ISO 27001 Prozesse & Verfahren

 

Muster-Kernprozesse und IT-Verfahren-Vorlagen für die praktische Umsetzung

———-

Geprüfte Dokumente für das Zertifizierungs-Audit

Für alle, die eine Implementierung selbst in die Hand nehmen …

 

  • Alle wesentlichen Prozess-Beschreibungen in einem Toolkit

  • Vordefinierte Anweisungen und Verfahren für das gesamte ISMS-Team

  • Detaillierte Vorlagen und Checklisten für Cloud, Virtualisierung etc.

  • Übersicht, welche Prozesse zu welchem Bereich der ISO 27001 gehört

  • 31 Verfahrensanweisungen die Infrastruktur, IT-Systeme & Anwendungen

  • Zusätzlich eine Muster-Vorlagen-Toolkit für die Erstellung weiterer Prozesse

Bewährte Prozess-Vorlagen zur Einführung der ISO 27001 in der Version 2022

Wenn Sie vor der Aufgabe stehen, die ISO Norm 27001 zur Informationssicherheit in Ihrem Unternehmen einzuführen, sind Sie wahrscheinlich erst einmal von der Komplexität und Aufgabenvielfalt überrascht. ISO 27001-Haus Prozesse_VerfahrenSie werden daher wahrscheinlich nach einer Art „Leitfaden“ suchen, der Ihnen bei dieser Aufgabe hilft. Es gibt aber nicht nur den einen Leitfanden, der alles umfasst. Schauen Sie sich das skizzierte Haus dazu an: Es besteht aus mehreren Teilen: Neben einer übergreifenden Implementierung als Basis, ist die Entwicklung wichtiger Dokumentation aus Leit- und Richtlinien ein weiteres notwendiges Element der Norm.

Ein zustäzlicher Baustein der Norm umfasst die Erstellung unternehmes-individueller IT-Prozesse und Verfahrensanweisungen. Für all diese Anforderungen stellt vialevo geeignete Muster-Lösungen zur Verfügung.

In dem hier angebotenen Tool geht es konkret um die Bereitstellung geeigneter IT-Prozesse und Verfahrensanweisungen (dunkelblau hervorgehobene Teile).

Dr. Michael MonkaDie Erstellung dieser Prozesse und ISO-27001 konformen IT-Verfahrensanweisungen ist nicht nur sehr zeitintensiv. Die Festlegung aller Abläufe kostet auch viel Abstimmungsaufwand. Als zertifizierter externer Lead-Auditor für den TÜV-Rheinland kenne ich die genauen Anforderungen an Prozesse, Dokumente, Analysen und Formalien auch aus der Sicht eines Auditors.  Es ist im Erstellungsprozess einfacher – ausgehend von einer Musterlösung – die eigenen Verfahren zu definieren, als diese komplett neu aufzusetzen.
Daher habe ich ein Paket entwickelt, dass alle notwendigen IT-Prozesse und Verfahrensan-weisungen enthält, so dass Sie sich auf das Wesentliche konzentrieren können. In der folgenden Übersicht werden die einzelnen Lösungen näher vorgestellt.

Wenn Sie die weiteren ISO 27001 Toolkits kennenlernen möchten, dann schauen Sie sich gerne auch unsere Musterlösungen für die ISO 27001- Implementierung-Tools  – sowie ausgearbeitete Vorlagen zu den Richtlinien an. Wenn Sie weitere Fragen dazu haben, kontaktieren Sie mich gerne über den Link https://www.vialevo.de/auf-einen-kaffee/.

Hinweis für Berater: Das vorliegende Angebot richtet sich ausschließlich an Unternehmen, die die ISO 27001 in eigener Regie einführen möchten. Die Tools sind mithin Unternehmenslizenzen.

Im folgenden eine Übersicht, was das Richtlinien-Paket im Einzelnen enthält.

Beispiel für einen ISO 27001 Kernprozess

Um sich ein genaueres Bild zu machen, haben wir einen der ISMS-Prozesse einmal komplett dargestellt. Im Aufbau und Stil sind alle Prozesse identisch. In den folgenden Reitern werden die Inhalte jedes Prozesses genauer beschrieben.

ISO 27001 Prozesse 1

ISO 27001 Prozesse 2ISO 27001 Prozesse 3ISO 27001 Prozesse 4

 

ISO 27001 Projekt- und Umsetzungsdokumentation

 

Dieses Excel-Sheet ist quasi das Cockpit für alle Tools. Denn von hieraus können sie den Einsatz steuern und erhalten zudem stets die Übersicht, welches Tool an welcher Stelle der Norm einzusetzen ist. Sie können es daher gleichzeitig als Projekt– und als Umsetzungsdokumentation einsetzen.

Es gibt zwei Register. Das hier sichtbare Register beschreibt alle notwendigen Voraussetzungen für das ISMS (insgesamt 94 Punkte), wie Sie in der Legende gut erkennen können. Unter „Status“ können Sie den aktuellen Umetzungsstand eintragen – und auch hier dokumentiert die Legende den gegenwärtigen Stand mit.

Wie für ein Umsetzungs-Tool üblich, können Sie hier zudem Fertigstellungszeiträume und Verantwortlichkeiten eintragen. Wir haben an dieser Stelle die notwendigen Dokumente aufgeführt – denn nur so sehen Sie auf einem Blick, welche Dinge noch offen sind.

Im zweiten Register sind alle Controlls des Anhangs A in derselben Systematik aufgebaut (insgesamt 96 Maßnahmen)

Vorlage Rollenbeschreibung ISMS-Team

In diesem Dokument geht es um die Rollen, die in den ISMS-Prozessen zum Einsatz kommen. Werden die Rollen zu Teams zusammen getragen, muss jede Rolle zur Abgrenzung klar definiert sein.

Ein spezialisiertes ISMS-Team stellt mithin sicher, dass die Sicherheitspraktiken optimal umgesetzt und an die sich ändernden Bedrohungen und Geschäftsanforderungen angepasst werden. Zu den Rollen im ISMS-Team gehören die Geschäftsführung, CISO, Informationssicherheitsbeauftragter, ISMS-Support-Team, Analysten, Sicherheitsarchitekt, Compliance Officer, Schulungsbeauftragter und Incident Manager. Nicht jedes Unternehmen wird alle Rollen auf einzelne Mitarbeiter verteilen. Es ist daher legitim, wenn einzelne Mitarbeiter mehrere Rollen einnehmen.

In den Prozessen werden die Rollen-Namen verwendet, um die Beschreibungen übersichtlicher zu gestalten. Nutzen Sie dieses Dokument, um die detaillierten Aufgaben mit den Rollen in ihrem Unternehmen abzugleichen.

Prozess zum Aufbau und kontinuierlichen Verbesserung eines ISMS

Ein funktionierendes Informationssicherheits-Managementsystem (ISMS) basiert auf dem Prozess der kontinuierlichen Verbesserung. Ziel ist es, vorhandenes Verbesserungspotenzial zu nutzen, um sich schrittweise dem gewünschten Sicherheitsniveau anzunähern. Dieses Niveau wird in der Regel nicht sofort erreicht, sondern erfordert ständige Anpassung und Optimierung.

Im Mittelpunkt steht das sogenannte PDCA-Modell (Plan-Do-Check-Act), ein Regelkreis, der aus vier Phasen besteht:

1. PLAN-Phase: Planung der Maßnahmen zur Erreichung der Sicherheitsziele basierend auf Analysen und Risikobewertungen.
2. DO-Phase: Umsetzung der geplanten Maßnahmen, wie die Einführung neuer Sicherheitskontrollen oder Schulungen.
3. CHECK-Phase: Überprüfung der Effektivität der Maßnahmen durch Audits und Analyse von Sicherheitsvorfällen.
4. ACT-Phase: Identifikation von Verbesserungsmöglichkeiten und Festlegung notwendiger Änderungen, die in die nächste PLAN-Phase überführt werden.

