Praxisbuch ISO/IEC 27001 downloaded from www.hanser-elibrary.com by 195.211.193.156 on February 20, 2017 For personal use only.
michael BRENNER nils GENTSCHEN FELDE wolfgang HOMMEL stefan METZGER helmut REISER thomas SCHAAF
ISO/IEC 27001
MANAGEMENT DER INFORMATIONSSICHERHEIT UND VORBEREITUNG AUF DIE ZERTIFIZIERUNG
EXTRA: Mit kostenlosem E-Book Mit 80 Prüfungsfragen zur Vorbereitung auf die Foundation-Zertifizierung ISO/IEC 27001 im Wortlaut -die Teile, die Sie kennen müssen.
Brenner/gentschen Felde/Hommel/Metzger/Reiser/Schaaf
Praxisbuch ISO/IEC 27001 downloaded from www.hanser-elibrary.com by 195.211.193.156 on February 20, 2017 For personal use only.
Praxisbuch ISO/IEC 27001
v
Bleiben Sie einfach auf dem Laufenden: www.hanser.de/newsletter Sofort anmelden und Monat für Monat die neuesten Infos und Updates erhalten.
Praxisbuch ISO/IEC 27001 downloaded from www.hanser-elibrary.com by 195.211.193.156 on February 20, 2017 For personal use only.
Praxisbuch ISO/IEC 27001 downloaded from www.hanser-elibrary.com by 195.211.193.156 on February 20, 2017 For personal use only.
III
Michael Brenner Nils gentschen Felde Wolfgang Hommel Stefan Metzger Helmut Reiser Thomas Schaaf
Praxisbuch ISO/IEC 27001 Management der Informationssicherheit und Vorbereitung auf die Zertifizierung
IV
Die Autoren:
Praxisbuch ISO/IEC 27001 downloaded from www.hanser-elibrary.com by 195.211.193.156 on February 20, 2017 For personal use only.
Dr. Michael Brenner, München Dr. Nils gentschen Felde, München Dr. Wolfgang Hommel, Ismaning Stefan Metzger, Greifenberg Priv.-Doz. Dr. Helmut Reiser, Wolfersdorf Dr. Thomas Schaaf, München Die Auszüge aus der DIN ISO/IEC 27001 sind wiedergegeben mit der Erlaubnis des DIN Deutsches Institut für Normung e.V. Maßgebend für das Anwenden der DIN-Norm ist deren Fassung mit dem neuesten Ausgabedatum, die bei der Beuth Verlag GmbH, Burggrafenstraße 6, 10787 Berlin, erhältlich ist. Alle in diesem Buch enthaltenen Informationen, Verfahren und Darstellungen wurden nach bestem Wissen zusammengestellt und mit Sorgfalt getestet. Dennoch sind Fehler nicht ganz auszuschließen. Aus diesem Grund sind die im vorliegenden Buch enthaltenen Informationen mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Autoren und Verlag übernehmen infolgedessen keine juristische Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieser Informationen – oder Teilen davon – entsteht. Ebenso übernehmen Autoren und Verlag keine Gewähr dafür, dass beschriebene Verfahren usw. frei von Schutzrechten Dritter sind. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Buch berechtigt deshalb auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und MarkenschutzGesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Bibliografische Information der Deutschen Nationalbibliothek: Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbiblio grafie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. Dieses Werk ist urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, des Nachdruckes und der Vervielfältigung des Buches, oder Teilen daraus, vorbehalten. Kein Teil des Werkes darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form (Fotokopie, Mikrofilm oder ein anderes Verfahren) – auch nicht für Zwecke der Unterrichtsgestaltung – reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden. © 2011 Carl Hanser Verlag München, www.hanser.de Lektorat: Margarete Metzger Herstellung: Irene Weilhart Copy editing: Manfred Sommer, München Layout: die Autoren mit LaTeX Umschlagdesign: Marc Müller-Bremer, www.rebranding.de, München Umschlagrealisation: Stephan Rönigk Datenbelichtung, Druck und Bindung: Kösel, Krugzell Ausstattung patentrechtlich geschützt. Kösel FD 351, Patent-Nr. 0748702 Printed in Germany
print-ISBN: 978-3-446-43026-6 e-book-ISBN: 978-3-446-43056-3
Praxisbuch ISO/IEC 27001 downloaded from www.hanser-elibrary.com by 195.211.193.156 on February 20, 2017 For personal use only.
