| ISMS (Informationssicherheitsmanagementsystem) Komponenten | - Managementprinzipien
- Ressourcen
- Mitarbeiter
- Sicherheitsprozess |
| ISMS - Lebenszylusmodel | - Umgang mit Veränderungen
- Aufrechterhaltung und kontinuierliche Verbesserung des Sicherheitsniveaus |
| ISMS - Managementprinzipien | > Leistungsebene
- übernimmt Gesamtverantwortung
- initiier, steuert und überwacht den Sicherheitsprozess
- integriert IT-Sicherheit in alle Prozesse und Projekte
- setzt erreichbare Ziele
- wägt Kosten gegen Nutzen ab
> Kommunikation und Wissen
- Berichte an die Leistungsebene
- Informationsfluss (Informationen von Mitarbeiten etc.)
- Klassifikation von Informationen
- Dokumentation des Sicherheitsprozesses
> Erfolgkontrolle und kontinuierliche Verbesserung des Sicherheitsprozesses |
| ISMS - Ressourcen und Mitarbeiter | Ressourcen
- Leistungsebene stellt ausreichende Ressourcen bereit
-> finanzielle
-> personelle
-> zeitliche
Mitarbeiter
- Einbindung der Mitarbeiten in den Sicherheitsprozess
- Schulung und Sensibilisierung
- On- und Off-boarding Prozesse sind definiert und werden gelebt
- Verpflichtung zur Einhaltung relevanter Gesetze und Vorschriften
- Motivation für das Erkennen und Melden von Sicherheitsvorfällen schaffen |
| ISMS - Sicherheitsprozess | Sicherheitsziele
- Abgeleitet aus den allgemeinen Zielen der Institution und den allgemeinen Rahmenbedingen
- bestimmt die Sicherheitsstrategie
Sicherheitsstrategie
- Dient der Planung des Vorgehens zur Erreihung der Sicherheitsziele
- Kernaspekte werden in der Sicherheitslinie dokumentiert
Sicherheitskonzept
- Methoden und Maßnahmen zur erreichen der Sicherheitsziele
- Kernaspekte werden in der Sicherheitslinie dokumentiert
Sicherheitsorganisation
- Festlegung von Organisationstrukturen, Rollen, Aufgaben
- Festlegung eines Informationssicherheitsbeauftragten (ISB) |
| ISMS - Sicherheitsstrategie Übersicht | - Sicherheitsstrategie ist zentrale Komponente eines ISMS |
| ISMS - Sicherheitsstrategie mittels Sicherheitsorganisation und Sicherheitskonzept | Bild |
| ISMS - Lebenzyklus-Model | Ziele:
- Umgang mit Veränderung
- Aufrechterhaltung und kontinuirliche Verbesserung des Sicherheitsnvieaus
Anwendung auf den gesamten Sicherheitsprozess
- Sicherheitsstrategie
- Sicherheitskonzept
- Sicherheitsorganisation |
| IT-Grundschutz - Methodik | Ziele:
- Methodk für den praktischen Aufbau und Betrieb eines ISMS
- Verwendung des IT-Grundschutz-Kompediums zur Erarbeitung von Sicherheitskonzepten und paxiserprobten Sicherheitsmaßnahmen
- Anpassbar an Anforderungen von Institutionen verschiedenster Art und Größe
-> Konkretisierung des Grundlegenden Rahmen eines ISMS (aus Standard 200-1) |
| IT-Grundschutz - Vorgehensweisen | 1. Standard Absicherung
- grundsätzlich wichtig und Grundlage für ISO Zertifizierung (27001)
- hohes, angepasstes Sicherheitsniveau für normalen Schutzbedarf zum Schutz geschäftsrelevanter Informationen
2. Basis-Absicherung
- für Einsteiger, grundlegende Absicherung der Geschäftsprozesse und Ressourcen
3. Kern Absicherung
- für Einsteiger, Absicherung der essenziellen Geschäftsprozesse und Ressourcen ("Kronjuwelen") |
