trarzh-TWenfrdeelitfarues

ISO 27001

Zertifikat des 27001-Informationssicherheits-Managementsystems

ISO 27001 Informationssicherheits-Managementsystem

Was sind Daten und Informationen?

Betrachten wir zunächst die grundlegenden Konzepte der Information. Rohdaten werden im einfachsten Sinne als Daten bezeichnet. Die verarbeitete Form der Daten ist Information. Die Daten oder Datenausdrücke sind numerische und logische Werte.

Die Hauptmerkmale von Informationen, die geschützt werden müssen, sind:

  • Vertraulichkeit von Informationen: Die Vertraulichkeit von Informationen wird von nicht autorisierten Personen, Organisationen, Organisationen und Prozessen als unzugänglich und unerklärlich bezeichnet.
  • Integrität des Wissens: Es bezieht sich auf die Wahrung der Genauigkeit, Integrität und einzigartigen Eigenschaften des Wissens.
  • Zugänglichkeit von Informationen: Es ist das Merkmal, dass Informationen nur von autorisierten Personen jederzeit abgerufen und verwendet werden können.

Informationen können auf verschiedene Arten klassifiziert werden. Grundsätzlich ist es jedoch möglich, wie folgt zu klassifizieren:

  • Vertrauliche Informationen sind für das Geschäft von entscheidender Bedeutung. Nur die Mitglieder des Managementteams können auf diese Informationen zugreifen. Der Zugriff, die Verwendung und der Austausch solcher Informationen durch unbefugte Personen ist für das Unternehmen unpraktisch. Kurz gesagt ist es wichtig, diese Informationen vertraulich zu behandeln.
  • Die im Unternehmen verfügbaren Informationen sind private Informationen, auf die nur die betroffenen Mitarbeiter zugreifen können. Informationen, auf die andere Mitarbeiter und Dritte als die Mitarbeiter der Einheit keinen Zugriff haben und die sie nicht sehen dürfen. Es ist wichtig, solche Informationen vertraulich zu behandeln.
  • Personenbezogene Daten sind die personenbezogenen Daten der Mitarbeiter. Es werden nur persönliche Studien im Zusammenhang mit geschäftlichen Aktivitäten erfasst. Das Speichern und Speichern von persönlichen Informationen, die für den Job nicht relevant sind, ist nicht korrekt. Es ist wichtig, dass auf persönliche Informationen zugegriffen werden kann.
  • Die dem Unternehmen zur Verfügung gestellten Informationen sind nur für Mitarbeiter bestimmt. Integrität und Zugänglichkeit sind für solche Informationen unerlässlich. Informationen, die zwischen Einheiten ausgetauscht werden, fallen in diese Klasse.

Was ist das ISO / IEC 27001-Informationssicherheits-Managementsystem?

Um die Sicherheit aller Arten von Informationen zu gewährleisten, wurde von der International Standards Organization (ISO) und der International Electrotechnical Commission (IEC) der Standard ISO / IEC 2005 Information Security Management System veröffentlicht.

Tatsächlich bildet die Geschichte dieses Standards den ersten Teil des BS 1995-Standards, der vom British Standards Institute in 7799 veröffentlicht wurde, und den zweiten Teil, der in 1998 veröffentlicht wurde. Diese Standards wurden gemeinsam in 1999 überarbeitet. Bis zum Jahr 2000 wurde der ISO / IEC 17799-Standard veröffentlicht. In 2002 wurde der BS 7799-2-Standard aktualisiert, und von 2005 wurden die folgenden Standards von der International Standards Organization herausgegeben:

  • ISO 7799: 2-Standard anstelle von BS 27001-2005
  • ISO 17799: 2000-Standard anstelle von ISO 27002: 2005-Standard

Diese beiden Standards wurden zuletzt in 2013 überarbeitet.