Das wiederholte Durchlaufen dieser Phasen führt zu einer kontinuierlichen Annäherung an das Sicherheitsziel. Der PDCA-Zyklus fungiert als Modell für die ständige Optimierung und Anpassung des ISMS.

Prozess zur Festlegung und Durchführung eines ISMS-Risikomanagements

In diesem Prozess geht es um die Umsetzung eines risikobasierten Ansatzes gemäß der ISO 27001, welcher sich auf die Identifizierung, Analyse und Bewertung von Risiken für die Informationssicherheit einer Organisation konzentriert. Die Notwendigkeit von Maßnahmen orientiert sich immer an den spezifischen Risiken, die die Sicherheitsziele der Organisation gefährden könnten.
Der Prozess der Risikobeurteilung umfasst die Risiko-Identifizierung, -Analyse und -Bewertung. Zunächst werden relevante Risiken für Geschäftsprozesse ermittelt und bewertet. Die Risiko-Analyse bestimmt die Höhe der Risiken durch Kombination von Eintrittshäufigkeit und Schadenshöhe, eingeteilt in Klassen. Die Risikobewertung klassifiziert die Risiken nach ihren Auswirkungen. Nach der Beurteilung werden Maßnahmen zur Risikobehandlung priorisiert und umgesetzt. Schließlich wird das verbleibende Risiko überwacht und bei Bedarf mit weiteren Maßnahmen adressiert. Ziel ist die systematische Sicherstellung der Informationssicherheit der Organisation.

Prozess zum Aufbau und zum Betrieb von Dokumenten zur Informationssicherheit

Im Prozess der dokumentierten Information gemäß ISMS 7.5 der ISO 27001 geht es um die strukturierte Verwaltung von Dokumentation und Aufzeichnungen, die sowohl von der Norm verlangt als auch von der Organisation bereitgestellt werden. Dieser Prozess gliedert sich in mehrere wesentliche Schritte:

• Erstellung und Aktualisierung dokumentierter Information
• Kennzeichnung und Formatierung
• Kontrolle und Schutz
• Umgang mit externen Informationen

Prozess zur Überwachung, Messung, Analyse und Bewertung eines ISMS

In diesem Prozess geht es darum, die Leistung und Wirksamkeit des Informationssicherheitsmanagementsystems (ISMS) einer Organisation kontinuierlich zu überwachen, zu messen, zu analysieren und zu bewerten. Die Organisation hat dabei weitgehend freie Hand bei der Gestaltung eines passenden Messprogramms, solange einige wesentliche Anforderungen erfüllt werden. Diese Flexibilität ermöglicht es jeder Organisation, das Programm an ihre spezifischen Bedürfnisse und Risikoprofile anzupassen.

• Festlegen und Dokumentieren der Überwachungs- und Messkriterien
• Auswahl der Methoden
• Durchführung der Überwachungs- und Messaktivitäten
• Analyse und Bewertung der Ergebnisse
• Dokumentation und Aufbewahrung von Nachweisen

Prozess zur Durchführung interner Audits

Das interne Audit gemäß ISO 27001, im speziellen unter Abschnitt 9.2 des Information Security Management Systems (ISMS), stellt einen zentralen Prozess dar, der die Einhaltung und Wirksamkeit des ISMS sicherstellt. Dieser Prozess dient dazu, die jährlich aktuelle Umsetzung des ISMS mit den definierten Anforderungen abzugleichen und kontinuierliche Verbesserungen zu fördern.

Der primäre Zweck des internen Audits ist es, in geplanten Intervallen eine Bewertung durchzuführen, ob das ISMS:
1. Den internen Anforderungen der Organisation sowie den Anforderungen der ISO 27001 entspricht.
2. Effektiv implementiert und kontinuierlich weiterentwickelt wird.

Die wesentlichen Prozess-Schritte dazu sind:

    • Regelmäßigkeit und Planung
    • Durchführung des Audits
    • Inhalt und Kriterien
        – Berücksichtigung der Ergebnisse vorheriger Audits und Überprüfung der Umsetzung von Korrekturmaßnahmen.
        – Festlegung der Auditfrequenz und -intervalle.
        – Bewertung der Einhaltung sowohl interner Anforderungen als auch der Norm ISO 27001.
        – Klar definierte Kriterien für die Durchführung der Audits, einschließlich der Auswahl der Audi-toren, notwendiger Teilnehmer,
          Ablauf und Bewertung der Auditergebnisse.
   • Dokumentation und Nachweise
   • Schulung und Qualifikation
   • Remote Audits

Prozess zur Informationssicherheit in Bezug auf externe Dienstleister

Durch die sorgfältige Planung und Kontrolle der Lieferantenbeziehungen gemäß ISO 27001 kann eine Organisation sicherstellen, dass ihre Informationssicherheit auch in Zusammenarbeit mit externen Dienstleistern gewahrt bleibt. Dies trägt maßgeblich zur Reduktion von Risiken und zur Sicherstellung der Integrität, Verfügbarkeit und Vertraulichkeit der Informationen bei.

Dieser Prozess ist darauf ausgerichtet, die Informationssicherheit bei der Zusammenarbeit mit externen Lieferanten sicherzustellen. Externe Lieferanten können in verschiedenen Bereichen eingesetzt werden, darunter Cloud-Anbieter, Outsourcing-Dienstleister, Internet- und E-Mail-Provider, Wartungstechniker und mehr. Diese externen Parteien haben oft Zugang zu kritischen Informationen und IT-Systemen der Organisation, was sie zu potenziellen Sicherheitsrisiken macht.

Prozess zu Informations-Sicherheitsvorfällen

Der Prozess der Planung und Handhabung von Informationssicherheitsvorfällen (sog. Incidents) gemäß ISO 27001 (Abschnitte A-5.24 bis A-5.28) ist essenziell, um sicherzustellen, dass eine Organisation effektiv auf Sicherheitsvorfälle reagieren und aus ihnen lernen kann. Ziel ist es, die Integrität, Verfügbarkeit und Vertraulichkeit von Informationen zu schützen und sicherzustellen, dass Vorfälle systematisch erfasst, bewertet und bearbeitet werden.

Der Hauptzweck dieses Prozesses ist es, ein strukturiertes Vorgehen für die Erkennung, Bewertung, Bearbeitung und Analyse von Informationssicherheitsvorfällen zu etablieren. Dadurch soll gewährleistet werden, dass die Organisation schnell und angemessen auf Vorfälle reagieren kann und die Informationssicherheit kontinuierlich verbessert wird.

Prozess zur Bereitschaft der Geschäftskontinuität BCM

Der Prozess der IKT-Bereitschaft für Business Continuity gemäß den Abschnitten A-5.30 der ISO 27001 ist entscheidend, um sicherzustellen, dass eine Organisation in der Lage ist, auf Störungen und Ausfälle der Informations- und Kommunikationstechnologie (IKT) vorrausschauend, schnell, und effektiv zu reagieren. Das Hauptziel ist die Aufrechterhaltung und Wiederherstellung des Geschäftsbetriebs im Falle von Unterbrechungen, um Schäden zu minimieren und die Geschäftsprozesse schnellstmöglich wiederherzustellen.

Der Prozess zielt darauf ab, präventive, detektierende und reaktive Maßnahmen zu implementieren, um die Kontinuität der Geschäftsprozesse zu gewährleisten. Dies beinhaltet die Identifizierung kritischer Geschäftsprozesse, die Durchführung einer Business Impact Analysis (BIA) und die Entwicklung von Kontinuitätslösungen, um Service Level Agreements (SLAs) und Operational Level Agreements (OLAs) einzuhalten.

