Unter der ISO 27000-Reihe fallen Standards der International Organisation for Standardization (ISO)
und der International Electrotechnical Commission (IEC) mit dem Ziel der Normierung der IT-Sicherheitsprozesse von Unternehmen. Neben einer detaillierten Behandlung von ausgewählten Problemfeldern wie die Risikoanalyse, findet man auch einen Katalog von „Best Practice“-Vorschlägen.
Nachfolgend eine unvollständige Auflistung von ein paar Standards der ISO 27000-Reihe:
- ISO 27000 – Übersicht und Begrifflichkeiten
- ISO 27001 – Allgemeine Anforderungen
- ISO 27002 – Leitfaden
- ISO 27003 – Anleitung zur Umsetzung
- ISO 27004 Messungen
- ISO 27005 – Risikomanagement
- ISO 27018 – Datenschutz in Cloudsystemen
- …
Prozessmodell
Nachfolgend ein allgemeines Prozessmodell nach ISO 27000
Identifizieren
Im ersten Schritt des Prozessmodells geht es um die Identifikation von Informationssicherheitsanforderungen. Hierfür müssen beispielsweise die geschäftlichen Interessen, die Informationsbestände oder auch die rechtlichen oder vertraglichen Rahmenbedingungen überprüft werden.
Risikomanagementprozess
Im anschließenden Risikomanagementprozess geht es dann unter andere um die Gefährdungsbeurteilung, zu der die Risikoidentifikation, die Risikoanalyse und auch die Risikobewertung gehören.
Identifizierte Risiken können verschieden angegangen werden:
- Man kann versuchen sie zu reduzieren (z.B. durch bestimmte Richtlinien die umzusetzen und einzuhalten sind)
- Man kann versuchen sie ganz zu vermeiden (z.B. durch Untersagen bestimmter Tätigkeiten)
- Man kann sie einfach akzeptieren (wenn der Schaden hinnehmbar ist)
- Man kann sie einer anderen Partei übertragen (z.B. auf einen Versicherer
Implementierung
In der Implementierungsphase werden Maßnahmen zur Risikoreduktion ausgewählt und umgesetzt. Auch die Schulung und die Bewusstseinsbildung innerhalb der Organisation gehören zu dieser Phase des Prozessmodells.
Instandhalten und Verbessern
Durch die Phase Instandhalten und Verbessern sollen die umgesetzten Maßnahmen überwacht und überprüft werden. Hier kommt es unter anderem auf die Wirksamkeit an. Diese kann beispielsweise über interne Audits, wie Befragungen festgestellt werden.
Quellen und Verweise
Keine Kommentare:
Kommentar veröffentlichen