Benefit des Informationsrisikomanagements (IRM)

Inhaltsverzeichnis

• Abstract
• 1. Einleitung
  • 1.1 Gegenstand der Arbeit
  • 1.2 Zielsetzung
  • 1.3 Vorgehensweise und Aufbau der Arbeit
• 2. Das Prinzip der Normung
  • 2.1 Definition und Entwicklung
    • 2.1.1 Der Unterschied zwischen Norm und Standard
    • 2.1.2 Historische Entwicklung
  • 2.2 Internationale Normungsorganisationen
    • 2.2.1 Abgrenzung zu Standardisierungsorganisationen
    • 2.2.2 Internationale Sekretariate
  • 2.3 Der internationale Normungsprozess
    • 2.3.1 Die Entstehung einer internationalen Norm
    • 2.3.2 Ergebnis und Bedeutung des Normungsprozesses
  • 2.4 Normung im rechtlichen Kontext
  • 2.5 Vorteile internationaler Normung
  • 2.6 Schlussfolgerung
• 3. Die Informationssicherheit
  • 3.1 Grundlagen der Informationssicherheit
    • 3.1.1 Schwachstellen und Bedrohungen
    • 3.1.2 Schutzmaßnahmen
  • 3.2 Bedeutung der Informationssicherheit
  • 3.3 Motivation für eine Zertifizierung
  • 3.4 Gesetzliche Anforderungen
  • 3.5 Konsequenzen
• 4. Die Rolle des Informationsrisikomanagements
  • 4.1 Grundlagen des Risikomanagements
  • 4.2 Der Risikokreislauf
  • 4.3 Das Informationsrisikomanagement
  • 4.4 Normen und Standards zum IRM
    • 4.4.1 DIN ISO/IEC 15408
    • 4.4.2 IT-Grundschutzhandbuch
    • 4.4.3 COBIT 33
    • 4.4.4 IT Infrastructure Library
• 5. Die ISO/IEC 27001 als Ziel
  • 5.1 Die ISO/IEC 27000-Reihe
  • 5.2 Anforderungen der ISO/IEC 27001
  • 5.3 Das PCDA-Modell
    • 5.3.1 Der PDCA-Zyklus
  • 5.4 Verbreitung der ISO/IEC 27001 Zertifizierung
    • 5.4.1 Verbreitung in Deutschland
    • 5.4.2 Bewertung der Studie
  • 5.5 Vorteile einer ISO/IEC 27001 Zertifizierung
  • 5.6 Gründe einer Zertifizierung
• 6. Analyseergebnis des IST-Zustandes
  • 6.1 Einsatz des CRISAMⓇ Tools
  • 6.2 CRISAM Ratingkennzahl
  • 6.3 Analyseergebnis nach CRISAMⓇ
    • 6.3.1 Abweichungsanalyse
    • 6.3.2 Aufwendungen und Empfehlungen
      • 6.3.2.1 Erfüllung der ISO/IEC 27001 Normanforderungen
      • 6.3.2.2 Erfüllung der ISO/IEC 27002 Normanforderungen
    • 6.3.3 Zertifizierungskosten
  • 6.4 Bewertung der gewonnenen Ergebnisse
• 7. Umsetzung notwendiger Maßnahmen
  • 7.1 Internes Berichtwesen zu IT-Sicherheitsvorfällen
  • 7.2 Akzeptierte Risiken
    • 7.2.1 Sicherheitsupdate für Laptops im externen Einsatz
    • 7.2.2 Beschaffung eines Diesel-Notstromaggregats
  • 7.3 Abschaltung des ActiveSync
  • 7.4 Beurteilung der durchgeführten Maßnahmen
• 8. Schlussbemerkungen und Ausblick

Zielsetzung und Themenschwerpunkte

Diese Arbeit untersucht den Nutzen von Informationsrisikomanagement (IRM) im Kontext einer ISO/IEC 27001-Zertifizierung. Sie analysiert den IST-Zustand eines Praxispartners aus dem Gesundheitswesen und leitet daraus notwendige Maßnahmen ab. Die Umsetzung dieser Maßnahmen und deren Relevanz werden bewertet.