Diese Standardfamilie wurde vom Turkish Standards Institute in unserem Land wie folgt veröffentlicht:

  • TS EN ISO / IEC 27000 Informationstechnologie - Sicherheitstechniken - Informationssicherheits-Managementsysteme - Übersicht und Wörterbuch
  • TS EN ISO / IEC 27001 Informationstechnologie - Sicherheitstechniken - Informationssicherheits-Managementsysteme - Anforderungen
  • TS EN ISO / IEC 27002 Informationstechnologie - Sicherheitstechniken - Anwendungsgrundsätze für Informationssicherheitskontrollen
  • TS ISO / IEC 27003 Informationstechnologie - Sicherheitstechniken - Anwendungshandbuch für das Informationssicherheits-Managementsystem
  • ISO / IEC 27004 Informationstechnologie - Sicherheitstechniken - Informationssicherheitsmanagement - Messung
  • TS ISO / IEC 27005 Informationstechnologie - Sicherheitstechniken - Informationssicherheits-Risikomanagement
  • TS ISO / IEC 27006 Informationstechnologie - Sicherheitstechniken - Anforderungen an Organisationen, die die Prüfung und Zertifizierung von Informationssicherheits-Managementsystemen durchführen
  • TS ISO / IEC 27007 Informationstechnologie - Sicherheitstechniken - Leitfaden für die Prüfung von Informationssicherheits-Managementsystemen
  • TSE ISO / IEC EN 27008 Informationstechnologie - Sicherheitstechniken - Leitfaden für Informationssicherheitskontrollen für Prüfer

Was ist Risiko, Risikomanagement und Bedrohung?

Der in unserer Sprache aus dem Französischen gesetzte Risikosatz ist definiert als die Gefahr von Schäden. Risiko ist das Eintreten eines unerwarteten Ereignisses und dessen Beeinflussung. Daher wird Risiko als negative Situation, als Gefahr angesehen. Auf diese Weise werden Maßnahmen ergriffen, um sich vor den negativen Auswirkungen von Risiken zu schützen und Schäden zu vermeiden, indem verschiedene Möglichkeiten in Betracht gezogen werden. Die Methode, die diese Studien und Planungsaktivitäten umfasst, wird als Risikomanagement bezeichnet.

Unter Risikomanagement versteht man das Erkennen, Messen, Analysieren und Bewerten einer Reihe von Risikofaktoren sowie das Minimieren möglicher Verluste, um die Betriebsfähigkeit eines Unternehmens nicht zu beeinträchtigen und die Aktivitäten nicht zu beeinträchtigen. Es ist jedoch nicht möglich, das Risiko bei Risikomanagementaktivitäten vollständig zu eliminieren.

Die Hauptelemente einer Risikomanagement-Studie sind:

  • Ermittlung des Vermögens des Unternehmens mit Informationswert
  • Identifizierung interner und externer Gefahren, die das Geschäft gefährden
  • Erkennung von Schwachstellen und offenen Stellen, die das Geschäft gefährden
  • Ermittlung der Wahrscheinlichkeit der Risikoverwirklichung
  • Ermittlung der Auswirkungen von Risiken auf die Aktivitäten des Unternehmens und des Systems

Unter Asset verstehen wir alles, was Teil des Systems ist und einen Wert für das Unternehmen hat. Daher sind Vermögenswerte für das Unternehmen wertvoll und müssen geschützt werden.

Assets im Sinne der Informationstechnologie sind nicht nur Software und Hardware. Das Konzept des Seins umfasst Folgendes: Informationen aller Art, PCs, Drucker, Server und ähnliche Hardware, Betriebssysteme, entwickelte Anwendungen, Büroprogramme und ähnliche Software, Telefone, Kabel, Leitungsmodems, Schaltgeräte und alle anderen Kommunikationsgeräte , alle Dokumente, Dienstleistungen und natürlich das Ansehen und Image des Unternehmens auf dem Markt.

