ISO/TS 22330:2018 Security and resilience — Business continuity management systems — Guidelines for people aspects of business continuity

This document gives guidelines for the planning and development of policies, strategies and procedures for the preparation and management of people affected by an incident.
This includes:
  • preparation through awareness, analysis of needs, and learning and development;
  • coping with the immediate effects of the incident (respond);
  • managing people during the period of disruption (recover);
  • continuing to support the workforce after returning to business as usual (restore).
The management of people relating to civil emergencies or other societal disruption is out of the scope of this document.
Quelle: ISO 22330:2018

ISO 44001:2017 Collaborative business relationship management systems — Requirements and framework

ISO 44001:2017 specifies requirements for the effective identification, development and management of collaborative business relationships within or between organizations.

ISO 44001:2017 is applicable to private and public organizations of all sizes, from large multinational corporations and government organizations, to non-profit organizations and micro/small businesses.

Application of ISO 44001:2017 can be on several different levels, e.g.

· a single application (including operating unit, operating division, single project or programme, mergers and acquisitions);

· an individual relationship (including one-to-one relationships, alliance, partnership, business customers, joint venture);

· multiple identified relationships (including multiple partner alliances, consortia, joint ventures, networks, extended enterprise arrangements and end-to-end supply chains);

· full application organization-wide for all identified relationship types.

Quelle: ISO

ISO/TS 22317:2015

Titel:

Societal security — Business continuity management systems — Guidelines for business impact analysis (BIA)

Herausgeber:

ISO (ISO/TC 292 Security and resilience)

Veröffentlichung:

15.09.2015

Beschreibung:

ISO-Standard zur DurchfĂŒhrung einer Business Impact Analyse

Abstract:

ISO/TS 22317:2015 provides guidance for an organization to establish, implement, and maintain a formal and documented business impact analysis (BIA) process. This Technical Specification does not prescribe a uniform process for performing a BIA, but will assist an organization to design a BIA process that is appropriate to its needs.

ISO/TS 22317:2015 is applicable to all organizations regardless of type, size, and nature, whether in the private, public, or not-for-profit sectors. The guidance can be adapted to the needs, objectives, resources, and constraints of the organization.

It is intended for use by those responsible for the BIA process.

Zertifizierung:

Zertifizierung des BCM nach ISO 22301 möglich

Bezug:

ISO

IT-Sicherheitsgesetz

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). Das Gesetz wurde am Freitag 12. Juni 2015 verabschiedet. Rechtsverordnungen legen fest, wer als Betreiber kritischer Infrastrukturen gilt und den Anforderungen des Gesetzes unterliegt. Zu den Anforderungen zĂ€hlen die Herstellung eines Mindestniveaus an IT-Sicherheit nach Branchen-Standards, Nachweise mittels Zertifizierungen hierĂŒber sowie eine Meldepflicht bei Störungen. Ein Verstoß gegen das Gesetz ist mit Bußgeldern bis 100.000 Euro bewehrt.

Das IT-Sicherheitsgesetz ist ein Artikelgesetz, das andere Gesetze Àndert und ergÀnzt. In erster Linie betrifft dies das BSI-Gesetz.

“Um Defiziten im Bereich der IT-Sicherheit insbesondere auch außerhalb der Bundesverwaltung wirksam zu begegnen, wurde das BSI mit neuen Aufgaben und Befugnissen ausgestattet:

  • Nach § 8a BSIG Betreiber Kritischer Infrastrukturen, mĂŒssen die Einhaltung von IT-Sicherheit nach dem Stand der Technik regelmĂ€ĂŸig gegenĂŒber dem BSI nachweisen. Sofern SicherheitsmĂ€ngel aufgedeckt werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen.
  • Das BSI wird nach § 8b BSIG die zentrale Meldestelle fĂŒr die IT-Sicherheit Kritischer Infrastrukturen. Diese mĂŒssen dem BSI erhebliche Störungen ihrer IT melden, sofern sie Auswirkungen auf die VerfĂŒgbarkeit kritischer Dienstleistungen haben können. Umgekehrt hat das BSI sĂ€mtliche fĂŒr Abwehr von Angriffen auf die IT-Sicherheit Kritischer Infrastrukturen relevanten Informationen zu sammeln, zu bewerten und an die Betreiber sowie die zustĂ€ndigen (Aufsichts-)Behörden weiterzuleiten.
  • Sofern bei einem Betreiber Kritischer Infrastrukturen meldepflichtige Störungen der IT auftreten, darf das BSI erforderlichenfalls auch die Hersteller der entsprechenden IT-Produkte und -systeme gemĂ€ĂŸ § 8b BSIG zur Mitwirkung verpflichten.
  • Dem BSI wird die Befugnis eingerĂ€umt, zur Wahrnehmung seiner Aufgaben nach § 3 Abs. 1 S. 2 Nr. 1, 14 und 17 BSIG, IT-Produkte auf ihre Sicherheit hin zu untersuchen.
  • Die Befugnis des BSI aus § 5 BSIG zur Analyse von Schnittstellen- und Protokolldaten in den Netzen der Bundesverwaltung wird dahingehend erweitert, dass die Bundesbehörden das BSI nunmehr bei dieser TĂ€tigkeit unterstĂŒtzen mĂŒssen.
  • Zur StĂ€rkung der IT-Sicherheit der Bundesverwaltung wird das BSI verpflichtet, Mindeststandards fĂŒr die IT der Bundesverwaltung zu erarbeiten. Die Möglichkeit des BMI, diese Mindeststandards fĂŒr alle Behörden als verbindlich zu erklĂ€ren, wird erleichtert, da nur noch das Benehmen (statt des Einvernehmens) mit dem IT-Rat hergestellt werden muss.”