• Risikoanalyse mittels CRISAMⓇ
• ISO/IEC 27001 Zertifizierung
• Implementierung von Schutzmaßnahmen
• Bewertung des Mehrwerts von IRM
• Analyse von Abweichungen vom Soll-Zustand

Zusammenfassung der Kapitel

1. Einleitung: Dieses Kapitel führt in die Thematik des Informationsrisikomanagements (IRM) ein und beschreibt den Gegenstand, die Zielsetzung und die Vorgehensweise der Arbeit. Es wird der Kontext der Arbeit im Bezug auf die ISO/IEC 27001 Zertifizierung erläutert und der Aufbau der Arbeit skizziert. Die Bedeutung moderner Informationstechnologie und der damit verbundenen Sicherheitsaspekte im Unternehmenskontext wird hervorgehoben.

2. Das Prinzip der Normung: Dieses Kapitel beleuchtet das Konzept der Normung, insbesondere im internationalen Kontext. Es definiert den Unterschied zwischen Normen und Standards, skizziert die historische Entwicklung und beschreibt den internationalen Normungsprozess. Der rechtliche Kontext der Normung und die Vorteile internationaler Normen werden diskutiert. Der Fokus liegt auf dem Verständnis der Grundlagen und des Prozesses der Normfindung.

3. Die Informationssicherheit: Dieses Kapitel befasst sich mit den Grundlagen der Informationssicherheit, einschließlich Schwachstellen, Bedrohungen und Schutzmaßnahmen. Die Bedeutung von Informationssicherheit für Unternehmen wird umfassend dargestellt, ebenso wie die Motivation für eine Zertifizierung und die damit verbundenen gesetzlichen Anforderungen und Konsequenzen. Es werden die grundlegenden Konzepte und Herausforderungen im Bereich Informationssicherheit behandelt.

4. Die Rolle des Informationsrisikomanagements: Dieses Kapitel erläutert die Grundlagen des Risikomanagements und den Risikokreislauf. Es beschreibt das Informationsrisikomanagement (IRM) im Detail und stellt verschiedene Normen und Standards im Zusammenhang mit IRM vor, wie z.B. DIN ISO/IEC 15408, das IT-Grundschutzhandbuch, COBIT 33 und die IT Infrastructure Library. Der Fokus liegt auf der systematischen Einordnung und dem Verständnis von IRM.

5. Die ISO/IEC 27001 als Ziel: Dieses Kapitel konzentriert sich auf die ISO/IEC 27001 Norm und deren Bedeutung für die Informationssicherheit. Es beschreibt die ISO/IEC 27000-Reihe, die Anforderungen der ISO/IEC 27001, das PDCA-Modell und die Verbreitung der Zertifizierung. Die Vorteile und Gründe für eine ISO/IEC 27001-Zertifizierung werden detailliert erläutert. Der Schwerpunkt liegt auf dem Verständnis der Anforderungen und des Nutzens der Zertifizierung.

6. Analyseergebnis des IST-Zustandes: In diesem Kapitel werden die Ergebnisse der Risikoanalyse mithilfe des CRISAMⓇ-Tools präsentiert. Es beinhaltet eine detaillierte Abweichungsanalyse und eine Bewertung der Ergebnisse im Hinblick auf die Erfüllung der Anforderungen der ISO/IEC 27001 und ISO/IEC 27002 Normen. Die Analyse identifiziert Schwachstellen und zeigt den Aufwand für die Umsetzung notwendiger Maßnahmen auf. Der Fokus liegt auf der detaillierten Darstellung der Analyseergebnisse und ihrer Interpretation.

7. Umsetzung notwendiger Maßnahmen: Dieses Kapitel beschreibt die Umsetzung von Maßnahmen, die aus der Risikoanalyse resultieren. Es werden konkrete Beispiele für umgesetzte Maßnahmen genannt und deren Relevanz und Auswirkungen bewertet. Der Fokus liegt auf der praktischen Umsetzung der Maßnahmen und deren Beitrag zur Verbesserung der Informationssicherheit.

Schlüsselwörter

Informationsrisikomanagement (IRM), ISO/IEC 27001, Zertifizierung, Risikoanalyse, CRISAMⓇ, Informationssicherheit, Schutzmaßnahmen, IT-Sicherheit, Gesundheitswesen, Normung.

Häufig gestellte Fragen (FAQ) zur Arbeit: Informationsrisikomanagement und ISO/IEC 27001-Zertifizierung

Was ist der Gegenstand dieser Arbeit?

