ISO 27022 - Informationssicherheitsprozesse

ISO 27022 - Informationssicherheitsprozesse
Im März 2021 wurde die ISO 27022 veröffentlicht. Sie schliesst eine alte Lücke in der Normenreihe. Die neue Norm definiert Prozesse im Bereich der Informationssicherheit und hilft damit, die Normanforderungen aus der ISO 27001 zu schliessen. Zeit also, diese etwas genauer anzuschauen.   © Storyblocks, Registriert auf Andreas Wisler Die Norm trägt den offiziellen Titel «Information technology — Guidance on information security management syst...
Continue reading
  174 Hits
  0 Comments
Tags:
174 Hits
0 Comments

Forensik – Spurensicherung

Forensik – Spurensicherung
 Wurde ein erfolgreicher Cyber-Angriff auf ein Unternehmen verübt, gilt es Spuren zu sichern, um den Vorfall und das Vorgehen nachvollziehen zu können. Dabei gilt es einige Dinge zu beachten, um diese auch gerichtlich verwerten zu können (Beweismittel) und nicht Spuren zu zerstören. Hier kommt die IT-Forensik zum Einsatz. Wir kennen dies von TV-Sendungen wie CSI. Dich im echten Leben ist es doch nicht so einfach und so schnell. © Storyblocks...
Continue reading
  75 Hits
  0 Comments
Tags:
75 Hits
0 Comments

Kanban - Werkzeug für die IT-Sicherheit?

Kanban - Werkzeug für die IT-Sicherheit?
In der Software-Entwicklung sind agile Methoden schon viele Jahre bekannt und werden gelebt. Die Produktivität und die Arbeitszufriedenheit erhöhen sich. Die Qualität leidet dabei nicht und konnte sogar verbessert werden. Doch wie sieht das in der Informationssicherheit aus? Können auch hier agile Werkzeuge helfen, diese zu erhöhen?   © Storyblocks, Registriert auf Andreas Wisler Was ist Kanban? Vielen ist Kanban nur als «viele Post-Its...
Continue reading
  190 Hits
  0 Comments
Tags:
190 Hits
0 Comments

Revidierte Verordnung zum Datenschutzgesetz

Revidierte Verordnung zum Datenschutzgesetz
Bereits viele Jahre wurde uns das neue Datenschutzgesetz versprochen. Immer wieder wurde es nach hinten verschoben. Nach vierjährigem Gesetzgebungsprozess wurde es Ende September 2020 vom Parlament verabschiedet. In Kraft ist es jedoch noch nicht, es fehlt die Verordnung dazu. Darin werden die Details geregelt. Am 23. Juni 2021 war es dann so weit, der Bundesrat hat den Vorentwurf zur totalrevidierten Verordnung zum schweizerischen Datenschutzges...
Continue reading
  201 Hits
  0 Comments
Tags:
201 Hits
0 Comments

SIEM - Protokollierung und Überwachung

SIEM - Protokollierung und Überwachung
Monitoringsysteme zur Überwachung der Verfügbarkeit und schneller Reaktion auf Probleme sind heutzutage bei allen Unternehmen im Einsatz. Systeme, die die IT-Sicherheit und Policy-Verletzungen überwachen, sind hingegen selten anzutreffen. Die ISO 27001 fordert im Kapitel A.12.4 «Protokollierung» entsprechende Vorgaben. Dieser Artikel gibt eine Einführung in das Thema SIEM und Protokollierung. © Storyblocks, Registriert auf Andreas Wisler Dass ein...
Continue reading
  454 Hits
  0 Comments
Tags:
454 Hits
0 Comments

ISO 22301 – Vorbereitung auf den Ernstfall – Business Continuity

ISO 22301 – Vorbereitung auf den Ernstfall – Business Continuity
Wie schnell kann es passieren, und ein System fällt aus? Oder ein Hacker verschafft sich Zugriff auf das Firmen-Netzwerk und verschlüsselt alle Dateien? Oder ein Naturereignis zerstört Teile der Infrastruktur? Oder ein wichtiger Mitarbeitender fällt aus? Die Gründe für einen Unterbruch der (IT-) Dienstleistungen sind vielzählig. Daher ist es wichtig, sich bereits vor dem Eintreten eines solchen Ereignisses Gedanken zu machen und entsprechende Vor...
Continue reading
  656 Hits
  0 Comments
Tags:
656 Hits
0 Comments

ISO 27018 - Sicherheit in Cloud-Diensten

ISO 27018 - Sicherheit in Cloud-Diensten
Um die Cloud führt heute praktisch kein Weg mehr vorbei. Viele Dienste laufen direkt in der Cloud oder nutzen Cloud-Speicher im Hintergrund. Oft werden auch schützenswerte oder sensitive Daten dem Cloud-Anbieter übergeben. Daher ist es wichtig, den richtigen Partner zu haben. Die ISO 27018 ermöglicht es dem Anbieter seinen Kunden zu zeigen, dass er sicher mit den anvertrauten Daten umgeht.  Die ISO/IEC 27018 wurde im Januar 2019 in der zweit...
Continue reading
  501 Hits
  0 Comments
Tags:
501 Hits
0 Comments

