Zusammenfassung
Die Controls im Anhang A der ISO 27001 sind normativ, d. h. sie sind allesamt zu bearbeiten – was nicht zwangsläufig heißt, dass alle umgesetzt werden müssen. Nach einem kurzen Überblick kommentieren wir alle Controls der neuen Normfassung und geben Hinweise und Beispiele zu ihrer Umsetzung.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Notes
- 1.
Genauer: Informationssicherheitsleitlinie, gelegentlich auch IT-Sicherheitsleitlinie genannt; englische Bezeichnung: (Information) Security Policy.
- 2.
Solche Richtlinien werden im Englischen ebenfalls unter Policy einsortiert, z. B. die ISMS-Richtlinie wird ISMS Policy genannt.
- 3.
Diese Richtlinie aus der früheren Normfassung beschreibt u. a. die Aufbau- und Ablauforganisation des ISMS, anzuwendende Risikoklassen und Akzeptanzkriterien.
- 4.
Institutionen, die Schwachstelleninformationen liefern (Übersicht unter www.cert-verbund.de).
- 5.
- 6.
Hieran schließen sich eine Reihe von Vorkehrungen an wie das Anmelden von Besuchern, das Tragen sichtbarer Ausweise oder das Mitführen von Berechtigungen.
- 7.
Falls der Finder z. B. einer entsorgten Festplatte die installierte Software weiternutzt, könnte dies einen Lizenzverstoß für die Organisation zur Folge haben.
- 8.
Bei den Maßnahmen bzw. Maßnahmenzielen steht im englischen Originaltext Controls bzw. Control Objectives, was besser mit (Sicherheits-)Anforderungen und Ziel der Anforderungen übersetzt würde.
Literatur
BSI 100-4 (2008): Notfallmanagement, www.bsi.de, unter: IT-Grundschutz
Common Criteria for Information Technology Security Evaluation, www.commoncriteriaportal.org
DIN ISO/IEC 27001 (2015-03) Informationstechnik – IT-Sicherheitsverfahren: Informationssicherheits-Managementsysteme – Anforderungen
DIN ISO/IEC 27002 (2014-02) Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management
ISO/IEC 27033 (mit 6 Teilen; 2010–2015) Information technology – Security techniques – Network security
Kersten H, Klett G. (2015) Der IT Security Manager. Springer-Vieweg, Wiesbaden
Kersten H, Reuter J, Schröder, K.-W. (2013) IT-Sicherheitsmanagement nach ISO 27001 und IT-Grundschutz. Springer-Vieweg, Wiesbaden
Klett G, Schröder K.W, Kersten H. (2011) IT-Notfallmanagement mit System: Notfälle bei der Informationsverarbeitung sicher beherrschen. Vieweg + Teubner, Wiesbaden
ISO 22301 (2012-05) Societal security – Business continuity management systems – Requirements
Kersten H, Klett G. (2013) Data Leakage Prevention: Datenlecks im Unternehmen erkennen und vermeiden. mitp, Frechen
EU-Datenschutzgrundverordnung, s. Entwicklung unter https://www.bvdnet.de/eu-dsgvo.html
Author information
Authors and Affiliations
Corresponding author
Rights and permissions
Copyright information
© 2016 Springer Fachmedien Wiesbaden
About this chapter
Cite this chapter
Kersten, H., Klett, G., Reuter, J., Schröder, KW. (2016). Die Controls im Anhang A. In: IT-Sicherheitsmanagement nach der neuen ISO 27001. Edition <kes>. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-14694-8_6
Download citation
DOI: https://doi.org/10.1007/978-3-658-14694-8_6
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-14693-1
Online ISBN: 978-3-658-14694-8
eBook Packages: Computer Science and Engineering (German Language)