Skip to main content

SECURING YOUR BUSINESS ASSETS

ISO 27799

Der Standard für das Gesundheitswesen

Was ist die ISO 27799?

Die internationale Norm ISO 27799 ist Teil der ISO-27000-Normenreihe und wurde 2008 vom Technical Committee ISO/TC 215 der International Organization for Standardization (ISO) veröffentlicht. Sie trägt den offiziellen Titel „Health informatics — Information security management in health using ISO/IEC 27002“.

Die ISO 27799 ist als branchenspezifische Ergänzung zur Norm ISO 27001 zu sehen und trägt den besonderen Sicherheitsanforderungen im Gesundheitssektor Rechnung. Dementsprechend ist auch eine Zertifizierung nur nach ISO 27001 möglich. Als Implementierungsleitfaden ist für beide Standards die ISO 27002 heranzuziehen. Mit der Einführung der ISO 27799 haben Gesundheitseinrichtungen die Möglichkeit, ein erforderliches Minimum an Informationssicherheit sicherzustellen und so die Vertraulichkeit, Verfügbarkeit und Integrität persönlicher, gesundheitsbezogener Daten zu gewährleisten. Besondere Bedrohungen und Schwachstellen in Gesundheitseinrichtungen

Naturgemäß lässt sich in Gesundheitseinrichtungen der Zutritt von Besuchern bzw. der allgemeinen Öffentlichkeit nicht vermeiden. Besonders bei großen Institutionen kann die unüberschaubare Anzahl an Menschen, die sich frei im Gebäude bewegen, ein hohes Sicherheitsrisiko darstellen: Physische Schäden an den Systemen sind hier deutlich wahrscheinlicher als in anderen Branchen.

Neben den besonderen Bedrohungen ist auch der erhöhte Schutzbedarf von Patientenakten zu berücksichtigen: Diese enthalten sensible, personenbezogene Daten, deren Vertraulichkeit sichergestellt werden muss. Darüber hinaus sind die Datenintegrität und -verfügbarkeit für die Patientensicherheit essenziell, da in vielen Fällen die richtige und rechtzeitige Behandlung davon abhängt.

ISO 27799: Themen und Inhalte

Diesen Besonderheiten des Gesundheitssektors trägt die ISO 27799 Rechnung. Sie deckt die folgenden Themenbereiche ab:
  • Ziele für die IT-Sicherheit in Gesundheitseinrichtungen
  • Schutzbedürftige Informationen
  • Bedrohungen und Schwachstellen
  • Praktische Umsetzung entsprechend ISO 27001 und 27002
  • Spezifische Maßnahmen als Ergänzung zu ISO 27002

ISO 27799 in Ihrer Organisation

Sind Sie an der Einführung der ISO 27799 in Ihrer Organisation interessiert? In unserer Übersicht erfahren Sie, welche weiteren Normen aus der ISO-27000-Reihe für Sie relevant sind. Wie plan42 Sie bei der Umsetzung unterstützt, zeigt Ihnen unser Projektablauf. Haben Sie weitere Fragen? Nehmen Sie Kontakt mit uns auf.

SECURING YOUR BUSINESS ASSETS

ISO 27011

Der Standard für Telekommunikationsunternehmen

Was ist die ISO 27011?

Die internationale Norm ISO/IEC 27011 ist Teil der ISO-27000-Normenreihe und wurde 2008 vom Joint Technical Committee JTC1 der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) veröffentlicht. Sie trägt den offiziellen Titel „Information technology — Security techniques — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002“.

Die ISO 27011 ist als branchenspezifische Ergänzung zur Norm ISO 27001 zu sehen und trägt den besonderen Sicherheitsanforderungen im Telekommunikationsumfeld Rechnung. Dementsprechend ist auch eine Zertifizierung nur nach ISO 27001 möglich. Als Implementierungsleitfaden ist für beide Standards die ISO 27002 heranzuziehen. Mit der Einführung der ISO 27011 haben Telekommunikationsunternehmen die Möglichkeit, ein erforderliches Minimum an Informationssicherheit zu etablieren und so die Vertraulichkeit, Verfügbarkeit und Integrität der verarbeiteten Daten sicherzustellen.

