Heinrich Kersten Knihy

Dieses Buch behandelt das Management der Informationssicherheit auf der Basis der neuen Fassung der Norm ISO/IEC 27001. Die Autoren erläutern kompetent den Standard und seine organisatorisch-technische Umsetzung. Dies betrifft die Anforderungen an das Informationssicherheits-Managementsystem (ISMS) genauso wie die 114 Controls aus dem Anhang der Norm. Die ausführlich kommentierten Controls unterstützen Sicherheitsverantwortliche bei der Auswahl geeigneter Sicherheitsmaßnahmen in allen Bereichen. Die Normenreihe ISO 27000 ist ein wichtiges Hilfsmittel für Unternehmen und Behörden, die ein IT-Sicherheitsmanagement in ihrer Organisation einführen und betreiben wollen. Im internationalen Kontext ist die Anwendung der ISO 27001 für viele Organisationen nahezu unverzichtbar. Nicht zuletzt mit dem deutschen IT-Sicherheitsgesetz erhält dieser Standard auch national eine hohe Bedeutung. Mit der Neufassung der Norm im Jahr 2015 (deutsche Version) müssen sich alle Organisationen entsprechend umstellen und ihr ISMS anpassen. Hierfür enthält das Buch einen entsprechenden „Fahrplan“.

Ein Buch, das den Sicherheitsverantwortlichen (und allen Interessierten) den „roten Faden“ liefert, wie man die IT-Sicherheit im Unternehmen angeht, wie man sinnvolle Security Policies und Sicherheitskonzepte schreibt, wie man sukzessive zu einer stetigen Verbesserung der Sicherheit kommt, ist schon eine wesentliche Hilfe für die Praxis. Das hochkarätig besetzte Autoren-Team stellt in dieser Form erstmalig seine Erfahrungen auf dem Gebiet der IT-Sicherheit in Buchform vor. Dabei werden auch „brisante“ Themen wie BS 7799 „contra“ Grundschutz nicht ausgelassen. Aufbau und Inhalt des Werks konnten bereits in vielen Seminaren zur Ausbildung von IT-Sicherheitsbeauftragten erprobt werden.

Der Standard ISO 2700x wird für Unternehmen und Behörden immer wichtiger. Er ist aus dem British Standard 7799 hervorgegangen, der international bereits einen hohen Stellenwert erlangt hatte, und dreht sich um das IT-Sicherheitsmanagement in Organisationen. Das Buch führt den Leser Schritt für Schritt in den Standard ein und legt verständlich dar, wie man ihn für das Sicherheitsmanagement anwendet und Konformität herstellt. Gleichzeitig wird die Schnittstelle zum IT-Grundschutz des BSI erläutert, der sich nahtlos an den Standard anschließt und Sicherheitsverantwortliche bei der Auswahl geeigneter Sicherheitsmaßnahmen unterstützt. Zusätzlich erhält der Leser detaillierte Informationen in Sachen Audits und Zertifizierung nach ISO 27001 und IT-Grundschutz

Ein qualifiziertes Management der Informationssicherheit ist heutzutage für jede Organisation unverzichtbar. Die Normenreihe ISO 27000 ist dabei ein anerkannter „Wegweiser“ zu diesem Ziel. Im internationalen Kontext ist ihre Erfüllung für viele Organisationen ein wichtiger Wettbewerbsfaktor. Auch in Deutschland hat diese Normenreihe Eingang in Vorgaben, Regelungen und Gesetze zum Thema Informationssicherheit gefunden. Das vorliegende Buch kommentiert vor diesem Hintergrund die aktuellen Normen ISO 27001 und ISO 27002 (Ausgabe 2022/2023): Nach einer Einführung in die Normenreihe und ihren Fachbegriffen werden die Anforderungen an das Managementsystem für Informationssicherheit (ISMS) detailliert erklärt und mit zahlreichen Hinweise zur Umsetzung versehen. Im Anhang der ISO 27001 sind die sog. Controls aufgeführt, die in der neuen Normfassung komplett umstrukturiert und an vielen Stellen geändert wurden. Das Buch behandelt ausführlich alle Controls und gibt viele Beispiele für ihre Anwendung. Mit dem Erscheinen der neuen Normfassungen müssen sich viele Organisationen entsprechend umstellen – nicht zuletzt auch im Zusammenhang mit Zertifizierungen. Das Buch bietet hier einen ausführlichen Fahrplan zur Migration auf die neuen Normen.

