ISO 27004 - Informationssicherheit messen

ISO 27004 - Informationssicherheit messen
Wer misst, misst Mist. Diesen Satz lernte ich gleich zu meiner Ausbildung zum Elektroniker. Dies gilt nicht nur bei der Elektrotechnik, auch bei der Messung der Informationssicherheit ist es wichtig zu definieren, was gemessen wird, wie dies durchgeführt wird und wie die Ergebnisse zu interpretieren sind. Die ISO 27004 hilft, genau dies durchzuführen.   © Storyblocks, Registriert auf Andreas Wisler Die Informationssicherheit zu messen, ist e...
Continue reading
  56 Hits
  0 Comments
Tags:
56 Hits
0 Comments

ISO 27002:2021 – Die Informationssicherheit in neuem Gewand

ISO 27002:2021 – Die Informationssicherheit in neuem Gewand
Am 28. Januar 2021 war es endlich soweit. Nach acht Jahren ist der Nachfolger der ISO 27002:2013 als Draft veröffentlicht worden. Noch läuft die 12-wöchige Eingabefrist für Kommentare, danach wird diese verbindlich. Unternehmen haben nach der finalen Veröffentlichung eine Übergangsfrist, um ihr ISMS auf den aktuellen Stand zu bringen. Wichtig also, sich bereits jetzt mit dieser Norm auseinander zu setzen.   © Storyblocks, Registriert auf And...
Continue reading
  639 Hits
  0 Comments
Tags:
639 Hits
0 Comments

Audit – Planung und Durchführung

Audit – Planung und Durchführung
An ein Audit werden hohe Anforderungen gestellt. Es geht nicht darum, mal schnell zu schauen und einen Bericht zu erstellen, sondern das Audit stellt eine Qualitätskontrolle dar. Werden die aus Normen und Standards, aber auch aus eigenen Richtlinien definierten Tätigkeiten auch entsprechend umgesetzt und gelebt? Einen Schuldigen für Fehler zu suchen, ist aber nicht das Ziel, sondern Abweichungen und Verbesserungsmöglichkeiten zu erkennen. Als Erg...
Continue reading
  285 Hits
  0 Comments
Tags:
285 Hits
0 Comments

Der Security Kreislauf

Der Security Kreislauf
Informationssicherheit ist keine einmalige Angelegenheit. Alle wissen dies, doch das Tagesgeschäft verhindert regelmässig das konsequente Umsetzen der notwendigen Schritte. Dieser Artikel soll aufzeigen, wie der PDCA-Zyklus im Bereich der Informationssicherheit nachhaltig und ohne grossen zusätzlichen Aufwand umgesetzt werden kann. Die Tätigkeiten sollen in den gewohnten Tagesablauf integriert werden und keine zusätzlichen Ressourcen binden. &nbs...
Continue reading
  270 Hits
  0 Comments
Tags:
270 Hits
0 Comments

Business Impact Analyse – Genügend vorbereitet auf einen Notfall

Business Impact Analyse – Genügend vorbereitet auf einen Notfall
Gerade in Krisenzeiten wird die Wichtigkeit einer guten Vorbereitung erkennbar. Tritt eine Krise oder ein grösseres negatives Ereignis ein, gilt es schnell zu reagieren. Zu diesem Zeitpunkt ist es aber zu spät, sich mit allen notwendigen Schritten im Detail auseinanderzusetzen. Nun muss reagiert und nicht mehr diskutiert werden. Die Business Impact Analyse zeigt im Vorfeld, auf was der Fokus bei einem solchen Ereignis gelegt werden muss und welch...
Continue reading
  212 Hits
  0 Comments
Tags:
212 Hits
0 Comments

Revision des Datenschutzgesetzes: Besteht schon Handlungsbedarf für Unternehmen?

Nach drei Jahren Beratung hat das Parlament am 25. September 2020 den Schlusstext des revidierten Datenschutzgesetzes des Bundes angenommen. Zurzeit werden noch die beiden Verordnungen ausgearbeitet und dann in Vernehmlassung gegeben. Mit einem Inkrafttreten des revidierten DSG kann erst im Jahr 2022 gerechnet werden. Zurzeit ist unklar, welche Übergangsfristen gelten werden; daher ist den Unternehmen zu empfehlen, sich bereits jetzt mit den komm...
Continue reading
  210 Hits
  0 Comments
Tags:
210 Hits
0 Comments

ISO 27003 - Umsetzung eines ISMS

ISO 27003 - Umsetzung eines ISMS
Viele Unternehmen sind daran ein Informationssicherheitssystem aufzubauen und damit die IT-Sicherheit nachhaltig zu erhöhen. Doch der Start stellt sich oft sehr harzig dar. Wo soll man nur beginnen? Welche Reihenfolge macht Sinn? Nur die ISO 27001 Norm zu lesen bietet zwar eine gute Übersicht und Einführung in die Thematik, doch was genau bei jedem Punkt verlangt wird, ist nicht immer auf den ersten Blick klar. Die ISO 27003 kann hier eine gute U...
Continue reading
  309 Hits
  0 Comments
Tags:
309 Hits
0 Comments

ISO 27701 – Nachweisbarer Datenschutz?