Besondere Bedrohungen und Schwachstellen in Telekommunikationsunternehmen

Telekommunikationsunternehmen verarbeiten täglich große Mengen an Daten von einer Vielzahl an Benutzern. Dazu zählen auch hochschutzbedürftige Informationen, wie etwa Authentifizierungs- oder Geschäftsdaten, deren Sicherheit gewährleistet werden muss.

Zu beachten sind auch die höheren Risiken in diesem Umfeld: Die Wahrscheinlichkeit von Sicherheitsvorfällen, wie etwa Hackerangriffen, ist im Telekommunikationsumfeld deutlich größer als in anderen Bereichen, und häufig sind auch die Folgen schwerwiegender: Durch die stark ausgeprägte Vernetzung führen Störungen einzelner Komponenten oft zu Beeinträchtigungen weiter Teile des Netzwerks. Daraus resultierende Ausfälle ziehen nicht nur Umsatzeinbußen, sondern in vielen Fällen auch Imageschäden nach sich.

ISO 27011: Themen und Inhalte

Diesen Besonderheiten des Telekommunikationsumfelds trägt die ISO 27011 Rechnung. Sie deckt die folgenden Themenbereiche ab:
  • Allgemeine Richtlinien zur Informationssicherheit
  • Organisationsstrukturen
  • Verantwortlichkeiten für und Klassifizierung von Informationswerten
  • Sicherheitsmaßnahmen für Mitarbeiter
  • Physische Schutzmaßnahmen und öffentliche Versorgungsdienste
  • Netzwerk- und Betriebssicherheit
  • Zugriffskontrolle
  • Systementwicklung und Wartung
  • Umgang mit Sicherheitsvorfällen
  • Notfallvorsorgeplanung
  • Einhaltung interner und rechtlicher Vorgaben

ISO 27011 in Ihrer Organisation

Sind Sie an der Einführung der ISO 27011 in Ihrer Organisation interessiert? In unserer Übersicht erfahren Sie, welche weiteren Normen aus der ISO-27000-Reihe für Sie relevant sind. Wie plan42 Sie bei der Umsetzung unterstützt zeigt Ihnen unser Projektablauf. Haben Sie weitere Fragen? Nehmen Sie Kontakt mit uns auf.

SECURING YOUR BUSINESS ASSETS

ISO 27005

Risikomanagement

Was ist die ISO 27005?

Die internationale Norm ISO/IEC 27005 ist Teil der ISO-27000-Normenreihe und wurde 2008 vom Joint Technical Committee JTC1 der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) veröffentlicht. Sie trägt den offiziellen Titel „Information technology — Security techniques — Information security risk management“.

Entsprechend der ISO 27001 ist es erforderlich, IT-Sicherheitsrisiken zu identifizieren, zu bewerten und adäquate Maßnahmen zu ergreifen. Mit der Anwendung der ISO 27005 kommen Sie dieser Forderung nach: Die Norm beinhaltet eine Beschreibung des kompletten Risikomanagementprozesses, der einzelnen Schritte der Risikoanalyse sowie Informationen zur Etablierung des Prozesses. Allerdings liefert die ISO 27005 keine spezifische Methodik für das Risiko-Management; diese muss von jeder Organisation selbst definiert werden und richtet sich u. a. nach dem Umfang des Information Security Management Systems (ISMS) sowie der Branche. Da es sich bei der ISO 27005 um einen ergänzenden Standard handelt, ist eine Zertifizierung nicht möglich.

ISO 27005: Themen und Inhalte

Die ISO 27005 behandelt die folgenden Themenbereiche:
  • Kriterien, Umfang und Organisation des Risiko-Managements
  • Risikobewertung
  • Risikobehandlung
  • Risikoakzeptanz
  • Risikokommunikation
  • Überwachung und Review

ISO 27005 in Ihrer Organisation

Die ISO 27005 dient als Leitfaden für die regelmäßige Überprüfung eines ISMS nach ISO 27001. In unserer Übersicht erfahren Sie, welche weiteren Normen aus der ISO-27000-Reihe für Sie relevant sind. Wie plan42 Sie bei der Umsetzung unterstützt zeigt Ihnen unser Projektablauf zeigt Ihnen. Haben Sie weitere Fragen? Nehmen Sie Kontakt mit uns auf.

