ISO/IEC 27002

Titel:

ISO/IEC 27002 Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management

Herausgeber:

ISO

Veröffentlichung:

September 2008

Beschreibung:

Der Standard beschreibt Methoden und Verfahren zur Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems.

Die ISO/IEC 27002:2008 wurde aus dem britischen Standard BS 7799-1:1999 entwickelt.

Zu den beschriebenen Überwachungsbereichen gehört auch das Business Continuity Management (Abschnitt 14):

“In der gesamten Organisation sollte ein gelenkter Prozess zur Sicherstellung des Geschäftsbetriebs entwi-ckelt und aufrechterhalten werden, der die für die Sicherstellung des Geschäftsbetriebs (Business Continuity) erforderlichen Informationssicherheitsanforderungen in der Organisation behandelt.”

Wesentliche Elemente:

  • Verstehen der Risiken, denen die Organisation ausgesetzt ist, und deren Wahrscheinlichkeit und zeitliche Auswirkung, sowie eine Identifikation und Feststellung der Prioritäten kritischer Geschäftsprozesse;
  • Identifikation aller organisationseigenen Werte (Assets), die zu kritischen Geschäftsprozessen gehören;
  • Verstehen der Auswirkungen, die Informationssicherheitsvorfälle wahrscheinlich auf das Geschäft haben werden (es ist wichtig, dass Lösungen gefunden werden, die kleinere Auswirkungen genauso behandeln wie größere, die die Existenz derOrganisation bedrohen könnten) und Festlegung der Organisationsziele für informationsverarbeitende Anlagen;
  • Erwägung, eine geeignete Versicherung abzuschließen, die Teil des gesamten Prozesses zur Sicherstellung des Geschäftsbetriebs und auch Teil des betrieblichen Risikomanagements sein könnte;
  • Identifikation von zusätzlichen vorbeugenden und Schadensmildernden Maßnahmen und Überlegungen zu deren Umsetzung;
  • Identifikation von ausreichenden finanziellen, organisatorischen, technischen und umfeldbedingten Res-sourcen, um die identifizierten Informationssicherheitsanforderungen zu erfüllen;
  • Garantie der Sicherheit von Personen und des Schutzes von informationsverarbeitenden Einrichtungen und Anlagewerten der Organisation;
  • Formulierung und Dokumentation von Plänen zur Sicherstellung des Geschäftsbetriebs, die die Informa-tionssicherheitsanforderungen in Übereinstimmung mit der vereinbarten Strategie zur Sicherstellung des Geschäftsbetriebs behandeln;
  • regelmäßige Tests und Aktualisierungen der etablierten Pläne und Prozesse;
  • Sicherstellung, dass die Sicherstellung des Geschäftsbetriebs in die Prozesse und Strukturen der Orga-nisation integriert wird; die Verantwortung für die Koordination des Prozesses zur Sicherstellung des Ge-schäftsbetriebs sollte auf eine angemessene Ebene in der Organisation übertragen werden .

Zertifizierung:

Zertifizierung nach ISO/IEC 27001 möglich

Bezug:

ISO

ISO/IEC 27031:2011

Titel:

Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity

Herausgeber:

ISO (JTC 1/SC 27)

Veröffentlichung:

2011

Beschreibung:

Der Standard beschreibt den ITSCM-Lifecycle aufbauen auf dem BCM-Lifecycle

Abstract (JTC 1/SC 27):

ISO/IEC 27031:2011 describes the concepts and principles of information and comunication technology (ICT) readiness for business continuity, and provides a framework of methods and processes to identify and specify all aspects (such as performance criteria, design, and implementation) for improving an organization’s ICT readiness to ensure business continuity. It applies to any organization (private, governmental, and non-governmental, irrespective of size) developing its ICT readiness for business continuity program (IRBC), and requiring its ICT services/infrastructures to be ready to support business operations in the event of emerging events and incidents, and related disruptions, that could affect continuity (including security) of critical business functions. It also enables an organization to measure performance parameters that correlate to its IRBC in a consistent and recognized manner.

The scope of ISO/IEC 27031:2011 encompasses all events and incidents (including security related) that could have an impact on ICT infrastructure and systems. It includes and extends the practices of information security incident handling and management and ICT readiness planning and services.

Zertifizierung:

keine Zertifizierung

Bezug:

ISO

ISO/IEC TR 27015:2012

Information technology — Security techniques — Information security management guidelines for financial services

A new ISO/IEC technical report aims to provide additional support to the financial industry to set up an appropriate information security management system for the provisioning of their financial services while giving more confidence to their customers.

