ISO 27001 als Toolbox zur Abwehr von Malware und Angriffen

Im Bereich der IT-Sicherheit bietet sich die Norm ISO/IEC 27001 an. Inhaltlich beschreibt sie das Thema Informationssicherheit im Rahmen eines Managementsystems. Sie müssen nicht das gesamte Managementsystem nach ISO 27001 einführen und sich sofort danach zertifizieren lassen. Um Mehrwert für Ihr tägliches Geschäft zu erhalten, können Sie auch gezielt einzelne Elemente der Norm als Best-Practice-Empfehlung herausgreifen.

Der Standard ISO/IEC 27001 gliedert sich in zehn Kapitel, die das Managementsystem beschreiben, sowie in einen Anhang A. Auch wenn es auf den ersten Blick nur ein Anhang ist, enthält dieser wesentliche Informationen in Form von konkreten Schutzmaßnahmen, die Ihnen als Hilfestellung dienen. Ob und in welchem Umfang Sie jede der über 100 Controls implementieren, obliegt Ihrer Einschätzung des zugrundeliegenden Risikos.

Im Anhang A wird jede der Schutzmaßnahmen sehr kurz mit einem Satz beschrieben. Benötigen Sie tiefergehende Informationen zu jedem Punkt, müssen Sie den Standard ISO 27002 hinzuziehen. Dieser enthält zu jeder einzelnen Maßnahme eine ausführliche Erläuterung. Nachfolgend stellen wir ausgewählte Maßnahmen aus dem Standard vor, die Sie dabei unterstützen, ein strukturiertes Konzept zum Schutz vor Malware und Angriffen zu implementieren.

Vorgabe der Geschäftsleitung

Bevor Sie Entscheidungen über konkrete (Software-)Lösungen zum Schutz der IT-Sicherheit treffen können, sollten Sie auf übergeordnete Unternehmensvorgaben zur Informationssicherheit (inklusive IT-Sicherheit) zurückgreifen können. Der Standard fordert dazu im ersten Punkt des Anhangs A5, der aus historischen Gründen mit Punkt 5 beginnt, eine Leitlinie zur Informationssicherheit. Diese Vorgaben sollten Sie sich von oberster Ebene verabschieden lassen. Sie erhalten dadurch den gewünschten Sicherheitslevel des Unternehmens als Maßgabe, auf Basis dessen Sie die

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.