Generic commit
This commit is contained in:
parent
5e1f1270f6
commit
f5d119f9f9
29
document.tex
29
document.tex
|
@ -145,38 +145,21 @@ Hinzu kommt, dass Kunden aus unterschiedlichen Ländern gegebenenfalls unterschi
|
|||
\section{ISO 27001}\label{cpt:iso27001}
|
||||
|
||||
\paragraph{Steckbrief: ISO 27001}
|
||||
Die ISO 27001 ist ein internationaler Standard und wurde erstmals im Jahr 2005 definiert und später im Jahr 2013 überholt\cite{ISO27001}. Sie definiert Anforderungen an ein \emph{Information Security Management System} (ISMS), welches einen Ähnlichen Ansatz wie das Compliance Management System verfolgt. Der Fokus des ISMS liegt auf Datensicherheit; genauer dem Bewahren der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Anwendung von Risikomanagementprozessen. Je nach Struktur und Bedarf des Unternehmens sind Struktur und Aufbau des ISMS unterschiedlich. Im Vergleich zur regulären IT-Compliance bietet die ISO 27001 jedoch den Vorteil, dass man sich nach ihr zertifizieren lassen kann.
|
||||
Die ISO 27001 ist ein internationaler Standard und wurde erstmals im Jahr 2005 definiert und später im Jahr 2013 überholt\cite{ISO27001}. Sie definiert Anforderungen und dazu passende Kontrollen an ein \emph{Information Security Management System} (ISMS), welches einen Ähnlichen Ansatz wie das Compliance Management System verfolgt. Der Fokus des ISMS liegt auf Datensicherheit; genauer dem Bewahren der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Anwendung von Risikomanagementprozessen. Je nach Struktur und Bedarf des Unternehmens sind Struktur und Aufbau des ISMS unterschiedlich. Im Vergleich zur regulären IT-Compliance bietet die ISO 27001 jedoch den Vorteil, dass man sich nach ihr zertifizieren lassen kann.
|
||||
|
||||
\paragraph{Inhalte und Ziele der ISO 27001}
|
||||
\begin{itemize}
|
||||
\item Enthält Anforderungen an ein ISMS + passende Kontrollen
|
||||
\item Top-Down Ansatz (\enquote{Top management shall ensure that \dots})
|
||||
\item Anwendungsgebiete: (Auszug)
|
||||
Für den Aufbau des ISMS wird ein \enquote{Top-Down}-Ansatz verfolgt, welcher sich auch im Dokument der ISO 27001 widerspiegelt. Ein Satz in diesem Dokument beginnt sehr häufig mit \enquote{Top management shall ensure that \dots}\cite{ISO27001}. Ein Auszug der Anwendungsgebiete des Dokuments sieht wie folgt aus\cite{wiki:iso27001}:
|
||||
\begin{itemize}
|
||||
\item Managen von \textbf{Sicherheitsrisiken}
|
||||
\item Sicherstellung der Einhaltung von Gesetzen und Vorschriften
|
||||
\item Definition von Managementprozessen zum Managen von Informationssicherheit
|
||||
\item Nutzung durch Auditoren als \enquote{Checkliste}
|
||||
\end{itemize}
|
||||
\item Erzeugung und kontinuierliche Pflege einer Datensicherheitsrichtlinie
|
||||
\end{itemize}
|
||||
Neben dem Aufbau des ISMS wird auch die Erzeugung und kontinuierliche Pflege einer Datensicherheitsrichtlinie beschrieben.
|
||||
|
||||
\paragraph{Auswirkungen der ISO 27001}
|
||||
\begin{itemize}
|
||||
\item Entwurf neuer Prozesse, Informationssysteme oder Kontrollen berücksichtigt Datensicherheit von Beginn an
|
||||
\item Verursachte Kosten:
|
||||
\begin{itemize}
|
||||
\item Interne Kosten verursacht durch ISMS und zugehöriger Dokumentation
|
||||
\item Externe Kosten durch Beauftragung von Beratungsunternehmen
|
||||
\item Audit Kosten durch Zertifizierungsunternehmen
|
||||
\end{itemize}
|
||||
\item Konformität nach ISO 27001 zeigen?
|
||||
\begin{itemize}
|
||||
\item Selbst Konformität verkünden
|
||||
\item Kunden/Vertragspartner bitten, die Konformität zu bestätigen
|
||||
\item Verifikation der Konformität durch externen Auditor ($\rightarrow$ Zertifizierung)
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
Baut man mit Hilfe der ISO 27001 ein ISMS im Unternehmen auf, so integriert sich dieses ähnlich wie bei IT-Compliance in das Unternehmen und nimmt so Einfluss auf den Entwurf neuer Prozesse und Informationssysteme oder Kontrollen und berücksichtigt Ziele und Risiken rund um Datensicherheit von Beginn an mit. Durch diesen Aufwand werden neben internen Kosten durch den Aufbau des ISMS und der zugehörigen Dokumentation auch weitere Kosten durch Beauftragung von Beratungsunternehmen und Audit Kosten durch Zertifizierungsunternehmen verursacht. Somit ist die volle Umsetzung der ISO 27001 im Unternehmen deutlich teurer im Vergleich zu IT-Compliance mit einem CMS.
|
||||
|
||||
Im Gegensatz zu \enquote{regulärer} IT-Compliance ist es mit der ISO 27001 jedoch möglich, die Konformität zu zeigen. So ist es möglich, sie selbst zu verkünden oder Kunden beziehungsweise Vertragspartner zu bitten, die Konformität zu bestätigen. Oft wird jedoch die Verifikation der Konformität durch einen externen Auditor angestrebt. (Zertifizierung nach ISO 27001)
|
||||
|
||||
\paragraph{Nutzen der ISO 27001}
|
||||
\begin{itemize}
|
||||
|
|
Loading…
Reference in New Issue