ISO 27004 - Informationssicherheit messen

ISO 27004 - Informationssicherheit messen
Wer misst, misst Mist. Diesen Satz lernte ich gleich zu meiner Ausbildung zum Elektroniker. Dies gilt nicht nur bei der Elektrotechnik, auch bei der Messung der Informationssicherheit ist es wichtig zu definieren, was gemessen wird, wie dies durchgeführt wird und wie die Ergebnisse zu interpretieren sind. Die ISO 27004 hilft, genau dies durchzuführen.   © Storyblocks, Registriert auf Andreas Wisler Die Informationssicherheit zu messen, ist e...
Continue reading
  690 Hits
  0 Comments
Tags:
690 Hits
0 Comments

ISO 27002:2021 – Die Informationssicherheit in neuem Gewand

ISO 27002:2021 – Die Informationssicherheit in neuem Gewand
Am 28. Januar 2021 war es endlich soweit. Nach acht Jahren ist der Nachfolger der ISO 27002:2013 als Draft veröffentlicht worden. Noch läuft die 12-wöchige Eingabefrist für Kommentare, danach wird diese verbindlich. Unternehmen haben nach der finalen Veröffentlichung eine Übergangsfrist, um ihr ISMS auf den aktuellen Stand zu bringen. Wichtig also, sich bereits jetzt mit dieser Norm auseinander zu setzen.   © Storyblocks, Registriert auf And...
Continue reading
  2969 Hits
  0 Comments
Tags:
2969 Hits
0 Comments

Audit – Planung und Durchführung

Audit – Planung und Durchführung
An ein Audit werden hohe Anforderungen gestellt. Es geht nicht darum, mal schnell zu schauen und einen Bericht zu erstellen, sondern das Audit stellt eine Qualitätskontrolle dar. Werden die aus Normen und Standards, aber auch aus eigenen Richtlinien definierten Tätigkeiten auch entsprechend umgesetzt und gelebt? Einen Schuldigen für Fehler zu suchen, ist aber nicht das Ziel, sondern Abweichungen und Verbesserungsmöglichkeiten zu erkennen. Als Erg...
Continue reading
  828 Hits
  0 Comments
Tags:
828 Hits
0 Comments

Der Security Kreislauf

Der Security Kreislauf
Informationssicherheit ist keine einmalige Angelegenheit. Alle wissen dies, doch das Tagesgeschäft verhindert regelmässig das konsequente Umsetzen der notwendigen Schritte. Dieser Artikel soll aufzeigen, wie der PDCA-Zyklus im Bereich der Informationssicherheit nachhaltig und ohne grossen zusätzlichen Aufwand umgesetzt werden kann. Die Tätigkeiten sollen in den gewohnten Tagesablauf integriert werden und keine zusätzlichen Ressourcen binden. &nbs...
Continue reading
  662 Hits
  0 Comments
Tags:
662 Hits
0 Comments

Business Impact Analyse – Genügend vorbereitet auf einen Notfall

Business Impact Analyse – Genügend vorbereitet auf einen Notfall
Gerade in Krisenzeiten wird die Wichtigkeit einer guten Vorbereitung erkennbar. Tritt eine Krise oder ein grösseres negatives Ereignis ein, gilt es schnell zu reagieren. Zu diesem Zeitpunkt ist es aber zu spät, sich mit allen notwendigen Schritten im Detail auseinanderzusetzen. Nun muss reagiert und nicht mehr diskutiert werden. Die Business Impact Analyse zeigt im Vorfeld, auf was der Fokus bei einem solchen Ereignis gelegt werden muss und welch...
Continue reading
  659 Hits
  0 Comments
Tags:
659 Hits
0 Comments

ISO 27003 - Umsetzung eines ISMS

ISO 27003 - Umsetzung eines ISMS
Viele Unternehmen sind daran ein Informationssicherheitssystem aufzubauen und damit die IT-Sicherheit nachhaltig zu erhöhen. Doch der Start stellt sich oft sehr harzig dar. Wo soll man nur beginnen? Welche Reihenfolge macht Sinn? Nur die ISO 27001 Norm zu lesen bietet zwar eine gute Übersicht und Einführung in die Thematik, doch was genau bei jedem Punkt verlangt wird, ist nicht immer auf den ersten Blick klar. Die ISO 27003 kann hier eine gute U...
Continue reading
  1412 Hits
  0 Comments
Tags:
1412 Hits
0 Comments

ISO 27701 – Nachweisbarer Datenschutz?

