Der Einsatz moderner Informationstechnologie stellt einen essenziellen Aspekt in der heutigen Unternehmensstruktur dar. Als fester Bestandteil der Wettbewerbsfähigkeit ist es effektiv, diesen modern und sicher zu halten. Eine moderne IT-Umgebung zieht jedoch ein adäquates Maß an IT-Sicherheit nach sich. Da eine vollständige Sicherheit jedoch nicht garantiert werden kann, gilt es umfassende Schutzmaßnahmen in Form eines unternehmensweiten Informationssicherheitsmanagementsystems zu ergreifen. Um dieses offiziell als sicher deklarieren zu können, sind Normen veröffentlicht, nach denen sich Unternehmen zertifizieren lassen können. Für IT-Sicherheit ist die ISO/IEC 27001 die korrespondierende Norm.
Am Beispiel eines Praxispartners aus dem Gesundheitswesen wird dazu im Rahmen des Projekts „Informationsrisikomanagement (IRM)“ eine Risikoanalyse unter Einsatz des CRISAM® Risikomanagement-Tools durchgeführt. Ziel dieses Projekts ist der erfolgreiche Abschluss eines Zertifizierungsaudits nach ISO/IEC 27001.
Kern dieser Arbeit stellt darin die Risikoanalyse mit entsprechendem Maßnahmenkatalog dar. Anhand grafischer Abweichungsanalysen lässt sich konstatieren, in welchen organisatorischen und technischen Bereichen Mängel bestehen. Aus dem daraus generierten Maßnahmenkatalog, in dem der Umfang an erforderlichen Maßnahmen zum Erwerb der genannten Zertifizierung aufgelistet ist, werden erste Umsetzungen sowie deren Relevanz eruiert. Die gewonnenen Ergebnisse sind im Anschluss in zwei Teilen dargelegt, zum einen die Analyseergebnisse und zum anderen die umgesetzten Maßnahmen. Resümierend wird betrachtet, welcher Mehrwert aus den erzielten Ergebnissen für den Praxispartner abzuleiten ist.
Die durchgeführten Maßnahmen im Praxisunternehmen befanden sich während der Erstellung dieser Abschlussarbeit in der Umsetzungsphase. Somit können die Analyseergebnisse entlang des Maßnahmenkatalogs für folgende Risikoanalysen genutzt werden. Im Hinblick auf weitere Umsetzungsmaßnahmen in Vorbereitung auf ein Zertifizierungsaudit nach ISO/IEC 27001 kann diese Arbeit als Orientierung für die zukünftige Planung im unternehmensweiten Informationsrisikomanagement Verwendung finden.
Inhaltsverzeichnis
1. Einleitung
1.1 Gegenstand der Arbeit
1.2 Zielsetzung
1.3 Vorgehensweise und Aufbau der Arbeit
2. Das Prinzip der Normung
2.1 Definition und Entwicklung
2.1.1 Der Unterschied zwischen Norm und Standard
2.1.2 Historische Entwicklung
2.2 Internationale Normungsorganisationen
2.2.1 Abgrenzung zu Standardisierungsorganisationen
2.2.2 Internationale Sekretariate
2.3 Der internationale Normungsprozess
2.3.1 Die Entstehung einer internationalen Norm
2.3.2 Ergebnis und Bedeutung des Normungsprozesses
2.4 Normung im rechtlichen Kontext
2.5 Vorteile internationaler Normung
2.6 Schlussfolgerung
3. Die Informationssicherheit
3.1 Grundlagen der Informationssicherheit
3.1.1 Schwachstellen und Bedrohungen
3.1.2 Schutzmaßnahmen
3.2 Bedeutung der Informationssicherheit
3.3 Motivation für eine Zertifizierung
3.4 Gesetzliche Anforderungen
3.5 Konsequenzen
4. Die Rolle des Informationsrisikomanagement
4.1 Grundlagen des Risikomanagements
4.2 Der Risikokreislauf
4.3 Das Informationsrisikomanagement
4.4 Normen und Standards zum IRM
4.4.1 DIN ISO/IEC 15408
4.4.2 IT-Grundschutzhandbuch
4.4.3 CoBiT
4.4.4 IT Infrastructure Library
5. Die ISO/IEC 27001 als Ziel
5.1 Die ISO/IEC 27000-Reihe