Prozess zur Informationssicherheit beim Personal

Der Personal-Prozess gemäß ISO 27001 umfasst die Sicherheitsüberprüfung, die Sicherheitsanforderungen bei Neueinstellungen und Versetzungen sowie die Sensibilisierung, Schulung und Ausbildung der Mitarbeiter. Diese drei Prozesse sind essenziell, um die Integrität und Sicherheit der Organisation zu gewährleisten. Sie greifen ineinander, indem sie sicherstellen, dass alle Mitarbeiter und externes Personal gründlich überprüft werden, klare vertragliche Sicherheitsanforderungen einhalten und kontinuierlich über die neuesten Informationssicherheitspraktiken informiert und geschult werden. Diese Verknüpfung schafft eine umfassende Sicherheitskultur, die Risiken minimiert und die Resilienz der Organisation stärkt.

Prozess zum Change-Management

Der Prozess der Änderungssteuerung, auch bekannt als Change-Management, ist ein essenzieller Bestandteil des Information Security Management Systems (ISMS) gemäß ISO 27001. Ziel dieses Prozesses ist es, sicherzustellen, dass alle Änderungen an informationsverarbeitenden Einrichtungen und IT-Systemen kontrolliert und geregelt ablaufen. Durch die formale Struktur des Change-Managements wird gewährleistet, dass die Informationssicherheit der Organisation nicht durch unüberlegte oder ungeplante Änderungen gefährdet wird.

Beispiel für eine IT-Verfahrens bzw. Betriebsanweisung zur ISO 27001

Um sich ein genaueres Bild zu machen, haben wir eine Verfahrensanweisung einmal komplett dargestellt. Im Aufbau und Stil sind alle Anweisungen identisch. In den folgenden Reitern werden die Inhalte jeder Verfahrensanweisung genauer beschrieben.

ISO 27001 Verfahren 1ISO 27001 Verfahren 2ISO 27001 Verfahren 3

ISO 27001 Verfahrens- und Betriebsanweisungen zum Bereich "Infrastruktur"

SERVERRAUM

Die Arbeitsanweisung „Serverräume“ beschreibt die Anforderungen an die Planung, Einrichtung und den Betrieb von Serverräumen, um Server und IT-Infrastruktur angemessen physisch und organisatorisch zu schützen. Ziel ist die Gewährleistung eines sicheren, zuverlässigen Betriebs sowie der Schutz vor Umweltgefahren und unbefugtem Zugriff.

Folgende Aspekte werden in der Anweisung berücksichtigt: Serverräume müssen als geschlossene Sicherheitsbereiche gestaltet sein, die unbefugten Zutritt durch Zutrittskontrollmechanismen, Sicherheitstüren und -fenster verhindern. Sie dürfen nur von berechtigten Personen für kurzfristige Aufgaben betreten werden. Brandschutzmaßnahmen umfassen Rauchverbot, Handfeuerlöscher und Not-Aus-Schalter. Risiken durch wasserführende Leitungen oder Umgebungseinflüsse sind zu minimieren. Eine geeignete Klimatisierung und eine an die technischen Anforderungen angepasste Stromversorgung, inklusive Überspannungsschutz und unterbrechungsfreier Stromversorgung, müssen gewährleistet sein.

Die Arbeitsanweisung betont die Notwendigkeit eines dauerhaft verschlossenen Serverraums, wenn er nicht genutzt wird, sowie die Erfüllung aller relevanten Vorgaben zur Absicherung der IT-Infrastruktur. Sie schafft damit die Grundlage für die Einhaltung der Anforderungen an Informationssicherheit gemäß ISO 27001.

HÄUSLICHER ARBEITSPLATZ

Die Arbeitsanweisung „Häuslicher Arbeitsplatz“ beschreibt die Anforderungen und Sicherheitsmaßnahmen, die erforderlich sind, um eine mit der Büroumgebung vergleichbare Sicherheit zu gewährleisten, wenn dienstliche Tätigkeiten außerhalb der Unternehmensräumlichkeiten in häuslicher Umgebung durchgeführt werden.

Folgende Aspekte werden in der Anweisung berücksichtigt: Der häusliche Arbeitsplatz sollte idealerweise durch eine Tür vom Rest der Wohnung abgetrennt und als separates Arbeitszimmer eingerichtet sein. Es muss eine geeignete Arbeitsumgebung mit ausreichendem Platz, passender Ausstattung, Beleuchtung, Beheizung sowie Strom- und Telefonanschlüssen bereitgestellt werden. Dienstliche Unterlagen und Datenträger sind in verschließbaren Behältnissen sicher aufzubewahren, um unbefugten Zugriff zu verhindern. Es sind klare Regelungen zu treffen, welche Informationen am häuslichen Arbeitsplatz bearbeitet und transportiert werden dürfen. Fenster und Türen müssen verschlossen sein, wenn der Arbeitsplatz unbesetzt ist. Vertrauliche Informationen sind sicher zu entsorgen und dürfen nicht in den Hausmüll gelangen.

MOBILER ARBEITSPLATZ

Die Arbeitsanweisung „Mobile Arbeitsplätze“ beschreibt die Anforderungen an den sicheren Umgang mit Informationen und IT-Systemen, die außerhalb der geschützten Büroumgebung verarbeitet oder transportiert werden. Ziel ist es, ein angemessenes Sicherheitsniveau trotz variierender Umgebungsbedingungen sicherzustellen.

Folgende Aspekte werden in der Anweisung berücksichtigt: Es sind klare Regelungen zur Mitnahme und Nutzung von Datenträgern und mobilen Endgeräten wie Laptops oder Smartphones zu treffen. Nutzer werden sensibilisiert und über spezifische Gefährdungen sowie Schutzmaßnahmen informiert. Sensible Informationen dürfen nicht in ungeschützten Umgebungen verarbeitet werden, um Risiken wie Mithören oder Mitlesen zu vermeiden. Dienstliche Unterlagen und Geräte dürfen an mobilen Arbeitsplätzen nicht unbeaufsichtigt bleiben und müssen gegen Diebstahl gesichert werden. Datenträger sind sicher zu entsorgen; sensible Informationen sind nach Möglichkeit zurückzuführen und institutsintern zu vernichten. Bei Nutzung fremder IT-Systeme, z. B. in Internet-Cafés, dürfen keine vertraulichen Informationen bearbeitet werden, und der Schutz sensibler Daten ist durch Maßnahmen wie das Löschen von Browser-Caches sicherzustellen.

BESPRECHUNGS-SCHULUNGSRAUM

Die Arbeitsanweisung „Besprechungs-, Veranstaltungs- und Schulungsräume“ beschreibt die Anforderungen an die sichere Nutzung und den Schutz von Informationen in Räumen, die von wechselnden internen und externen Personen genutzt werden. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Informationen zu gewährleisten.

Folgende Aspekte werden in der Anweisung berücksichtigt: Informationen, die in diesen Räumen ausgetauscht werden, sind gemäß ihrem Schutzbedarf vor unbefugter Kenntnisnahme zu sichern. Externe Teilnsicher ehmer dürfen keine sicherheitskritischen Bereiche unbeaufsichtigt betreten. Die in den Räumen vorhandene IT muss sicher konfiguriert, vor Manipulationen geschützt und mit Sicherheitsprogrammen wie Virenschutz und Firewalls ausgestattet sein. Klare Regelungen für die Nutzung und Absicherung von LAN- und TK-Schnittstellen sind erforderlich, um unautorisierte Verbindungen zu verhindern. Für dauerhaft betriebene IT-Systeme sind vordefinierte Standardkonfigurationen und restriktive Einstellungen notwendig. Zudem ist sicherzustellen, dass alle Benutzer über potenzielle Gefahren, wie „wilde“ Zugänge, aufgeklärt werden.

ISO 27001 Verfahrens- und Betriebsanweisungen zum Bereich "Systeme & Netze"

SERVER

Die Arbeitsanweisung „Serverbetrieb“ beschreibt die Anforderungen an die sichere Aufstellung, den Betrieb und die Verwaltung von Servern, um den Schutz sensibler Daten und die Stabilität der IT-Infrastruktur zu gewährleisten. Ziel ist es, unbefugten Zugriff zu verhindern und den Betrieb sicher und effizient zu gestalten.

