Andreas Wisler

27001 - Compliance

27001 - Compliance
Das letzte Kapitel der ISO-Norm A.18 beschreibt Anforderungen an die Richtlinienkonformität. Damit sollen Verstösse gegen gesetzliche, regulatorische, selbstauferlegte oder vertragliche Verpflichtungen mit Bezug auf Informationssicherheit und gegen jegliche Sicherheitsanforderungen vermieden werden.   © Storyblocks, Registriert auf Andreas Wisler Bevor gestartet werden kann, müssen die anwendbaren Gesetze und vertraglichen Anforderungen erfa...
Continue reading
  1224 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
1224 Hits
0 Comments
Andreas Wisler

ISO 27001 - Business Continuity Management

ISO 27001 - Business Continuity Management
Im Kapitel 17 dreht sich alles um das Kontinuitätsmanagement (Business Continuity Management). Vorbereitungen werden auf einen möglichen Notfall werden getroffen, um die negativen Folgen einzugrenzen und ein Überleben des Unternehmens sicherzustellen. Die Norm verlangt, dass die Informationssicherheit auch in einer Krisensituation gewährleistet bleibt.  © Storyblocks, Registriert auf Andreas Wisler Eine Krise oder Katastrophe kann schnell ei...
Continue reading
  1547 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
1547 Hits
0 Comments
Andreas Wisler

ISO 27001 - Informationssicherheitsvorfälle

ISO 27001 - Informationssicherheitsvorfälle
Vorfälle kommen in jedem Unternehmen vor. Sei dies durch eigene Personen, oft durch Unwissenheit oder durch externe Bedrohungen wie Hacker. Wichtig ist es, einen Vorfall schnell zu erkennen und die richtigen Schritte einzuleiten. Das Kapitel A.16 hat zum Ziel «eine konsistente und wirksame Herangehensweise für die Handhabung von Informationssicherheitsvorfällen einschliesslich der Benachrichtigung über Sicherheitsereignisse und Schwächen sicherzu...
Continue reading
  3237 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
3237 Hits
0 Comments
Andreas Wisler

ISO 27001 - Sicherheit in Lieferantenbeziehungen

ISO 27001 - Sicherheit in Lieferantenbeziehungen
Für viele Systeme ist es heute unabdingbar externe Unterstützung beizuziehen. Wenn diese dann auch Zugriff auf Firmenwerte haben, gilt es diese speziell zu schützen. Das Kapitel A.15 definiert daher das Ziel: «Für Lieferanten zugängliche Werte des Unternehmens sind geschützt».  © Storyblocks, Registriert auf Andreas Wisler Doch was sich so einfach liest, ist gerade in grösseren Firmen eine Herausforderung. Daher gilt es an einer zentralen St...
Continue reading
  1611 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
1611 Hits
0 Comments
Andreas Wisler

ISO 27001 - Anschaffung, Entwicklung und Instandhaltung von Systemen

ISO 27001 - Anschaffung, Entwicklung und Instandhaltung von Systemen
Das 14. Kapitel hat sich das Ziel gesetzt, dass Informationssicherheit ein fester Bestandteil über den gesamten Lebenszyklus von Informationssystemen ist. Es knüpft an die beiden Kapitel 12 (Betriebssicherheit) und Kapitel 13 (Kommunikationssicherheit) an und ergänzt diese optimal. © Storyblocks, Registriert auf Andreas Wisler Bereits bei der Beschaffung von neuen Systemen gilt es die Informationssicherheit zu berücksichtigen. Dazu gilt es nicht ...
Continue reading
  1515 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
1515 Hits
0 Comments
Andreas Wisler

ISO 27001 - Kommunikationssicherheit

ISO 27001 - Kommunikationssicherheit
Das 13. Kapitel der ISO 27002 behandelt die Sicherheit in der Kommunikation. Das Ziel ist der Schutz von Information in Netzwerken und den unterstützenden informationsverarbeitenden Einrichtungen sicherzustellen. Zuerst gilt es das Netzwerk vor unbefugtem Zugriff zu schützen. So sollten Computer-Anschlüsse nicht auf Vorrat gepatcht werden, d.h. mit dem Netzwerk verbunden sein, sondern nur bei Bedarf. Technisch kann das Protokoll 802.1x eingesetzt...
Continue reading
  1317 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
1317 Hits
0 Comments
Andreas Wisler

ISO 27001 - Betriebssicherheit

ISO 27001 - Betriebssicherheit
Das Kapitel A.12 der ISO-Norm behandelt alles rund um die ICT. Das Ziel ist dementsprechend einfach: «Der ordnungsgemässe und sichere Betrieb von informationsverarbeitenden Einrichtungen ist sichergestellt.»   © Storyblocks, Registriert auf Andreas Wisler Dokumentation Bereits der erste Punkt ist eigentlich selbstverständlich, ist aber für viele Unternehmen eine Herausforderung: «Die Betriebsverfahren sollten dokumentiert und allen Benutzern...
Continue reading
  1670 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
1670 Hits
0 Comments
Andreas Wisler

