Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

TU 1 ISM > ISMS > Flashcards

ISMS Flashcards

1
Q

Managementsystem Bestandteile

A
  • Führung durch das Management
  • Steuermechanismen: etablierte Prozesse lenken
  • Kontrollmechanismen: werden Ziele der Prozesse erreicht?
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Motivation für (Informationssicherheit-)Managementsystem

A
  • Selbstauferlegt
  • Von Kundenseite gefordert
  • Durch Gesetzgeber gefordert
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Ziele von Managementsystem

A
  • Verbessertes Risikomanagement
  • Wirksames Sicherheitsmanagement
  • Geschäftsvorteil
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Inhalte der ISO 27001

A
  • Verfügbarkeit
    -> Dokumentation
    -> Führungsverhalten und Verpflichtung
  • Integrität
    -> Fähigkeiten und Awareness
    -> ISMS-Prozesse
    -> Lieferantenbeziehungen
    -> Interne Audits
  • Vertraulichkeit
    -> Leitlinie und Richtlinien
    -> Rollen und Verantwortlichkeiten
    -> Risikomanagement
    -> Performance Monitoring & KPIs
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Annex der ISO 27001 / Inhalte

A
  • Governance
  • Schutz von Informationen
  • Personalsicherheit
  • Verwaltung der Assets
  • Identitäts- und Zugriffsmanagement
  • Sichere Konfiguration
  • Physische Sicherheit
  • Management von Bedrohungen und Schwachstellen
  • System- und Netzwerksicherheit
  • Softwaresicherheit
  • Lieferantenbeziehungen
  • Handhabung von Informationssicherheitsvorfällen
  • BCM
  • Recht und Compliance
  • Security Assurance
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Identifizierung des Geltungsbereiches (Scope)

A
  • Identifizierung der Assets (Relevante Geschäftsbereiche, Prozesse, Werte)
    und
  • Anforderungsanalyse (Identifizierung von Schnittstellen, internen und externen Anforderungen sowie Interessensgruppen)
    -> Festlegung des Scopes
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Interner und externer Geltungsbereich

A
  • Intern: Geschäftsmodell, Assets, Struktur, Standorte, Interne Vorgaben, Kultur
  • Extern: Gesetzliche Anforderungen, Regulatorische Anforderungen (Finanzsektor), Vertragliche Anforderungen, Dienstleister, Kunden
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Begrenzung des Geltungsbereiches

A
  • Grenzdefinition über Zutritt (Physikalische und räumliche Grenzen, Standorte ausschließen)
  • Grenzdefinition über Zugang und Zugriff (Logische und technische Grenzen, IT-Systeme ausschließen)
  • Grenzdefinition über organisatorische Grenzen (Organisationsstrukturen definieren, Abteilungen, die keinen Einfluss auf IS haben ausschließen)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Informationssicherheitsleitlinie Bestandteile

A
  • Schutzziele
  • Informationsklassifizierung
  • Ziele/Schlüsselkennzahlen
  • Verantwortung
  • Sicherheitsprozess
  • Richtliniensystem/Dokumentenlenkung
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Aufbau ISMS-Dokumentation

A
  • unten: Detaillierte Regelungen (konkrete Arbeitsanweisungen mit technischen Details)
  • mitte: Allgemeine Sicherheitskonzeption (Anwendungsorientierte Richtlinien mit Anforderungen und zugehörigen Maßnahmen)
  • oben: Leitlinie (allgemeine Sicherheitsziele)
    -> Von oben nach unten wachsende Dokumentenmenge + steigende Detailtiefe und Informationsdichte
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Übliche Dokumenteninformationen

A
  • Autor
  • Verantwortlicher
  • Freigegeben durch
  • Gültigkeit
  • Status
  • Ablageort
  • Revisionshistorie
  • Ziel und Zweck
  • Geltungsbereich
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Führung eines ISMS

A
  • Top Management: Behält die Verantwortung, Delegation der Umsetzung an den ISO
  • ISO: Zentraler Ansprechpartner für Informationssicherheit, Kontrolle, Überwachung und Koordination der Umsetzung von Aufgaben
  • Fachbereich: Übernahme der Umsetzung von bereichsspezifischen Aufgaben und Meldung der Umsetzung an den ISO
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Weitere Rollen in ISMS

A
  • CIO: Leiter der IT
  • Asset Owner: Verantwortlich für ein Asset
  • Risk Owner: Verantwortlich für ein Risiko
  • Development Manager: Entwickler/Technischer Verantwortliche für ein Asset
  • Provider Manager: Verantwortlicher für Dienstleister
  • Datenschutzbeauftragter: Verantwortlicher für Datenschutz
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Mögliche Ausschüsse