Folgende Aspekte werden in der Anweisung berücksichtigt: Server sind an Orten mit eingeschränktem Zugang, wie Rechenzentren oder abschließbaren Serverschränken, zu betreiben. Nur berechtigte Personen erhalten Zutritt oder Zugriff. Die Server müssen an unterbrechungsfreie Stromversorgungen (USV) angeschlossen werden, um bei Stromausfällen geordnet heruntergefahren zu werden. Zugriffsrechte auf Serverdateien sind restriktiv zu vergeben, sodass Nutzer nur auf notwendige Daten zugreifen können. Sicherheitsgateways schützen das Netzwerk, und Server, die externe Dienste anbieten, sind in einer DMZ zu platzieren. Netzwerke sollten so strukturiert sein, dass Server und Clients in getrennten Subnetzen operieren. Administrationszugriffe erfordern geeignete Sicherheitsvorkehrungen, und es sind Regelungen zur Protokollierung und Aufbewahrung von Server-Logs zu treffen. Nicht benötigte Netzdienste sind zu deaktivieren oder zu deinstallieren.

CLIENT

Die Arbeitsanweisung „Client-Sicherheit“ beschreibt die Anforderungen an die sichere Installation, Konfiguration und Nutzung von IT-Systemen, die als Clients in einem Netzwerk betrieben werden. Ziel ist es, den Schutz der IT-Infrastruktur und der darauf verarbeiteten Informationen zu gewährleisten.

Folgende Aspekte werden in der Anweisung berücksichtigt: Vor der Installation wird festgelegt, welche Systemkomponenten und Anwendungen benötigt werden. Installationen sollten offline erfolgen und ausschließlich sichere Medienquellen nutzen. Es ist sicherzustellen, dass eine Trennung zwischen Administrator- und Benutzerumgebungen besteht, wobei reguläres Arbeiten in der Administratorumgebung zu vermeiden ist. Für eine effiziente Einrichtung vieler Clients wird eine generische Installation empfohlen. Nicht benötigte Programme, Dienste und Benutzerkonten sind zu deaktivieren oder zu entfernen. Berechtigungen für Systemdateien und -verzeichnisse müssen überprüft und entsprechend den Sicherheitsrichtlinien konfiguriert sein. Clients mit erhöhtem Schutzbedarf sollen durch lokale Paketfilter zusätzlich abgesichert werden. Zudem müssen automatische Bildschirmsperren eingerichtet und Benutzer angewiesen werden, sich nach Beendigung ihrer Aufgaben abzumelden.

NOTEBOOK

Die Arbeitsanweisung „Notebook-Sicherheit“ beschreibt die Anforderungen an die sichere Nutzung, Konfiguration und Verwaltung von Laptops, um die Vertraulichkeit, Integrität und Verfügbarkeit der darauf verarbeiteten Informationen zu gewährleisten. Ziel ist es, Sicherheitsrisiken bei der mobilen und stationären Nutzung zu minimieren. Folgende Aspekte werden in der Anweisung berücksichtigt: Betriebssystem- und Software-Komponenten müssen sicher installiert und regelmäßig aktualisiert werden, einschließlich zeitnaher Installation von Sicherheitspatches. Die Konfiguration darf nur administrativ verändert werden. Laptops sind nach externem Einsatz auf Schadsoftware zu überprüfen, bevor sie wieder mit dem internen Netzwerk verbunden werden. Vertrauliche Daten und Datenträger müssen verschlüsselt werden, um sie vor unbefugtem Zugriff bei Verlust oder Diebstahl zu schützen.

Datensicherungen sollten automatisiert und regelmäßig durchgeführt werden. Zugriffe auf interne Netzwerke erfolgen ausschließlich verschlüsselt, beispielsweise über VPN. Für mobile Geräte sind Sicherheitsvorkehrungen wie Diebstahlsicherungen, Virenschutzprogramme und Personal Firewalls unerlässlich. Authentisierung und Verschlüsselung müssen durch starke Passwörter gewährleistet sein. Die Nutzung externer Speichermedien ist mit besonderer Vorsicht zu handhaben, um Datenverluste oder Schadsoftware zu vermeiden.

FIREWALL

Die Arbeitsanweisung „Sicherheitsgateway (Firewall)“ beschreibt die Anforderungen an die Installation, Konfiguration und Nutzung von Sicherheitsgateways, um Netzwerke vor unbefugtem Zugriff und unerlaubtem Datentransfer zu schützen. Ziel ist die Gewährleistung der Netzwerksicherheit durch kontrollierten Datenverkehr zwischen internen und externen Netzen. Folgende Aspekte werden in der Anweisung berücksichtigt: Sicherheitsgateways schützen interne Netze, insbesondere am Übergang zum Internet. Es ist sicherzustellen, dass keine unbefugten, extern initiierten Verbindungen in das interne Netz erfolgen. Die Gateways sollten aus mehreren Komponenten mit Paketfilter- und Applikationsebene (PAP-Struktur) bestehen. Es sind klare Regeln zu definieren, die ausschließlich genehmigte Verbindungen zulassen (Whitelist-Ansatz), während alle anderen Verbindungen blockiert werden.

Server für Dienste wie E-Mail oder Webauftritte müssen in einer demilitarisierten Zone (DMZ) des Gateways platziert werden. Verbindungen zwischen Netzen sollten über Proxy-Funktionalitäten im Gateway neu aufgebaut werden. Um Angriffe oder Fehler zu analysieren, müssen Protokolle der Gateway-Komponenten erstellt werden, unter Berücksichtigung rechtlicher Rahmenbedingungen. Sicherheitsgateways müssen unzugänglich für Unbefugte in geschützten Bereichen wie Serverräumen installiert werden.

ROUTER SWITCH

Die Arbeitsanweisung „Router und Switches“ beschreibt die Anforderungen an den sicheren Betrieb und die Verwaltung von Netzkomponenten, um die IT-Infrastruktur vor Ausfällen, unbefugten Zugriffen und Manipulationen zu schützen. Ziel ist es, die Verfügbarkeit und Sicherheit der Netzwerkkommunikation sicherzustellen. Folgende Aspekte werden in der Anweisung berücksichtigt: Vor der Beschaffung von Routern und Switches ist eine Sicherheitsstrategie zu definieren und zu dokumentieren. Die Geräte müssen in geschützten Bereichen aufgestellt werden, die nur Berechtigten zugänglich sind. Betriebssysteme auf den Geräten sind regelmäßig durch Updates und Patches aktuell zu halten, wobei unnötige Dienste deaktiviert werden. Administration erfolgt lokal oder remote, wobei eine verschlüsselte Kommunikation, z. B. über SSH, sichergestellt werden muss.

Voreingestellte Passwörter sind zu ändern und verschlüsselt zu speichern. Zugriffsrechte werden restriktiv vergeben und durch Access Control Lists (ACLs) kontrolliert. Eine sorgfältige Protokollierung ermöglicht die Überwachung der Funktionalität und die Erkennung von Angriffen. Regelmäßige Backups der Konfigurationen gewährleisten den Zugriff bei Systemausfällen.

SPEICHERSYSTEME

Die Arbeitsanweisung „Speichersysteme und Speichernetze (SAN, NAS)“ beschreibt die Anforderungen an die sichere Planung, Konfiguration, Verwaltung und den Betrieb von Speichersystemen und -netzen, um die Verfügbarkeit, Integrität und Vertraulichkeit der gespeicherten Daten zu gewährleisten. Folgende Aspekte werden in der Anweisung berücksichtigt: Administratoren müssen speziell geschult sein, um die technischen und sicherheitsrelevanten Anforderungen von Speichersystemen zu beherrschen. Die Auswahl geeigneter Speichersysteme basiert auf einer Anforderungsanalyse zu Verfügbarkeit, Leistung und Kapazität, wobei regelmäßige Überprüfungen zur Anpassung der Kapazitäten erforderlich sind.