Diese Arbeit untersucht den Nutzen von Informationsrisikomanagement (IRM) im Kontext einer ISO/IEC 27001-Zertifizierung. Sie analysiert den IST-Zustand eines Praxispartners aus dem Gesundheitswesen und leitet daraus notwendige Maßnahmen ab. Die Umsetzung dieser Maßnahmen und deren Relevanz werden bewertet.

Welche Themenschwerpunkte werden behandelt?

Die Arbeit konzentriert sich auf die Risikoanalyse mittels CRISAM®, die ISO/IEC 27001 Zertifizierung, die Implementierung von Schutzmaßnahmen, die Bewertung des Mehrwerts von IRM und die Analyse von Abweichungen vom Soll-Zustand.

Wie ist die Arbeit aufgebaut?

Die Arbeit gliedert sich in acht Kapitel: Einleitung, Das Prinzip der Normung, Die Informationssicherheit, Die Rolle des Informationsrisikomanagements, Die ISO/IEC 27001 als Ziel, Analyseergebnis des IST-Zustandes, Umsetzung notwendiger Maßnahmen und Schlussbemerkungen und Ausblick. Jedes Kapitel behandelt einen spezifischen Aspekt des Themas, beginnend mit einer Einführung in die Thematik und endend mit einer Zusammenfassung und Ausblick.

Was wird im Kapitel "Das Prinzip der Normung" behandelt?

Dieses Kapitel erklärt das Konzept der Normung, den Unterschied zwischen Normen und Standards, die historische Entwicklung und den internationalen Normungsprozess. Es beleuchtet den rechtlichen Kontext und die Vorteile internationaler Normen.

Was sind die Inhalte des Kapitels "Die Informationssicherheit"?

Dieses Kapitel behandelt die Grundlagen der Informationssicherheit, einschließlich Schwachstellen, Bedrohungen und Schutzmaßnahmen. Es beleuchtet die Bedeutung von Informationssicherheit, die Motivation für eine Zertifizierung und die damit verbundenen gesetzlichen Anforderungen und Konsequenzen.

Was wird im Kapitel "Die Rolle des Informationsrisikomanagements" beschrieben?

Dieses Kapitel erläutert die Grundlagen des Risikomanagements und den Risikokreislauf. Es beschreibt das Informationsrisikomanagement (IRM) und stellt verschiedene Normen und Standards im Zusammenhang mit IRM vor (z.B. DIN ISO/IEC 15408, IT-Grundschutzhandbuch, COBIT 33 und IT Infrastructure Library).

Was ist der Fokus des Kapitels "Die ISO/IEC 27001 als Ziel"?

Dieses Kapitel konzentriert sich auf die ISO/IEC 27001 Norm, die ISO/IEC 27000-Reihe, die Anforderungen der ISO/IEC 27001, das PDCA-Modell und die Verbreitung der Zertifizierung. Es beschreibt die Vorteile und Gründe für eine ISO/IEC 27001-Zertifizierung.

Wie werden die Ergebnisse der Risikoanalyse präsentiert?

Im Kapitel "Analyseergebnis des IST-Zustandes" werden die Ergebnisse der Risikoanalyse mittels CRISAM®-Tools präsentiert. Es beinhaltet eine detaillierte Abweichungsanalyse und Bewertung der Ergebnisse im Hinblick auf die Erfüllung der Anforderungen der ISO/IEC 27001 und ISO/IEC 27002 Normen.

Welche Maßnahmen werden im Kapitel "Umsetzung notwendiger Maßnahmen" beschrieben?

Dieses Kapitel beschreibt die Umsetzung von Maßnahmen, die aus der Risikoanalyse resultieren. Es werden konkrete Beispiele für umgesetzte Maßnahmen genannt und deren Relevanz und Auswirkungen bewertet.

Welche Schlüsselwörter sind relevant für diese Arbeit?

Die Schlüsselwörter sind: Informationsrisikomanagement (IRM), ISO/IEC 27001, Zertifizierung, Risikoanalyse, CRISAM®, Informationssicherheit, Schutzmaßnahmen, IT-Sicherheit, Gesundheitswesen, Normung.

Welches Tool wurde für die Risikoanalyse verwendet?

Für die Risikoanalyse wurde das CRISAM®-Tool eingesetzt.

Welche Normen spielen eine wichtige Rolle in dieser Arbeit?

Die ISO/IEC 27001 und ISO/IEC 27002 Normen spielen eine zentrale Rolle in dieser Arbeit.