Die Erstellung der Rechtsverordnungen zur Umsetzung des IT-Sicherheitsgesetzes erfolgt in 2016 in zwei Losen:

Los 1: Energie, IT + TK, ErnÀhrung, Wasser im 1. Qrt. 2016

Los 2: Finanzen, Transport + Verkehr, Gesundheit im 4. Qrt. 2016.

 

ISO 28000:2007-9

Specification for security management systems for the supply chain

Foreword ……………………………………………………………………………………iv

Introduction …………………………………………………………………………………v

1 Scope ……………………………………………………………………………………..1

2 Normative references ………………………………………………………………………..1

3 Terms and definitions ……………………………………………………………………….1

4 Security management system elements …………………………………………………………..3
4.1 General requirements ………………………………………………………………………3
4.2 Security management policy …………………………………………………………………4
4.3 Security risk assessment and planning ……………………………………………………….4
4.4 Implementation and operation ……………………………………………………………….7
4.5 Checking and corrective action …………………………………………………………….10
4.6 Management review and continual improvement …………………………………………………12

ISO 9001:2000 ……………………………………………………………………………….13

Bibliography ………………………………………………………………………………..16

ISO/TR 31004:2013

Titel:

Risk management — Guidance for the implementation of ISO 31000

Inhalt:

ISO/TR 31004:2013 provides guidance for organizations on managing risk effectively by implementing ISO 31000:2009. It provides:

  • a structured approach for organizations to transition their risk management arrangements in order to be consistent with ISO 31000, in a manner tailored to the characteristics of the organization;
  • an explanation of the underlying concepts of ISO 31000;
  • guidance on aspects of the principles and risk management framework that are described in ISO 31000.

ISO/TR 31004:2013 can be used by any public, private or community enterprise, association, group or individual.

ISO/TR 31004:2013 is not specific to any industry or sector, or to any particular type of risk, and can be applied to all activities and to all parts of organizations.

Bezug:

ISO

ISO 27014:2013

Titel:

ISO/IEC 27014:2013

Information technology — Security techniques — Governance of information security

Beschreibung:

ISO/IEC 27014:2013 provides guidance on concepts and principles for the governance of information security, by which organizations can evaluate, direct, monitor and communicate the information security related activities within the organization.

ISO/IEC 27014:2013 is applicable to all types and sizes of organizations

Bezug:

ISO

ISO/IEC TR 27015:2012

Information technology — Security techniques — Information security management guidelines for financial services

A new ISO/IEC technical report aims to provide additional support to the financial industry to set up an appropriate information security management system for the provisioning of their financial services while giving more confidence to their customers.

ISO/IEC TR 27015:2012 provides information security guidance complementing and in addition to information security controls defined in ISO/IEC 27002:2005 for initiating, implementing, maintaining, and improving information security within organizations providing financial services.

Bezug: ISO

ISO 27005

Titel:

ISO 27005:2011  Information technology — Security techniques — Information security risk management

Herausgeber:

ISO

Veröffentlichung:

Juni 2008, Revision 2011

Beschreibung:

ISO 27005 gibt Guidelines fĂŒr das Risikomanagement in der Informationssicherheit und konkretisiert die Anforderungen des ISO 27001 an den Risk Management-Prozess.

“ISO/IEC 27005:2011 provides guidelines for information security risk management.

It supports the general concepts specified in ISO/IEC 27001 and is designed to assist the satisfactory implementation of information security based on a risk management approach.

Knowledge of the concepts, models, processes and terminologies described in ISO/IEC 27001 and ISO/IEC 27002 is important for a complete understanding of ISO/IEC 27005:2011.