ISO 27701 – Nachweisbarer Datenschutz?
Im August 2019 wurde ohne grosses Aufsehen die ISO 27701 veröffentlicht. Damit kann ein Unternehmen nachweisen, dass es Anstrengungen zur Umsetzung des Datenschutzes umsetzt. Der Standard trägt den offiziellen Namen «Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines». Obwohl die Norm schon über ein Jahr verfügbar ist, sind die ersten Zertifizierungen erst seit wenig...
Continue reading
  345 Hits
  0 Comments
Tags:
345 Hits
0 Comments

27001 - Compliance

27001 - Compliance
Das letzte Kapitel der ISO-Norm A.18 beschreibt Anforderungen an die Richtlinienkonformität. Damit sollen Verstösse gegen gesetzliche, regulatorische, selbstauferlegte oder vertragliche Verpflichtungen mit Bezug auf Informationssicherheit und gegen jegliche Sicherheitsanforderungen vermieden werden.   © Storyblocks, Registriert auf Andreas Wisler Bevor gestartet werden kann, müssen die anwendbaren Gesetze und vertraglichen Anforderungen erfa...
Continue reading
  835 Hits
  0 Comments
Tags:
835 Hits
0 Comments

ISO 27001 - Business Continuity Management

ISO 27001 - Business Continuity Management
Im Kapitel 17 dreht sich alles um das Kontinuitätsmanagement (Business Continuity Management). Vorbereitungen werden auf einen möglichen Notfall werden getroffen, um die negativen Folgen einzugrenzen und ein Überleben des Unternehmens sicherzustellen. Die Norm verlangt, dass die Informationssicherheit auch in einer Krisensituation gewährleistet bleibt.  © Storyblocks, Registriert auf Andreas Wisler Eine Krise oder Katastrophe kann schnell ei...
Continue reading
  988 Hits
  0 Comments
Tags:
988 Hits
0 Comments

ISO 27001 - Informationssicherheitsvorfälle

ISO 27001 - Informationssicherheitsvorfälle
Vorfälle kommen in jedem Unternehmen vor. Sei dies durch eigene Personen, oft durch Unwissenheit oder durch externe Bedrohungen wie Hacker. Wichtig ist es, einen Vorfall schnell zu erkennen und die richtigen Schritte einzuleiten. Das Kapitel A.16 hat zum Ziel «eine konsistente und wirksame Herangehensweise für die Handhabung von Informationssicherheitsvorfällen einschliesslich der Benachrichtigung über Sicherheitsereignisse und Schwächen sicherzu...
Continue reading
  2138 Hits
  0 Comments
Tags:
2138 Hits
0 Comments

ISO 27001 - Sicherheit in Lieferantenbeziehungen

ISO 27001 - Sicherheit in Lieferantenbeziehungen
Für viele Systeme ist es heute unabdingbar externe Unterstützung beizuziehen. Wenn diese dann auch Zugriff auf Firmenwerte haben, gilt es diese speziell zu schützen. Das Kapitel A.15 definiert daher das Ziel: «Für Lieferanten zugängliche Werte des Unternehmens sind geschützt».  © Storyblocks, Registriert auf Andreas Wisler Doch was sich so einfach liest, ist gerade in grösseren Firmen eine Herausforderung. Daher gilt es an einer zentralen St...
Continue reading
  1108 Hits
  0 Comments
Tags:
1108 Hits
0 Comments

ISO 27001 - Anschaffung, Entwicklung und Instandhaltung von Systemen

ISO 27001 - Anschaffung, Entwicklung und Instandhaltung von Systemen
Das 14. Kapitel hat sich das Ziel gesetzt, dass Informationssicherheit ein fester Bestandteil über den gesamten Lebenszyklus von Informationssystemen ist. Es knüpft an die beiden Kapitel 12 (Betriebssicherheit) und Kapitel 13 (Kommunikationssicherheit) an und ergänzt diese optimal. © Storyblocks, Registriert auf Andreas Wisler Bereits bei der Beschaffung von neuen Systemen gilt es die Informationssicherheit zu berücksichtigen. Dazu gilt es nicht ...
Continue reading
  1100 Hits
  0 Comments
Tags:
1100 Hits
0 Comments

