Schlagwortarchiv für: ISMS

,

Wirksamkeitsmessung im ISMS – Managementbewertung

In einem vorangehenden Beitrag habe ich einen kurzen Überblick über die Messung der Wirksamkeit eines Informationssicherheits-Managementsystems (ISMS) und seiner Maßnahmen gegeben. Dieser Artikel erläutert die Funktion der “Managementbewertung” bei der Überprüfung der Wirksamkeit des ISMS.

Managementbewertung

Wie viele andere Aspekte eines ISMS findet man auch die Forderung nach einer Bewertung des ISMS durch die oberste Leitung einer Organisation in allen bedeutenden Rahmenwerken zur Informationssicherheit, gleich ob ISO 27001, BSI IT-Grundschutz oder ein anderes Regelwerk. Die Bewertung durch die eigene Leitung ist immer ein wichtiger Bestandteil.

Die ISO 27001:2022 nennt, ebenso wie die Vorgängerversion ISO 27001:2013, in Kapitel 9 drei verpflichtende Handlungsfelder zur Bewertung der Leistung:

  1. Überwachung, Messung, Analyse und Bewertung
  2. Interne Audits
  3. Managementbewertung

Dem Punkt “Überwachung, Messung, Analyse und Bewertung” sowie “Interne Audits” habe ich mich in vergangenen Artikeln bereits gewidmet. Hier soll es jetzt um den letzten Punkt die Managementbewertung gehen.

Die ISO 27001:2022 fordert: “Die oberste Leitung muss das Informationssicherheitsmanagementsystem der Organisation in geplanten Abständen bewerten …”  Zweck ist es, die fortdauernde Eignung, Angemessenheit und Wirksamkeit des ISMS sicherzustellen.

In der Regel hat die Geschäftsführung einen Mitarbeiter mit dem Aufbau und dem Betrieb des ISMS beauftragt, den Informationssicherheitsbeauftragten (IS-Beauftragter). Die konkrete Benennung kann hiervon abweichen, darauf kommt es hier nicht an. Wesentlich ist, dass die Geschäftsführung eine Aufgabe, die eigentlich die ihre ist, an einen Mitarbeiter übertragen hat. Sie muss sich daher in angemessener Weise davon überzeugen, dass diese Aufgabe von ihrem Beauftragten angemessen und wirksam wahrgenommen wird. in der ISO 27001 (Kapitel 9.3) dient die dort sogenannte  Managementbewertung (engl. Management Review) dazu, die Eignung, Angemessenheit und Wirksamkeit des ISMS festzustellen.

Da es sich um eine eigenständige Leistung der Geschäftsführung handelt, könnte diese theoretisch die Bewertung alleine durchführen. In der Praxis besteht die Managementbewertung fast immer aus einem Vortrag des IS-Beauftragten, gefolgt von einer wertenden Reaktion der Geschäftsführung. Die Wertung ist dabei der eigentlich wichtige Teil  der Veranstaltung. Kenntnisnahme ist keine Wertung und genügt nicht.

Häufigkeit der Managementbewertung

Die ISO 27001:2022 schreibt “in geplanten Abständen” vor. Dies wird nun üblicherweise mit mindestens einmal jährlich interpretiert und in die Praxis in einmal im Kalenderjahr übersetzt. Die Frage, ob das gewählte Intervall angemessen und zielführend ist, wird dabei häufig nicht gestellt. Das ist schade.

In sehr großen Unternehmen, die eine ausgewachsene Informationssicherheitsorganisation betreiben, ist dies einmal jährlich oft ausreichend. In mittelständischen Unternehmen, in den die oberste Leitung  auch sonst noch häufiger operative Entscheidungen trifft, sollten die Abstände verkürzt werden. Man kann sich dabei gerne an anderen Bereichen des Unternehmens orientieren. Wie oft tragen beispielsweise der Vertrieb, das Marketing, das Personalwesen oder der Datenschutz bei der Geschäftsführung vor und holen sich deren Entscheidungen ab? Die Managementbewertung nach ISO 27001 beansprucht dabei kein eigenes Meeting. Sie kann gerne als ein Tagesordnungspunkt in einer ohnehin stattfinden Runde stattfinden. Wichtig ist, das inhaltlich alle im Kapitel 9.3 aufgeführten Punkte auch behandelt werden.