ISO 27701 – Nachweisbarer Datenschutz?
Im August 2019 wurde ohne grosses Aufsehen die ISO 27701 veröffentlicht. Damit kann ein Unternehmen nachweisen, dass es Anstrengungen zur Umsetzung des Datenschutzes umsetzt. Der Standard trägt den offiziellen Namen «Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines». Obwohl die Norm schon über ein Jahr verfügbar ist, sind die ersten Zertifizierungen erst seit wenig...
Continue reading
  830 Hits
  0 Comments
Tags:
830 Hits
0 Comments

Cloud – Sind meine Daten bei Microsoft auch geschützt?

Cloud – Sind meine Daten bei Microsoft auch geschützt?
Die Produkte von Microsoft sind sehr beliebt. Sei es Office 365, SharePoint oder Teams. Doch auch weitere Tools wie der OneDrive oder Sway werden immer intensiver genutzt. Da ist es wichtig, sich auch mit dem Datenschutz auseinanderzusetzen. Microsoft ist hier sehr offen und stelle viele Informationen dazu zur Verfügung. Zeit für eine Übersicht. © Storyblocks, Registriert auf Andreas Wisler  Datenhaltung   Teams Im Admin-Center kann ang...
Continue reading
  844 Hits
  0 Comments
Tags:
844 Hits
0 Comments

27001 - Compliance

27001 - Compliance
Das letzte Kapitel der ISO-Norm A.18 beschreibt Anforderungen an die Richtlinienkonformität. Damit sollen Verstösse gegen gesetzliche, regulatorische, selbstauferlegte oder vertragliche Verpflichtungen mit Bezug auf Informationssicherheit und gegen jegliche Sicherheitsanforderungen vermieden werden.   © Storyblocks, Registriert auf Andreas Wisler Bevor gestartet werden kann, müssen die anwendbaren Gesetze und vertraglichen Anforderungen erfa...
Continue reading
  1332 Hits
  0 Comments
Tags:
1332 Hits
0 Comments

ISO 27001 - Business Continuity Management

ISO 27001 - Business Continuity Management
Im Kapitel 17 dreht sich alles um das Kontinuitätsmanagement (Business Continuity Management). Vorbereitungen werden auf einen möglichen Notfall werden getroffen, um die negativen Folgen einzugrenzen und ein Überleben des Unternehmens sicherzustellen. Die Norm verlangt, dass die Informationssicherheit auch in einer Krisensituation gewährleistet bleibt.  © Storyblocks, Registriert auf Andreas Wisler Eine Krise oder Katastrophe kann schnell ei...
Continue reading
  1697 Hits
  0 Comments
Tags:
1697 Hits
0 Comments

ISO 27001 - Informationssicherheitsvorfälle

ISO 27001 - Informationssicherheitsvorfälle
Vorfälle kommen in jedem Unternehmen vor. Sei dies durch eigene Personen, oft durch Unwissenheit oder durch externe Bedrohungen wie Hacker. Wichtig ist es, einen Vorfall schnell zu erkennen und die richtigen Schritte einzuleiten. Das Kapitel A.16 hat zum Ziel «eine konsistente und wirksame Herangehensweise für die Handhabung von Informationssicherheitsvorfällen einschliesslich der Benachrichtigung über Sicherheitsereignisse und Schwächen sicherzu...
Continue reading
  3479 Hits
  0 Comments
Tags:
3479 Hits
0 Comments

ISO 27001 - Sicherheit in Lieferantenbeziehungen

ISO 27001 - Sicherheit in Lieferantenbeziehungen
Für viele Systeme ist es heute unabdingbar externe Unterstützung beizuziehen. Wenn diese dann auch Zugriff auf Firmenwerte haben, gilt es diese speziell zu schützen. Das Kapitel A.15 definiert daher das Ziel: «Für Lieferanten zugängliche Werte des Unternehmens sind geschützt».  © Storyblocks, Registriert auf Andreas Wisler Doch was sich so einfach liest, ist gerade in grösseren Firmen eine Herausforderung. Daher gilt es an einer zentralen St...
Continue reading
  1731 Hits
  0 Comments
Tags:
1731 Hits
0 Comments

ISO 27001 - Anschaffung, Entwicklung und Instandhaltung von Systemen

ISO 27001 - Anschaffung, Entwicklung und Instandhaltung von Systemen
Das 14. Kapitel hat sich das Ziel gesetzt, dass Informationssicherheit ein fester Bestandteil über den gesamten Lebenszyklus von Informationssystemen ist. Es knüpft an die beiden Kapitel 12 (Betriebssicherheit) und Kapitel 13 (Kommunikationssicherheit) an und ergänzt diese optimal. © Storyblocks, Registriert auf Andreas Wisler Bereits bei der Beschaffung von neuen Systemen gilt es die Informationssicherheit zu berücksichtigen. Dazu gilt es nicht ...
Continue reading
  1588 Hits
  0 Comments
Tags:
1588 Hits
0 Comments