Inhaltsverzeichnis
1 1.1 1.2
Einführung und Basiswissen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
Worum geht es in ISO/IEC 27001? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
Begriffsbildung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
1.2.1
Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
1.2.2
Informationssicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
1.2.3
Schutzziele: Aspekte der Informationssicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
1.2.3.1 Vertraulichkeit (Confidentiality) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
1.2.3.2 Integrität (Integrity) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
1.2.3.3 Verfügbarkeit (Availability) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
1.2.3.4 Authentizität (Authenticity) und Authentisierung (Authentication) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
1.2.3.5 Zurechenbarkeit (Accountability) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
1.2.3.6 Nicht-Abstreitbarkeit/Verbindlichkeit (Non-repudiation) . . . . . . . .
5
1.2.3.7 Verlässlichkeit (Reliability). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
1.2.3.8 Zugriffskontrolle (Access Control) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
Überblick über die folgenden Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
Die Normenreihe ISO/IEC 27000 im Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
2.1
Warum Standardisierung? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
2.2
Grundlagen der ISO/IEC 27000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
2.3
Normative vs. informative Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
1.3
2
2.4
Die Standards der ISMS-Familie und ihre Zusammenhänge . . . . . . . . . . . . . . . . . . . . . . . . . .
9
2.4.1
Allgemeine und normative Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
2.4.1.1 ISO/IEC 27001: Anforderungen an ein ISMS . . . . . . . . . . . . . . . . . . . . . . . .
9
2.4.2
2.4.1.2 ISO/IEC 27006: Anforderungen an Zertifizierer . . . . . . . . . . . . . . . . . . . .
10
Allgemeine und informative Leitfäden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
2.4.2.1 ISO/IEC 27002: Leitfaden für das InformationssicherheitsManagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
2.4.2.2 ISO/IEC 27003: Umsetzungsempfehlungen. . . . . . . . . . . . . . . . . . . . . . . . .
11
2.4.2.3 ISO/IEC 27004: Messungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
VI
Inhaltsverzeichnis
2.4.3
11
2.4.2.5 ISO/IEC 27007 und ISO/IEC 27008: Audit-Leitfäden . . . . . . . . . . . . . .
11
Branchenspezifische Leitfäden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
2.4.3.1 ISO/IEC 27011: Leitfaden für die Telekommunikationsbranche .
12
2.4.3.2 ISO 27799: Leitfaden für Organisationen im Gesundheitswesen.
12
2.5
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
2.6
Beispiele für Prüfungsfragen zu diesem Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
3 Praxisbuch ISO/IEC 27001 downloaded from www.hanser-elibrary.com by 195.211.193.156 on February 20, 2017 For personal use only.