Ergebnisse der Managementbewertung

Die Geschäftsführung muss im Ergebnis die fortdauernde Eignung, Angemessenheit und Wirksamkeit des ISMS feststellen oder entsprechende Maßnahmen einleiten, um diese herzustellen.

Weiterhin bedarf es Entscheidungen zu Möglichkeiten der Verbesserung des ISMS. Dies können z.B. Entscheidungen zur Einführung bestimmter Systeme, zur Ressourcenanpassung oder zur Zuweisung von Befugnissen sein.

Die Ergebnisse der Managementbewertung müssen dokumentiert werde.

 

Damit findet diese kleine Serie von Artikeln zu den Forderungen des Kapitel 9 der ISO 27001 seinen Abschluss. Zukünftige Artikel werden konkrete Möglichkeiten der Umsetzung skizzieren.

Was Sie noch interessieren könnte…

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

In unserem Podcast “Wirksamkeitsmessung in der ISO 27001” informieren wir Sie in lockerer Art und Weise über folgende Aspekte:

  • Was fordert die ISO 27001 und die ISO 27004?
  • Wie findet man heraus, was gemessen werden sollte und mit welchen Methoden?
  • Worauf achten Auditoren?
  • Was sind beispielhafte Kenngrößen?

Hören Sie rein!

/von
,

Awareness – ein Konzept!

Nachdem mein Kollege Andreas Lange in seiner Artikelserie “Awareness – Maßnahme oder Konzept?” den Blick auf die Wichtigkeit der konzeptionellen Ebene gelenkt hat, möchte ich hier ein konkretes Konzept vorstellen. Wir wollen weg von einer Aneinanderreihung von Einzelmaßnahmen, hin zu einem planvollen, auf die Ziele des Informationssicherheitsmanagementsystems (ISMS) abgestimmten Vorgehen. Dieser Artikel soll einen ersten Überblick geben. In folgenden Blog-Artikeln werden die einzelnen Schritte detaillierter beschrieben.

Zum Vorgehen bei der Security Awareness gibt es viele Ansätze. Wir haben uns entschieden, bei unserer Arbeit einem Ansatz zu folgen, der u. a. am Lehrstuhl für Human-Centered Security am Horst-Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum entwickelt wurde. In diesen Ansatz betten wir die Vorgehensweise eines ISMS nach ISO 27001 ein.

Der Ansatz hat seinen Weg in die Praxis gefunden und wird neben unseren eigenen Seminaren u. a. auch im Kurs IT-Security-Beauftragter der TÜV-Rheinland-Akademie gelehrt. Damit hat der Ansatz den Weg aus Forschung und Lehre gefunden und darf als Stand der Technik gesehen werden.

Ausgangslage

Von Mitarbeitern wird erwartet, dass sie bei ihrer täglichen Arbeit alle informationssicherheits-­relevanten Regeln und Vorschriften einhalten. Wenn diese Regelungen lange eingeübten, weitgehend automatisierten Handlungen zuwiderlaufen, wird dies nur schwer gelingen. Es bedarf daher neuer „sicherer“ Routinen. Diese können nicht allein angeordnet, sondern müssen eingeübt werden. Überdies muss ein Grundverständnis bei den Mitarbeitern erzeugt werden, damit sie die Maßnahmen langfristig und nachhaltig umsetzen.

Vorgehensweise

Organisationen müssen dafür sorgen, dass Mitarbeiter sowie weitere Personen, die unter der Aufsicht der Organisation Tätigkeiten ausüben, ihre Tätigkeiten unter Beachtung der Informationssicherheitsregeln ausführen. Bewusstsein und Wissen allein reichen hierfür nicht aus. Benötigt werden neue sichere Verhaltensweisen. Diese müssen eingeübt und als neue Routine im täglichen Arbeiten verankert werden. Überdies sollte die Leitung als gutes Vorbild vorangehen und diese Routinen vorleben.

