzeichnungen umgegangen wird. Weitere wichtige Aspekte der Dokumentenlenkung: Überprüfung und Aktualisierung von Dokumenten Sicherstellung der Kennzeichnung von Änderungen an Dokumenten Sicherstellung der Verfügbarkeit aktueller bzw. relevanter Versionen von Dokumenten Kontrollierte Verteilung von Dokumenten Verhinderung der unbeabsichtigten Nutzung veralteter Dokumente ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Unterstützung (Support) Kapitel 7 Typische Bestandteile der ISMS-Dokumentation Erklärung zum Anwendungsbereich (scope statement) Informationssicherheitspolitik und weitere Richtlinien Prozesse und Verfahren Sicherheitsmaßnahmen (controls) Bericht der Risikoeinschätzung Risikobehandlungsplan Erklärung zur Anwendbarkeit (statement of applicability) Aufzeichnungen (z.B. zu Informationssicherheitsereignissen und -vorfällen) ISO 27001 Foundation 67 © 2003-2024 mITSM Unterschiedlicher Umfang der ISMS-Dokumentation bei verschiedenen Organisationen möglich, aufgrund von Größe oder Prozesskomplexität. 1 Das SOA beschreibt, welche Controls des Annex A anwendbar sind und welche – mit entsprechender Begründung – ausgeschlossen wurden. ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Kapitelstruktur der Norm ISO/IEC 27001 Anwendungsbereich, Normative Verweisungen, Begriffe Kontext der Organisation Managementverantwortung und Führungsstärke Planung Unterstützung (Support) Betrieb Bewertung der Leistung Verbesserung ISO 27001 Foundation 68 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Betrieb Kapitel 8 Betriebliche Planung und Steuerung Umsetzung des Risikobehandlungsplans Regelmäßige (Neu-)Einschätzung von Informationssicherheitsrisiken In zuvor geplanten Abständen Außerplanmäßige (Neu-) Einschätzung von Informationssicherheits- risiken bei größeren Änderungen Informationssicherheitsvorfällen ISO 27001 Foundation 69 © 2003-2024 mITSM Operative Planung und Steuerung beinhaltet: - Verwirklichung geplanter Prozesse und Maßnahmen - Überwachung geplanter Änderungen und ggf. Ergreifung von Maßnahmen (um negative Auswirkungen zu mindern) - Steuerung ausgegliederter Prozesse - Aufbewahrung dokumentierter Information ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Kapitelstruktur der Norm ISO/IEC 27001 Anwendungsbereich, Normative Verweisungen, Begriffe Kontext der Organisation Managementverantwortung und Führungsstärke Planung Unterstützung (Support) Betrieb Bewertung der Leistung Verbesserung ISO 27001 Foundation 70 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Bewertung: Überwachung und Messung Kapitel 9 Key Performance Indicator (KPI) Kennzahl, mit der die Leistung von Aktivitäten in einem Managementsystem ermittelt werden kann Gemessen werden können folgende Kriterien: Konformität Effektivität Effizienz ISO 27001 Foundation 71 © 2003-2024 mITSM Beispiel: Durchführung von Schulungen Konformität: Die Belegschaft wurde zum ISMS geschult. Dies wurde dokumentiert. Effektivität: 100% der Belegschaft wurde geschult. Effizienz: 100% der Belegschaft wurden innerhalb von 2 Veranstaltungen geschult. ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Bewertung: Überwachung und Messen Kapitel 9 ISO/IEC 27001, Kap. 9 ISO/IEC 27004 Was wird überwacht / gemessen? Systeme, Prozesse und Aktivitäten Wann wird überwacht / gemessen? Festlegung geeigneter Zeiträume Wann werden die Ergebnisse für Messung und Auswertung ausgewertet? Wer überwacht / misst? Rollen und Verantwortlichkeiten im Wer wertet die Ergebnisse aus? Zusammenhang mit Messung und Auswertung Welche Methoden werden dafür Arten von Messmethoden verwendet? Prozesse Anhang A Anhang B Anhang C ISO 27001 Foundation 72 © 2003-2024 mITSM Überwachung und Messung ist der erste Schritt zur Bewertung der Leistung der Informationssicherheit und der Effektivität des ISMS. Hierzu gibt der allgemeine Leitfaden ISO/IEC 27004 Umsetzungshinweise zu den in ISO/IEC 27001, Kapitel 9. gestellten Anforderungen zur Messung und Überwachung des ISMS. Beispiele sind: - Implementierung von ISMS-Prozessen - Incident Management - Schwachstellenmanagement - Sicherheitsbewusstsein und Schulung - Zugangskontrolle - Firewall und andere Ereignisprotokolle - Audit - Risikomanagement: Risikobewertung und Risikobehandlungsprozess - Business Continuity Management Anhang A: Modell zur Messung der Informationssicherheit Anhang B: Beispiele für Messkonstrukte Anhang C: Freitext-Beispiel für ein Messkonstrukt ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Bewertung: Interne ISMS Audits Kapitel 9 Wird die Norm ISO/IEC 27001 erfüllt? (Konformität) Auditor führt durch Erfüllt das ISMS die Anforderungen der Organisation? Ziele Wird das ISMS wirksam umgesetzt und von Audits aufrechterhalten? (Effektivität) Durchführung von Audits in geplanten Abständen Erstellung eines Auditprogramms Bericht der Audit-Ergebnisse an das Management ISO 27001 Foundation 73 © 2003-2024 mITSM Planung eines Auditprogramms auf Basis von … Status und Bedeutung der zu auditierenden Prozesse/Bereiche Ergebnissen früherer Audits Definition von Kriterien, Umfang und Häufigkeit aller Audits Sicherstellung der Objektivität von (internen) Audits Die ISO 19011 ist ein Leitfaden zur Auditierung von Managementsystemen, z. B. von ISO 9001, ISO/IEC 20000-1, ISO 14001 und anderen Managementsystemen. ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Bewertung: Managementbewertungen Kapitel 9 Überprüfung und Bewertung von Top Management Effektivität und Effizienz des ISMS führt durch Relevante Veränderungen am ISMS Inhalte von Ergebnisse interner Audits Management- bewertungen Verbesserungsmöglichkeiten Durchführung in geplanten Abständen Outputs der Management Reviews sind Entscheidungen über entsprechende Konsequenzen/Veränderungen ISO 27001 Foundation 74 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Kapitelstruktur der Norm ISO/IEC 27001 Anwendungsbereich, Normative Verweisungen, Begriffe Kontext der Organisation Managementverantwortung und Führungsstärke Planung Unterstützung (Support) Betrieb Bewertung der Leistung Verbesserung ISO 27001 Foundation 75 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Mindestanforderungen an ein ISMS nach ISO/IEC 27001 Kontinuierliche Verbesserung Kapitel 10 Kontinuierliche Verbesserung von Eignung Angemessenheit Wirksamkeit des ISMS Planung und Umsetzung von Verbesserungsmaßnahmen Management der Verbesserungsmaßnahmen inkl. Priorisierung, Planung und Erfolgsmessung nach der Durchführung Nichtkonformität und Korrekturmaßnahmen ISO 27001 Foundation 76 © 2003-2024 mITSM Verbesserungsmaßnahmen beinhalten: Eliminierung von Nichtkonformität Umgang mit den Konsequenzen von Nichtkonformitäten Vermeidung des Wiederauftretens von Nichtkonformitäten Überprüfung der Effektivität von Korrekturmaßnahmen Änderungen am ISMS Aufzeichnung der Ergebnisse ergriffener Maßnahmen ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen Aufbau des Anhang A der ISO/IEC 27001 Zusammenhang ISO/IEC 27001, Anhang A und ISO/IEC 27002 Struktur einer Maßnahme Implementierung von Maßnahmen (SOA) Überblick A.5 – A.8 ISO 27001 Foundation 77 