Risiken unterliegen in Risikomanagementstudien einer bestimmten Einstufung. Wenn beispielsweise der Vermögenswert in der Gruppe mit niedrigem Risiko beschädigt wird, wird das Informationssystem nicht stark beschädigt und das System funktioniert weiterhin. Diese Situation schadet dem Ruf des Unternehmens nicht. Das Informationssystem ist betroffen, wenn der Vermögenswert in der mittleren Risikogruppe beschädigt ist. Obwohl das System weiterhin funktioniert, muss das Asset noch eingerichtet werden. Diese Situation schadet dem Ruf des Unternehmens. Das Informationssystem ist stark betroffen, wenn der Vermögenswert in der Hochrisikogruppe beschädigt wird. Fast die Hälfte des Systems wird unbrauchbar. Damit das System funktioniert, muss das Asset ersetzt werden. Diese Situation beeinträchtigt den Ruf des Unternehmens erheblich. In der Gruppe mit sehr hohem Risiko wurde das Vorhandensein von Informationen stark beschädigt, und in diesem Fall wurde die Funktionsfähigkeit des Systems stark beeinträchtigt. Das Informationssystem ist nicht verfügbar. Diese Situation beeinträchtigt die Reputation des Unternehmens auf dem Markt sehr stark.

Eine Bedrohung ist das Potenzial einer Bedrohungsquelle, entweder absichtlich oder infolge eines Unfalls, eine Sicherheitsanfälligkeit im System auszunutzen und Vermögenswerte zu beschädigen. Zu den natürlichen Bedrohungen zählen Erdbeben, Erdrutsche, Überschwemmungen, Blitzeinschläge oder Stürme. Zu den Gefahren für die Umwelt zählen Luftverschmutzung, längere Stromausfälle und Undichtigkeiten. Bedrohungen durch Menschen werden bewusst oder unwissentlich von Menschen verursacht. Zum Beispiel das Eingeben falscher Daten in das System, Angriffe auf externe Netzwerke, das Installieren bösartiger Software auf dem System, das Stehlen von Benutzeranmeldeinformationen oder der Zugriff auf autorisierte Personen auf das System.

Die Offenheit für Informationssysteme ist eine Schwachstelle, ein Fehler oder eine Schwachstelle, die bei Systemsicherheitsverfahren, in der Praxis oder bei internen Audits auftritt und die Informationssicherheit verletzt. Diese Öffnungen alleine sind keine Gefahr. Ihre Verwirklichung muss bedroht sein.

Was ist der Umfang des ISO 27001 Information Security Management Systems?

Unternehmen erstellen im Rahmen ihrer Tätigkeiten bestimmte Informationen, unabhängig von der Branche oder Größe, in der sie tätig sind, und diese Informationen sind für jedes Unternehmen von Nutzen. Die Bemühungen zum Schutz von Informationen werden von Unternehmen zu Unternehmen unterschiedlich sein, im Allgemeinen umfasst das System jedoch die folgenden Hauptelemente:

  • Das Top-Management des Unternehmens sollte eine Richtlinie definiert und erläutert haben, die im Bereich der Informationssicherheit einzuhalten ist.
  • Die Informationsressourcen im Unternehmen sollten aufgelistet und nach Wichtigkeit geordnet werden.
  • Die Möglichkeit, dass Mitarbeiter Fehler machen, sollte vermieden werden.
  • Das Risiko eines Missbrauchs von Informationsgütern im Unternehmen sollte verringert werden.
  • Angriffe auf Informationsquellen und das Risiko der Verfälschung oder Veränderung von Informationen sollten verringert werden.
  • Betriebliche Computersysteme sollten ausreichend und zuverlässig sein.
  • Nur autorisierte Personen sollten Zugang zu den Informationen haben.
  • Im Falle einer Sicherheitsverletzung sollte je nach Art der Veranstaltung eine rechtzeitige und rasche Reaktion möglich sein.
  • Angriffe auf Informationen sollten die Hauptaktivitäten des Unternehmens nicht unterbrechen und in der Lage sein, sehr schnell zur normalen Umgebung zurückzukehren. Mit anderen Worten, die Kontinuität der Aktivitäten sollte gewährleistet sein.
  • Das Informationssicherheits-Managementsystem muss auf einem Niveau sein, das ausreicht, um die Verpflichtungen der gesetzlichen Vorschriften eines Unternehmens zu erfüllen.

Obwohl das ISO 27001-Informationssicherheits-Managementsystem nur als Informationstechnologieprojekt in Unternehmen wahrgenommen wird, handelt es sich tatsächlich um ein Informationssicherheitsprojekt, das das gesamte Unternehmen betrifft. Die Geschäftsleitung ist daher direkt für die Einrichtung und den Betrieb des ISO 27001-Standards verantwortlich. Heute wird das ISO 27001-Informationssicherheits-Managementsystem als Ganzes verwaltet, das alle Mitarbeiter, Führungskräfte, Informationssysteme und Geschäftsprozesse im Unternehmen umfasst.