5.2 Anforderungen der ISO/IEC 27001
5.3 Das PCDA-Modell
5.3.1 Der PDCA-Zyklus
5.4 Verbreitung der ISO/IEC 27001 Zertifizierung
5.4.1 Verbreitung in Deutschland
5.4.2 Bewertung der Studie
5.5 Vorteile einer ISO/IEC 27001 Zertifizierung
5.6 Gründe einer Zertifizierung
6. Analyseergebnis des IST-Zustandes
6.1 Einsatz des CRISAM® Tools
6.2 CRISAM Ratingkennzahl
6.3 Analyseergebnis nach CRISAM®
6.3.1 Abweichungsanalyse
6.3.2 Aufwendungen und Empfehlungen
6.3.2.1 Erfüllung der ISO/IEC 27001 Normanforderungen
6.3.2.2 Erfüllung der ISO/IEC 27002 Normanforderungen
6.3.3 Zertifizierungskosten
6.4 Bewertung der gewonnenen Ergebnisse
7. Umsetzung notwendiger Maßnahmen
7.1 Internes Berichtwesen zu IT-Sicherheitsvorfällen
7.2 Akzeptierte Risiken
7.2.1 Sicherheitsupdate für Laptops im externen Einsatz
7.2.2 Beschaffung eines Diesel-Notstromaggregats
7.3 Abschaltung des ActiveSync
7.4 Beurteilung der durchgeführten Maßnahmen
8. Schlussbemerkungen und Ausblick
Zielsetzung & Themen
Das Hauptziel dieser Arbeit ist es, den Fortschritt des Projektes „IRM“ (Informationsrisikomanagement) in einem Dienstleistungsunternehmen im Gesundheitswesen hinsichtlich einer Zertifizierung nach ISO/IEC 27001 zu evaluieren. Die Forschungsfrage konzentriert sich darauf, den aktuellen organisatorischen und technischen Stand der Informationssicherheit zu bestimmen, den wirtschaftlichen Nutzen der notwendigen Maßnahmen zu identifizieren und Lücken aufzudecken, die durch bisherige IT-Sicherheitsvorfälle sichtbar wurden.
- Theoretische Grundlagen zur Normung und Informationssicherheit
- Analyse der Rolle des Informationsrisikomanagements und relevanter Standards
- Durchführung einer Risikoanalyse mit dem Tool CRISAM®
- Bewertung des IST-Zustandes im Unternehmen anhand von ISO/IEC 27001/27002
- Ableitung und Umsetzung notwendiger Maßnahmen zur Vorbereitung auf ein Zertifizierungsaudit
Auszug aus dem Buch
Die ISO/IEC 27000-Reihe
Die Normungsorganisation ISO mit Mitgliedern aus über 150 Ländern erarbeitet und entwickelt weltweite Standards. Derzeit wurden ca. 19.500 Standards veröffentlicht, wonach sich Unternehmen freiwillig zertifizieren lassen können. In diesem Zusammenhang ist zu erwähnen, dass die ISO selbst keine Zertifizierungen durchführt. Die ISO entwickelt viele Normen in Kooperationen mit weiteren Normungsgremien zusammen. Im Bereich der Informations- und Telekommunikationstechnologie arbeitet die ISO mit der Internationalen Elektrotechnischen Kommission (IEC) und der Internationalen Fernmelde-Union (ITU) zusammen. Letztere ist eine Subdisposition der Vereinten Nationen mit über 190 Mitgliedstaaten, die zum Ziel die Standardisierung der Telekommunikation anstreben.
Die ISO/IEC 2700x Familie beschäftigt sich umfassend mit dem Management von Informationssicherheit (siehe Tabelle 5).
Zusammenfassung der Kapitel
1. Einleitung: Diese Einleitung definiert das Ziel der Arbeit, die Kooperation mit einem Praxisunternehmen aus dem Gesundheitswesen und beschreibt den methodischen Aufbau der Thesis.
2. Das Prinzip der Normung: In diesem Kapitel werden die theoretischen Grundlagen der Normung, internationale Normungsorganisationen sowie der Normungsprozess und dessen rechtlicher Kontext erläutert.
3. Die Informationssicherheit: Hier werden die Grundbegriffe der Informationssicherheit, Schutzzieldefinitionen sowie Bedrohungen und gesetzliche Anforderungen an die Informationssicherheit dargelegt.