A
  • Steering Committee (Entscheidungsgremium für Projektmanagement)
    -> Projektteam, ISO, Vertreter der Geschäftsleitung/Top Management
    -> monatlich
  • Ausschuss für Informationssicherheit (Sicherstellung eines reibungslosen Betriebsablauf des ISMS)
    -> ISO + Top Management/CIO/…
    -> 2-4 x im Monat
  • Management-Ausschuss (Festlegung der Jahresziele, Bereitstellung der Ressourcen)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Grundsätze einer Kommunikationsstrategie

A
  • Transparenz
  • Angemessenheit
  • Glaubwürdigkeit
  • Klarheit
  • Reaktionsfähigkeit
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Schritte Awareness

A
  1. Festlegung der geeigneten Methodik zur Wissensvermittlung
  2. Bildung von Zielgruppen bzw. Wissensgruppen
  3. Festlegung der Themengebiete
17
Q

Schulungsmethoden

A
  • Training (intellektuell, Erwerb von Fähigkeiten)
  • Sensibilisierung (Änderung von Gewohnheiten, Emotionen & Verhalten)
  • Kommunikation (Informierung, an den Intellekt gerichtet)
18
Q

Typische Schulungsinhalte für Endnutzer

A
  • Sicherheitsrichtlinien
  • Nutzung privater Dateien/Systeme
  • Verwaltung von Sicherheitsvorfällen
  • Sicherheit von Laptops & Handys
  • Schutz vor Viren
  • Verwendung von Passwörtern
  • Richtige Nutzung des Internets
  • Datensicherung und -speicherung
  • Individuelle Rolle & Verantwortung
19
Q

Erklärung der Anwendbarkeit (Statement of Applicability)

A
  • Zentrales Dokument des ISMS, ist bei der Zertifizierung Pflicht
    -> Ggf. Ausschluss von Maßnahmen
    -> Prüfung aller 114 Sicherheitsmaßnahmen im Annex auf Anwendbarkeit
    -> Rechtfertigung und Einbeziehung aller aus- und abgewählten Controls notwendig
    -> Verweis auf Risikobehandlungsmethoden
20
Q

Werkzeuge zur Überwachung des ISMS

A
  • Kennzahlensystem
  • Interne Audits (Überprüfung der Konformität des ISMS durch unabhängige Partei)
  • Management Review (Überprüfung der Wirksamkeit des ISMS durch die oberste Leitung)
21
Q

Arten von Audits

A
  • Zweitpartei Audit (Kunden auditieren Organisation)
  • Zweitpartei Audit (Organisation auditiert Lieferanten)
  • Drittpartei Audit (Organisation wird von einer unabhängigen Stelle auditiert)
  • Erstpartei Audit (Organisation auditiert eigene Systeme)
22
Q

Management Review

A
  • Involvierung des Managements in den Prozess der Informationssicherheit
    -> Treffen von Entscheidungen über essenzielle Grundlagen für das nächste Jahr
    -> Sensibilisierung des Managements für Themen der Informationssicherheit
    -> Feedback vom Management
    -> muss mind. 1 mal im Jahr stattfinden
23
Q

Zertifizierung

A
  • Verfahren, bei dem ein Dritter schriftlich bescheinigt, dass ein Produkt, Prozess oder eine Dienstleistung bestimmten Kriterien entspricht
    -> Zertifizierung wird durch eine akkreditierte Zertifizierungsstelle durchgeführt
    -> ISMS muss mind. 3 Monate im Betrieb sein
    -> Internes Audit und Managementbewertung müssen mindestens einmal stattgefunden haben
24
Q

Ablauf der Erst-Zertifizierung

A
  1. Auswahl einer Zertifizierungsstelle
  2. Vorbereitung auf das Audit
  3. Stage 1 Audit
    -> Dokumentation wird überprüft + Interviews mit ISO & Top Management
  4. Stage 2 Audit
    -> Umsetzung wird geprüft + Nachweise gefordert
  5. Follow-Up Audit
    -> GGf. festgestellt Mängel müssen beseitigt werden
  6. Zertifizierungsentscheidung
25
Q

Überwachungs- und Rezertifizierungsaudits

A
  • Überwachungsaudit: Prüfung 1/3 der Maßnahmen sowie aller Hauptkapitel
  • nochmal
  • Rezertifizierungsaudit: Prüfung aller Maßnahmen sowie aller Hauptkapitel
  • dauert 3 Jahre
26
Q