Vor der Inbetriebnahme ist die Konfiguration in einem gesicherten Testnetz oder Administrationsnetz vorzunehmen, da Geräte oft ohne aktive Sicherheitsmechanismen ausgeliefert werden. Alle Änderungen und Aktualisierungen sind sorgfältig zu planen und zu testen. Zur Vermeidung von Single Points of Failure sind Redundanzen für Systeme mit hohen Verfügbarkeitsanforderungen einzuplanen. Bei der Außerbetriebnahme eines Speichersystems ist ein sicheres Verfahren zur Migration der Daten erforderlich, um institutionelle und gesetzliche Anforderungen, wie Aufbewahrungsfristen, zu erfüllen. Eine vollständige und aktuelle Dokumentation gewährleistet schnelle Reaktionen im Notfall und minimiert Risiken bei Änderungen.

VIRTUALISIERUNG

Die Arbeitsanweisung „Virtualisierung“ beschreibt die Anforderungen an die Planung, den Betrieb und die Sicherheit von virtuellen IT-Systemen und deren Infrastruktur. Ziel ist es, eine sichere, leistungsfähige und effiziente Nutzung von Virtualisierungsumgebungen zu gewährleisten. Folgende Aspekte werden in der Anweisung berücksichtigt: Bereits in der Planungsphase ist eine genaue Analyse der Rahmenbedingungen durchzuführen. Es muss geprüft werden, ob die geplanten Anwendungen mit der Virtualisierungsplattform kompatibel sind. Der Schutzbedarf der virtuellen IT-Systeme bestimmt, welche Systeme gemeinsam auf einem Virtualisierungsserver betrieben werden können. Die Virtualisierungssoftware muss eine ausreichende Isolation und Kapselung gewährleisten, um unkontrollierte Kommunikation oder Zugriffe zu verhindern.

Auf Virtualisierungsservern dürfen nur Dienste laufen, die direkt der Virtualisierung dienen. Die Hardwareauswahl sollte sicherstellen, dass alle virtuellen Systeme mit ausreichender Leistung betrieben werden können. Verwaltungsschnittstellen der Server sind in einem separaten Netz zu betreiben, das physisch oder logisch vom Netz der virtuellen Systeme getrennt ist. Die Systemzeit der virtuellen IT-Systeme muss stets korrekt sein. Darüber hinaus sind verbindliche Regelungen zur Nutzung von Gastwerkzeugen zu definieren.

TK-ANLAGE

Die Arbeitsanweisung „TK-Anlagen“ beschreibt die Anforderungen an die sichere Nutzung, Verwaltung und Konfiguration von Telekommunikationsanlagen, um Kommunikationsdienste vor unbefugtem Zugriff zu schützen und Sicherheitsrisiken zu minimieren. Ziel ist die sichere Bereitstellung von Sprachtelefonie und zusätzlichen Diensten wie Datenübertragung und Konferenzschaltungen. Folgende Aspekte werden in der Anweisung berücksichtigt: Anforderungen an die TK-Anlage werden anhand der Kommunikationsdienste und Einsatzszenarien definiert und geeignete Produkte ausgewählt. Benutzer sind im sicheren Umgang mit Diensten zu schulen, insbesondere im Hinblick auf Risiken durch Konferenzschaltungen oder Rufumleitungen. Standardpasswörter müssen direkt nach der Installation geändert werden, und zentrale Komponenten sind mit Zugangskontrollen abzusichern.

Administrationsschnittstellen der TK-Anlage sind vor unbefugtem Zugriff zu schützen. Personenbezogene Daten, die über die Anlage verarbeitet werden, sind durch Zugangsbeschränkungen, Verschlüsselung beim Transport und auf Datenträgern zu sichern. Sicherheitsrelevante Informationen auf Komponenten, die außer Betrieb genommen werden, sind sicher zu löschen. Zusätzlich sind klare Regelungen zu definieren, welche Kommunikationsdienste genutzt werden dürfen und wie interne IT-Systeme zu schützen sind.

SYS-NET MOBILTEL SMARTPHONE

Die Arbeitsanweisung „Mobiltelefone und Smartphones“ beschreibt die Anforderungen an den sicheren Einsatz, die Verwaltung und den Schutz von Mobiltelefonen in einer Institution, um Missbrauch, Diebstahl und Sicherheitsrisiken zu minimieren. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Informationen zu gewährleisten. Folgende Aspekte werden in der Anweisung berücksichtigt: Rahmenbedingungen und Sicherheitsanforderungen für den Einsatz von Mobiltelefonen, einschließlich privater Geräte, müssen definiert werden. Mitarbeiter sind über die Nutzung und mögliche Gefährdungen aufzuklären. Mobiltelefone dürfen nicht unbeaufsichtigt an unsicheren Orten zurückgelassen werden; bei Verlust oder Diebstahl ist eine sofortige Sperrung erforderlich. Sicherheitsmechanismen wie PINs oder Passwörter sind zwingend zu verwenden und dürfen nicht leicht zu erraten sein.

Kommunikationsschnittstellen wie Bluetooth oder USB sind nur bei Bedarf zu aktivieren, und Datenübertragungen sowie sensible Daten auf den Geräten sollten verschlüsselt werden. Der Verbindungsaufbau ins Internet oder das Herunterladen von MMS erfordert eine explizite Bestätigung des Nutzers. Sensible Informationen sollten nicht über Mobiltelefone weitergegeben werden. Vor der Weitergabe oder Entsorgung eines Geräts müssen alle sensiblen Daten vollständig gelöscht werden.

DRUCKER & MULTIFUNKTIONSGERÄTE

Die Arbeitsanweisung „Drucker, Kopierer und Multifunktionsgeräte“ beschreibt die Anforderungen an die sichere Nutzung, Verwaltung und Entsorgung dieser Geräte in Büroumgebungen, um Informationen zu schützen und Sicherheitsrisiken zu minimieren. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Daten zu gewährleisten. Folgende Aspekte werden in der Anweisung berücksichtigt: Bei der Planung ist zu entscheiden, ob lokale oder netzfähige Geräte eingesetzt werden. Sensible Informationen sollten bevorzugt über lokale Drucker verarbeitet werden, während zentrale Geräte für weniger kritische Daten genutzt werden können. Geräte sind so aufzustellen, dass Unbefugte keinen Zugriff haben, insbesondere nicht in öffentlich zugänglichen Bereichen.

Netzwerkverbindungen von Geräten müssen gesichert und Zugriffe durch Authentifizierung geregelt werden. Nicht benötigte Funktionen sollten deaktiviert werden, um unnötige Risiken zu vermeiden. Druckserver sind wie andere IT-Systeme durch geeignete Sicherheitsmaßnahmen abzusichern. Vor der Entsorgung oder dem Austausch von Geräten müssen alle sicherheitsrelevanten Daten von den Geräten vollständig gelöscht werden.

LAN

Die Arbeitsanweisung „Lokales Netzwerk (LAN)“ beschreibt die Anforderungen an die Planung, den Betrieb und die Sicherheit eines lokalen Netzwerks, um Verfügbarkeit, Vertraulichkeit und Integrität der Netzwerkkommunikation zu gewährleisten. Ziel ist es, ein stabiles, skalierbares und sicheres Netzwerk zu schaffen. Folgende Aspekte werden in der Anweisung berücksichtigt: Die Netzwerktopologie sollte erweiterungsfähig und möglichst hierarchisch gestaltet sein, mit einer klaren Schichtunterteilung in Zugangs-, Verteilungs- und Kernschicht. Teilnetze müssen auf Basis ihres Schutzbedarfs hinsichtlich Vertraulichkeit und Integrität getrennt werden, beispielsweise durch granulare Zugriffsberechtigungen, Paketfilter oder Sicherheitsgateways. VLANs mit unterschiedlichen Schutzanforderungen dürfen nicht ungesichert auf demselben Switch realisiert werden.