ISO/IEC TR 27015:2012 provides information security guidance complementing and in addition to information security controls defined in ISO/IEC 27002:2005 for initiating, implementing, maintaining, and improving information security within organizations providing financial services.

Bezug: ISO

ISO/PAS 22399:2007

Titel:

Societal security – Guidelines for incident preparedness and operational continuity management

Herausgeber:

ISO (TC 223)

Veröffentlichung:

Dezember 2007 – zurückgezogen am 25.11.2013 (withdrawn stage 95.99)

Beschreibung:

Guidance für Incident Management

1 Scope ………………………………………………………………………………………………………………………………….. 1

2 Normative references …………………………………………………………………………………………………………… 2

3 Terms and definitions…………………………………………………………………………………………………………… 2

4 General………………………………………………………………………………………………………………………………… 8

5 Policy ………………………………………………………………………………………………………………………………….. 9

5.1 Establishing the program …………………………………………………………………………………………………….. 9

5.2 Defining program scope ………………………………………………………………………………………………………. 9

5.3 Management leadershipand commitment …………………………………………………………………………… 10

5.4 Policy development ……………………………………………………………………………………………………………. 10

5.5 Policy review ……………………………………………………………………………………………………………………… 10

5.6 Organizational structure for implementation……………………………………………………………………….. 11

6 Planning …………………………………………………………………………………………………………………………….. 11

6.1 General………………………………………………………………………………………………………………………………. 11

6.2 Legal and other requirements …………………………………………………………………………………………….. 11

6.3 Risk assessment and impact analysis …………………………………………………………………………………12

6.4 Hazard, risk, and threat identification………………………………………………………………………………….. 12

6.5 Risk assessment………………………………………………………………………………………………………………… 12

6.6 Impact analysis ………………………………………………………………………………………………………………….. 12

6.7 Incident preparedness and operational continuity management programs ………………………….. 13

7 Implementation and operation ……………………………………………………………………………………………. 17

7.1 Resources, roles, responsibility and authority ……………………………………………………………………. 17

7.2 Building and embedding IPOCM in the organization’s culture ……………………………………………… 17

7.3 Competence, training and awareness ………………………………………………………………………………….18

7.4 Communications and warning ……………………………………………………………………………………………. 18

7.5 Operational control…………………………………………………………………………………………………………….. 19

7.6 Finance and administration………………………………………………………………………………………………… 20

8 Performance assessment …………………………………………………………………………………………………… 20

8.1 System evaluation ……………………………………………………………………………………………………………… 20

8.2 Performance measurement and monitoring ………………………………………………………………………… 20

8.3 Testing and exercises ………………………………………………………………………………………………………… 21

8.4 Corrective and preventive action ………………………………………………………………………………………… 21

8.5 Maintenance ………………………………………………………………………………………………………………………. 22

8.6 Internal audits and self assessment ……………………………………………………………………………………. 22

9 Management review……………………………………………………………………………………………………………. 23

Annex A(informative) Impact analysis procedure……………………………………………………………………………. 24

Annex B(informative) Emergency response management program…………………………………………………. 26

Annex C(informative) Continuity management program …………………………………………………………………. 28

Annex D(informative) Building an incident preparedness and operational continuity culture…………… 30

Zertifizierung:

keine Zertifizierung des BCM nach ISO 22399 möglich

Bezug:

ISO

ISO/TR 31004:2013

Titel:

Risk management — Guidance for the implementation of ISO 31000

Inhalt:

ISO/TR 31004:2013 provides guidance for organizations on managing risk effectively by implementing ISO 31000:2009. It provides:

  • a structured approach for organizations to transition their risk management arrangements in order to be consistent with ISO 31000, in a manner tailored to the characteristics of the organization;
  • an explanation of the underlying concepts of ISO 31000;
  • guidance on aspects of the principles and risk management framework that are described in ISO 31000.

ISO/TR 31004:2013 can be used by any public, private or community enterprise, association, group or individual.

ISO/TR 31004:2013 is not specific to any industry or sector, or to any particular type of risk, and can be applied to all activities and to all parts of organizations.

Bezug:

ISO

ISO/TS 22317:2015

Titel:

Societal security — Business continuity management systems — Guidelines for business impact analysis (BIA)

Herausgeber:

ISO (ISO/TC 292 Security and resilience)

Veröffentlichung:

15.09.2015

Beschreibung:

ISO-Standard zur Durchführung einer Business Impact Analyse

Abstract:

ISO/TS 22317:2015 provides guidance for an organization to establish, implement, and maintain a formal and documented business impact analysis (BIA) process. This Technical Specification does not prescribe a uniform process for performing a BIA, but will assist an organization to design a BIA process that is appropriate to its needs.