Standards des BSI IT-Grundschutzes

A

BSI Standards:
- 200-1: Managementsysteme für Informationssicherheit
- 200-2: IT Grundschutz Methodik
- 200-3: Risikomanagement
- 200-4: Business Continuity Management

27
Q

ISMS Standards

A
  • BSI IT-Grundschutz
  • NIST Cybersecurity Framework
  • Compliance-Informationssicherheits-Managementsystem in 12 Schritten
28
Q

Identifizierung von Kernprozessen und -aktivitäten (zur Grenzbestimmung)

A
  • Informationsgüter: Was sind die wichtigsten Informationsgüter der Organisation?
  • Produkt & Dienstleistungsangebote: Welche Güter und Dienstleistungen stellt die Organisation her?
  • Geschäftsvorgänge: Was sind Schlüsselprozesse, die es der Organisation erlauben, die Firmenziele zu erreichen?
29
Q

Identifizierung der Infrastruktur (zur Grenzbestimmung)

A
  • Hardware
  • Software
  • Netzwerke
  • Standorte
30
Q

Identifizierung und Analyse der Interessenten (zur Grenzbestimmung)

A
  • Finanzinstitute
  • Anbieter
  • Kunden
  • Interessensgruppen
  • Shareholders
  • Öffentlichkeit
  • Medien
  • Gesetzgerber
  • Angestellte
  • Aufsichtsrate
  • Managementteam
  • Gewerkschaften
31
Q

Dokumentenregelung Definition

A

Dient der Regelung von Vorgehensweisen für die:
- Identifizierung
- Erstellung
- Pflege
- Überprüfung
- Freigabe
der Dokumente des Unternehmens

32
Q

Dokumentenverwaltungsprozess

A
  1. Identifizierung
  2. Erstellung/Update
  3. Klassifizierung und Sicherheit
  4. Überprüfung
  5. Genehmigung
  6. Veröffentlichung
  7. Angemessene Verwendung
  8. Archivierung
  9. Entsorgung
33
Q

Kontinuierlicher Verbesserungsprozess ISMS

A
  • Input: KPIs, Ergebnisse aus Audits/Risk Assessments/Management Reviews
  • Output: Abweichungen, Grad der Abweichung, Ursache, Notwendige Korrekturmaßnahme
34
Q

Definition Informationssicherheitsleitlinie

A

Gefordertes Dokument nach ISO 27001: Beschreibung der Ziele, die das Unternehmen mithilfe des ISMS erreichen möchte

35
Q

Unterschied ISO 27001 / BSI IT-Grundschutz

A
  • Gemeinsamkeit: Aufbau eines ISMS zur Reduzierung von Risiken im Bereich der IS durch geeignete Maßnahmen auf ein akzeptables Maß. Projektphasen nach PCDA Zyklus
    -> international / deutschlandweit
    -> abstrakte Top-Down Methode (Risikoanalyse auf Basis der Prozesse)/Bottom-Up mit klarer Maßnahmenbehandlung (Absicherung der IT-Systeme)
36
Q

Vorgehensweise BSI IT-Grundschutz

A
  • Festlegung des Geltungsbereiches
  • Strukturanalyse (IST)
  • Schutzbedarfsfeststellung (Zusammenspiel Geschäftsprozesse/Anwendungen und IT)
  • Modellierung der Sicherheitsanforderungen
  • IT-Grundschutz-Check 1 (Gap Analyse)
  • Risikoanalyse
  • Konsolidierung (Festlegung/Konkretisierung von Maßnahmen)
  • IT-Grundschutz-Check Teil 2 (Prüfung, ob Maßnahmen schon teilweise umgesetzt)
  • Realisierung (Umsetzung + kontinuierliche Verbesserung)
37
Q

Detailgrade des BSI IT-Grundschutzes

A
  • Basis: Relevante Geschäftsprozesse
  • Kern: Besonders krit. Gp.
  • Standard: alle Prozesse und Bereiche
38
Q

KPI Merkmale

A
  • Spezifisch
  • Messbar
  • Wiederspiegelung des Reifegrads
  • Angemessener Aufwand zur Erhebung
  • Erreichbar
  • Ergebnisorientiert
  • Zeitlich gebunden
  • Technisch / organisatorisch ?
  • Aussagekräftige Datenbasis
  • Ableitung von konkreten Maßnahmen

TU 1 ISM (12 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions