Zertifizierbarer Bereich "ISMS 27001"

Informationssicherheits-Managementsystem nach ISO 27001

Dieser zertifizierbare Bereich schafft den Schritt zwischen der generischen ISO 27001 nach IRCA/BSi und der ISO 27001 auf der Basis von IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik (BSI).

Mit ausgewählten Maßnahmen des IT-Grundschutzes bedienen Sie die Anforderungen der Controls aus dem Anhang der ISO 27001 und erfüllen ein vom IT-Grundschutz definiertes Sicherheitsniveau.
Sie zeigen Ihren Kunden Ihre umfassenden Anstrengungen im Bereich der Informationssicherheit, ohne die umfangreichen, organisatorischen Aufwände der Zertifikate nach ISO 27001 und ISO 27001 auf Basis IT-Grundschutz erfüllen zu müssen!
Hervorragend für kleinere und mittlere Organisationsgrößen, die die Sicherheitsleistungen in ihrem kompletten IT-Verbund nachweisen wollen, optimal für Organisationen, die sich auf eine Zertifizierung der Informationssicherheit nach ISO 27001 oder ISO 27001 auf Basis IT-Grundschutz vorbereiten wollen und noch unschlüssig über die Zielrichtung sind.

Sie erreichen so eine Symbiose beider verbreiteten Zertifikate der Informationssicherheit, indem Sie die Vorteile dieser Rahmenwerke nutzen und sich die Leistung zertifizieren lassen.

Zunächst finden Sie in diesem zertifizierbaren Bereich die organisatorischen Maßnahmen der ISO 27001, denen selbstverständlich keine Maßnahmen zum Risiko Management aus dem IT-Grundschutz gegenüberstehen. Dies ist in dem IT-Grundschutz nachgelagerten Prozess der ergänzenden Sicherheitsanalyse verankert und in dem Standard BSI 100-3 beschrieben.
Da ovvi grundsätzlich dem Vorgehen des IT-Grundschutzes folgt und davon ausgeht, dass die Anforderungen der zertifizierbaren Bereiche des Schutzbedarfes "normal" durch die IT-Grundschutz Maßnahmen erfüllt wird, wird für ovvi darüber hinaus keine ergänzende Sicherheitsheitsanalyse und somit keine Risikoanalyse erforderlich. Auf eine Schutzbedarfsanalyse kann ebenfalls verzichtet werden.
Die Controls aus der ISO 27001 werden so ohne den großen Aufwand einer Risiko- oder Schutzbedarfsanalyse mit dem Schutzbedarf "normal" aus dem IT-Grundschutz abgedeckt.

Im Anschluss der IT-Grundschutzmaßnahmen, die den organisatorischen Maßnahmen der ISO 27001 gleichgestellt sind, finden Sie die dem Anhang der ISO 27001 entsprechenden IT-Grundschutz Maßnahmen - geordnet nach den Kapiteln des Anhanges der "neuen" ISO 27001:2013.
Weitere Informationen liefern im Bedarfsfall die nach ovvi akkreditierten Auditoren.

Maßnahmen der ISO 27001 nach ovvi:

Maßnahme M 2.1 "Festlegung von Verantwortlichkeiten und Regelungen"
Maßnahme M 2.192" Erstellung einer Leitlinie zur Informationssicherheit"
Maßnahme M 2.193 "Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit"
Maßnahme M 2.195 "Erstellung eines Sicherheitskonzepts"
Maßnahme M 2.198 "Sensibilisierung der Mitarbeiter für Informationssicherheit"
Maßnahme M 2.199 "Aufrechterhaltung der Informationssicherheit"
Maßnahme M 2.200 "Management-Berichte zur Informationssicherheit"
Maßnahme M 2.201 "Dokumentation des Sicherheitsprozesses"
Maßnahme M 2.335 "Festlegung der Sicherheitsziele und -strategie"
Maßnahme M 2.336 "Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene"
Maßnahme M 2.393 "Regelung des Informationsaustausches"
Maßnahme M 3.11 "Schulung des Wartungs- und Administrationspersonals"
Maßnahme M 3.45 "Planung von Schulungsinhalten zur Informationssicherheit"

Maßnahmen des Anhanges der ISO 27001 nach ovvi:

ISO 27001 A.5 "Information Security Policies":
Maßnahme M 2.1 "Festlegung von Verantwortlichkeiten und Regelungen"
Maßnahme M 2.192 "Erstellung einer Leitlinie zur Informationssicherheit"
Maßnahme M 2.335 "Festlegung der Sicherheitsziele und -strategie"
Maßnahme M 2.336 "Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene"

ISO 27001 A.6 "Organization of Information Security":
Maßnahme M 2.1 "Festlegung von Verantwortlichkeiten und Regelungen"
Maßnahme M 2.113 "Regelungen für Telearbeit"
Maßnahme M 2.116 "Geregelte Nutzung der Kommunikationsmöglichkeiten bei Telearbeit"
Maßnahme M 2.117 "Erstellung eines Sicherheitskonzeptes für Telearbeit"
Maßnahme M 2.193 "Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit"
Maßnahme M 2.218 "Regelung der Mitnahme von Datenträgern und IT-Komponenten"
Maßnahme M 2.225 "Zuweisung der Verantwortung für Informationen, Anwendungen und IT-Komponenten"
Maßnahme M 2.309 "Sicherheitsrichtlinien und Regelungen für die mobile IT-Nutzung"
Maßnahme M 2.337 "Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse"
Maßnahme M 2.35 "Informationsbeschaffung über Sicherheitslücken des Systems"
Maßnahme M 2.430 "Sicherheitsrichtlinien und Regelungen für den Informationsschutz unterwegs"
Maßnahme M 2.5 "Aufgabenverteilung und Funktionstrennung"
Maßnahme M 4.63 "Sicherheitstechnische Anforderungen an den Telearbeitsrechner"
Maßnahme M 5.121 "Sichere Kommunikation von unterwegs"
Maßnahme M 5.51 "Sicherheitstechnische Anforderungen an die Kommunikationsverbindung Telearbeitsrechner - Institution"
Maßnahme M 5.80 "Schutz vor Abhören der Raumgespräche über Mobiltelefone"
Maßnahme M 6.65 "Benachrichtigung betroffener Stellen bei Sicherheitsvorfällen"

ISO 27001 A.7 "Human Resource Security":
Maßnahme M 2.198 "Sensibilisierung der Mitarbeiter für Informationssicherheit"
Maßnahme M 2.312 "Konzeption eines Schulungs- und Sensibilisierungsprogramms zur Informationssicherheit"
Maßnahme M 2.39 "Reaktion auf Verletzungen der Sicherheitsvorgaben"
Maßnahme M 3.2 "Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen"
Maßnahme M 3.26 "Einweisung des Personals in den sicheren Umgang mit IT"
Maßnahme M 3.33 "Sicherheitsüberprüfung von Mitarbeitern"
Maßnahme M 3.51 "Geeignetes Konzept für Personaleinsatz und -qualifizierung"
Maßnahme M 3.6 "Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern"

ISO 27001 A.8 "Asset Management":
Maßnahme M 2.167 "Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten"
Maßnahme M 2.2 "Betriebsmittelverwaltung"
Maßnahme M 2.201 "Dokumentation des Sicherheitsprozesses"
Maßnahme M 2.217 "Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen"
Maßnahme M 2.225 "Zuweisung der Verantwortung für Informationen, Anwendungen und IT-Komponenten"
Maßnahme M 2.3 "Datenträgerverwaltung"
Maßnahme M 2.43 "Ausreichende Kennzeichnung der Datenträger beim Versand"
Maßnahme M 2.431 "Regelung der Vorgehensweise für die Löschung oder Vernichtung von Informationen"
Maßnahme M 2.44 "Sichere Verpackung der Datenträger"
Maßnahme M 2.515 "Datenschutzgerechte Löschung/Vernichtung"

ISO 27001 A.9 "Access Control":
Maßnahme M 2.199 "Aufrechterhaltung der Informationssicherheit"
Maßnahme M 2.220 "Richtlinien für die Zugriffs- bzw. Zugangskontrolle"
Maßnahme M 2.225 "Zuweisung der Verantwortung für Informationen, Anwendungen und IT-Komponenten"
Maßnahme M 2.30 "Regelung für die Einrichtung von Benutzern / Benutzergruppen"
Maßnahme M 2.7 "Vergabe von Zugangsberechtigungen"
Maßnahme M 2.8 "Vergabe von Zugriffsrechten"
Maßnahme M 3.6 "Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern"
Maßnahme M 4.13 "Sorgfältige Vergabe von IDs"
Maßnahme M 4.133 "Geeignete Auswahl von Authentikationsmechanismen"
Maßnahme M 4.306 "Umgang mit Passwort-Speicher-Tools"

ISO 27001 A.10 "Cryptography":
Maßnahme M 2.166 "Regelung des Einsatzes von Kryptomodulen"
Maßnahme M 2.46 "Geeignetes Schlüsselmanagement"

ISO 27001 A.11 "Physical and Environmental Security":
Maßnahme M 1.13 "Anordnung schützenswerter Gebäudeteile"
Maßnahme M 1.20 "Auswahl geeigneter Kabeltypen unter physikalisch-mechanischer Sicht"
Maßnahme M 1.22 "Materielle Sicherung von Leitungen und Verteilern"
Maßnahme M 1.33 "Geeignete Aufbewahrung tragbarer IT-Systeme bei mobilem Einsatz"
Maßnahme M 1.34 "Geeignete Aufbewahrung tragbarer IT-Systeme im stationären Einsatz"
Maßnahme M 1.35 "Sammelaufbewahrung tragbarer IT-Systeme"
Maßnahme M 1.39 "Verhinderung von Ausgleichsströmen auf Schirmungen"
Maßnahme M 1.45 "Geeignete Aufbewahrung dienstlicher Unterlagen und Datenträger"
Maßnahme M 1.49 "Technische und organisatorische Vorgaben für das Rechenzentrum"
Maßnahme M 1.55 "Perimeterschutz"
Maßnahme M 1.69 "Verkabelung in Serverräumen"
Maßnahme M 1.71 "Funktionstests der technischen Infrastruktur"
Maßnahme M 1.73 "Schutz eines Rechenzentrums gegen unbefugten Zutritt"
Maßnahme M 2.17 "Zutrittsregelung und -kontrolle"
Maßnahme M 2.18 "Kontrollgänge"
Maßnahme M 2.213 "Inspektion und Wartung der technischen Infrastruktur"
Maßnahme M 2.218 "Regelung der Mitnahme von Datenträgern und IT-Komponenten"
Maßnahme M 2.37 "Der aufgeräumte Arbeitsplatz"
Maßnahme M 2.396 "Vorgaben zur Dokumentation und Kennzeichnung der IT-Verkabelung"
Maßnahme M 2.4 "Regelungen für Wartungs- und Reparaturarbeiten"
Maßnahme M 2.432 "Richtlinie für die Löschung und Vernichtung von Informationen"
Maßnahme M 4.2 "Bildschirmsperre"
Maßnahme M 5.3 "Auswahl geeigneter Kabeltypen unter kommunikationstechnischer Sicht"
Maßnahme M 5.4 "Dokumentation und Kennzeichnung der Verkabelung"
Maßnahme M 5.5 "Schadensmindernde Kabelführung"