ISO 27001 - Physische Sicherheit

ISO 27001 - Physische Sicherheit
Einbrechen ist auch heute immer noch im Hoch. Eine Türe nicht richtig geschlossen, ein Fenster vergessen und schon bricht jemand ein und stiehlt etwas. Das Kapitel 11 beschäftigt sich daher mit den Themen «Physische und umgebungsbezogene Sicherheit». Das Ziel formuliert sich dementsprechend: «Unbefugter Zutritt, die Beschädigung und die Beeinträchtigung von Information und informationsverarbeitenden Einrichtungen der Organisation sind verhindert....
Continue reading
  2023 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
2023 Hits
0 Comments
Andreas Wisler

ISO 27001 - Kryptografie

ISO 27001 - Kryptografie
Die Verschlüsselung von Daten wird immer wichtiger. Damit können die geforderte Vertraulichkeit, Authentizität und Integrität garantiert werden. Doch das Thema Kryptografie ist schwer zu verstehen. Dieser Beitrag soll etwas Licht ins Dunkel bringen. Der Wunsch, dass Informationen vertraulich und nur eingeschränkt verfügbar sind, ist so alt wie die Menschheit. Viele verschiedene Arten von Verschlüsselungstechnologien wurden entwickelt, wie speziel...
Continue reading
  1817 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
1817 Hits
0 Comments
Andreas Wisler

ISO 27001 - Zugangssteuerung

ISO 27001 - Zugangssteuerung
Der Zugang an Systeme, egal ob Computer, Laptop, Mobile Device oder Server muss geregelt sein. Das Ziel ist kurz, aber prägnant: Der Zugang zu Informationen und informationsverarbeitenden Einrichtungen ist eingeschränkt. Dies ist einfacher geschrieben, als umgesetzt. In der ISO-Norm 27002, Kapitel 9 sind dazu 14 Massnahmen zu diesem Thema gefordert. Zudem steht in der Fussnote der Schweizer Version der ISO 27002: Der Zugang kann sowohl physisch a...
Continue reading
  2596 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
2596 Hits
0 Comments
Andreas Wisler

ISO 27001 - Verwaltung der Werte

ISO 27001 - Verwaltung der Werte
Jedes Unternehmen besitzt Werte (Englisch: Assets), die es zu schützen gilt. Das Kapitel A.8 nimmt sich diesem Thema an und verlangt, dass diese Werte identifiziert und angemessene Verantwortlichkeiten zum Schutz definiert werden. © Storyblocks, Registriert auf Andreas Wisler Erfassen der Werte In einem ersten Schritt gilt es, alle Werte zu erfassen. Idealerweise werden diese in Kategorien gesammelt. Dies könnten beispielsweise sein: Arbeitsplatz...
Continue reading
  3159 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
3159 Hits
0 Comments
Andreas Wisler

ISO 27001 - Personalsicherheit

ISO 27001 - Personalsicherheit
Im siebten Kapitel der ISO 27001 dreht sich alles um den Menschen. Dies beginnt für das Unternehmen bereits vor der Einstellung und endet nachdem der Arbeitnehmende die Firma wieder verlassen hat.   © Storyblocks, Registriert auf Andreas Wisler Vor der Einstellung Im ersten Schritt gilt es bereits im Bewerbungsprozess Sicherheitsprüfungen vorzunehmen. Dies muss aber immer in Einklang mit geltenden Gesetzen, dem Datenschutz sowie der Privatsp...
Continue reading
  2300 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
2300 Hits
0 Comments
Andreas Wisler

Unterstützung-Tools zur ISO 27001

Unterstützung-Tools zur ISO 27001
Die ISO 27001 bzw. der Anhang fordern eine Vielzahl von technischen Massnahmen. Dieser Blog zeigt verschiedene Möglichkeiten. Diese Seite wird regelmässig aktualisiert. Technisches Inventar Mit Spicworks Inventory kann auf einfache Art und Weise eine Übersicht über alle am Netzwerk angeschlossenen Geräte erstellt werden. Es ist kostenlos. Download unter: https://www.spiceworks.com/free-pc-network-inventory-software/ Mit Glpi kann ein ITSM Softwar...
Continue reading
  1940 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
1940 Hits
0 Comments
Andreas Wisler