ISO 27001 - Kommunikationssicherheit

ISO 27001 - Kommunikationssicherheit
Das 13. Kapitel der ISO 27002 behandelt die Sicherheit in der Kommunikation. Das Ziel ist der Schutz von Information in Netzwerken und den unterstützenden informationsverarbeitenden Einrichtungen sicherzustellen. Zuerst gilt es das Netzwerk vor unbefugtem Zugriff zu schützen. So sollten Computer-Anschlüsse nicht auf Vorrat gepatcht werden, d.h. mit dem Netzwerk verbunden sein, sondern nur bei Bedarf. Technisch kann das Protokoll 802.1x eingesetzt...
Continue reading
  910 Hits
  0 Comments
Tags:
910 Hits
0 Comments

ISO 27001 - Betriebssicherheit

ISO 27001 - Betriebssicherheit
Das Kapitel A.12 der ISO-Norm behandelt alles rund um die ICT. Das Ziel ist dementsprechend einfach: «Der ordnungsgemässe und sichere Betrieb von informationsverarbeitenden Einrichtungen ist sichergestellt.»   © Storyblocks, Registriert auf Andreas Wisler Dokumentation Bereits der erste Punkt ist eigentlich selbstverständlich, ist aber für viele Unternehmen eine Herausforderung: «Die Betriebsverfahren sollten dokumentiert und allen Benutzern...
Continue reading
  1065 Hits
  0 Comments
Tags:
1065 Hits
0 Comments

ISO 27001 - Physische Sicherheit

ISO 27001 - Physische Sicherheit
Einbrechen ist auch heute immer noch im Hoch. Eine Türe nicht richtig geschlossen, ein Fenster vergessen und schon bricht jemand ein und stiehlt etwas. Das Kapitel 11 beschäftigt sich daher mit den Themen «Physische und umgebungsbezogene Sicherheit». Das Ziel formuliert sich dementsprechend: «Unbefugter Zutritt, die Beschädigung und die Beeinträchtigung von Information und informationsverarbeitenden Einrichtungen der Organisation sind verhindert....
Continue reading
  1026 Hits
  0 Comments
Tags:
1026 Hits
0 Comments

ISO 27001 - Kryptografie

ISO 27001 - Kryptografie
Die Verschlüsselung von Daten wird immer wichtiger. Damit können die geforderte Vertraulichkeit, Authentizität und Integrität garantiert werden. Doch das Thema Kryptografie ist schwer zu verstehen. Dieser Beitrag soll etwas Licht ins Dunkel bringen. Der Wunsch, dass Informationen vertraulich und nur eingeschränkt verfügbar sind, ist so alt wie die Menschheit. Viele verschiedene Arten von Verschlüsselungstechnologien wurden entwickelt, wie speziel...
Continue reading
  1160 Hits
  0 Comments
Tags:
1160 Hits
0 Comments

ISO 27001 - Zugangssteuerung

ISO 27001 - Zugangssteuerung
Der Zugang an Systeme, egal ob Computer, Laptop, Mobile Device oder Server muss geregelt sein. Das Ziel ist kurz, aber prägnant: Der Zugang zu Informationen und informationsverarbeitenden Einrichtungen ist eingeschränkt. Dies ist einfacher geschrieben, als umgesetzt. In der ISO-Norm 27002, Kapitel 9 sind dazu 14 Massnahmen zu diesem Thema gefordert. Zudem steht in der Fussnote der Schweizer Version der ISO 27002: Der Zugang kann sowohl physisch a...
Continue reading
  1687 Hits
  0 Comments
Tags:
1687 Hits
0 Comments

ISO 27001 - Verwaltung der Werte

ISO 27001 - Verwaltung der Werte
Jedes Unternehmen besitzt Werte (Englisch: Assets), die es zu schützen gilt. Das Kapitel A.8 nimmt sich diesem Thema an und verlangt, dass diese Werte identifiziert und angemessene Verantwortlichkeiten zum Schutz definiert werden. © Storyblocks, Registriert auf Andreas Wisler Erfassen der Werte In einem ersten Schritt gilt es, alle Werte zu erfassen. Idealerweise werden diese in Kategorien gesammelt. Dies könnten beispielsweise sein: Arbeitsplatz...
Continue reading
  2035 Hits
  0 Comments
Tags:
2035 Hits
0 Comments

ISO 27001 - Personalsicherheit

ISO 27001 - Personalsicherheit
Im siebten Kapitel der ISO 27001 dreht sich alles um den Menschen. Dies beginnt für das Unternehmen bereits vor der Einstellung und endet nachdem der Arbeitnehmende die Firma wieder verlassen hat.   © Storyblocks, Registriert auf Andreas Wisler Vor der Einstellung Im ersten Schritt gilt es bereits im Bewerbungsprozess Sicherheitsprüfungen vorzunehmen. Dies muss aber immer in Einklang mit geltenden Gesetzen, dem Datenschutz sowie der Privatsp...
Continue reading
  1687 Hits
  0 Comments
Tags:
1687 Hits
0 Comments