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen Aufbau des Anhang A der ISO/IEC 27001 Normativ Aufbau: 27001, Anhang A 4 Themen (vgl. DIN EN ISO/IEC 27002:2024, Kap 4.2) 93 Maßnahmen (Controls) Zuordnung ein Themenbereich eine oder mehrere Maßnahmen Die Controls aus Anhang A sind nicht abschließend. Die Umsetzung weiterer Maßnahmen kann erforderlich sein. ISO 27001 Foundation 78 © 2003-2024 mITSM ISO/IEC 27001:2022 Kurzübersicht der Änderungen: Höherer Detailgrad der einzelnen Controls Insgesamt bessere Struktur und Übersicht durch die Themengebiete Jedes Control enthält nun eine detaillierte “Guidance” sowie einen Bereich “Other Information” Zusammengefasste Controls haben auch eine zusammengefasste Maßnahmenbeschreibung Deutlich mehr Bezug zu Cybersecurity Attribute helfen bei der Zuordnung und den Zusammenhängen der jeweiligen Maßnahmen Alte Struktur der ISO/IEC 27001:2013 Aufbau: 14 Abschnitte 35 Hauptsicherheitskriterien mit Maßnahmenzielen (control objectives) 114 Maßnahmen (controls) Zuordnung: ein Maßnahmenziel eine oder mehrere Maßnahmen ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen Zusammenhang ISO/IEC 27001, Anhang und ISO ISO/IEC 27001, Anhang A ISO/IEC 27002 (Controls) (Code of Practice) Zu jedem Control: Erläuterungen Spezifikation der Controls und Anleitung zur Umsetzung ISO 27001 Foundation 79 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen Struktur einer Maßnahme – Beispiel 27002, Kap 8.24 ISO 27001 Foundation 80 © 2003-2024 mITSM Die neue Controls Struktur - Auszug aus der ISO/IEC 27002:2022 ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen Struktur einer Maßnahme Maßnahmenüberschrift: Kurzname der Maßnahme 27002, Kap 4.3 Attributtabelle: Eine Tabelle zeigt den/die Wert(e) jedes Attributs Maßnahme: Beschreibung der Maßnahme Zweck: Warum die Maßnahme implementiert werden soll Anleitung: Wie die Kontrolle implementiert werden sollte Weitere Informationen: Erläuternder Text oder Verweise auf andere verwandte Dokumente ISO 27001 Foundation 81 © 2003-2024 mITSM Der Zweck (Purpose) entspricht am ehesten den Formulierungen der bisherigen (Version ISO/IEC 27001:2013) Maßnahmenziele (Control objectives). ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen Struktur einer Maßnahme – Attribute in der ISO 27002:2022 Die optionale Verwendung von Attributen ermöglicht eine Kategorisierung der Maßnahmen aus einer alternativen Perspektive als die Themen. Maßnahmenart Sicherheitsdomänen Informationssicherheits- Betriebsfähigkeit eigenschaften Konzepte zur Cybersicherheit 27002, Kap 4.2 ISO 27001 Foundation 82 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen Attributtyp: Maßnahmenart (Control type) Wann und wie die Maßnahme das Risiko in Bezug auf das Auftreten eines IS-Vorfalls verändert. #Präventiv Maßnahme, die das Auftreten eines IS-Vorfalls verhindern soll #Detektiv Maßnahme wirkt, wenn ein IS-Vorfall auftritt #Korrektiv Maßnahme wirkt, nachdem ein IS-Vorfall auftritt 27002, Kap 4.2 ISO 27001 Foundation 83 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 83 ISO/IEC 27001, Anhang A – Maßnahmen Attributtyp: Informationssicherheitseigenschaften (Information security properties) Welches Merkmal der Information soll durch die Maßnahme geschützt werden #Vertraulichkeit #Integrität #Verfügbarkeit 27002, Kap 4.2 ISO 27001 Foundation 84 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 84 ISO/IEC 27001, Anhang A – Maßnahmen Attributtyp: Cybersicherheitskonzepte (Cybersecurity concepts) Die Attribute stammen aus der ISO/IEC TS 27110:2021 (Cybersecurity framework development guidelines). Dort sind diese Konzepte als Rahmenstruktur für Cybersecurity-Tätigkeiten beschrieben. Eine exemplarische Umsetzung ist das “NIST Cybersecurity Framework”. #Identifizieren #Schützen #Erkennen #Reagieren #Wiederherstellen 27002, Kap 4.2 ISO 27001 Foundation 85 © 2003-2024 mITSM TS = Technical Specification NIST = National Institute of Standards and Technology CSF = CyberSecurity Framework What is the NIST Framework? The Framework is voluntary guidance, based on existing standards, guidelines, and practices for organizations to better manage and reduce cybersecurity risk. In addition to helping organizations manage and reduce risks, it was designed to foster risk and cybersecurity management communications amongst both internal and external organizational stakeholders. (Quelle: https://www.nist.gov/cyberframework/getting-started; aufgerufen 09.05.2023 10:35) ISO/IEC 27001 Foundation v.7.2 85 ISO/IEC 27001, Anhang A – Maßnahmen Attributtyp: Betriebsfähigkeit (Operational capabilities) Die Maßnahmen aus der Perspektive der Informationssicherheitsfähigkeiten. #Governance #Identitäts-_und_Zugangsverwaltung #Asset_Management #Bedrohungs-_und #Informationsschutz _Schwachstellenmanagement #Sicherheit_der #Aufrechterhaltung _Humanressourcen #Sicherheit_der_Lieferantenbeziehungen #physische_Sicherheit #Recht_und_Compliance #System-_und #Handhabung_von_Informationssicherheits _Netzwerksicherheit ereignissen #Anwendungssicherheit #Vertrauenswürdigkeit_in_Bezug_auf_die #sichere_Konfiguration _Informationssicherheit 27002, Kap 4.2 ISO 27001 Foundation 86 © 2003-2024 mITSM Die „alten“ 14 Kapitel wurden nun größtenteils in Attribute umgewandelt, welche unter Operational capabilities wiederzufinden sind ISO/IEC 27001 Foundation v.7.2 86 ISO/IEC 27001, Anhang A – Maßnahmen Attributtyp: Sicherheitsdomänen (Security domains) Die Maßnahmen werden aus der Perspektive von vier Informationssicherheitsdomänen (Teilbereiche der IS) betrachtet. #Governance_und_Ökosystem #Schutz #Verteidigung #Resilienz 27002, Kap 4.2 ISO 27001 Foundation 87 © 2003-2024 mITSM „Resilienz“ = Widerstandsfähigkeit „Ökosystem“ = Ein Ökosystem besteht aus einer Lebensgemeinschaft von Organismen mehrerer Arten. Darüber hinaus wird die Definition weit ausgelegt ISO/IEC 27001 Foundation v.7.2 87 ISO/IEC 27001, Anhang A – Maßnahmen Struktur einer Maßnahme – Attribute in der ISO 27002:2022 Attribute sind nicht zwingend erforderlich, können jedoch zur leichteren Kategorisierung, Identifizierung und Filtern von Maßnahmen 27002, Kap 4.2 dienen 27002, Anhang A Attribute können auch neu erfunden und/oder nicht verwendet werden ISO/IEC 27002:2022 Anhang A soll als Hilfestellung beim Umgang mit Attributen dienen. ISO 27001 Foundation 88 © 2003-2024 mITSM Der Zweck (Purpose) entspricht am ehesten den Formulierungen der bisherigen (Version ISO/IEC 27001:2013) Maßnahmenziele (Control objectives). ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen Implementierung von Maßnahmen (SOA) Erklärung zur Anwendbarkeit (statement of applicability, SOA) 27001, In dieser Unterlage werden die Maßnahmen (controls) dargestellt, die für das ISMS 6.1.3 d) des Unternehmens (oder der Organisation) maßgeblich und verwendbar sind. Die Erklärung zur Anwendbarkeit beinhaltet: Notwendige Maßnahmen (v.a. Maßnahmen aus Anhang A) Gründe für den Einschluss Begründung bei Ausschluss von Maßnahmen1 Status der Umsetzung ISO 27001 Foundation 89 © 2003-2024 mITSM 1 Ausschlüsse von Maßnahmen (ISO/IEC 27001, Anhang A) grundsätzlich möglich, aber … - Jeder Ausschluss einer Maßnahme muss begründet werden. - Die mit dem Ausschluss einer Maßnahme verbundenen Risiken müssen (bewusst) akzeptiert werden. - Der Ausschluss darf nicht die Aufrechterhaltung der Informationssicherheit gefährden. ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen ISO 27001 Foundation 90 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen Überblick A.5 – A.8 A.5 Organisatorische Maßnahmen 37 Maßnahmen A.6 Personenbezogene Maßnahmen 8 Maßnahmen A.7 Physische Maßnahmen 14 Maßnahmen A.8 Technologische Maßnahmen 34 Maßnahmen ISO 27001 Foundation 91 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen A.5 Organisatorische Maßnahmen (37 Controls) Informationssicherheitspolitik und -richtlinien 27001 Informationssicherheitsrollen und -verantwortlichkeiten Aufgabentrennung Verantwortlichkeiten der Leitung Kontakt mit Behörden Kontakt mit speziellen Interessengruppen Informationen über die Bedrohungslage Informationssicherheit im Projektmanagement Inventar der Informationen und anderen damit verbundenen Werten ISO 27001 Foundation 92 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen A.5 Organisatorische Maßnahmen (37 Controls) Zulässiger Gebrauch von Informationen und anderen damit 27001 verbundenen Werten Rückgabe von Werten Klassifizierung von Informationen Kennzeichnung von Informationen Informationsübermittlung Zugangssteuerung Identitätsmanagement Authentisierungsinformationen Zugangsrechte ISO 27001 Foundation 93 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen A.5 Organisatorische Maßnahmen (37 Controls) Informationssicherheit in Lieferantenbeziehungen 27001 Behandlung von Informationssicherheit in Lieferantenvereinbarungen Umgang mit der Informationssicherheit in der Lieferkette der Informations- und Kommunikationstechnologie (IKT) Überwachung, Überprüfung und Änderungsmanagement von Lieferdienstleistungen Informationssicherheit für die Nutzung von Cloud-Diensten Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen ISO 27001 Foundation 94 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen A.5 Organisatorische Maßnahmen (37 Controls) Beurteilung und Entscheidung über 27001 Informationssicherheitsereignisse Reaktion bei Informationssicherheitsvorfällen Erkenntnisse aus Informationssicherheitsvorfällen Sammeln von Beweismitteln Informationssicherheit bei Störungen IKT-Bereitschaft für Business Continuity Juristische, gesetzliche, regulatorische und vertragliche Anforderungen Geistige Eigentumsrechte Schutz von Aufzeichnungen Datenschutz und Schutz von personenbezogenen Daten (PbD) ISO 27001 Foundation 95 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen A.5 Organisatorische Maßnahmen (37 Controls) Unabhängige Überprüfung der Informationssicherheit 27001 Einhaltung von Richtlinien, Vorschriften und Normen für die Informationssicherheit Dokumentierte Bedienabläufe ISO 27001 Foundation 96 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen A.6 Personenbezogene Maßnahmen (8 Controls) Sicherheitsüberprüfung 27001 Beschäftigungs- und Vertragsbedingungen Informationssicherheitsbewusstsein, -ausbildung und -schulung Maßregelungsprozess Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung Vertraulichkeits- oder Geheimhaltungsvereinbarungen Remote-Arbeit Meldung von Informationssicherheitsereignissen ISO 27001 Foundation 97 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen A.7 Physische Maßnahmen (14 Controls) Physische Sicherheitsperimeter 27001 Physischer Zutritt Sichern von Büros, Räumen und