Die Herangehensweise der Organisation an das Thema Awareness sollte strukturiert erfolgen. Die folgenden Schritte legen ein mögliches Vorgehen fest:

  1. Auswahl der Themen bzw. Themenbereich
  2. Festlegen der Ziele der Awareness-Kampagne(n)
  3. Umsetzung und Überprüfung der Wirksamkeit

Bei der Auswahl der Themen bzw. Themenbereich sollten zuvorderst die Ergebnisse des eigenen Risikomanagements und die eigenen Informationssicherheitsziele berücksichtigt werden. Auch weitere Aspekte wie Informationssicherheitsvorfälle in der eigenen oder bei vergleichbaren Organisationen der gleichen Branche, eine Betrachtung der eigenen Informationswerte („Kronjuwelen“), die eigene Unternehmenskultur, Anforderungen wichtiger Stakeholder, die Analyse und Bewertung der eigenen Informationssicherheitskennzahlen sowie die Ergebnisse von Audits sollten in die Auswahl einfließen.

Die Ziele der Awareness-Kampagne(n) sollten als konkrete, operative Ziele formuliert sein. Das heißt sie müssen spezifisch, messbar, erreichbar, relevant und mit einem Zeitrahmen versehen sein (SMART). Messbarkeit erfordert Kriterien, anhand derer bestimmt werden kann, ob oder in welchem Grad das Ziel erreicht wurde (Zielerreichungskriterien). Die Ziele sind vor dem Start der Umsetzung festzulegen und zu dokumentieren. Zudem sollten die Ziele den Mitarbeitern bekannt gemacht werden, wenn es der Zielerreichung dienlich ist.

The new Awareness Curve

Die Umsetzung erfolgt in neun größtenteils aufeinander aufbauenden Schritten:

  1. Sicherheits-Hygiene: In der Sicherheits-Hygiene sind zunächst die eigenen Regelungen auf tatsächliche und praktische Umsetzbarkeit zu prüfen. Niemandem darf zugemutet werden, Regeln zu befolgen, die im Kontext der eigenen Tätigkeit nicht oder nur unter erheblichen Erschwernissen umzusetzen sind.
  2. Information: Mitarbeiter brauchen Informationen über die bestehenden Regelungen, d.h. die Regeln müssen bekannt gemacht werden und für den Mitarbeiter verfügbar sein.
  3. Sensibilisierung: Die Mitarbeiter müssen sensibilisiert werden. Dabei sollten keine Bedrohungsmodelle genutzt werden, keine Angst erzeugt, sondern motiviert werden.
  4. Wissen und Verstehen: Mitarbeiter müssen wissen und grundlegend verstehen, wie ihr derzeitiges „unsicheres“ Verhalten durch die Bedrohungen ausgenutzt werden kann.
  5. Zustimmung: Mitarbeiter sollen aktiv und möglichst freiwillig zustimmen, ihren Teil zu leisten, d.h. ihr eigenes Verhalten ggfs. zu ändern.
  6. Selbstwirksamkeitserwartung: Die Mitarbeiter sollen eine Selbstwirksamkeitserwartung entwickeln. Das bedeutet, überzeugt zu sein, dass man das erwünschte Verhalten tatsächlich leisten kann und dass man hierdurch einen wichtigen Beitrag leistet.
  7. Fähigkeiten implementieren: Daraufhin werden die neuen Fähigkeiten implementiert. Das erwünschte neue Verhalten wird eingeübt. Dabei werden die Mitarbeiter daran erinnert, dass sie den neuen Verhaltensweisen zugestimmt haben, wie das alte Verhalten aussah und warum es nicht mehr ausgeübt wird.
  8. Verankerung: Das neue Verhalten muss verankert, ein Rückfall in alte Gewohnheiten unterbunden werden.
  9. Sicheres Verhalten: Im letzten Schritt ist das neue sichere Verhalten zur Routine geworden.

Zu jedem Schritt sind geeignet Werkzeuge und Methoden zur Unterstützung zu wählen. Bei der Auswahl von externen Dienstleistern und Services sollte darauf geachtet werden, dass alle Teilschritte des dargestellten Umsetzungsprozesses abgedeckt sind. Ggfs. müssen diese durch weitere Maßnahmen ergänzt werden.

Alle Maßnahmen sollten entsprechend der Bedürfnisse der verschiedenen Adressaten (SW-Entwickler, IT, Personalabteilung, Marketing, Vertrieb etc.) zielgruppengerecht ausgewählt und umgesetzt werden.

