Der IT-Grundschutz nach BSI (Bundesamt für Sicherheit in der Informationstechnik) beschreibt detailliert Standard-Sicherheitsmaßnahmen, die praktisch in bestehenden IT-Systemen anwendbar sind. Nach einer ersten Revision im Jahre 2005 steht 2016/2017 eine erneute Modernisierung an, die insbesondere kleinen und mittleren Unternehmen den Aufbau eines IT-Sicherheitsmanagements erleichtern soll.&nb
Im aktuellen Stand umfasst der IT-Grundschutz nach BSI folgende Kernelemente:
Die Struktur und eine Übersicht über die Inhalte des IT-Grundschutzhandbuchs finden Sie hier.
Organisation, die die IT-Grundschutz-Vorgehensweise umsetzen, möchten dies durch ein Zertifikat bestätigt zu bekommen. Hierfür hat das BSI ein Zertifizierungsschema für IT-Grundschutz erarbeitet. Damit das IT-Grundschutz-Zertifikat des BSI darüber hinaus künftig auch die Anforderungen der internationalen Zertifizierungsnorm ISO 27001 mit erfüllt, wurden nicht nur die IT-Grundschutz-Vorgehensweise und die IT-Grundschutz-Kataloge an diese angepasst, sondern auch das Zertifizierungsschema. Seit Anfang des Jahres 2006 können daher auch ISO 27001-Zertifikate auf der Basis von IT-Grundschutz beim BSI beantragt werden. Diese Option ist besonders für international tätige Institutionen von Interesse.
Die Herstellung und Aufrechterhaltung einer umfassenden Informationssicherheit in einer Organisation ist ein globaler Prozess. Diesen Ansatz verfolgt die Norm ISO 27001 mit der Einführung eines systematischen Managements der Informationssicherheit in der Organisation, das auch zertifizierbar ist. Ein nach ISO 27001 aufgebautes Informationssicherheits-Managementsystem (ISMS) bietet eine Grundlage zur Identifikation und Beherrschung spezifischer IT-Risiken sowie zur Sicherstellung der benötigten Zuverlässigkeit von IT-Systemen.
Die Erstversion, ISO/IEC 27001:2005, basiert auf dem britischen Standard BS 7799-2:2002 hervor und liegt seit September 2008 auch als DIN-Norm DIN ISO/IEC 27001:2008 in der deutschen Übersetzung vor. Am 25. September 2013 wurde die überarbeitete Version ISO/IEC 27001:2013 in englischer Sprache veröffentlicht und seit März 2015 ist die finale Version der DIN ISO/IEC 27001:2015 in deutscher Sprache veröffentlicht.
Die ISO 27001 beruht auf zwei Hauptbestandteilen:
Als Teil eines Managementsystemansatzes zur Entwicklung, Umsetzung und Verbesserung der Wirksamkeit des Informationssicherheits-Managementsystems einer Organisation wendet die ISO 27001 das bekannte PDCA-Modell an: PDCA: Plan-Do-Check-Act -"Planen-Durchführen-Prüfen-Handeln".
Die ISO 27001 ist mit anderen Management-Standards wie der ISO 9001:2015 (Qualitäts-Mgt.) und der ISO 14001:2015 (Umwelt-Mgt.) harmonisiert. Dadurch ist es möglich, konsistente und integrierte Management-Systeme zu implementieren. Gemeinsame Grundlage ist die sog. High Level Structure - HLS.
Einheitlich für alle Normen mit der High Level Structure ist folgende Reihe von Abschnitten:
Die Maßnahmenziele und Maßnahmen im Anhang der ISO 27001 sind normativ und daher nicht einfach nur Ratschläge zur Umsetzung und Anleitungen für allgemein anerkannte Verfahren, um die die aufgeführten Maßnahmen unterstützen. Sie leiten sich ab aus den Abschnitten 5 – 18 der ISO 27002 (IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheitsmanagement) und müssen angewendet werden.
Die Zertifizierung eines ISMS einer Organisation soll nachweisen, dass die zertifizierte Organisation ein System zum Management von Informationssicherheit wirksam eingeführt und umgesetzt hat, welches die Ansprüche von Standards oder normativen Dokumenten erfüllt.
Das Inhaltsverzeichnis der ISO 27001 finden Sie hier.
Durch IT-Sicherheitsmanagement sollen Informationen und Daten vor dem Verlust von Vertraulichkeit, Integrität und Verfügbarkeit geschützt werden.
Vertraulichkeit:
Gewährleistung des bedarfsorientierten Zugangs zu Informationen und zugehörigen Werten für berechtigte Benutzer.
Integrität:
Sicherstellung der Richtigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden.
Verfügbarkeit:
Vermeidung einer nicht annehmbaren Verzögerung bei der Durchführung eines berechtigten Zugriffs auf Informationen.
Mit IT-Sicherheitsmanagement können Sie:
09. Juli 2020 - Anfang des Jahres wurde die Zusammenarbeit mit der Firma Schmidt Konstruktion und Entwicklungsbüro in Fürth intensiviert [mehr]
04. Mai 2020 - Projekte können vom Agilen Denken profitieren [mehr]
14. Februar 2020 - „Change-Coaches“ helfen zu einem guten Start ins Neue [mehr]