Die Hauptziele des ISO 27001-Standards sind:

  • Um etwaige Sicherheitslücken in Bezug auf die Informationssicherheit zu identifizieren
  • Identifizieren von Risiken, die das Informationsvermögen bedrohen
  • Ermittlung der Prüfmethoden zur Gewährleistung der Sicherheit von gefährdeten Informationsressourcen
  • Sicherstellen, dass die erforderlichen Kontrollen durchgeführt werden, und mögliche Risiken auf einem akzeptablen Niveau halten
  • Gewährleistung der Kontinuität der Informationssicherheitskontrollen im Unternehmen

Was bringt das ISO 27001 Information Security Management System?

Der ISO 27001-Standard ermöglicht die Erstellung von Risikobewertungsmethoden, die Erstellung von Risikobewertungsberichten und die Erstellung von Risikoverarbeitungsplänen.

Im Laufe der Zeit kann sich die Art der Bedrohungen und Schwachstellen im System ändern. Oder aufgrund von Kontrollen, die gemäß dem angewendeten ISO 27001-Standard durchgeführt werden, können die Risiken verringert oder der Schweregrad verringert werden. Daher sind Risikoüberwachungsaktivitäten der Unternehmen wichtig. Unternehmen sind verpflichtet, innerhalb des von ihnen festgelegten Zeitraums Risikobewertungsstudien gemäß der anerkannten Methodik durchzuführen.

Die Informationssicherheitsrichtlinie gemäß dem ISO 27001-Standard sollte hauptsächlich Folgendes umfassen: physische Sicherheit und Umweltsicherheit, Gerätesicherheit, Betriebssystem- und Endbenutzersicherheit, Kennwortsicherheit sowie Server- und Systemsicherheit.

Das Thema physische Sicherheit und Umweltsicherheit bezieht sich auf die Verhinderung des unbefugten Zugriffs auf das System und den Schutz von Informationsressourcen gegen verschiedene Risiken. Die physische Sicherheit und die Umweltsicherheit werden heute immer wichtiger. Die Anwesenheit privater Sicherheitsteams am Eingang des Geschäftsgebäudes, die Speicherung wichtiger Informationsumgebungen und der Zugang zu diesen Umgebungen mit verschlüsselten Sicherheitssystemen sind Beispiele für solche Maßnahmen. Zum Schutz von Informationssystemen ist es üblich, kartengesteuerten Zugang und ähnliche physische Sicherheitssysteme zu installieren. Diese physische Grenzsicherheit wird auf der Grundlage der Sicherheitsanforderungen von Informationsressourcen und der Ergebnisse der Risikobewertung festgelegt. Umgebungen mit hochriskanten Informationen werden durch Authentifizierungskarten oder PIN-Schutz vor unbefugtem Zugriff geschützt. Darüber hinaus sollten physische Schutzmaßnahmen gegen Schäden ergriffen und angewendet werden, die durch Katastrophen wie Feuer, Überschwemmungen, Erdbeben, Explosionen oder soziale Unruhen verursacht wurden.

Bedeutung des ISO 27001 Information Security Management Systems

Informationssicherheit zielt darauf ab, die Kontinuität der Arbeit in Unternehmen zu gewährleisten, Verluste bei unvermeidbaren Gefahren zu minimieren und die Vertraulichkeit, Zugänglichkeit und Integrität der Ressourcen in allen Fällen zu schützen. Die Schaffung eines Vertrauensumfelds für den Schutz und die Vertraulichkeit von Informationen ist heute nicht nur bei seinen Mitarbeitern, sondern auch bei Geschäftspartnern, Aktionären und Kunden von strategischer Bedeutung für die Geschäftsführung.

