ebook ebooks e-book e-books downloaden bei MyEbooks.ch downloaden

IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz Der Weg zur Zertifizierung

:	Heinrich Kersten, Jürgen Reuter, Klaus-Werner Schröder
:	Heinrich Kersten, Klaus-Dieter Wolfenstetter
:	IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz Der Weg zur Zertifizierung
:	Springer Vieweg
:	9783658017248
:	4
:	CHF 59.40
:

:	Informatik
:	German

:	378
:	Wasserzeichen/DRM
:	PC/MAC/eReader/Tablet
:	PDF

Die Normreihe ISO 27000 und der IT-Grundschutz werden immer wichtiger für Unternehmen und Behörden, die ein IT-Sicherheitsmanagement in ihrer Organisation einführen und betreiben wollen. Im internationalen Kontext ist die Anwendung der ISO 27001 für viele Organisationen nahezu unverzichtbar.
Das Buch führt den Leser Schritt für Schritt in diese Standards ein und legt verständlich dar, wie man ein adäquates Management-System (ISMS) aufbaut und bestehende Risiken analysiert und bewertet. Die ausführlich kommentierten Controls unterstützen Sicherheitsverantwortliche bei der Auswahl geeigneter Sicherheitsmaßnahmen in allen Bereichen. Die Nutzung von Kennzahlen zur Messung der Sicherheit wird an Beispielen erläutert. Zusätzlich erhält der Leser detaillierte Informationen zu internen und externen Audits sowie der Zertifizierung nach ISO 27001.
Diese erweiterte 4. Auflage des Buches berücksichtigt u. a. die aktuelle Weiterentwicklung der ISO 27000 Normenreihe und vertieft Themen wie IT-Revision und Compliance. Viele Abschnitte wurden nach Vorschlägen der Leser früherer Auflagen überarbeitet und ergänzt.
Zum Buch wird auch ein Online-Service bereit gestellt, der Checklisten und Vorlagen als Arbeitsmittel für das Sicherheitsmanagement bietet.

Heinrich Kersten ist IT-Sicherheitsexperte mit langjähriger Erfahrung als Auditor und Zertifizierer beim BSI, bei debis und T-Systems.
Jürgen Reuter hat als Lead Auditor in den Bereichen Qualitäts- und Informationssicherheitsmanage ent in vielfältigen Projekten Erfahrungen gesammelt.
Klaus-Werner Schröder ist lizenzierter BS7799-Auditor sowie Common Criteria Evaluator und Zertifizierer mit langjähriger Praxiserfahrung.

	Vorwort	6
	Inhaltsverzeichnis	11
	1 Gesetze und Standards im Umfeld der Informationssicherheit	14
	1.1 Corporate Governance und Risikomanagement	14
	1.2 Die Bedeutung des öffentlichen Beschaffungsrechts	20
	1.3 Standards zu Management-Systemen	22
	1.4 Zertifizierfähige Modelle	29
	1.5 Konkrete Standards zur IT-Sicherheit	32
	2 Vergleich der Begrifflichkeiten	35
	2.1 Organisation, Werte und Sicherheitsziele	36
	2.2 Risiken und Analysen	39
	2.3 Maßnahmenauswahl und Risikobehandlung	46
	2.4 Sicherheitsdokumente	49
	2.5 Übersetzungsprobleme bei der deutschen Ausgabe des Standards	53
	3 Das ISMS nach ISO 27001	56
	3.1 Das Modell des ISMS	56
	3.2 PLAN: Das ISMS festlegen und verwalten	60
	3.3 DO: Umsetzen und Durchführen des ISMS	78
	3.4 CHECK: Überwachen und Überprüfen des ISMS	86
	3.5 ACT: Pflegen und Verbessern des ISMS	92
	3.6 Anforderungen an die Dokumentation	95
	3.7 Dokumentenlenkung	99
	3.8 Lenkung der Aufzeichnungen	103
	3.9 Verantwortung des Managements	104
	3.10 Interne ISMS-Audits	107
	3.11 Managementbewertung des ISMS	109
	3.12 Verbesserung des ISMS	112
	3.13 Maßnahmenziele und Maßnahmen	114
	4 Festlegung des Anwendungsbereichs und Überlegungen zum Management	120
	4.1 Anwendungsbereich des ISMS zweckmäßig bestimmen	120
	4.2 Das Management-Forum für Informationssicherheit	122
	4.3 Verantwortlichkeiten für die Informationssicherheit	123
	4.4 Integration von Sicherheit in die Geschäftsprozesse	124
	4.5 Bestehende Risikomanagementansätze ergänzen	125
	4.6 Bürokratische Auswüchse	126
	5 Informationswerte bestimmen	127
	5.1 Welche Werte sollen berücksichtigt werden?	127
	5.2 Wo und wie kann man Werte ermitteln?	129
	5.3 Wer ist für die Sicherheit der Werte verantwortlich?	133
	5.4 Wer bestimmt, wie wichtig ein Wert ist?	134
	6 Risiken einschätzen	136
	6.1 Normative Mindestanforderungen aus ISO 27001	137
	6.2 Schutzbedarf nach IT-Grundschutz	146
	6.3 Erweiterte Analyse nach IT-Grundschutz	151
	6.4 Die monetäre Einschätzung von Risiken	152
	7 Maßnahmenziele und Maßnahmen bearbeiten	157
	A.5 Sicherheitsleitlinie	158
	A.6 Organisation der Informationssicherheit	159
	A.7 Management von organisationseigenen Werten	169
	A.8 Personelle Sicherheit	174
	A.9 Physische und umgebungsbezogene Sicherheit	181
	A.10 Betriebs- und Kommunikationsmanagement	194
	A.11 Zugangskontrolle	226
	A.12 Beschaffung, Entwicklung und Wartung von Informationssystemen	250
	A.13 Umgang mit Informationssicherheitsvorfällen	263
	A.14 Sicherstellung des Geschäftsbetriebs	266
	A.15 Einhaltung von Vorgaben	272
	8 Maßnahmen: Validieren und Freigeben	284
	8.1 Validierung von Maßnahmen	284
	8.2 Maßnahmenbeobachtung und -überprüfung	286
	8.3 Maßnahmenfreigabe	287
	8.4 Alternative Vorgehensweise	287
	9 Metriken zu ISMS und Sicherheitsmaßnahmen	290
	9.1 Einführung von Metriken	290
	9.2 Praktische Empfehlungen zur Einführung von Metriken	295
	10 Audits und Zertifizierungen	302
	10.1 Ziele und Nutzen	302
	10.2 Prinzipielle Vorgehensweise	305
	10.3 Vorbereiten eines Audits	313
	10.4 Durchführung eines Audits	316
	10.5 Erfahrungen aus realen Audits	319
	10.6 Auswertung des Audits und Optimierung der Prozesse	323
	10.7 Grundschutz-Audit	324
	11 Zum Abschluss…	331
	Beispiel einer Informationssicherheitsleitlinie	334
	Verzeichnis der Maßnahmen aus Anhang A der ISO 27001	339
	Verzeichnis der Grundschutzmaßnahmen	346
	Einige Fachbegriffe: deutsch / englisch	352
	Verzeichnis der Abbildungen und Tabellen	354
	Verwendete Abkürzungen	355
	Quellenhinweise	359
	Sachwortverzeichnis	364