ISO 27001 A.12 "Operations Security":
Maßnahme M 2.110 "Datenschutzaspekte bei der Protokollierung"
Maßnahme M 2.154 "Erstellung eines Sicherheitskonzeptes gegen Schadprogramme"
Maßnahme M 2.198 "Sensibilisierung der Mitarbeiter für Informationssicherheit"
Maßnahme M 2.201 "Dokumentation des Sicherheitsprozesses"
Maßnahme M 2.221 "Änderungsmanagement"
Maßnahme M 2.224 "Vorbeugung gegen Schadprogramme"
Maßnahme M 2.34 "Dokumentation der Veränderungen an einem bestehenden System"
Maßnahme M 2.35 "Informationsbeschaffung über Sicherheitslücken des Systems"
Maßnahme M 2.422 "Umgang mit Änderungsanforderungen"
Maßnahme M 2.497 "Erstellung eines Sicherheitskonzepts für die Protokollierung"
Maßnahme M 2.64 "Kontrolle der Protokolldateien"
Maßnahme M 2.84 "Entscheidung und Entwicklung der Installationsanweisung für Standardsoftware"
Maßnahme M 2.87 "Installation und Konfiguration von Standardsoftware"
Maßnahme M 2.9 "Nutzungsverbot nicht freigegebener Hard- und Software"
Maßnahme M 3.69 "Einführung in die Bedrohung durch Schadprogramme"
Maßnahme M 4.227 "Einsatz eines lokalen NTP-Servers zur Zeitsynchronisation"
Maßnahme M 4.3 "Einsatz von Viren-Schutzprogrammen"
Maßnahme M 4.430 "Analyse von Protokolldaten"
Maßnahme M 4.431 "Auswahl und Verarbeitung relevanter Informationen für die Protokollierung"
Maßnahme M 4.65 "Test neuer Hard- und Software"
Maßnahme M 4.81 "Audit und Protokollierung der Aktivitäten im Netz"
Maßnahme M 5.8 "Regelmäßiger Sicherheitscheck des Netzes"
Maßnahme M 6.32 "Regelmäßige Datensicherung"
Maßnahme M 6.33 "Entwicklung eines Datensicherungskonzepts"
Maßnahme M 6.35 "Festlegung der Verfahrensweise für die Datensicherung"
Maßnahme M 6.41 "Übungen zur Datenrekonstruktion"

ISO 27001 A.13 "Communications Security":
Maßnahme M 2.143 "Entwicklung eines Netzmanagementkonzeptes"
Maßnahme M 2.224 "Vorbeugung gegen Schadprogramme"
Maßnahme M 2.42 "Festlegung der möglichen Kommunikationspartner"
Maßnahme M 2.45 "Regelung des Datenträgeraustausches"
Maßnahme M 2.459 "Überblick über Internet-Dienste"
Maßnahme M 3.55 "Vertraulichkeitsvereinbarungen"
Maßnahme M 4.34 "Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen"
Maßnahme M 5.109 "Einsatz eines E-Mail-Scanners auf dem Mailserver"
Maßnahme M 5.39 "Sicherer Einsatz der Protokolle und Dienste"
Maßnahme M 5.77 "Bildung von Teilnetzen"
Maßnahme M 5.87 "Vereinbarung über die Anbindung an Netze Dritter"
Maßnahme M 5.88 "Vereinbarung über Datenaustausch mit Dritten"

ISO 27001 A.14 "System Acquisition, Development and Maintenance":
Maßnahme M 2.221 "Änderungsmanagement"
Maßnahme M 2.251 "Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben"
Maßnahme M 2.378 "System-Entwicklung"
Maßnahme M 2.379 "Software-Entwicklung durch Endbenutzer"
Maßnahme M 2.487 "Entwicklung und Erweiterung von Anwendungen"
Maßnahme M 2.509 "Datenschutzrechtliche Freigabe"
Maßnahme M 2.62 "Software-Abnahme- und Freigabe-Verfahren"
Maßnahme M 2.80 "Erstellung eines Anforderungskatalogs für Standardsoftware"
Maßnahme M 2.83 "Testen von Standardsoftware"
Maßnahme M 4.34 "Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen"
Maßnahme M 4.42 "Implementierung von Sicherheitsfunktionalitäten in der IT-Anwendung"

ISO 27001 A.15 "Supplier Relationships":
Maßnahme M 2.226 "Regelungen für den Einsatz von Fremdpersonal"
Maßnahme M 2.251 "Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben"
Maßnahme M 2.252 "Wahl eines geeigneten Outsourcing-Dienstleisters"
Maßnahme M 2.253 "Vertragsgestaltung mit dem Outsourcing-Dienstleister"
Maßnahme M 2.256 "Planung und Aufrechterhaltung der IT-Sicherheit im laufenden Outsourcing-Betrieb"
Maßnahme M 5.88 "Vereinbarung über Datenaustausch mit Dritten"

