CAS Information Security & Risk Management FHNW
Teil des CAS ist es, die Kurstage zusammenzufassen und allen Teilnehmenden zur Verfügung zu stellen. Nachfolgend ein Auszug hieraus
Summary: Tag 4 BSI Audit & Framework
von Patrick Antonetty
Kurze Zusammenfassung
Wir haben uns mit der aktuellen Bedrohungslage von Informations- systemen und der daraus abgeleiteten Notwendigkeit eines standardisierten und normierten ISMS auseinandergesetzt. Das BSI Framework haben wir dann im Detail angeschaut und jeweils die Verbindung zur ISO 2700X Familie und anderen Normen oder Vorgehensmodellen wie ITIL, COBIT, PCS DSS oder IS Revision hergestellt.
Begriffe und Definitionen: Standards und Normen
- ISO 2700X Familie : ISMS Framework der UNO
- BSI 100 Familie: ISMS Framework des Bundes (DE)
- COBIT: Framework für IT Governance (ISACA)
- PCI DSS: Standard für sichere Kreditkartentransaktionen
Verbindungen bestehen zu ISO 20000 (ITIL), zu IKS und Prozessen von IS- Audits und âEUR“Revisionen
Lessons Learned
- Ein ISMS ist ein ständiger Prozess von: Plan âEUR“ Do âEUR“ Check âEUR“ Act.
- Alle Mitarbeiter einer Organisation sind darin involviert.
- Das jeweils oberste Management trägt die Gesamtverantwortung.
- Die notwendigen Ressourcen müssen zur Verfügung stehen.
- Die BSI-100-X und ISO-2700X Standards sind zueinander kompatibel und können auf private wie auch öffentliche Organisationen jeglicher Grösse angewendet werden.
Weiterführende Ãoeberlegungen
Es existieren verschiedene Tools welche den Bau eines ISMS in stark strukturierter Form unterstützen (GS-Tool, verinice, Excel des ISB, Cobit etc.). Eine Prozessunterstützung für den laufenden Betrieb bieten diese aber nur wenig. Eine direkte Integration oder Verknüpfung mit einem prozessorientierten ITIL Tool oder IS Audit/Revision wäre interessant.
FHNW – Prof. Martina Dalla Vecchia FHNW
Links zum Thema des Tages
Documentation Toolkit ISO: www.iso27001standard.com
IT-Grundschutzkataloge BSI: www.bsi.de/gshb
Hilfsmittel und Vorlagen Bund (CH): www.isb.admin.ch
Lernplattform (IT-SiBe): www.lernplattform-bakoev.bund.de
—–
Weiterführende Links
CAS Information Security & Risk Management
Buch: Informationssicherheit für KMU, von Andreas Wisler