Auf verschiedene Weise aufgetretene Sicherheitsprobleme stören nicht nur die Kontinuität der Aktivitäten, sondern führen auch zum Marktverlust, zu Wettbewerbsschwierigkeiten und zum Vertrauensverlust gegenüber Geschäftspartnern, Aktionären und Kunden. Die Kosten für die Wiederherstellung dieser Zahlen sind teurer als die Kosten für Maßnahmen, um deren Verlust zu vermeiden.

Informationen für Unternehmen sind wie andere kommerzielle Vermögenswerte von Wert und müssen daher geschützt werden. Informationen sind von großer Bedeutung, damit das Unternehmen seine Aktivitäten fortsetzen kann. Aus diesem Grund ist es wichtig, dass Informationsressourcen vertraulich behandelt werden, dass ihre Integrität erhalten bleibt und jederzeit verfügbar ist, kurz gesagt, die Informationssicherheit ist gewährleistet. Das ISO / IEC 27001-Informationssicherheits-Managementsystem ist das einzige internationale und überprüfbare System, das die Anforderungen der Unternehmen in dieser Richtung definiert.

Die ISO-27001-Norm ist insbesondere in Bereichen erforderlich, in denen die Verarbeitung und der Schutz von Informationen von größter Bedeutung sind, z. B. in den Bereichen Öffentlichkeit, Finanzen, Gesundheit und Informationstechnologie. Dieser Standard ist auch wichtig für Unternehmen, die Informationen für andere Personen und Organisationen verwalten. Auf diese Weise geben Unternehmen ihren Kunden die Gewissheit, dass ihre Informationen geschützt sind.

Das ISO 27001 Informationssicherheits-Managementsystem ist ein Managementsystem, das von Unternehmen mit dem Ziel eingerichtet wurde, Informationssicherheit zu gewährleisten, diesen Standard anzuwenden, die Anwendung zu überwachen, zu überprüfen, zu warten und kontinuierlich zu verbessern. In diesem Rahmen werden Risikoanalyse-Studien durchgeführt, um die Ressourcen des Unternehmens zu ermitteln und mögliche Risiken zu identifizieren. Risikobewertungsstudien sind der Vergleich des Risikos mit bestimmten Risikokriterien, um die Bedeutung des Risikos zu bestimmen.

Planung des 27001-Informationssicherheits-Managementsystems

Die Etablierung des ISO 27001-Standards im Unternehmen hängt von einer Reihe von Schritten ab. Es ist wie

  • Zunächst sollten Informationen über die Infrastruktur des Unternehmens gesammelt werden. Diese Informationen beziehen sich auf die Tätigkeitsbereiche des Unternehmens, die Art der geleisteten Arbeit, den Auftrag und die Niederlassung des Unternehmens.
  • Anschließend sollten die Schlüsselnamen festgelegt werden, die beim Einrichten des Systems verwendet werden. In dieser Phase sollten die Verantwortlichen für das Risikomanagement und der Zweck der Einrichtung des Systems festgelegt werden.
  • Dann sollte die Sicherheitslage des Unternehmens in der heutigen Situation ermittelt werden.
  • Anschließend sollten Informationen wie Standorte, Betriebsabläufe, Geschäftsfunktionen und Informationstechnologien gesammelt werden, die den Umfang des Systems bestimmen.
  • In dieser Phase sollten Ziel und Umfang des Managementsystems für Informationssicherheit nach ISO 27001 festgelegt und ein Arbeitsprogramm erstellt werden.
  • Schließlich sollten in der letzten Phase die für die Einrichtung des Systems und die Kontinuität des Systems erforderlichen Prozesse festgelegt werden.

Der Zyklus, der traditionell für alle Qualitätsmanagementsysteme gilt, ist auch hier der Fall:

  • Plan (Einrichtung eines Informationssicherheits-Managementsystems)
  • Übernehmen (Implementierung und Betrieb des Information Security Management Systems)
  • Überprüfung (Überwachung und Überprüfung des Informationssicherheits-Managementsystems)
  • Vorsichtsmaßnahmen treffen (Wartung und Verbesserung des Informationssicherheits-Managementsystems)

Mit der Einrichtung eines solchen Systems erhalten Unternehmen natürlich enorme Vorteile. Zum Beispiel,