Um sicher zu gehen, dass die Voraussetzungen für die Durchführung des jeweils nächsten Prozessschrittes gegeben sind und das Erreichen der definierten Ziele insgesamt zu gewährleisten, sollte nach jedem Prozessschritt eine Wirksamkeitsprüfung durchgeführt werden. Ggfs. ist der Schritt zu wiederholen bzw. zu vertiefen.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Neuerungen in der ISO Norm 27001/27002

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

In 2022 wurden die ISO Normen 27001 und 27002 aktualisiert. Neben kleineren Änderungen und Ergänzungen in den Normkapiteln der ISO 27001 gab es große Änderungen in der ISO 27002 und damit auch im Anhang der ISO 27001, in den Controls und Maßnahmen zur Umsetzung eines ISMS. Bis 2025 müssen alle bereits zertifizierten ISM Systeme nach den aktualisierten Normen ausgerichtet werden, daher ist eine Beschäftigung mit den Änderungen unumgänglich.

In unserer Folge „Neuerungen in der ISO Norm 27001/27002“ gehen wir auf folgende Aspekte ein:

  • Zeitlicher Ablauf – Umstellungsfristen, Zertifizierungen
  • Änderungen der Norm in den Normkapiteln und im Anhang
  • Tipps zur Einbindung neuer Controls
  • Sicht eines Auditors zur Prüfung der Änderungen

Hier ein Paar Links zum Thema Neuerungen in der ISO Norm 27001/27002

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Podcast – Security on Air – Heute Risikobetrachtung am Beispiel Hochwasser

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Die notwendige Risikobetrachtung bzw. Notfallplanung in einem ISMS oder BCM erscheint oftmals wie ein riesiger, unübersichtlicher und schwer zu bezwingender Berg – wo soll man anfangen, auf was muss man achten, wie schafft man es vor lauter Risiken den Kopf nicht in den Sand zu stecken?

Am Beispiel des Risikos „Hochwasser“ wollen wir in diesem Podcast einmal Schritt für Schritt durchgehen, wie ein Risiko betrachtet und im BCM bestmöglich damit umgeht.

Dieser Podcast richtet sich an Informationssicherheitsbeauftragte, BCM-Manager und alle, die sich im Unternehmen mit der Notfallplanung oder dem Business Continuity Management beschäftigen.

In unserer Folge „Risikobetrachtung am Beispiel Hochwasser“ gehen wir auf folgende Aspekte ein:

  • Identifikation kritischer Geschäftsprozesse und definieren
  • Bewertung von Risiken und die Notwendigkeit einer Business Impact Analyse
  • Wo finde ich Hilfe, um Risiken zu identifizieren und Maßnahmen zu planen?
  • Die Wichtigkeit von Übungen und Kommunikationsplanung

Hier ein Paar Links zum Thema Risikobetrachtung am Beispiel Hochwasser

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil 4)

Integration der ISMS-Prozesse in die Prozesse des Unternehmens

In den ersten beiden Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzen eines Projektteams für die Einführung des ISMS sowie mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS beschäftigt. Im dritten Teil ging es um die Berichtswege hin zur obersten Leitung eines Unternehmens.

In diesem Beitrag ist die Integration in die Prozesse das Thema.

Verantwortung für die Integration der Anforderungen des ISMS in die Prozesse des Unternehmens

Prozesse spielen eine große Rolle in einem ISMS nach ISO 27001. Diese Prozessorientierung hat in der aktuellen Version ISO 27001:2022 noch zugenommen.

Es ist die Verantwortung der obersten Leitung, also der Geschäftsführer und Vorstände, dass alle Anforderungen des ISMS in die Prozesse der Organisation integriert werden (vergl. ISO 27001:2022 Kap. 5.1 b). Diese Pflicht beschränkt sich also nicht nur auf das Mitglied der Unternehmensführung, in dessen Geschäftsbereich das ISMS als solches verantwortet wird. Begründet wird eine Pflicht für alle Geschäftsführungsmitglieder, dafür Sorge zu tragen, dass  in ihrem jeweiligen Verantwortungsbereich die Anforderungen des ISMS nicht nur umgesetzt werden, sondern integraler Bestandteil der Prozesse und Abläufe in ihrem Verantwortungsbereich sind.