Aktive Netzkomponenten wie Router und Switches sowie Netzmanagement-Software sind regelmäßig zu aktualisieren, wobei neue Softwareversionen zunächst in einem separaten Testnetz geprüft werden müssen. Redundanzen sind entsprechend den Verfügbarkeitsanforderungen vorzusehen, um Ausfälle von Netzkomponenten zu minimieren.

VPN

Die Arbeitsanweisung „Virtuelle Private Netzwerke (VPN)“ beschreibt die Anforderungen an die Planung, den Betrieb und die Sicherheit von VPN-Verbindungen, um die Vertraulichkeit, Integrität und Verfügbarkeit der übertragenen Daten zu gewährleisten. Ziel ist es, sichere Kommunikationskanäle innerhalb öffentlicher oder unsicherer Netzwerke zu schaffen. Folgende Aspekte werden in der Anweisung berücksichtigt: Die Einsatzzwecke von VPNs sind zu definieren, einschließlich der Wahl geeigneter VPN-Typen wie Site-to-Site-, End-to-End- oder End-to-Site-VPNs. Der Aufbau und die Konzeption des VPNs müssen detailliert geplant werden, ergänzt durch eine auf die allgemeine Sicherheitsrichtlinie abgestimmte VPN-Sicherheitsrichtlinie. Es ist festzulegen, welche Daten über das VPN übertragen werden dürfen, welche Netze und IT-Systeme zugänglich sind und wo VPN-Komponenten eingesetzt werden können.

Ein Berechtigungskonzept regelt die Verwaltung und Administration der Benutzerkonten und Zugriffsrechte. Geeignete Verschlüsselungsverfahren sind zu definieren, um die Sicherheit der Daten zu gewährleisten. Nicht mehr benötigte VPN-Zugänge sind unverzüglich zu sperren, und die Protokolldaten des VPN-Betriebs sind regelmäßig zu überwachen und auszuwerten. Ein Notfallplan für den VPN-Betrieb muss ebenfalls erstellt werden.

WLAN

Die Arbeitsanweisung „Wireless LANs (WLAN)“ beschreibt die Anforderungen an den sicheren Betrieb und die Verwaltung von WLANs, um die Vertraulichkeit, Integrität und Verfügbarkeit der übertragenen Daten zu gewährleisten. Ziel ist es, Sicherheitsrisiken durch drahtlose Netzwerke zu minimieren und einen sicheren Zugang zu ermöglichen. Folgende Aspekte werden in der Anweisung berücksichtigt: Datenübertragungen im WLAN müssen verschlüsselt werden, wobei unsichere Verfahren wie WEP nicht mehr verwendet werden dürfen. Stattdessen sind WPA oder WPA2 zu bevorzugen. Kryptografische Schlüssel sind zufällig zu generieren und regelmäßig, spätestens alle 90 Tage, zu ändern. Vor Inbetriebnahme müssen Standardeinstellungen wie SSID, administrative Passwörter und IP-Adressen geändert werden.

Die Verbindung zwischen WLAN und LAN ist durch zusätzliche Sicherheitsmaßnahmen zu schützen, um Missbrauch und unerwünschten Zugriff zu verhindern. Administratoren und Nutzer des WLANs sind ausreichend zu schulen und für mögliche Sicherheitsrisiken zu sensibilisieren. Bei der Entsorgung von WLAN-Komponenten müssen alle Authentifizierungsinformationen sicher entfernt oder deaktiviert werden.

NETZ- UND SYSTEMMANAGEMENT

Die Arbeitsanweisung „Netz- und Systemmanagement“ beschreibt die Anforderungen an die zentrale Verwaltung von Netzwerk- und IT-Systemkomponenten, um den sicheren und effizienten Betrieb der IT-Infrastruktur sicherzustellen. Ziel ist es, Betriebsstörungen zu vermeiden, Sicherheitsrisiken zu minimieren und die Einhaltung der geltenden Richtlinien zu gewährleisten. Folgende Aspekte werden in der Anweisung berücksichtigt: Eine klare Strategie definiert die verwalteten Komponenten und integriert geltende Sicherheitsrichtlinien. Ein zentrales Managementwerkzeug ist auszuwählen, das alle Komponenten erfasst, verschiedene Management-Domänen unterstützt und ein Rechte- und Rollenkonzept bietet. Die Kommunikation zwischen Managementsystem und Netzkomponenten muss durch ein separates Managementnetz oder sichere Protokolle geschützt werden.

Neu hinzugefügte Komponenten müssen automatisch erkannt und unautorisierte Geräte vom Netz ausgeschlossen werden. Die Protokollierung der Netznutzung ist datenschutzkonform durchzuführen und durch Analysewerkzeuge zu unterstützen. Sicherheitsrelevante Ereignisse wie Fehler oder Angriffe sind sofort zu melden. Notfallpläne für den Ausfall des Managementsystems sowie ein sicheres Wiederanlaufen sind essenziell. Alle relevanten Dokumente müssen in das Datensicherungskonzept integriert werden. Für zuständige Administratoren ist eine umfassende Schulung sicherzustellen.

FAX FAXSERVER

Die Arbeitsanweisung „Faxgeräte und Faxserver“ beschreibt die Anforderungen an die sichere Nutzung, Verwaltung und Integration der Faxtechnologie in die Geschäftsprozesse, um Vertraulichkeit, Integrität und Verfügbarkeit der übertragenen Informationen zu gewährleisten. Ziel ist es, Sicherheitsrisiken zu minimieren und die Nutzung effektiv zu steuern. Folgende Aspekte werden in der Anweisung berücksichtigt: Ein Einsatzkonzept und eine Sicherheitsrichtlinie regeln, welche Informationen per Fax übermittelt werden dürfen und wie die Technologie in Geschäftsprozesse eingebunden wird. Die Installation und Aufstellung von Faxgeräten erfolgt gemäß den Sicherheitsrichtlinien, wobei der Zugang zu Geräten kontrolliert werden muss (z. B. durch PIN-Schutz).

Eine Benutzerrichtlinie definiert klare Verhaltensweisen für Nutzer, während ein Administrationskonzept sicherstellt, dass ein Fax-Verantwortlicher und Ansprechpartner für Störungen benannt sind. Faxprotokolle werden regelmäßig geprüft und archiviert, Adresslisten auf Korrektheit überprüft. Der Versand vertraulicher Informationen sollte vermieden und bei wichtigen Faxen eine telefonische Rückversicherung vorgenommen werden. Die Kommunikation von Faxservern ist im lokalen und öffentlichen Netz abzusichern, und gespeicherte Faxsendungen sollten zeitnah gelöscht werden. Faxserver sind in gesicherten Serverräumen unterzubringen.

ISO 27001 Verfahrens- und Betriebsanweisungen zum Bereich "Anwendungen"

WEBSERVER

Die Arbeitsanweisung „Webserver“ beschreibt die Anforderungen an den sicheren Betrieb und die Verwaltung von Webservern, um die Verfügbarkeit, Vertraulichkeit und Integrität der bereitgestellten Informationen zu gewährleisten. Ziel ist es, Sicherheitsrisiken zu minimieren und einen zuverlässigen Zugang zu Webinhalten zu gewährleisten. Folgende Aspekte werden in der Anweisung berücksichtigt: Administratoren müssen vor der Beschaffung des Webservers geschult werden, um frühzeitig in die Planung und den Aufbau eingebunden zu sein. Eine Redaktion ist einzurichten, die die Freigabe und Veröffentlichung von Inhalten regelt. Webserver müssen regelmäßig aktualisiert werden, um bekannte Softwareschwachstellen zu beheben. Sicherheitsprobleme wie Cross-Site-Scripting, Injection- oder Denial-of-Service-Angriffe sind durch regelmäßige Prüfungen zu identifizieren und zu beseitigen.