SECURING YOUR BUSINESS ASSETS

ISO 27004

Bewertung der ISMS-Effektivität

Was ist die ISO 27004?

Die internationale Norm ISO/IEC 27004 ist Teil der ISO-27000-Normenreihe und wurde 2009 vom Joint Technical Committee JTC1 der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) veröffentlicht. Sie trägt den offiziellen Titel „Information technology — Security techniques — Information security management — Measurement“.

Entsprechend der ISO 27001 müssen ein Information Security Management System (ISMS) und dessen Schutzmaßnahmen regelmäßig auf Wirksamkeit überprüft werden, damit das erforderliche Sicherheitsniveau gewährleistet ist. Mit der Anwendung der ISO 27004 kommen Sie dieser Forderung nach: Die Norm unterstützt Organisationen dabei, Messsysteme zu entwickeln, mit denen die Effektivität eines ISMS bzw. einzelner in der ISO 27001 definierter Maßnahmen bewertet werden kann. Da es sich bei der ISO 27004 um einen ergänzenden Standard handelt, ist eine Zertifizierung nicht möglich.

ISO 27004: Themen und Inhalte

Die ISO 27004 behandelt die folgenden Themenbereiche:
  • Ziele, Prozesse, Erfolgsfaktoren und Modell eines Messsystem
  • Verantwortlichkeiten des Managements
  • Entwicklung von Messsystemen
  • Betrieb von Messsystemen
  • Kontrollen des ISMS-Prozesses
  • Analyse und Reporting
  • Überprüfung und Verbesserung des Messsystems

ISO 27004 in Ihrer Organisation

Die ISO 27004 dient als Leitfaden für die regelmäßige Überprüfung eines ISMS nach ISO 27001. In unserer Übersicht erfahren Sie, welche weiteren Normen aus der ISO-27000-Reihe für Sie relevant sind. Wie plan42 Sie bei der Umsetzung unterstützt zeigt Ihnen unser Projektablauf zeigt Ihnen. Haben Sie weitere Fragen? Nehmen Sie Kontakt mit uns auf.

SECURING YOUR BUSINESS ASSETS

ISO 27003

Einführung eines ISMS

Was ist die ISO 27003?

Die internationale Norm ISO/IEC 27003 ist Teil der ISO-27000-Normenreihe und wurde 2010 vom Joint Technical Committee JTC1 der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) veröffentlicht. Sie trägt den offiziellen Titel „Information technology — Security techniques — Information security management system implementation guidance“.

Die ISO 27003 soll Organisationen dabei unterstützen, einen Plan für die Einführung eines ISO-27001-konformen Information Security Management Systems (ISMS) zu entwickeln. Dazu zählen Vorbereitungsaufgaben, Projektorganisation sowie Empfehlungen zum ISMS-Design nach ISO 27001, nicht aber der Betrieb. Da es sich bei der ISO 27003 um einen ergänzenden Standard handelt, ist eine Zertifizierung nicht möglich.

ISO 27003: Themen und Inhalte

Die ISO 27003 behandelt die folgenden Themenbereiche:
  • Unterstützung durch das Management
  • Definition von Umfang, Grenzen sowie Leitlinien des ISMS
  • Analyse der Sicherheitsanforderungen
  • Bewertung und Behandlung von Risiken
  • ISMS-Design

ISO 27001 in Ihrer Organisation

Die ISO 27003 dient als praktischer Leitfaden für die Entwicklung eines ISMS nach ISO 27001. In unserer Übersicht erfahren Sie, welche weiteren Normen aus der ISO-27000-Reihe für Sie relevant sind. Wie plan42 Sie bei der Umsetzung unterstützt zeigt Ihnen unser Projektablauf zeigt Ihnen. Haben Sie weitere Fragen? Nehmen Sie Kontakt mit uns auf.

Weitere Beiträge …

© plan42 GmbH 2000 - 2024