ISO 27001 A.16 "Information Security Incident Management":
Maßnahme M 6.127 "Etablierung von Beweissicherungsmaßnahmen bei Sicherheitsvorfällen"
Maßnahme M 6.58 "Etablierung einer Vorgehensweise zur Behandlung von Sicherheitsvorfällen"
Maßnahme M 6.59 "Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen"
Maßnahme M 6.60 "Festlegung von Meldewegen für Sicherheitsvorfälle"
Maßnahme M 6.68 "Effizienzprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen"

ISO 27001 A.17 "Information Security Aspects of Business Continuity Management":
Maßnahme M 1.52 "Redundanz, Modularität und Skalierbarkeit in der technischen Infrastruktur"
Maßnahme M 6.1 "Erstellung einer Übersicht über Verfügbarkeitsanforderungen"
Maßnahme M 6.106 "Erstellung eines Notfallplans für den Ausfall eines Verzeichnisdienstes"
Maßnahme M 6.112 "Aufbau einer geeigneten Organisationsstruktur für das Notfallmanagement"
Maßnahme M 6.133 "Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen"
Maßnahme M 6.17 "Alarmierungsplan und Brandschutzübungen"
Maßnahme M 6.22 "Sporadische Überprüfung auf Wiederherstellbarkeit von Datensicherungen"
Maßnahme M 6.43 "Einsatz redundanter Windows-Server"
Maßnahme M 6.53 "Redundante Auslegung der Netzkomponenten"
Maßnahme M 6.76 "Erstellen eines Notfallplans für den Ausfall von Windows-Systemen" und weitere Notfallpläne"

ISO 27001 A.18 "Compliance":
Maßnahme M 2.165 "Auswahl eines geeigneten kryptographischen Produktes"
Maßnahme M 2.199 "Aufrechterhaltung der Informationssicherheit"
Maßnahme M 2.245 "Ermittlung der rechtlichen Einflussfaktoren für die elektronische Archivierung"
Maßnahme M 2.340 "Beachtung rechtlicher Rahmenbedingungen"
Maßnahme M 2.501 "Datenschutzmanagement"
Maßnahme M 2.503 "Aspekte eines Datenschutzkonzeptes"
Maßnahme M 3.2 "Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen"
Maßnahme M 4.169 "Verwendung geeigneter Archivmedien"
Maßnahme M 5.150 "Durchführung von Penetrationstests"

 

Die Kreuzreferenztabelle zu den Gefährdungen dieses zertifizierbaren Bereiches finden Sie hier: Kreuzreferenztabelle

Entspricht der ovvi-Version 2.x.x

Es gibt Taucher der repute Online-Apotheken. Doch nur wenige sind keine Drogerien. Ein Sortiment ist praktisch groß. Es gab nur mehrere Beispiele. Wenn Sie über sexuelle Gesundheit Problem betroffen sind, mitwissen Sie etwa über Kaufen Generisches zithromax und Kaufen Generisches Azithromycin. Dieser Artikel konzentriert sich auf die Bewertung der erektilen Dysfunktion und Azyter. Anderer Punkt sollten wir InfectoAzit sein. Während erektile Dysfunktion häufiger bei älteren Männern ist, das ist nicht etwas, mit dem man einfach nur einwohnen muss. Während die Medizin mit Nervenschmerzen gutgeschrieben wird, kann es auch sexuelle Gesundheitsprobleme veranlassen. Aber nur dein Sextherapeut kann feststellen, ob Kamagra oder neu Medikamente für dich tauglich sind. Wegwerfen alle generischen, die nicht mehr benötigt wird. Zum Beispiel sollten die flüssigen Medikamente zur Präferenz an der kühlen Stelle gehalten werden, aber andere vermögen bei Raumtemperatur gelagert werden.