  • Das Unternehmen erkennt das Bestehen und die Bedeutung aller Informationsaktiva an.
  • Es schützt die Informationsressourcen, indem es sie auf die angegebenen Steuerungs- und Schutzmethoden anwendet.
  • Auf diese Weise ist die Kontinuität der Arbeit gewährleistet. Wenn ein Risiko auftritt, wird verhindert, dass Aktivitäten unterbrochen werden.
  • Mit diesem System gewinnt das Unternehmen das Vertrauen der verbundenen Parteien, da es die Informationen der Zulieferunternehmen und Kunden schützt.
  • Der Schutz von Informationen ist nicht dem Zufall überlassen.
  • Das Unternehmen handelt bei der Bewertung seiner Kunden systematischer als seine Wettbewerber.
  • Die Motivation der Mitarbeiter im Geschäft steigt.
  • Da gesetzliche Regelungen gewährleistet sind, werden mögliche rechtliche Folgemaßnahmen verhindert.
  • Die Reputation des Unternehmens auf dem Markt steigt und das Unternehmen ist im Kampf gegen seine Konkurrenten einen Schritt voraus.

Das ISO 27001-Informationssicherheits-Managementsystem erfordert, dass alle Informationsressourcen im Unternehmen adressiert und bewertet werden und eine Risikoanalyse unter Berücksichtigung der Schwächen und Bedrohungen dieser Ressourcen durchgeführt wird. Um dies zu erreichen, sollte ein Unternehmen eine seiner Struktur entsprechende Risikomanagementmethode auswählen und eine Risikoplanung durchführen. Der Standard enthält Kontrollziele und Kontrollmethoden für die Risikoverarbeitung.

Gemäß dem ISO 27001-Standard müssen Unternehmen Risikomanagement- und Risikoverarbeitungspläne erstellen, Aufgaben und Verantwortlichkeiten identifizieren, Geschäftskontinuitätspläne erstellen, Notfallmanagementprozesse vorbereiten und Aufzeichnungen darüber während der Implementierung führen.

Unternehmen müssen auch eine Informationssicherheitsrichtlinie herausgeben, die alle diese Aktivitäten abdeckt. Alle Führungskräfte und Mitarbeiter sollten sich auch der Informationssicherheit und der Bedrohungen bewusst sein. Bei der Implementierung des Managementsystems für Informationssicherheit nach ISO 27001 sollten die ausgewählten Kontrollziele gemessen und die Eignung und Leistung der Kontrollen kontinuierlich überwacht werden. Dieser Prozess sollte ein lebendiger Prozess sein, Informationssicherheitsmanagement, aktive Unterstützung der Geschäftsleitung und Beteiligung aller Mitarbeiter sollten gewährleistet sein. Anfragende Unternehmen erhalten Beratung und fachkundige Unterstützung beim Risikomanagement, bei der Festlegung von Richtlinien, der Dokumentation von Sicherheitsprozessen sowie bei der Ermittlung und Implementierung geeigneter Kontrollmethoden.

Kurz gesagt, der ISO 27001-Standard ist ein System, das die vollständige Informationssicherheit definiert und beschreibt, wie Informationssicherheit als lebendiger Prozess gewährleistet werden kann. Die Schritte zum Einrichten dieses Systems können wie folgt beschrieben werden:

  • Klassifizierung von Informationsgütern
  • Bewertung von Informationsressourcen nach Kriterien der Vertraulichkeit, Integrität und Zugänglichkeit
  • Risikoanalyse
  • Festlegung der anzuwendenden Kontrollmethoden anhand der Ergebnisse der Risikoanalyse
  • Abschluss der Dokumentationsarbeiten
  • Anwendung bestimmter Kontrollmethoden
  • Durchführung von internen Auditstudien
  • Führen von Aufzeichnungen, die vom Standard vorgeschrieben sind
  • Durchführung von Management Review Meetings
  • Durchführung von Zertifizierungsstudien

Bedrohungen und Schwächen im Zusammenhang mit der elektronischen Kommunikation

Im Rahmen der einschlägigen gesetzlichen Bestimmungen gibt es einige Dinge, die Unternehmen tun sollten, um die Informationssicherheit zu gewährleisten:

  • Führen Sie Aufzeichnungen über die von Computern verwendeten IP-Protokolle
  • Führen Sie Aufzeichnungen darüber, welche Mitarbeiter IP-Adressen für die Vergangenheit haben
  • Führen Sie Protokolle über die Reisen der Mitarbeiter im Internet
  • Führen von E-Mail-Protokollaufzeichnungen, die von Mitarbeitern gesendet wurden
  • Führen Sie Aufzeichnungen über die Seiten im Internet, die Mitarbeiter verbracht haben, und wie lange sie in der Vergangenheit verbracht haben
  • Bieten Sie durch Filtern nach Inhalten eingeschränkten Zugriff auf das Internet
  • Gewährleistung der Integrität aller erhaltenen Aufzeichnungen und Nachweis, dass sie nicht verändert wurden

In diesem Rahmen sind die wichtigsten Bedrohungen für die elektronische Kommunikation der Mitarbeiter:

  • Mitarbeiter, die einen Bereich mit Sicherheitsbedenken ohne Genehmigung betreten oder vorhandene Berechtigungsgrenzen überschreiten
  • Mitarbeiter versuchen, die Vertraulichkeit, Integrität und Kontinuität von Daten ohne Autorisierung zu stören oder bestehende Autorisierungsgrenzen zu überschreiten, indem sie Informationen löschen, hinzufügen, ändern, verzögern, auf einem anderen Medium speichern oder weitergeben
  • Wir versuchen zu verhindern, dass die Hardware- und Softwarekomponenten ganz oder teilweise den Anforderungen entsprechen, die in Übereinstimmung mit den gesetzlichen Bestimmungen sowie in- und ausländischen Standards festgelegt wurden
  • Den Eindruck erwecken, dass die elektronische Kommunikation mit der richtigen Partei erfolgt, indem der Benutzer irregeführt wird
  • Überwachung der elektronischen Kommunikation mit illegalen Methoden
  • Behauptung, dass diese Informationen von einer anderen Partei durch Vorlage falscher Informationen oder durch Senden dieser falschen Informationen an eine andere Partei erhalten wurden
  • Die elektronische Kommunikationsinfrastruktur teilweise oder vollständig funktionsunfähig zu machen oder die Ressourcen für diese Infrastruktur auf eine Weise zu verbrauchen, die die Bereitstellung von Diensten verhindert

In der Zwischenzeit können einige Schwachstellen für die elektronische Kommunikation wie folgt aufgelistet werden:

  • Unvorhersehbare zukünftige Bedrohungen
  • Fehler beim Entwerfen eines Systems oder Protokolls
  • Probleme bei der Installation eines Systems oder Protokolls
  • Fehler durch Softwareentwickler
  • Benutzerfehler
  • Unzulänglichkeiten oder Mängel, die während der Nutzung des Systems auftreten

Standardstruktur des ISO 27001 Information Security Management Systems

Der ISO 27001-Standard wurde kürzlich in 2013 überarbeitet. In dieser Version lauten die Bestimmungen des Standards wie folgt:

  1. Anwendungsbereich
  2. Zitierte Normen und Dokumente
  3. Begriffe und Rezepte
  4. Der Kontext der Organisation
  • Organisation und Kontext verstehen
  • Verständnis der Bedürfnisse und Erwartungen der Interessenten
  • Festlegung des Umfangs des Informationssicherheits-Managementsystems
  • Informationssicherheits-Managementsystem
  1. Führung
  • Führung und Engagement
  • Politika
  • Unternehmensrollen, Verantwortlichkeiten und Befugnisse
  1. Planung
  • Aktivitäten zum Umgang mit Risiken und Chancen
  • Informationssicherheitsziele und Planung zur Erreichung dieser Ziele
  1. Hilfe
  • Ressourcen
  • Qualifikationen
  • Bewusstsein
  • Kontakt
  • Schriftliche Information
  1. Betriebs-
  • Betriebsplanung und -steuerung
  • Bewertung des Informationssicherheitsrisikos
  • Verarbeitung von Informationssicherheitsrisiken
  1. Leistungsbewertung
  • Überwachung, Messung, Analyse und Bewertung
  • Interne Revision
  • Managementbewertung
  1. Rehabilitation
  • Nichtkonformität und Abhilfemaßnahmen
  • Kontinuierliche Verbesserung

