Dienstag, 30. Mai 2017

ISO 27000-Reihe

Unter der ISO 27000-Reihe fallen Standards der International Organisation for Standardization (ISO) und der International Electrotechnical Commission (IEC) mit dem Ziel der Normierung der IT-Sicherheitsprozesse von Unternehmen. Neben einer detaillierten Behandlung von ausgewählten Problemfeldern wie die Risikoanalyse, findet man auch einen Katalog von „Best Practice“-Vorschlägen. Nachfolgend eine unvollständige Auflistung von ein paar Standards der ISO 27000-Reihe:
  • ISO 27000 – Übersicht und Begrifflichkeiten
  • ISO 27001 – Allgemeine Anforderungen
  • ISO 27002 – Leitfaden
  • ISO 27003 – Anleitung zur Umsetzung
  • ISO 27004 Messungen
  • ISO 27005 – Risikomanagement
  • ISO 27018 – Datenschutz in Cloudsystemen

Prozessmodell

Nachfolgend ein allgemeines Prozessmodell nach ISO 27000


Identifizieren

Im ersten Schritt des Prozessmodells geht es um die Identifikation von Informationssicherheitsanforderungen. Hierfür müssen beispielsweise die geschäftlichen Interessen, die Informationsbestände oder auch die rechtlichen oder vertraglichen Rahmenbedingungen überprüft werden.

Risikomanagementprozess

Im anschließenden Risikomanagementprozess geht es dann unter andere um die Gefährdungsbeurteilung, zu der die Risikoidentifikation, die Risikoanalyse und auch die Risikobewertung gehören. Identifizierte Risiken können verschieden angegangen werden:
  • Man kann versuchen sie zu reduzieren (z.B. durch bestimmte Richtlinien die umzusetzen und einzuhalten sind)
  • Man kann versuchen sie ganz zu vermeiden (z.B. durch Untersagen bestimmter Tätigkeiten)
  • Man kann sie einfach akzeptieren (wenn der Schaden hinnehmbar ist)
  • Man kann sie einer anderen Partei übertragen (z.B. auf einen Versicherer

Implementierung

In der Implementierungsphase werden Maßnahmen zur Risikoreduktion ausgewählt und umgesetzt. Auch die Schulung und die Bewusstseinsbildung innerhalb der Organisation gehören zu dieser Phase des Prozessmodells.

Instandhalten und Verbessern

Durch die Phase Instandhalten und Verbessern sollen die umgesetzten Maßnahmen überwacht und überprüft werden. Hier kommt es unter anderem auf die Wirksamkeit an. Diese kann beispielsweise über interne Audits, wie Befragungen festgestellt werden.

Quellen und Verweise

Eingestellt von um
Labels:

Keine Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post (Atom)