Einrichtungen Physische Sicherheitsüberwachung Schutz vor physischen und umweltbedingten Bedrohungen Arbeiten in Sicherheitsbereichen Aufgeräumte Arbeitsumgebung und Bildschirmsperren Platzierung und Schutz von Geräten und Betriebsmitteln Sicherheit von Werten außerhalb der Räumlichkeiten ISO 27001 Foundation 98 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen A.7 Physische Maßnahmen (14 Controls) Speichermedien 27001 Versorgungseinrichtungen Sicherheit der Verkabelung Instandhalten von Geräten und Betriebsmitteln Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln ISO 27001 Foundation 99 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen A.8 Technologische Maßnahmen (34 Controls) Endpunktgeräte des Benutzers 27001 Privilegierte Zugangsrechte Informationszugangsbeschränkung Zugriff auf den Quellcode Sichere Authentisierung Kapazitätssteuerung Schutz gegen Schadsoftware Handhabung von technischen Schwachstellen Konfigurationsmanagement Löschung von Informationen Datenmaskierung Verhinderung von Datenlecks ISO 27001 Foundation 100 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen A.8 Technologische Maßnahmen (34 Controls) Sicherung von Informationen 27001 Redundanz von informationsverarbeitenden Einrichtungen Protokollierung Überwachung von Aktivitäten Uhrensynchronisation Gebrauch von Hilfsprogrammen mit privilegierten Rechten Installation von Software auf Systemen im Betrieb Netzwerksicherheit Sicherheit von Netzwerkdiensten Trennung von Netzwerken Webfilterung ISO 27001 Foundation 101 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 ISO/IEC 27001, Anhang A – Maßnahmen A.8 Technologische Maßnahmen (34 Controls) Verwendung von Kryptographie 27001 Lebenszyklus einer sicheren Entwicklung Anforderungen an die Anwendungssicherheit Sichere Systemarchitektur und Entwicklungsgrundsätze Sichere Codierung Sicherheitsüberprüfungen bei Entwicklung und Abnahme Ausgegliederte Entwicklung Trennung von Entwicklungs-, Test- und Produktionsumgebungen Änderungssteuerung Testdaten Schutz der Informationssysteme während Tests im Rahmen von Audits ISO 27001 Foundation 102 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Zertifizierung nach ISO/IEC 27001 Weg zur Zertifizierung Hierarchie der Organisationen ISO 27001 Foundation 103 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Zertifizierung nach ISO/IEC 27001 Weg zur Zertifizierung Zertifizierungsstelle (Certification Body, CB) auswählen Wer auditiert und zertifiziert? Geltungsbereich (Scope) der Zertifizierung festlegen Scope Statement Initiales Assessment durchführen Selbsteinschätzung oder Vor-Audit durch CB Zertifizierungsaudit Stufe 1 (Dokumentation) Stufe 2 (Konformität, Wirksamkeit) Erteilung Zertifikat durch CB Gültigkeit: 3 Jahre Jährliches Überwachungsaudit ISO 27001 Foundation 104 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Zertifizierung nach ISO/IEC 27001 Hierarchie der Organisationen Internationales Akkreditierungsforum IAF Nationale Akkreditierungsstellen DAkkS... Zertifizierungsstellen TÜV Dekra DQS... ISO 27001 Foundation 105 © 2003-2024 mITSM Abkürzungen IAF: International Accreditation Forum DAkkS: Deutsche Akkreditierungsstelle Zertifizierungsstelle (Certification Body, CB) Führt das Zertifizierungsaudit nach ISO/IEC 27001 durch Stellt das Zertifikat nach einem erfolgreichen Audit aus Wird durch nationale Akkreditierungsstelle akkreditiert Nationale Akkreditierungsstelle (Accreditation Body) Akkreditiert Zertifizierungsstellen nach bestimmten Kriterien Stellt sicher, dass Zertifizierungsstellen