Block 3 - IT Security Management I - Teil 3-Karteikarten | Quizlet

Wofür steht "PDCA"?

- Plan

- Do

- Check

- Act

Wozu dient der PDCA-Cycle?

Er ermutigt Organisationen, ihre Informationssicherheitspraktiken kontinuierlich zu bewerten und zu verbessern. Regelmäßige Audits und Überprüfungen sorgen dafür, dass das ISMS wirksam und relevant bleibt.

Nenne die 3 Ebenen der Reglement, Standard und Prozedur Pyramide

Von unten nach oben:

- Implementierung, Prozesse und Prozeduren

- Standards und Richtlinien

- Reglemente

Was sind Reglemente?

Grundsätze der Informationssicherheit, Rechtsgrundlage

Was sind Eigenschaften von Reglementen?

- breiter Geltungsbereich

- begrenzte Details

- ändert sich nicht oft

Was definieren die Reglemente?

Das "warum".

Was sind Standards und Richtlinien?

Anforderungen an die Umsetzung der Informationssicherheit

Was sind Eigenschaften von Standards und Richtlinien?

- detaillierter

- ändern sich häufiger

Was definieren die Standards und Richtlinien?

Das "was".

Was sind Implementierung, Prozesse und Prozeduren?

Die Basis für die tagtägliche Arbeit.

Was sind Eigenschaften von Implementierung, Prozesse und Prozeduren?

- sehr detailliert

- kann sich sehr oft ändern

Was definieren die Implementierung, Prozesse und Prozeduren?

Das "wie".

Was sind Informationssicherheitsrichtlinien?

Dokumentierte, von der Geschäftsleitung genehmigte Erklärungen, die festlegen, wie eine Organisation ihre Informationsbestände vor Bedrohungen und Schwachstellen schützen will.

Wofür sind Informationssicherheitsrichtlinien?

Sie legen die Ziele und Grundsätze der Informationssicherheit sowie den Gesamtansatz für Risikomanagement und Compliance fest.

Was sind Richtlinien?

Eine Reihe von Anforderungen, die von der Geschäftsleitung erwartet werden und die durch bestimmte Verfahren umgesetzt werden sollen. Richtlinien und Verfahren sind im Allgemeinen getrennte Dokumente, wobei die Verfahren beschreiben, wie eine Organisation ihre Daten verwaltet, um die Richtlinien zu erfüllen.

Welche Zwecke haben Richtlinien?

- Eine klare und präzise Richtung für das Informationssicherheitsmanagement zu geben.

- Gewährleistung von Konsistenz und Kohärenz bei der Umsetzung von Sicherheitsmaßnahmen.

- Kommunikation des Engagements der Organisation für die Informationssicherheit an alle Beteiligten.

- Einhaltung von gesetzlichen, behördlichen und vertraglichen Verpflichtungen.

Woraus besteht die "ISO 27000 Family of Standards"?

Sie besteht aus einer Reihe von Leitlinien und bewährten Verfahren, die Organisationen bei der Verwaltung der Informationssicherheit helfen sollen.

Von web wurde ISO 27000 entwickelt?

ISO und IEC

Wofür steht "IEC"?

International Electrotechnical Commission

Was legt ISO 27000 fest?

Die Standards, die ein ISMS erfüllen muss.

Was umfasst ISO 27000?

Überblick und Vokabular der ISO 27000 Familie.

Was ist der Zweck von ISO 27000?

- Standardisierung der Terminologie

- Grundlage für ISMS

- ISMS-Normenfamilie

Was umfasst ISO 27001?

Anforderungen an die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems (ISMS).

Was ist der Zweck von ISO 27001?

Bereitstellung von Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und ständige Verbesserung eines ISMS.

Was umfasst ISO 27002?

Verhaltenskodex für Informationssicherheitskontrollen, der bewährte Verfahren für die Implementierung von Sicherheitskontrollen enthält.

Was ist der Zweck von ISO 27002?

Bereitstellung von Richtlinien für die Auswahl, die Implementierung und das Management von Kontrollen unter Berücksichtigung der Risikolandschaft der Organisation im Bereich der Informationssicherheit.

Was umfasst ISO 27005?

Leitlinien für das Risikomanagement der Informationssicherheit.

Was umfasst ISO 27017?

Leitlinien für Informationssicherheitskontrollen für die Bereitstellung und Nutzung von Cloud-Diensten.

Was umfasst ISO 27018?

Richtlinien für den Schutz von personenbezogenen Daten in der Cloud.

Was umfasst ISO 27035?

Richtlinien für das Incident Management

Nenne 5 Gründe, warum ein ISO-Zertifikat nützlich ist

- verbesserte Informationssicherheit

- Vertrauen und Zuversicht der Kunden

- Sicherheit für Stakeholder

- Kosteneinsparungen

- Sensibilisierung und Verantwortung der Mitarbeiter

Nenne die 3 Prozessschritte zur ISO 27001-Zertifizierung

1. Dokumentenprüfung

2. Hauptprüfung

3. Überwachungsaudit

Was ist der Zweck der Dokumentenprüfung bei der ISO 27001-Zertifizierung?

Das Hauptziel des Audits der Stufe 1 besteht darin, die ISMS-Dokumentation der Organisation zu überprüfen, um sicherzustellen, dass sie die Anforderungen der ISO/IEC 27001 erfüllt.

Was ist der Zweck der Hauptprüfung bei der ISO 27001-Zertifizierung?

Das Audit der Stufe 2 zielt darauf ab, die Umsetzung und Wirksamkeit des ISMS in der Praxis zu bewerten.

Was ist der Zweck des Überwachungsaudits bei der ISO 27001-Zertifizierung?

Nach der Zertifizierung werden in regelmäßigen Abständen (i. d. R. jährlich) Überwachungsaudits durchgeführt, um die kontinuierliche Einhaltung und Wirksamkeit des ISMS sicherzustellen.