Zertifizierung des 27001-Informationssicherheits-Managementsystems

Nach der Einrichtung des ISO 27001-Informationssicherheits-Managementsystems möchten Unternehmen ein ISO 27001-Zertifikat erhalten, um diese Situation ihren Kunden, Wettbewerbern und verwandten offiziellen und privaten Organisationen nachzuweisen. Der Zweck der Installation dieses Systems sollte jedoch nicht nur darin bestehen, dieses Dokument zu haben. Andernfalls kann nicht erwartet werden, dass das System die oben beschriebenen Vorteile bietet.

Gemäß den während des Implementierungsprozesses festgelegten Kontrollmethoden, Schutz von Informationsressourcen, Kontrolle von Risiken, die Informationsressourcen bedrohen, Ergreifen von Maßnahmen zur Eliminierung oder Minderung von Risiken, Bewertung neuer Risiken, die im Laufe der Zeit auftreten, und Bewertung dieser Risiken, wenn Risiken bestehen, die nicht verhindert, aber akzeptiert werden können. Für diese sind Genehmigungen des Top-Managements erforderlich. Dieser Prozess wird so lange fortgesetzt, wie das Geschäft besteht.

Unternehmen, die die Anforderungen des ISO 27001-Standards erfüllen und das Informationssicherheits-Managementsystem implementieren, können jetzt ein ISO 27001-Zertifikat anfordern, indem sie sich an eine Zertifizierungsstelle wenden. An dieser Stelle ist es äußerst wichtig, dass die Zertifizierungsstelle von einer inländischen oder ausländischen Akkreditierungsstelle akkreditiert ist. Andernfalls können die zu erstellenden Berichte und Unterlagen keine Gültigkeit haben.

Die erste Stufe der Zertifizierungsarbeit erfolgt über die vorhandenen Dokumentationsarbeiten. In dieser Phase werden Informationssicherheitsrichtlinien, Risikobewertungsberichte, Risikomaßnahmenpläne, Konformitätserklärungen, Sicherheitsverfahren und Anwendungsanweisungen, die vom Unternehmen erstellt wurden, individuell behandelt. Wenn in diesen Dokumenten Abweichungen festgestellt werden, werden diese voraussichtlich abgeschlossen, bevor mit der zweiten Phase fortgefahren wird.

Nach Abschluss der ersten Phase ernennt die Zertifizierungsstelle einen oder mehrere Auditoren und leitet die Auditarbeiten im Arbeitsumfeld des Unternehmens ein. Bei diesen Vor-Ort-Audits wird beobachtet, ob die vom Unternehmen in Abhängigkeit vom Tätigkeitsbereich festgelegten Informationssicherheitskontrollen den Anforderungen des ISO 27001-Standards entsprechen. Nach Abschluss der Audits der zweiten Stufe erstellen die Auditoren einen Bericht und legen ihn der Zertifizierungsstelle vor.

Die Zertifizierungsstelle führt auf der Grundlage dieses Berichts Evaluierungsstudien durch und erstellt das ISO 27001-Zertifikat für das Informationssicherheits-Managementsystem, falls dies für angemessen erachtet wird, und liefert es an das Unternehmen. Die Gültigkeitsdauer des Zertifikats beträgt drei Jahre. Nach Erteilung dieses Dokuments werden jedoch ein- oder zweimal jährlich Zwischenprüfungen auf Ersuchen des Unternehmens durchgeführt. Nach drei Jahren müssen erneut Zertifizierungsstudien durchgeführt werden.

Bescheinigung

Das Unternehmen, das Audit-, Überwachungs- und Zertifizierungsdienstleistungen nach international anerkannten Standards erbringt, bietet auch regelmäßige Inspektions-, Prüf- und Kontrolldienstleistungen an.

Bize Ulaşın

Anschrift:

Hauptsitz Mh, Gencosman Cd, No 11
Gungoren - Istanbul

Telefon:

+90 (212) 702 40 00

Whatapp:

+90 (532) 281 01 42

Arama