4. Die Rolle des Informationsrisikomanagement: Dieses Kapitel fokussiert auf Risikomanagementmethoden und stellt relevante Standards wie DIN ISO/IEC 15408, das IT-Grundschutzhandbuch, CoBiT und ITIL vor.
5. Die ISO/IEC 27001 als Ziel: Der Fokus liegt hier auf der ISO/IEC 27000-Reihe, dem PDCA-Modell sowie der Bedeutung und Verbreitung der ISO/IEC 27001 Zertifizierung.
6. Analyseergebnis des IST-Zustandes: In diesem Kapitel wird das Ergebnis der Risikoanalyse nach CRISAM® präsentiert, inklusive Abweichungsanalysen, Aufwendungen und Empfehlungen für den Praxispartner.
7. Umsetzung notwendiger Maßnahmen: Hier werden erste organisatorische und technische Umsetzungen thematisiert, darunter ein neues Berichtswesen für Sicherheitsvorfälle und der Umgang mit akzeptierten Risiken.
8. Schlussbemerkungen und Ausblick: Das Fazit fasst die Ergebnisse der Risikoanalyse zusammen und bewertet den Fortschritt des Projekts im Hinblick auf ein angestrebtes Zertifizierungsaudit.
Schlüsselwörter
Informationsrisikomanagement, IRM, ISO/IEC 27001, Informationssicherheit, Risikoanalyse, CRISAM, IT-Sicherheit, ISMS, Zertifizierung, Normung, IT-Grundschutz, Risikomanagement, Sicherheitsvorfälle, Compliance, IT-Governance
Häufig gestellte Fragen
Worum geht es in dieser Masterthesis grundlegend?
Die Arbeit befasst sich mit dem Informationsrisikomanagement (IRM) in einem Dienstleistungsunternehmen im Gesundheitswesen und untersucht, wie dieses Unternehmen die Anforderungen für eine Zertifizierung nach ISO/IEC 27001 erfüllen kann.
Was sind die zentralen Themenfelder der Analyse?
Die zentralen Themen sind die theoretischen Grundlagen der Normung, die Prinzipien der Informationssicherheit, die Risikomanagementmethodik (insbes. CRISAM®) sowie die spezifischen Anforderungen der ISO/IEC 27000-Reihe.
Was ist das primäre Ziel oder die Forschungsfrage der Arbeit?
Das Ziel ist es, mittels einer Risikoanalyse den Status quo der Informationssicherheit beim Praxispartner zu prüfen, den wirtschaftlichen Benefit erforderlicher Maßnahmen zu eruieren und den Reifegrad des Projekts im Hinblick auf ein Zertifizierungsaudit zu bewerten.
Welche wissenschaftlichen Methoden werden verwendet?
Es wird eine praxisorientierte Risikoanalyse unter Einsatz des Tools CRISAM® durchgeführt, kombiniert mit einer Literaturrecherche zu Standards und Normen der IT-Sicherheit.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil umfasst die detaillierte Darstellung des Risikokreislaufs, die Bewertung des IT-IST-Zustandes anhand bausteinbasierter Kennzahlen sowie die Ableitung technischer und organisatorischer Handlungsempfehlungen.
Welche Schlüsselwörter charakterisieren das Dokument?
Kernbegriffe sind Informationsrisikomanagement, ISO/IEC 27001, CRISAM, Informationssicherheit, ISMS und Risikoanalyse.
Warum ist eine Zertifizierung für den Praxispartner im Gesundheitswesen kritisch?
Da der Praxispartner mit sensiblen Daten arbeitet, ist die Gewährleistung der Informationssicherheit essenziell, um Haftungsrisiken bei Sicherheitsvorfällen zu minimieren und das Vertrauen von Kunden und Partnern zu sichern.
Welches Fazit zieht der Autor bezüglich des aktuellen Standes der Zertifizierungsvorbereitung?
Der Autor kommt zu dem Schluss, dass die bisherigen Maßnahmen nur einen Bruchteil dessen darstellen, was für eine Zertifizierung nötig ist, und dass ein erfolgreiches Audit in der unmittelbaren Zukunft eher unwahrscheinlich bleibt, da bisher die Unterstützung der Geschäftsführung für eine umfassende IRM-Strategie fehlt.
- Quote paper
- Markus Nemitz (Author), 2015, Benefit des Informationsrisikomanagements (IRM), Munich, GRIN Verlag, https://www.grin.com/document/1306646