Die Webinhalte müssen auf Schadsoftware überprüft und diese bei Bedarf sofort entfernt werden. Für den Schutz der Datenintegrität und Vertraulichkeit ist eine Verschlüsselung, z. B. mittels TLS/SSL, erforderlich. Bei Angeboten für eingeschränkte Nutzergruppen sind Authentisierungs- und Sessionmanagementverfahren zu etablieren. Webinhalte sind regelmäßig auf unautorisierte Veränderungen zu überwachen, und ein Notfallplan für den Umgang mit Angriffen muss vorliegen.

ANWENDUNGEN

Die Arbeitsanweisung „Datenbankbasierende Anwendungen“ beschreibt die Anforderungen an den sicheren Betrieb und die Verwaltung von Datenbanksystemen, um die Vertraulichkeit, Integrität und Verfügbarkeit der gespeicherten Daten zu gewährleisten. Ziel ist es, Sicherheitsrisiken zu minimieren und die zuverlässige Nutzung von Datenbanken sicherzustellen. Folgende Aspekte werden in der Anweisung berücksichtigt: Administratoren müssen vor der Beschaffung geschult werden, um frühzeitig in die Konzeption und den Aufbau einbezogen zu sein. Für die Zugangskontrolle sind Mechanismen zur Identifikation und Authentisierung der Benutzer erforderlich, wobei jeder Benutzer eine eigene Datenbankkennung erhalten muss. Rollen mit spezifischen Rechten und Pflichten sind festzulegen und realen Personen zuzuordnen, idealerweise über Benutzergruppen im Datenbankmanagement-System.

Datenbankobjekte sind unter die Verwaltung dedizierter Benutzergruppen zu stellen, um Inkonsistenzen zu vermeiden. Informationen mit hohem Schutzbedarf müssen verschlüsselt werden. Für den Notfall ist ein Wiederherstellungskonzept zu erstellen, um bei einer Datenbankkorruption schnell und sicher reagieren zu können. Regelmäßige Datensicherungen sind durch ein eigenes Sicherungskonzept sicherzustellen.

EMAIL-SERVER-CLIENT

Die Arbeitsanweisung „E-Mail (Exchange Server und Client)“ beschreibt die Anforderungen an die sichere Installation, Konfiguration und den Betrieb von Exchange Servern und Outlook-Clients, um die Vertraulichkeit, Integrität und Verfügbarkeit von E-Mail-Kommunikation und Groupware-Funktionen sicherzustellen. Ziel ist es, Sicherheitsrisiken zu minimieren und die Arbeitsprozesse reibungslos zu unterstützen. Folgende Aspekte werden in der Anweisung berücksichtigt: Für Exchange- und Outlook-Systeme sind spezifische Sicherheitsvorgaben zu erstellen, die vorhandene Richtlinien berücksichtigen. Administratoren und Nutzer müssen die relevanten Vorgaben kennen. Der Exchange Server darf nicht auf einem Domänen-Controller installiert werden, um die Sicherheit des Windows-Systems zu gewährleisten. Nur notwendige Komponenten dürfen installiert und betrieben werden.

Ein Backup- und Notfallvorsorgekonzept ist zu erstellen, das sowohl Server-Komponenten wie den Mailbox Store als auch verschlüsselte oder passwortgeschützte Daten auf Clients umfasst. Der Betrieb des Exchange-Systems ist zu protokollieren, um Schwachstellen zu erkennen, Sicherheitsverstöße zu identifizieren und Vorfälle nachverfolgen zu können. Es muss ein Audit- und Protokollierungskonzept entworfen werden. Ein Notfallkonzept minimiert die Auswirkungen eines Systemausfalls und definiert Wiederanlaufprozesse.

MOBILE DATENTRÄGER

Die Arbeitsanweisung „Mobile Datenträger“ beschreibt die Anforderungen an den sicheren Umgang mit mobilen Datenträgern, um die Vertraulichkeit, Integrität und Verfügbarkeit der darauf gespeicherten Informationen zu gewährleisten. Ziel ist es, unbefugte Weitergabe von Daten und Sicherheitsrisiken durch Schadsoftware zu verhindern. Folgende Aspekte werden in der Anweisung berücksichtigt: Klare, schriftliche Regeln legen fest, welche Daten über mobile Datenträger weitergegeben werden dürfen und wie externe Datenträger zu behandeln sind. Mitarbeiter werden über die Risiken und erforderlichen Sicherheitsmaßnahmen informiert, insbesondere im Umgang mit externen Medien wie USB-Sticks. Die Nutzung nicht zugelassener mobiler Datenträger wird technisch eingeschränkt, beispielsweise durch Einschränkungen für USB-Schnittstellen.

IT-Systeme sind so abzusichern, dass von mobilen Datenträgern nicht gebootet werden kann. Um Verlust- und Diebstahlrisiken zu minimieren, sollten Dateien oder gesamte Datenträger verschlüsselt werden. Wiederbeschreibbare Datenträger müssen vor Weitergabe oder Entsorgung physikalisch gelöscht werden. Der Verlust oder Diebstahl eines Datenträgers ist umgehend über definierte Meldewege zu melden.

VERZEICHNISDIENST

Die Arbeitsanweisung „Verzeichnisdienst“ beschreibt die Anforderungen an die sichere Planung, Installation, Verwaltung und den Betrieb von Verzeichnisdiensten, um Verfügbarkeit, Vertraulichkeit und Integrität der zentral verwalteten Daten zu gewährleisten. Ziel ist es, Sicherheitsrisiken zu minimieren und den reibungslosen Betrieb zu sichern. Folgende Aspekte werden in der Anweisung berücksichtigt: Vor der Einführung ist ein Einsatzplan zu erstellen, der die Struktur des Verzeichnisdienstes und die Verteilung der administrativen Aufgaben definiert. Ein Sicherheitskonzept und eine Sicherheitsrichtlinie regeln die physische Absicherung des Servers, die eingesetzten Komponenten und die Zugriffsrechte der Nutzer.

Der Verzeichnisdienst ist sicher zu installieren, mit restriktiven Zugriffsberechtigungen und verschlüsseltem LDAP-Zugriff (SSL). Änderungen an Konfigurationen sind vorsichtig durchzuführen und vorab zu testen. Administratoren und Nutzer müssen im Umgang mit dem Verzeichnisdienst geschult sein. Der Sicherheitszustand ist kontinuierlich zu überwachen, inklusive regelmäßiger Überprüfung der Protokolldateien. Ein Notfallplan und regelmäßige Datensicherungen stellen die Wiederherstellung des Verzeichnisdienstes bei einem Ausfall sicher. Bei der Aussonderung von Partitionen oder dem gesamten Verzeichnisdienst sind gespeicherte Daten sicher zu löschen und die Funktionsfähigkeit anderer Bereiche sicherzustellen.

INTERNETNUTZUNG

Die Arbeitsanweisung „Internet-Nutzung“ beschreibt die Anforderungen an den sicheren und kontrollierten Einsatz von Internet-Diensten in der Institution, um die Vertraulichkeit, Integrität und Verfügbarkeit der internen IT-Systeme und Netzwerke zu gewährleisten. Ziel ist es, die Vorteile des Internets zu nutzen, während Sicherheitsrisiken minimiert werden. Folgende Aspekte werden in der Anweisung berücksichtigt: Ein Konzept definiert, welche Internet-Dienste genutzt werden dürfen, unter welchen Bedingungen und wie interne IT-Systeme geschützt werden. Verbindliche Richtlinien regeln, wer welche Dienste wann und wofür nutzen darf. Mitarbeiter werden über die Chancen und Risiken der Internet-Nutzung informiert und auf korrektes Verhalten, z. B. in sozialen Netzwerken, geschult.

IT-Systeme und Anwendungen müssen sicher konfiguriert werden, um Schadsoftware zu minimieren. Browser und andere Internet-Clients erhalten sicherheitsoptimierte Voreinstellungen, die von Nutzern nicht geändert werden können. Vertrauliche Daten sind bei der Übertragung durch Verschlüsselung wie TLS/SSL zu schützen. Sicherheitsupdates und Patches sind systematisch und zeitnah einzuspielen.