ISO/IEC 27005:2011 is applicable to all types of organizations (e.g. commercial enterprises, government agencies, non-profit organizations) which intend to manage risks that could compromise the organization’s information security.”

Zertifizierung:

Zertifizierung nach ISO 27001

Bezug:

ISO

ISO/IEC 27002

Titel:

ISO/IEC 27002 Sicherheitsverfahren – Leitfaden fĂŒr das Informationssicherheits-Management

Herausgeber:

ISO

Veröffentlichung:

September 2008

Beschreibung:

Der Standard beschreibt Methoden und Verfahren zur Herstellung, EinfĂŒhrung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems.

Die ISO/IEC 27002:2008 wurde aus dem britischen Standard BS 7799-1:1999 entwickelt.

Zu den beschriebenen Überwachungsbereichen gehört auch das Business Continuity Management (Abschnitt 14):

“In der gesamten Organisation sollte ein gelenkter Prozess zur Sicherstellung des GeschĂ€ftsbetriebs entwi-ckelt und aufrechterhalten werden, der die fĂŒr die Sicherstellung des GeschĂ€ftsbetriebs (Business Continuity) erforderlichen Informationssicherheitsanforderungen in der Organisation behandelt.”

Wesentliche Elemente:

  • Verstehen der Risiken, denen die Organisation ausgesetzt ist, und deren Wahrscheinlichkeit und zeitliche Auswirkung, sowie eine Identifikation und Feststellung der PrioritĂ€ten kritischer GeschĂ€ftsprozesse;
  • Identifikation aller organisationseigenen Werte (Assets), die zu kritischen GeschĂ€ftsprozessen gehören;
  • Verstehen der Auswirkungen, die InformationssicherheitsvorfĂ€lle wahrscheinlich auf das GeschĂ€ft haben werden (es ist wichtig, dass Lösungen gefunden werden, die kleinere Auswirkungen genauso behandeln wie grĂ¶ĂŸere, die die Existenz derOrganisation bedrohen könnten) und Festlegung der Organisationsziele fĂŒr informationsverarbeitende Anlagen;
  • ErwĂ€gung, eine geeignete Versicherung abzuschließen, die Teil des gesamten Prozesses zur Sicherstellung des GeschĂ€ftsbetriebs und auch Teil des betrieblichen Risikomanagements sein könnte;
  • Identifikation von zusĂ€tzlichen vorbeugenden und Schadensmildernden Maßnahmen und Überlegungen zu deren Umsetzung;
  • Identifikation von ausreichenden finanziellen, organisatorischen, technischen und umfeldbedingten Res-sourcen, um die identifizierten Informationssicherheitsanforderungen zu erfĂŒllen;
  • Garantie der Sicherheit von Personen und des Schutzes von informationsverarbeitenden Einrichtungen und Anlagewerten der Organisation;
  • Formulierung und Dokumentation von PlĂ€nen zur Sicherstellung des GeschĂ€ftsbetriebs, die die Informa-tionssicherheitsanforderungen in Übereinstimmung mit der vereinbarten Strategie zur Sicherstellung des GeschĂ€ftsbetriebs behandeln;
  • regelmĂ€ĂŸige Tests und Aktualisierungen der etablierten PlĂ€ne und Prozesse;
  • Sicherstellung, dass die Sicherstellung des GeschĂ€ftsbetriebs in die Prozesse und Strukturen der Orga-nisation integriert wird; die Verantwortung fĂŒr die Koordination des Prozesses zur Sicherstellung des Ge-schĂ€ftsbetriebs sollte auf eine angemessene Ebene in der Organisation ĂŒbertragen werden .

Zertifizierung:

Zertifizierung nach ISO/IEC 27001 möglich

Bezug:

ISO

ISO/IEC 27001

Titel:

ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements

Herausgeber:

ISO

Veröffentlichung:

erstmals 2005, letzte Ausgabe 2008

Beschreibung:

Der Standard definiert die Anforderungen fĂŒr Herstellung, EinfĂŒhrung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems.

Die ISO/IEC 27001:2005 wurde aus dem britischen Standard BS 7799-2:2002 entwickelt.

Zu den explizit genannten Anforderungen gehört auch das Business Continuity Management (Abschnitt A.14).

Anforderungen:

  • Including information security in the business continuity management process
  • Business continuity and risk assessment
  • Developing and implementing continuity plans including information security
  • Business continuity planning framework
  • Testing, maintaining and re-assessing business continuity plans

Zu den genannten Anforderungen sind jeweils controls definert.

Zertifizierung:

Zertifizierung nach ISO/IEC 27001 möglich

Bezug:

ISO