Diese Integration kann man sich analog zur Verantwortung für andere Themen wie beispielsweise Datenschutz oder Arbeitssicherheit vorstellen. Auch hierfür gibt es jeweils Spezialisten im Unternehmen. Trotzdem ist jeder verpflichtet, in seinem Verantwortungsbereich auf die Einhaltung der entsprechenden Regeln zu achten und die eigenen Prozesse so anzupassen, dass ein regelkonformes Verhalten durch die üblichen Abläufe (die Prozesse) nicht nur nicht behindert, sondern gefördert wird.

Messung und Auditierung der Prozesse

Die Überwachung und  Messung der Wirksamkeit der etablierten Prozesse ist fester Bestandteil des ISMS (vergl. ISO 27001:2022 Kap. 9.1. a). Beim Aufbau und der Umsetzung des Audiprogramms ist die Bedeutung der Prozesse zu berücksichtigen (vergl. ISO 27001:2022 Kap. 9.2.2). Beides kann nur erfolgreich durchgeführt werden, wenn die Prozesse und Abläufe der Informationssicherheit in die Prozesse und Abläufe des Unternehmens integriert sind.

Abschluss und Fazit

Das ISMS wird nur gut funktionieren und damit für ein echtes Mehr an Informationssicherheit sorgen, wenn es integraler Bestandteil der Organisation ist. Es ist die Aufgabe der obersten Leitung, dies zu fördern und diese Unterstützung durch ihr tägliches Handeln sichtbar zu machen.

Damit wären die wesentlichen Aspekte der Integration der Anforderungen und Prozesse des ISMS in die Prozesse des Unternehmen beschrieben. Damit endet die Artikelreihe über die Aufgaben der obersten Leitung im ISMS.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Die Bedeutung interner Audits nach ISO 27001 für die Informationssicherheit im Unternehmen

Die digitale Transformation hat die Art und Weise, wie Unternehmen Informationen verwalten, grundlegend verändert. Mit dem zunehmenden Einsatz von Technologien und der verstärkten Vernetzung von Geschäftsprozessen ist es entscheidend, dass Organisationen robuste Informationssicherheits-Managementsysteme (ISMS) implementieren. Die ISO 27001, eine international anerkannte Norm für Informationssicherheit, bietet einen Rahmen für die Entwicklung, Umsetzung, Überwachung und Verbesserung eines wirksamen ISMS. Interne Audits nach ISO 27001 spielen dabei eine Schlüsselrolle, um sicherzustellen, dass das ISMS effektiv funktioniert und den ständig wachsenden Bedrohungen standhält.

Warum sind interne Audits wichtig?

Interne Audits sind systematische und unabhängige Bewertungen von Prozessen, um sicherzustellen, dass diese den festgelegten Standards entsprechen. Im Kontext von ISO 27001 dienen interne Audits dazu, die Wirksamkeit des ISMS zu überprüfen und Schwachstellen aufzudecken, bevor sie zu ernsthaften Sicherheitsproblemen führen. Durch regelmäßige Audits wird eine kontinuierliche Verbesserung der Informationssicherheitsprozesse ermöglicht.

Planung ist der Schlüssel zum Erfolg

Bevor ein internes Audit durchgeführt wird, ist eine sorgfältige Planung erforderlich. Dies umfasst die Festlegung der Auditziele, die Auswahl qualifizierter Auditoren und die Festlegung des Prüfumfangs. Der Auditplan sollte alle relevanten Prozesse und Kontrollen abdecken, um ein umfassendes Bild der Informationssicherheitslage im Unternehmen zu erhalten.

Durchführung des internen Audits

Während des Audits bewerten die internen Auditoren die Umsetzung der ISO-27001-Anforderungen, die Effektivität der Sicherheitskontrollen und die allgemeine Konformität mit den festgelegten Richtlinien. Dies beinhaltet oft Interviews mit Mitarbeitern, Überprüfung von Dokumentationen und Analyse von Sicherheitsvorfällen. Das Ziel ist es, potenzielle Schwachstellen zu identifizieren und Empfehlungen für Verbesserungen auszusprechen.