über erforderliche Kompetenzen verfügen und Zertifizierungsaudits ordnungsgemäß durchgeführt werden Wird durch ein internationales Forum kontrolliert Internationales Akkreditierungsforum (International Accreditation Forum) Internationaler Zusammenschluss aller nationalen Akkreditierungsstellen Gegenseitige Kontrolle, regelmäßige Meetings ISO/IEC 27001 Foundation v.7.2 Verwandte Standards und Rahmenwerke BSI IT-Grundschutz CISIS12 TISAX® ISO/IEC 15408 (Common Criteria) ISO 9000 ISO/IEC 20000 FitSM ISO 27001 Foundation 106 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Verwandte Standards und Rahmenwerke Übersicht Name Schwerpunkte Was? IT-Grundschutz- Informations- und IT- Initiative des BSI für Informations- Kompendium Sicherheit sicherheit in Organisationen (zertifizierbar) CISIS12 Informationssicherheit Informationssicherheit in 12 Schritten (zertifizierbar) TISAX Informationssicherheit Trusted Information Security Assessment Exchange (Automotive) (zertifizierbar) ISO/IEC 15408 IT-Sicherheit: Bewertung der Internationaler Standard Common Criteria Sicherheit von IT-Systemen (zertifizierbar) ISO 9000 Qualitätsmanagement Internationaler Standard (zertifizierbar) ISO/IEC 20000 IT Service Management Internationaler Standard (ITSM) (zertifizierbar) FitSM Leichtgewichtiges ITSM Frei verfügbarer Standard ITIL Best Practice in ITSM „De-facto-Standard“ ISO 27001 Foundation 107 © 2003-2024 mITSM Die Liste ISO/IEC 27001 Foundation v.7.2 Verwandte Standards und Rahmenwerke BSI IT-Grundschutz CISIS12 TISAX® ISO/IEC 15408 (Common Criteria) ISO 9000 ISO/IEC 20000 FitSM ISO 27001 Foundation 108 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Verwandte Standards und Rahmenwerke BSI IT-Grundschutz Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen Ziel: Erhöhung des Niveaus der Informationssicherheit Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI) Anwendungsdomäne/Adressaten: Behörden Unternehmen jeder Größenordnung Publikationsformen: Elektronisch (PDF) Kompatibel mit ISO/IEC 27001 ISO 27001 Foundation 109 © 2003-2024 mITSM ISO/IEC 27001 Foundation v.7.2 Verwandte Standards: BSI IT-Grundsatz BSI IT-Grundsatz Elementare Gefährdungen Prozessbausteine Systembausteine ISMS APP ORP SYS CON IND OPS NET DER INF Umsetzungshinweise ISO 27001 Foundation 110 © 2003-2024 mITSM Prozessbausteine gelten in der Regel gleichermaßen für sämtliche oder große Teile des Informationsverbundes. ISMS: Sicherheitsmanagement ORP: Organisation und Personal CON: Konzeption und Vorgehensweise, z.B. Kryptographiekonzept und Datenschutz OPS: Betrieb, z.B. operativer IT-Betrieb, aber auch Schutz vor Schadprogrammen und Outsourcing für Kunden DER: Detektion und Reaktion, z.B.: Behandlung von Sicherheitsvorfällen und Vorsorge für IT-Forensik Systembausteine werden in der Regel auf einzelne Zielobjekte oder Gruppen von Zielobjekten angewendet. APP: Anwendungen, u.a. Absicherung von Anwendungen und Diensten, unter anderem in den Bereichen Kommunikation, Verzeichnisdienste, netzbasierte Dienste sowie Business- und Client-Anwendungen SYS: IT-Systeme, u.a. Server, Desktop-Systeme, Mobile Devices und sonstigen IT-Systemen wie Druckern und TK- Anlagen IND: Industrielle IT, u.a. Betriebs- und Steuerungstechnik NET: Netze und Kommunikation, u.a. Netz-Management, Firewall und WLAN-Betrieb INF: Infrastruktur, baulich-technische Gegebenheiten u.a. allgemeine Gebäude und Rechenzentrum ISO/IEC 27001 Foundation v.7.2 Verwandte Standards und Rahmenwerke BSI IT-Grundschutz CISIS12 TISAX® ISO/IEC 15408 (Common Criteria)