2.4.2.4 ISO/IEC 27005: Risikomanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grundlagen von Informationssicherheits-Managementsystemen (ISMS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.1
Das ISMS und seine Bestandteile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
3.1.1
(Informations-)Werte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
3.1.2
Leitlinien, Prozesse und Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
3.1.3
Dokumente und Aufzeichnungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17
3.1.4
Zuweisung von Verantwortlichkeiten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
18
3.1.5
Maßnahmenziele und Maßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
3.2
Was bedeutet Prozessorientierung? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
3.3
Die PDCA-Methodik: Plan-Do-Check-Act. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
3.3.1
Planung (Plan) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
3.3.2
Umsetzung (Do) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
3.3.3
Überprüfung (Check) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
3.3.3.1 Konformität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
3.3.3.2 Effektivität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
3.3.3.3 Effizienz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
Verbesserung (Act) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
3.3.4 3.4
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
3.5
Beispiele für Prüfungsfragen zu diesem Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
4
ISO/IEC 27001 – Spezifikationen und Mindestanforderungen . . . . 27
4.1
Anwendungsbereich. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
4.2
Normative Verweisungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
4.3
Begriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
4.4
Informationssicherheits-Managementsystem. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
34
4.4.1
Allgemeine Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
34
4.4.2
Festlegung und Verwaltung des ISMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
4.4.2.1 Festlegen des ISMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
4.4.2.2 Umsetzen und Durchführen des ISMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43
4.4.3
4.4.2.3 Überwachen und Überprüfen des ISMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
44
4.4.2.4 Instandhalten und Verbessern des ISMS . . . . . . . . . . . . . . . . . . . . . . . . . . . .
46
Dokumentationsanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
46
4.4.3.1 Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
4.4.3.2 Lenkung von Dokumenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
48
Inhaltsverzeichnis
4.4.3.3 Lenkung von Aufzeichnungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
4.5
Verantwortung des Managements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
4.6
Interne ISMS-Audits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
4.7
Managementbewertung des ISMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
4.8
Verbesserung des ISMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55
4.9
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
57
4.10
Beispiele für Prüfungsfragen zu diesem Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
58
Praxisbuch ISO/IEC 27001 downloaded from www.hanser-elibrary.com by 195.211.193.156 on February 20, 2017 For personal use only.
5
Maßnahmenziele und Maßnahmen im Rahmen des ISMS . . . . . . . . . . 63
5.A.5 Sicherheitsleitlinie (A.5). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
64
5.A.6 Organisation der Informationssicherheit (A.6) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
66
5.A.6.1
Interne Organisation (A.6.1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
66
5.A.6.2
Externe Beziehungen (A.6.2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
69
5.A.7 Management von organisationseigenen Werten (A.7) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
71
5.A.7.1
Verantwortung für organisationseigene Werte (Assets) (A.7.1). . . . . . . . . . . . .
71
5.A.7.2
Klassifizierung von Informationen (A.7.2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
72
5.A.8 Personelle Sicherheit (A.8) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
74
5.A.8.1
Vor der Anstellung (A.8.1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
74
5.A.8.2
Während der Anstellung (A.8.2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
5.A.8.3
Beendigung oder Änderung der Anstellung (A.8.3) . . . . . . . . . . . . . . . . . . . . . . . . . .
76
5.A.9 Physische und umgebungsbezogene Sicherheit (A.9) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
78
5.A.9.1
Sicherheitsbereiche (A.9.1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
78
5.A.9.2
Sicherheit von Betriebsmitteln (A.9.2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
80
5.A.10 Betriebs- und Kommunikationsmanagement (A.10) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
83
5.A.10.1 Verfahren und Verantwortlichkeiten (A.10.1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
84
5.A.10.2 Management der Dienstleistungserbringung von Dritten (A.10.2) . . . . . . . .
85
5.A.10.3 Systemplanung und Abnahme (A.10.3). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
5.A.10.4 Schutz vor Schadsoftware und mobilem Programmcode (A.10.4). . . . . . . . .
87
5.A.10.5 Backup (A.10.5) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
88
5.A.10.6 Management der Netzsicherheit (A.10.6) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
89
5.A.10.7 Handhabung von Speicher- und Aufzeichnungsmedien (A.10.7) . . . . . . . . .
90
5.A.10.8 Austausch von Informationen (A.10.8) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
92
5.A.10.9 E-Commerce-Anwendungen (A.10.9) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
94
5.A.10.10 Überwachung (A.10.10) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
95
5.A.11 Zugangskontrolle (A.11). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
98
5.A.11.1 Geschäftsanforderungen für Zugangskontrolle (A.11.1) . . . . . . . . . . . . . . . . . . . .