ISO 27001 - Informationssicherheitsrichtlinien

ISO 27001 - Informationssicherheitsrichtlinien
Nach dem Aufbau, dem Unterhalt und der stetigen Pflege des ISMS, sind wir beim Anhang angelangt. Im ersten Teil (A.5) werden Anforderungen an Informationssicherheitsrichtlinien gestellt. Während beim Aufbau des ISMS (27001) jede Anforderung mit „Muss" formuliert wurde, wird bei ISO 27002 (entspricht dem Anhang A.5 – A.18 von ISO 27001) „Sollte" verwendet. Hier hat ein Unternehmen etwas mehr Spielraum. Jedoch werden Anforderungen sehr schnell auch...
Continue reading
  1885 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
1885 Hits
0 Comments
Andreas Wisler

ISO 27001 – Betrieb, Bewertung, Verbesserung

ISO 27001 – Betrieb, Bewertung, Verbesserung
Nachdem wir in den vorangehenden Teilen alles vorbereitet haben, folgen nun der Betrieb, die Bewertung sowie die stetige Verbesserung des ISMS. Gemäss dem bekannten Demingkreis wurde das „Plan" umgesetzt, als nächste Schritte folgen Do – Check und Act.  Betrieb Das Normkapitel 8 verlangt die Planung der Schritte zur Zielerreichung des ISMS. Diese sind für jedes Unternehmen individuell, sollten aber immer in die gewohnten Betriebsabläufe inte...
Continue reading
  2058 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
2058 Hits
0 Comments
Andreas Wisler

ISO 27001 – Ressourcen

ISO 27001 – Ressourcen
Das Kapitel 7 der ISO 27001 befasst sich mit den Themen Ressourcen, Kompetenz, Bewusstsein, Kommunikation und Dokumentation. © Storyblocks, Registriert auf Andreas Wisler Die Norm verlangt, dass die notwendigen Ressourcen auch zur Verfügung stehen. Es darf nicht nur ein Lippenbekenntnis sein, „wir betreiben ein ISMS", aber die notwendigen Ressourcen, die es dazu benötigt, werden nicht zur Verfügung gestellt. Oft reicht es zwar für den Aufbau des ...
Continue reading
  2241 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
2241 Hits
0 Comments
Andreas Wisler

ISO 27001 – Risiko-Management

ISO 27001 – Risiko-Management
Das Kapitel 6 der ISO-Norm 27001 setzt sich mit der Planung auseinander. Der Schwerpunkt ist dabei der Umgang mit Risiken und Chancen. Die Norm verlangt, dass die im Kapitel 4.1 (Kontext) und 4.2 (Verstehen der Erfordernisse und Erwartungen interessierter Parteien) erkannten Anforderungen berücksichtigt werden. Daher ist es essentiell wichtig, die beiden Kapitel sauber durchzuarbeiten und möglichst genau das Unternehmen zu verstehen, inkl. aller ...
Continue reading
  3391 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
3391 Hits
0 Comments
Andreas Wisler

ISO 27001 – Führung

ISO 27001 – Führung
Der dritte Teil geht auf das Normenkapitel 5 – Führung ein. Es genügt (nicht) mehr, dass die Geschäftsleitung zwar den Auftrag gibt, aber nicht aktiv mitarbeitet und die Umsetzung nicht unterstützt. Im BSI 100-1 steht sogar «Wenn Zielvorgaben aufgrund fehlender Ressourcen nicht erreichbar sind, sind hierfür nicht die mit der Umsetzung betrauten Personen verantwortlich, sondern die Vorgesetzten, die unrealistische Ziele gesetzt bzw. die erforderli...
Continue reading
  1827 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
1827 Hits
0 Comments
Andreas Wisler

ISO 27001 – Kontext des Unternehmens

ISO 27001 – Kontext des Unternehmens
Der erste Artikel dieser ISO-Reihe zeigte eine Übersicht über die ISO-Normen 27001 und 27002. Der zweite Teil geht auf das Kapitel 4 «Kontext des Unternehmens» ein. Aus meiner Erfahrung haben die Unternehmen damit am meisten Mühe. Da dies jedoch die Basis für alle weiteren Dokumente, Definitionen und Messpunkte darstellt, sollte genügend Zeit dafür reserviert werden. In einem ersten Schritt gilt es die folgende Anforderung zu erfüllen: «Die Organ...
Continue reading
  2840 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
2840 Hits
0 Comments
Andreas Wisler

ISO 27001 - Inhalt der Norm

ISO 27001 - Inhalt der Norm
Dieser Beitrag zeigt auf, was in welchen Kapitel der ISO 27001 Norm enthalten ist. Wo ein Dokument Pflicht ist, ist dies erwähnt. Die einzelnen Artikel gehen auf die Details ein. © Storyblocks, Registriert auf Andreas Wisler   4 Kontext der Organisation Im «ersten» Kapitel geht es darum die eigene Firma vorzustellen. Was macht die Firma, wer sind die interessierten Parteien, was haben diese für Erwartungen. Weiter gilt es den Anwendungs...
Continue reading
  1150 Hits
  0 Comments
Tags:
27001 ISMS
LinkedIn Xing
1150 Hits
0 Comments
    Previous    
1 2