Ergebnisse und Maßnahmenplanung

Nach Abschluss des internen Audits werden die Ergebnisse dokumentiert. Dies umfasst festgestellte Nonkonformitäten, positive Ergebnisse und mögliche Verbesserungsvorschläge. Basierend auf diesen Ergebnissen erstellt das Unternehmen einen Maßnahmenplan, um die identifizierten Schwachstellen zu beheben und das ISMS kontinuierlich zu verbessern.

Kontinuierliche Verbesserung und Anpassung an neue Herausforderungen

Interne Audits dienen nicht nur der Einhaltung von Standards, sondern fördern auch eine Kultur der kontinuierlichen Verbesserung. Die sich ständig ändernde Bedrohungslandschaft erfordert, dass Unternehmen flexibel bleiben und ihre Sicherheitspraktiken anpassen. Durch regelmäßige interne Audits können Unternehmen sicherstellen, dass ihr ISMS nicht nur aktuellen Standards entspricht, sondern auch auf neue Herausforderungen vorbereitet ist.

Fazit

Interne Audits nach ISO 27001 sind unverzichtbar für die Sicherheit von Unternehmensinformationen. Sie bieten eine systematische Methode, um die Effektivität des ISMS zu überprüfen, Schwachstellen aufzudecken und eine kontinuierliche Verbesserung zu fördern. Unternehmen, die diese Audits ernst nehmen, investieren nicht nur in ihre eigene Sicherheit, sondern auch in das Vertrauen ihrer Kunden und Partner. Ein gut durchgeführtes internes Audit ist somit nicht nur eine Pflichtübung, sondern ein strategisches Werkzeug zur Bewältigung der ständig wachsenden Herausforderungen im Bereich der Informationssicherheit.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute SzA

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Seit Mai 2023 müssen Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur gelten, dem BSI nachweisen, dass sie Systeme zur Angriffserkennung (SzA) betreiben. Diese Nachweise sind durch eine externe Prüfung zu erbringen. Die ANMATHO AG hat solche Prüfungen in 2023 durchgeführt und erste Erkenntnisse zur Umsetzung der Anforderungen gesammelt.

In unserer Folge „Systeme zur Angriffserkennung – Erste Erkenntnisse aus den Überprüfungen“ gehen wir auf folgende Aspekte ein:

  • Anforderungen des BSI an SzA
  • Hinweise zur Meldung an das BSI
  • Die Vorteile eines bestehendem ISMS bei der Einführung von SzA
  • Vollständigkeit und Datenschutz – zwei Punkte zur Verbesserung

Hier ein Paar Links zum Thema Systeme zur Angriffserkennung – Erste Erkenntnisse aus den Überprüfungen

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Podcast – Security on Air – Heute Vorfälle in der Informationssicherheit

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Man kann noch so gut planen und sich an Regeln halten, passieren kann trotzdem immer etwas. Aber wie geht man damit um, wann handelt es sich tatsächlich um einen Vorfall und wann nur um ein Ereignis, dass zwar beobachtet werden muss, aber noch kein wirkliches Problem darstellt?

In unserer Folge „Vorfälle in der Informationssicherheit– Pleiten, Pech und Pannen“ gehen wir auf folgende Aspekte ein:

  • Unterscheidung zwischen Schwachstelle, Ereignis und Vorfall
  • Wer meldet wann, was und an wen
  • Die Aufgaben des ISB’s in diesem Prozess

Hier ein Paar Links zum Thema Vorfälle in der Informationssicherheit:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

TISAX® – Informationssicherheit im Detail, Teil 2

In der Artikelreihe über TISAX® als den Standard für Informationssicherheit in der Automobilindustrie soll es auch in diesem Artikel um die Inhalte gehen, die im Zuge einer Überprüfung untersucht werden. Die hierbei genutzte Liste, der VDA ISA Katalog, wurde ja bereits im vorherigen Artikel erwähnt.