98
5.A.11.2 Benutzerverwaltung (A.11.2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
99
5.A.11.3 Benutzerverantwortung (A.11.3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 5.A.11.4 Zugangskontrolle für Netze (A.11.4) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 5.A.11.5 Zugriffskontrolle auf Betriebssysteme (A.11.5) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 5.A.11.6 Zugangskontrolle zu Anwendungen und Information (A.11.6) . . . . . . . . . . . . 106 5.A.11.7 Mobile Computing und Telearbeit (A.11.7) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
VII
VIII
Inhaltsverzeichnis
5.A.12 Beschaffung, Entwicklung und Wartung von Informationssystemen (A.12) . . . . . . . . 109 5.A.12.1 Sicherheitsanforderungen von Informationssystemen (A.12.1) . . . . . . . . . . . 109 5.A.12.2 Korrekte Verarbeitung in Anwendungen (A.12.2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 5.A.12.3 Kryptographische Maßnahmen (A.12.3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 5.A.12.4 Sicherheit von Systemdateien (A.12.4) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 5.A.12.5 Sicherheit bei Entwicklungs- und Unterstützungsprozessen (A.12.5) . . . . 114 5.A.12.6 Schwachstellenmanagement (A.12.6) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Praxisbuch ISO/IEC 27001 downloaded from www.hanser-elibrary.com by 195.211.193.156 on February 20, 2017 For personal use only.
5.A.13 Umgang mit Informationssicherheitsvorfällen (A.13) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 5.A.13.1 Melden von Informationssicherheitsereignissen und Schwachstellen (A.13.1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 5.A.13.2 Umgang mit Informationssicherheitsvorfällen und Verbesserungen (A.13.2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 5.A.14 Sicherstellung des Geschäftsbetriebs (Business Continuity Management) (A.14) . . 120 5.A.15 Einhaltung von Vorgaben (A.15) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 5.A.15.1 Einhaltung gesetzlicher Vorgaben (A.15.1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 5.A.15.2 Einhaltung von Sicherheitsregelungen und -standards und technischer Vorgaben (A.15.2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 5.A.15.3 Überlegungen zu Revisionsprüfungen von Informationssystemen (A.15.3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 5.16
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
5.17
Beispiele für Prüfungsfragen zu diesem Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
6 6.1
6.2
6.3
6.4
6.5
Verwandte Standards und Rahmenwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 ISO 9000 (Qualitätsmanagement) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 6.1.1
Zielsetzung und Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
6.1.2
Aufbau und Inhalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
6.1.3
Bezug zu ISO/IEC 27000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
ISO/IEC 20000 (IT Service Management) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 6.2.1
Zielsetzung und Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
6.2.2
Aufbau und Inhalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
6.2.3
Bezug zu ISO/IEC 27000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
ISO/IEC 15408 (Bewertung der Informationssicherheit) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 6.3.1
Zielsetzung und Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
6.3.2
Aufbau und Inhalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
6.3.3
Bezug zu ISO/IEC 27000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Das COBIT-Framework (IT-Governance) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 6.4.1
Zielsetzung und Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
6.4.2
Aufbau und Inhalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
6.4.3
Bezug zu ISO/IEC 27000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Das COSO ERM-Framework (Risikomanagement) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 6.5.1
Zielsetzung und Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
6.5.2
Aufbau und Inhalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Inhaltsverzeichnis
6.5.3 6.6
Die BSI-Grundschutzkataloge (IT-Grundschutz). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 6.6.1
Zielsetzung und Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
6.6.2
Aufbau und Inhalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
6.6.3
Bezug zu ISO/IEC 27000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
6.7
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
6.8
Beispiele für Prüfungsfragen zu diesem Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
7 Praxisbuch ISO/IEC 27001 downloaded from www.hanser-elibrary.com by 195.211.193.156 on February 20, 2017 For personal use only.
