Einführung in das Risikomanagement

Kerngeschäftsprozesse StadtSolutions

Risikomanagementprozess

Assets bestimmen

Risiken identifizieren

Risiken analysieren

Risiken bewerten

Risiken behandeln

Verknüpfung zu Annex A

Kapitel 6.1.3 c) und d) der ISO 27001 möchten, dass wir die Annex A-Maßnahmen daraufhin untersuchen, ob sie Risiken mindern. Wir erklären hier, wie StadtSolutions das Thema angegangen ist.

Abschluss Risikomanagement

Statement of Applicability

Einleitung - Umsetzung Annex A

Dieses Kapitel erklärt, wie die Sicherheitsmaßnahmen aus Anhang A der ISO 27001-Norm umgesetzt werden. Es behandelt sowohl technische als auch organisatorische Wege, um diese Anforderungen zu erfüllen, und betont die Bedeutung der Zuweisung von Verantwortlichkeiten für diese Maßnahmen.

Verteilung auf Richtlinien

Dieses Kapitel erklärt, wie ein Unternehmen die Maßnahmen aus Anhang A der ISO 27001 durch technische oder organisatorische Mittel umsetzen kann. Es bietet ein Beispiel dafür, wie verschiedene Richtlinien und Verantwortlichkeiten in Bereichen wie Informationssicherheit, Entwicklung, Betrieb und Personalwesen strukturiert werden können, wobei die Flexibilität und Anpassungsfähigkeit an unterschiedliche organisatorische Bedürfnisse betont wird.

Richtlinie für alle Mitarbeiter

Diese Lektion behandelt die Umsetzung von Informationssicherheitsanforderungen für alle Mitarbeiter in einer Firma nach ISO 27001. Wichtige Themen sind der sichere Umgang mit mobilen Geräten, die "Clear Desk and Clear Screen" Richtlinie, Informationsklassifizierung, sichere Entsorgung von Dokumenten, und das Management von IT-Assets und privilegierten Zugangsrechten.

Richtlinie für den Informationssicherheitsbeauftragten (ISB)

In dieser Lektion wird die Richtlinie des Informationssicherheitsbeauftragten (ISB) behandelt. Die wichtigsten Aufgaben des ISB umfassen die Wartung des ISMS, Überprüfung von Rollen und Richtlinien, Trennung von Verantwortlichkeiten, Kontaktpflege mit Behörden sowie die Durchführung von Audits und Bedrohungsanalysen.

Richtlinie für Human Ressources (HR)

In dieser Einheit werden die Aufgaben der HR im Bereich der Informationssicherheit erklärt, einschließlich der Anforderungen gemäß ISO 27001 Anhang A. Sie lernen, wie HR relevante Kontakte verwaltet und wie der Joiner-Mover-Leaver-Prozess für neue, wechselnde und ausscheidende Mitarbeiter umgesetzt wird, einschließlich Verträgen und IT-Assets.

Richtlinie für die Betriebsleitung

In dieser Lektion lernen Sie die Richtlinie für die Betriebsleitung bezüglich Informationssicherheit kennen. Hauptaufgaben der Betriebsleitung sind der sichere Betrieb der IT-Infrastruktur und die Identifikation relevanter Normen und Gesetze. Zudem wird die Zusammenarbeit mit Behörden und Interessengruppen besprochen.

Richtlinie für die Entwicklungsleitung

Die Richtlinie behandelt die Verantwortlichkeiten der Entwicklungsleitung zur Sicherstellung der Informationssicherheit in der Softwareentwicklung. Dazu gehören die Verwaltung der IT-Infrastruktur, Regeln für sichere Softwareentwicklung, Trennung von Entwicklungs- und Produktivumgebungen sowie der Umgang mit Testdaten.

Richtlinie für die IT-Administratoren

Die Richtlinie für IT-Administratoren beschreibt Anforderungen an die sichere IT-Infrastruktur, einschließlich sicherer Endgeräte und Webfiltering. Es werden auch Themen wie sichere Entsorgung, Beschränkungen bei Softwareinstallationen und ein effektives Identity Management behandelt.

Richtlinie für Projektmanager

Diese Lektion beschreibt die Richtlinie für Projektmanager, mit dem Schwerpunkt auf Informationssicherheit. Die Themen umfassen unter anderem die Anpassung der Software an Kundenanforderungen, Sicherheitsanforderungen und -maßnahmen sowie die regelkonforme Nutzung von Softwarelizenzen.

Richtlinie für Office Management

In diesem Kapitel erfahren Sie die Anforderungen der Informationssicherheit im Office Management. Es geht um Aufgaben wie die Bereitstellung eines Schredders, die Sicherung physischer Bereiche und die Kontrolle der richtigen Platzierung von IT-Komponenten. Sie lernen, wie diese Aufgaben umgesetzt und überwacht werden sollten.

Richtlinie für Teamleiter

Die Richtlinie für Teamleiter behandelt wichtige Aspekte der Informationssicherheit, wie den Kontakt zu Behörden, die Nutzung von Hilfsprogrammen, die Regeln für neue und wechselnde Mitarbeiter und das Überwachen der Sicherheit im Team. Sie umfasst auch den Disziplinarprozess und das Kontinuierliche Monitoring, um sicherzustellen, dass gesetzliche, normative und vertragliche Vorgaben eingehalten werden.