ISO/TS 22317:2015 is applicable to all organizations regardless of type, size, and nature, whether in the private, public, or not-for-profit sectors. The guidance can be adapted to the needs, objectives, resources, and constraints of the organization.

It is intended for use by those responsible for the BIA process.

Zertifizierung:

Zertifizierung des BCM nach ISO 22301 möglich

Bezug:

ISO

ISO/TS 22330:2018 Security and resilience — Business continuity management systems — Guidelines for people aspects of business continuity

This document gives guidelines for the planning and development of policies, strategies and procedures for the preparation and management of people affected by an incident.
This includes:
  • preparation through awareness, analysis of needs, and learning and development;
  • coping with the immediate effects of the incident (respond);
  • managing people during the period of disruption (recover);
  • continuing to support the workforce after returning to business as usual (restore).
The management of people relating to civil emergencies or other societal disruption is out of the scope of this document.
Quelle: ISO 22330:2018

IT-Sicherheitsgesetz

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). Das Gesetz wurde am Freitag 12. Juni 2015 verabschiedet. Rechtsverordnungen legen fest, wer als Betreiber kritischer Infrastrukturen gilt und den Anforderungen des Gesetzes unterliegt. Zu den Anforderungen zählen die Herstellung eines Mindestniveaus an IT-Sicherheit nach Branchen-Standards, Nachweise mittels Zertifizierungen hierüber sowie eine Meldepflicht bei Störungen. Ein Verstoß gegen das Gesetz ist mit Bußgeldern bis 100.000 Euro bewehrt.

Das IT-Sicherheitsgesetz ist ein Artikelgesetz, das andere Gesetze ändert und ergänzt. In erster Linie betrifft dies das BSI-Gesetz.

“Um Defiziten im Bereich der IT-Sicherheit insbesondere auch außerhalb der Bundesverwaltung wirksam zu begegnen, wurde das BSI mit neuen Aufgaben und Befugnissen ausgestattet:

  • Nach § 8a BSIG Betreiber Kritischer Infrastrukturen, müssen die Einhaltung von IT-Sicherheit nach dem Stand der Technik regelmäßig gegenüber dem BSI nachweisen. Sofern Sicherheitsmängel aufgedeckt werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen.
  • Das BSI wird nach § 8b BSIG die zentrale Meldestelle für die IT-Sicherheit Kritischer Infrastrukturen. Diese müssen dem BSI erhebliche Störungen ihrer IT melden, sofern sie Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können. Umgekehrt hat das BSI sämtliche für Abwehr von Angriffen auf die IT-Sicherheit Kritischer Infrastrukturen relevanten Informationen zu sammeln, zu bewerten und an die Betreiber sowie die zuständigen (Aufsichts-)Behörden weiterzuleiten.
  • Sofern bei einem Betreiber Kritischer Infrastrukturen meldepflichtige Störungen der IT auftreten, darf das BSI erforderlichenfalls auch die Hersteller der entsprechenden IT-Produkte und -systeme gemäß § 8b BSIG zur Mitwirkung verpflichten.
  • Dem BSI wird die Befugnis eingeräumt, zur Wahrnehmung seiner Aufgaben nach § 3 Abs. 1 S. 2 Nr. 1, 14 und 17 BSIG, IT-Produkte auf ihre Sicherheit hin zu untersuchen.
  • Die Befugnis des BSI aus § 5 BSIG zur Analyse von Schnittstellen- und Protokolldaten in den Netzen der Bundesverwaltung wird dahingehend erweitert, dass die Bundesbehörden das BSI nunmehr bei dieser Tätigkeit unterstützen müssen.
  • Zur Stärkung der IT-Sicherheit der Bundesverwaltung wird das BSI verpflichtet, Mindeststandards für die IT der Bundesverwaltung zu erarbeiten. Die Möglichkeit des BMI, diese Mindeststandards für alle Behörden als verbindlich zu erklären, wird erleichtert, da nur noch das Benehmen (statt des Einvernehmens) mit dem IT-Rat hergestellt werden muss.”

Die Erstellung der Rechtsverordnungen zur Umsetzung des IT-Sicherheitsgesetzes erfolgt in 2016 in zwei Losen:

Los 1: Energie, IT + TK, Ernährung, Wasser im 1. Qrt. 2016

Los 2: Finanzen, Transport + Verkehr, Gesundheit im 4. Qrt. 2016.