CLOUD-NUTZUNG

Die Arbeitsanweisung „Cloud Services“ beschreibt die Anforderungen an die Planung, Nutzung und Beendigung von bedarfsorientierten Cloud-Diensten, um Sicherheitsrisiken zu minimieren und die Verfügbarkeit, Vertraulichkeit und Integrität der IT-Infrastruktur zu gewährleisten. Ziel ist es, die Vorteile der Cloud-Nutzung sicher und effizient in die Geschäftsprozesse zu integrieren. Folgende Aspekte werden in der Anweisung berücksichtigt: Eine Nutzungsstrategie klärt sicherheitsrelevante, wirtschaftliche und organisatorische Parameter sowie den strategischen Nutzen der Cloud. Sicherheitsrichtlinien und vertragliche Mindestanforderungen, einschließlich SLAs und datenschutzrechtlicher Aspekte, werden schriftlich definiert. Ein detailliertes Anforderungsprofil dient der Auswahl eines geeigneten Cloud-Anbieters und wird mit verfügbaren Angeboten abgeglichen.

Vor der Nutzung ist die Integration des Cloud-Dienstes in die IT-Organisation zu planen und umzusetzen, einschließlich der Anpassung interner Prozesse. Regelmäßige Aktualisierungen von Dokumentationen, Kontrollen und Tests gewährleisten die IT-Sicherheit im laufenden Betrieb. Die geordnete Beendigung eines Cloud-Vertrags erfordert klare Regelungen zu Datenrückgabe, Eigentumsrechten und ausreichender Dokumentation für den Weiterbetrieb.

WEBANWENDUNGEN

Die Arbeitsanweisung „Webanwendungen“ beschreibt die Anforderungen an die sichere Entwicklung, Nutzung und Verwaltung von Webanwendungen, um die Vertraulichkeit, Integrität und Verfügbarkeit der bereitgestellten Funktionen und Daten zu gewährleisten. Ziel ist es, Sicherheitsrisiken zu minimieren und die Webanwendungen vor unbefugten Zugriffen und Manipulationen zu schützen. Folgende Aspekte werden in der Anweisung berücksichtigt: Für den Zugriff auf sensitive Funktionen oder Informationen müssen wirksame Authentisierungs- und Sitzungsverwaltungsmechanismen implementiert sein. Zugriffskontrollen verhindern unbefugte Einsicht und Manipulation geschützter Daten. Die Übertragung sensibler Informationen erfolgt ausschließlich über verschlüsselte Verbindungen (z. B. SSL/TLS), und schützenswerte Daten dürfen nicht in URLs übermittelt werden.

Die Preisgabe interner Informationen, etwa durch Fehlermeldungen oder HTTP-Header, ist auf das notwendige Minimum zu beschränken. Fehler in der Webanwendung dürfen keine unsicheren Zustände verursachen; beispielsweise müssen unberechtigte Zugriffe konsequent verweigert werden. Alle sicherheitsrelevanten Ereignisse sind so zu protokollieren, dass kritische Vorfälle nachvollziehbar bleiben. Sicherheitsmechanismen wie Authentisierung und Zugriffskontrolle sind serverseitig umzusetzen und durch clientseitige Maßnahmen zu ergänzen.

ARCHIVIERUNG

Die Arbeitsanweisung „Archivierung von Daten“ beschreibt die Anforderungen an die Planung, Einführung und den Betrieb von Archivierungssystemen, um die langfristige, unveränderbare und wiederauffindbare Speicherung von Informationen gemäß rechtlicher und organisatorischer Vorgaben zu gewährleisten. Ziel ist es, Daten sicher und effizient für die Dauer der festgelegten Aufbewahrungsfrist zu archivieren. Folgende Aspekte werden in der Anweisung berücksichtigt: Vor der Einführung eines Archivierungssystems sind die Ziele der Archivierung zu definieren und technische, rechtliche sowie organisatorische Rahmenbedingungen in einem Archivierungskonzept festzuhalten. Richtlinien zur Administration und Nutzung des Systems gewährleisten die Einhaltung der festgelegten Vorgaben.

Benutzer und Administratoren müssen in der Bedienung des Systems geschult werden. Archivierungssysteme und -medien sind an geeigneten Standorten zu betreiben und vor unbefugtem Zugriff sowie weiteren Gefährdungen zu schützen. Der Archivierungsprozess wird kontinuierlich überwacht und auf Korrektheit geprüft, um die Integrität der Daten sicherzustellen. Eine Migrationsstrategie ist zu berücksichtigen, da Archivsysteme und -medien mit der Zeit technologisch veralten.

CAPACITY-MANAGEMENT

Die Arbeitsanweisung „Capacity-Management“ beschreibt die Anforderungen an die Planung, den Betrieb, die Überwachung und die Wartung der IT-Ressourcen, um die Leistungsziele der Organisation zu gewährleisten und Engpässe frühzeitig zu erkennen und zu beheben. Ziel ist es, eine effiziente Nutzung der IT-Infrastruktur sicherzustellen und betriebliche Kontinuität zu gewährleisten. Folgende Aspekte werden in der Anweisung berücksichtigt: Der Prozess umfasst mehrere Phasen. Während der Anlieferung und Installation neuer IT-Komponenten werden Bestandsaufnahmen, Tests und Dokumentationen durchgeführt, um die Systemkompatibilität und Leistung sicherzustellen. Im Betrieb werden IT-Systeme und Services überwacht, Engpässe durch Capacity-Reports identifiziert und die Performance mit KPIs verglichen.

Die Wartung beinhaltet geplante Updates und Patches, Kapazitätsprüfungen sowie Performance-Tests vor und nach den Arbeiten. Im Notbetrieb werden Ausweichsysteme aktiviert, kritische Services priorisiert und Engpässe behoben. Nach der Außerbetriebnahme erfolgt die sichere Datenlöschung und Entsorgung der Ressourcen gemäß gesetzlichen Vorgaben und Sicherheitsrichtlinien.

Wenn Sie weitere Modul-Pakete einzeln oder in Kombination erwerben möchten, dann wählen sie den folgenden Bestellbutton aus. Tragen Sie dort im Formular ein, welche Modul-Pakete Sie bestellen möchten.

Der Preisnachlass beträg bei zwei Modulen 10% und beim Erwerb aller Module etwa 15%.

Kombi-Preistabelle

 

Kombi-Preis

vialevo – In diesen Punkten unterstützen wir Sie zusätzlich bei der Umsetzung

ISO 27001-Umsetzungsanleitung - 2-tägiger Workshop inkl. aller Implementierungs-Tools

Wenn Sie am Anfang der Implemtierung stehen, dann können Sie sich viel Zeit und Geld sparen. Ich erstelle mit Ihnen in einem zweitägigen Seminar eine komplette Planung der Umsetzung der ISO 27001. In diesem Seminar enthalten sind alle Implementierungs-Dokumente. Sie profitieren von den Erfahrungen eines Lead-Auditors für die ISO 27001 & KRITIS.
Mehr erfahren

"Lösungs-Workshop" für punktuelle ISO 27001-Unterstützung

Manchmal hat man ein Problem, an dem man einfach nicht weiterkommt. Aber dennoch möchte man keine komplette Umsetzungsberatung hinzuziehen. vialevo hilft Ihnen dabei, diese punktuellen Probleme zu lösen. Wir bieten Ihnen einen Lösungs-Workshop an, an dem wir alle Ihre individuellen Fragen und Probleme besprechen und daraus einen Lösungsvorschlag erarbeiten. Sprechen sie uns an.

Mehr erfahren

Komplette ISO 27001-Einführung

Wer kein eigenes Personal für eine ISO 27001-Einfürhung zur Verfügung stellen kann, dem bieten wir eine Komplett-Einführung "As-a-Service". Legen Sie fest, in welchem zeitlichen Rahmen dies geschehen soll und sprechen Sie uns an, damit wir die Vorgehensweise und die Kosten mit Ihnen gemeinsam kalkulieren können.

Mehr erfahren