Richtlinie für Sicherheitsbereiche

Diese Lektion erklärt die Bedeutung und Anforderungen von Sicherheitsbereichen gemäß ISO 27001. Es werden Beispiele und Regelungen vorgestellt, die Unternehmen verwenden können, um ihre eigenen Sicherheitsbereiche zu definieren und zu schützen. Schüler lernen, welche Überlegungen und Maßnahmen notwendig sind, um verschiedene Sicherheitsstufen in einem Unternehmen zu gewährleisten.

Richtlinie für sichere IT-Infrastrukturen

In dieser Lektion lernen Sie die wesentlichen Richtlinien für den sicheren Betrieb von IT-Infrastrukturen kennen. Es werden drei Haupttypen von IT-Infrastrukturen besprochen: Standard-Office-IT, Entwicklungs-IT und Produktiv-IT, sowie deren verantwortliche Rollen. Die Lektion behandelt zudem präventive Maßnahmen, die notwendig sind, um die Sicherheit der Daten zu gewährleisten.

Richtlinie für Asset- und Accessmanagement

Dieses Kapitel behandelt die Richtlinie für sicheres Asset- und Access-Management. Es legt fest, wie Informationswerte und Informationsträger verwaltet werden sollen und beschreibt Regeln für die Verantwortlichkeiten und den Zugriff auf Assets. Zusätzlich werden Verfahren für das Passwortmanagement und die Verwaltung von Zugriffsrechten erklärt.

Der neue Business Continuity Prozess in der Version 2022

In dieser Lektion lernen Sie den neuen Business Continuity Prozess der Version 2022 der ISO 27001 kennen. Sie erfahren, wie Sie die IT-Infrastruktur widerstandsfähig gegen verschiedene Ausnahmesituationen machen und wie Sie diesen Prozess durch gezielte Planung und Tests umsetzen können.

Der neue Supplier Management Prozess in der Version 2022

In dieser Lektion wird der Prozess des Lieferantenmanagements laut ISO 27001 detailliert erläutert. Dabei werden die Schritte der Lieferantenauswahl, -überprüfung und -bewertung erklärt. Es wird auch beschrieben, welche Dokumentationen erforderlich sind und wie regelmäßige Überprüfungen der Lieferanten stattfindet, um die Informationssicherheit zu gewährleisten.

Abschluss des Moduls zum Annex A

Diese Lektion fasst die wesentlichen Richtlinien und Anforderungen von Annex A zusammen und gibt Anweisungen zur Umsetzung in der eigenen Organisation. Es wird betont, wie wichtig es ist, die Richtlinien zu kommunizieren, umzusetzen und auf den Zertifizierungsaudit vorzubereiten.

Dokumentenlenkung

In diesem Kapitel lernen Sie die Anforderungen der ISO 27001 an die Dokumentenlenkung und wie die Firma Stadtsolutions diese umsetzt. Es wird erklärt, wie dokumentierte Informationen erstellt, gespeichert, freigegeben und versioniert werden sollten.

Dokumente in Confluence freigeben

In dieser Lektion lernen Sie, wie Sie Dokumente in Confluence freigeben. Sie erfahren, wie Sie Freigabeanfragen stellen und kommentieren, die Freigabeprozeduren durchführen und die Dokumente vom Entwurf in den freigegebenen Bereich verschieben.

Corrective Action, Preventive Action (CAPA)

In Teil 6 wird der CAPA-Prozess, eine Methode aus dem Qualitätsmanagement, erklärt, um Nichtkonformitäten zu identifizieren und zu beheben sowie präventive Maßnahmen zu ergreifen. Es werden Beispiele für Korrektur- und Präventivmaßnahmen gegeben und gezeigt, wie dokumentiert und analysiert wird. Außerdem wird beschrieben, wie Änderungen am Managementsystem vorgenommen werden können.

Einleitung

Prozessübersicht

Auditprogramm aufsetzen

Auditplan ableiten

Audit durchführen

Auditprogramm abschließen

Einleitung

Prozessübersicht

Leistungsmessung vorbereiten

GQM-Methode

Leistungsmessung durchführen

Einleitung

Prozessübersicht

Informationen zusammentragen

Managementreview vorbereiten

Managementreview durchführen

Entscheidungen treffen

Umsetzung monitoren

Einleitung

Prozessübersicht

Kompetenzaufbaumaßnahmen organisieren

Kompetenzaufbaumaßnahmen durchführen

Kompetenz aufbauen

Erfolg der Kompetenzaufbaumaßnahme bewerten

Kompetenzaufbaumaßnahmen dokumentieren

Seminarabschluss

Informationssicherheitsereignis und -vorfall

Diese Lektion behandelt Informationssicherheitsereignisse und -vorfälle gemäß ISO 27000 und wie man sie erkennt, meldet und damit umgeht, um größeren Schaden zu vermeiden. Sie lernen, wie man sofortige Maßnahmen ergreift und einen systematischen Prozess zur Bewältigung solcher Vorfälle implementiert.