Sicherheitsrisiken beim Einsatz mobiler Endgeräte werden umfassend behandelt, einschließlich Business Impact-Analyse, Disaster Recovery und Notfallmanagement. Der Inhalt umfasst eine Vielzahl von Themen, darunter Smartphones, Tablets und deren Betriebssysteme sowie Kommunikationsmöglichkeiten wie GSM, UMTS, LTE und WLAN. Die Sicherheitsaspekte mobiler Endgeräte, wie unberechtigter Zugriff durch Verlust oder Diebstahl, Schadsoftware und Schwachstellen in der drahtlosen Kommunikation, werden analysiert. Zudem werden Maßnahmen zur Inventarisierung, Incident & Problem Management sowie die Compliance mit Sicherheitsrichtlinien thematisiert. Das Buch beleuchtet die Evolution des Mobile Computing und den Anstieg mobiler Endgeräte im Unternehmenseinsatz, die die Arbeitswelt und IT-Infrastrukturen verändert haben. Der Zugriff auf Unternehmensressourcen von unterwegs, sei es durch BYOD oder unternehmenseigene Geräte, steigert die Produktivität, birgt jedoch auch erhebliche Sicherheitsrisiken. Die Autoren diskutieren die Hardware und Betriebssysteme gängiger mobiler Endgeräte sowie deren Administrationsmöglichkeiten. Ein weiterer Fokus liegt auf Mobile Device Management (MDM) und den relevanten Sicherheitsstandards wie ISO 27001 und BSI-Grundschutz. Die Sicherstellung von Compliance, Business Continuity und die Auswahl von MDM-Systemen sowie Unternehmensrichtlinien für den Einsatz mobiler Endgeräte werden ebenfalls behandelt.

Das Buch behandelt die Themen Business Continuity und IT-Notfallmanagement ganzheitlich – ausgehend von den Geschäftsprozessen einer Organisation, über die ggf. vorhandene IT-Unterstützung bis hin zur Absicherung benötigter personeller, organisatorischer und technischer Ressourcen. Die Autoren stellen das Managementsystem nach den einschlägigen Standards ISO 22301, 27001/27031, BSI 100-4 dar und vertiefen insbesondere die wichtigen Schritte der Risikoanalyse und der Business Impact Analyse. Zudem werden präventive, detektierende und reaktive Maßnahmen aus allen Bereichen erläutert. Praxisrelevante Fallbeispiele unterstützen den Leser bei der Einrichtung von Business Continuity Management (BCM) und IT-Notfallmanagement in der eigenen Organisation. Synergieeffekte zwischen BCM und Informationssicherheit werden dabei besonders hervorgehoben.

Profitieren Sie von den Erfahrungen der Autoren! Mit diesem Buch erhalten Sie das aktuelle und zuverlässige Praxiswissen zum IT-Sicherheitsmanagement in Unternehmen und Behörden – Aufbau und Inhalt des Werkes haben sich in der Aus- und Fortbildung von IT-Sicherheitsbeauftragten bewährt. Die Inventarisierung aller Informationswerte (Assets), die Formulierung von Sicherheitszielen und die Erstellung von Leitlinien und Sicherheitskonzepten werden klar und verständlich dargestellt. Anhand vieler praktischer Beispiele erfahren Sie alles über Risikoanalysen und -bewertungen sowie über wichtige Sicherheitsmaßnahmen aus den Bereichen Organisation, Recht, Personal, Infrastruktur und Technik. In der vierten Auflage wurde neben vielen Aktualisierungen und Erweiterungen (z. B. im Hinblick auf den Einsatz mobiler IT-Systeme) das Kapitel über die Inventarisierung komplett überarbeitet; als neues Kapitel wurde die Verhinderung von Datenlecks (Data Loss / Leakage Prevention) in sensiblen Organisationen aufgenommen.