Bezug zu ISO/IEC 27000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
7.1
Zertifizierungsmöglichkeiten nach ISO/IEC 27000 . . . . . . . . . . . . . . . . . . . . . 149 ISMS-Zertifizierung nach ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 7.1.1
Grundlagen der Zertifizierung von Managementsystemen . . . . . . . . . . . . . . . . 149 7.1.1.1 Zertifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 7.1.1.2 Akkreditierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
7.2
7.1.2
Typischer Ablauf einer Zertifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
7.1.3
Auditumfang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
7.1.4
Akzeptanz und Gültigkeit des Zertifikats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Personenqualifizierung auf Basis von ISO/IEC 27000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 7.2.1
Das Programm des TÜV Süd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
7.2.2
Das Foundation-Zertifikat. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 7.2.2.1 Prüfungsspezifikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 7.2.2.2 Vorbereitung auf die Zertifizierungsprüfung. . . . . . . . . . . . . . . . . . . . . . . . 155
7.3
Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
7.4
Beispiele für Prüfungsfragen zu diesem Kapitel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
A
Prüfungsfragen mit Antworten zur ISO/IEC 27001 Foundation . . 159
A.1
Antworten auf die Prüfungsfragen zu den einzelnen Buchkapiteln . . . . . . . . . . . . . . . . . . 159
A.2
Ein beispielhafter Prüfungsfragebogen zur ISO/IEC 27001-Foundation-Prüfung . . 166
Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
IX
Praxisbuch ISO/IEC 27001 downloaded from www.hanser-elibrary.com by 195.211.193.156 on February 20, 2017 For personal use only.
Praxisbuch ISO/IEC 27001 downloaded from www.hanser-elibrary.com by 195.211.193.156 on February 20, 2017 For personal use only.
Vorwort
Dieses Buch ist sowohl zur gezielten Vorbereitung auf die ISO/IEC 27001 FoundationPersonenzertifizierung als auch als Nachschlagewerk für die Inhalte der Norm ISO/IEC 27001 konzipiert. Die ersten Kapitel führen Sie kompakt in die spannende, aber auch komplexe Welt der Informationssicherheit, Managementsysteme und Standards ein. Nach einem Überblick über die Normenreihe ISO/IEC 27000 und die Grundlagen von InformationssicherheitsManagementsystemen finden Sie in den Kapiteln 4 und 5 alle Mindestanforderungen und Maßnahmen aus ISO/IEC 27001. Sie werden in grau hinterlegten Kästen wörtlich wiedergegeben und zusätzlich erläutert. Die Schwerpunkte der Erklärungen orientieren sich dabei an den Inhalten der Prüfung zum Foundation Certificate in ISMS according to ISO/IEC 27001 (nach dem modularen Lehrgangskonzept der TÜV Süd Akademie) sowie der entsprechenden Kurse, wie sie von zahlreichen Trainingsinstituten angeboten werden. In diesem Buch finden Sie insgesamt 80 Beispiel-Prüfungsfragen. Ihr Schwierigkeitsgrad entspricht wiederum dem der ISO/IEC 27001 Foundation-Prüfung. Die Hälfte der Fragen finden Sie über die Kapitel 2–7 verteilt jeweils am Ende, wo auch die wichtigsten Inhalte nochmals kompakt zusammengefasst werden. Sie können sich damit schon beim ersten Durchlesen darauf vorbereiten, wie Prüfungsfragen zu den Inhalten typischerweise aussehen. Im Anhang finden Sie dann nochmals 40 Fragen am Stück. Dies entspricht genau dem Umfang der „richtigen“ Prüfung. Dadurch können Sie ein Gespür für die 60 Minuten Prüfungszeit entwickeln. Noch ein abschließender Hinweis zum flüssigen Lesen: Verweise auf Kapitel beziehen sich ohne weitere Angabe immer auf dieses Buch. Verweise auf Abschnitte beziehen sich immer auf den entsprechenden Standard. Wir wünschen Ihnen viel Erfolg bei der Prüfung und bei der praktischen Anwendung des Gelernten! Garching, im Oktober 2011
Die Autoren