Im vorherigen Blogbeitrag wurden bereits zwei wesentliche Elemente bei der Umsetzung von Informationssicherheit erwähnt, Asset Management und Klassifizierung. Diese beiden Elemente stehen in einem engen Zusammenhang zu einem weiteren Baustein, dem Risikomanagement. Dabei werden verschiedene Umstände – „Risikoszenarien“ – aufgenommen und untersucht, um herauszufinden, welche dieser Szenarien besonders schädliche Auswirkungen auf das eigene Unternehmen haben. Dies ist der Fall, wenn das entsprechende Szenario entweder besonders häufig eintritt, oder aber bei jedem Eintreten besonders hohe Schäden hervorruft. Im schlimmsten Fall trifft beides zu – besonders hohe Schäden und ein häufiges Eintreten …

Der Zusammenhang zum Assetmanagement entsteht dadurch, dass ein tatsächlich eintretendes Risikoszenario ein oder mehrere Assets zumindest beeinträchtigt, vielleicht sogar beschädigt oder zerstört. Daher wird auf die Assetliste (d.h. die Übersicht mit allen relevanten Informationswerten) zurückgegriffen, um bei der Risikobeurteilung zu erkennen, welche Assets von dem untersuchten Risikoszenario bedroht werden. Anders ausgedrückt: um passende Schutzmaßnahmen zu finden, muss man vorher wissen, was man schützen will.

Auch zwischen dem Klassifizierungsschema und dem Risikomanagement kann man eine Verbindung ziehen. Hierzu ein Beispiel:

Wie im vorherigen Artikel beschrieben, enthält das Klassifizierungsschema Vorgaben, wie mit entsprechend klassifizierten Informationen umzugehen ist. Die Klassifizierung als „vertraulich“ – und damit verbunden natürlich auch die Markierung als „vertraulich“ – könnte z.B. mit dem Verbot des Mitnehmens in das Home Office verbunden sein. Aus der Klassifizierung als „vertraulich“ folgt also das Verbot des Mitnehmens in das Home Office, somit sinkt die Wahrscheinlichkeit, dass das Risikoszenario „Offenlegung vertraulicher Informationen gegenüber Familienmitgliedern“ tatsächlich eintritt. Das Risiko wurde verringert.

Zusammenwirken einzelner Elemente eines ISMS

Dieses Beispiel zeigt, wie die einzelnen Bestandteile und Elemente eines Informationssicherheits-Managementsystems (ISMS) oftmals zusammenwirken. Dabei spielt es keine Rolle, ob als Standard TISAX®, die ISO 27001, der BSI IT-Grundschutz oder eine andere Methodik genutzt wird. Es zeigt aber auch, dass in den meisten Fällen nicht einfach einzelne Elemente des ISMS weggelassen werden können.

Der VDA hat, wie auch für das Thema Klassifizierung, ein Whitepaper zum Risikomanagement herausgegeben, welches Vorschläge und Handreichungen zur Ausgestaltung des eigenen Risikomanagements enthält. Aber auch mit diesem Whitepaper ist eine Anpassung des Risikomanagements an die Gegebenheiten im eigenen Unternehmen immer noch notwendig.

Asset Management, Risikomanagement und Klassifizierungsschema sind jedoch bei weitem nicht die einzigen Elemente eines ISMS nach TISAX®. Einige weitere Inhalte werden wir im folgenden Artikel betrachten – oder in einem unserer Seminare.

Was Sie noch interessieren könnte…

Seminar: 

“TISAX® – Informationssicherheit in der Automobilindustrie”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” hat diesem Thema auch eine Folge gewidmet. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Erste Schritte im ISMS

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Aller Anfang ist schwer – auch bei der Einführung eines ISMS stellen sich viele Fragen: warum, wie, wer? Einfach anfangen ist auch nicht ratsam, ein unstrukturiertes Vorgehen verschwendet nur unnötig Ressourcen. Aber wie beginnt man ein ISMS-Projekt nun richtig?

In unserer Folge „Erste Schritte im ISMS – mit dem Beginnen beginnen“ gehen wir auf folgende Aspekte ein:

  • Kommunikation ist alles – Vorbildfunktion der Geschäftsführung und Abholen aller Mitarbeiter
  • Überlegungen zur Scopefindung
  • Tipps zum Normverständnis
  • Vorteile einer Gap-Analyse
  • Alles zu seiner Zeit – Terminierung der Zertifizierung

Hier ein Paar Links zum Thema Erste Schritte im ISMS:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von

Schlagwortarchiv für: ISMS

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen