Einträge von Daniel Straßberger

ISO 27001 Statement of Applicability (SoA) / Erklärung zur Anwendbarkeit

Die Erklärung zur Anwendbarkeit (Englisch: Statement of Applicability) ist ein Schlüsseldokument, welches im Rahmen des Aufbaus und der ständigen Weiterentwicklung Ihres Informationssicherheitsmanagementsystems (ISMS) erstellt und gepflegt wird. Nachdem ich mich in meinen letzten Blog-Beiträgen mit dem IT-Grundschutz beschäftigt habe (BSI IT-Grundschutz: In 4 Schritten zur Basis-Absicherung und BSI IT-Grundschutz: Kern- und Standard-Absicherung), kehren wir diesmal zurück in die Welt der ISO27001. Diese Norm enthält den Anhang A mit insgesamt 114 Sicherheitsanforderungen (Controls), welche allesamt zu bearbeiten sind. Die Dokumentation als Nachweis der Bearbeitung dieser Anforderungen wird „Statement of Applicability“ (SoA) genannt und ist ein zentraler Bestandteil Ihres ISMS, sowie eine der wichtigsten Voraussetzungen für eine erfolgreiche Zertifizierung nach ISO27001. Hier geht’s zur Checkliste:

BSI IT-Grundschutz: Kern- und Standard-Absicherung

In meinem letzten Blog-Beitrag habe ich die Basis-Absicherung nach IT-Grundschutz vorgestellt. Darauf aufbauend möchte ich dieses Mal die Standard- und Kern-Aabsicherung näher betrachten. Der wesentliche Unterschied besteht darin, dass Sie nicht um eine Risikoanalyse herumkommen werden. Die Managementsysteme der ISO-Normen haben alle die Risikobetrachtung als zentrales Element und das BSI reduziert den Aufwand zur Etablierung eines Informationssicherheitsmanagementsystems (ISMS) dadurch, dass dieser Aspekt bei der Basis-Absicherung komplett wegfällt und bei der Kern- bzw. Standard-Absicherung nur in bestimmten Fällen zum Tragen kommt. Mehr erfahren:

BSI IT-Grundschutz: In 4 Schritten zur Basis-Absicherung

Im heutigen Blogeintrag zum Thema Informationssicherheit wollen wir uns den BSI IT-Grundschutz etwas näher anschauen, spezifisch die Basis-Absicherung. Die Basis-Absicherung ist als Einstieg in den IT-Grundschutz gedacht oder für Unternehmen, die aus finanziellen oder personellen Gründen kein vollständiges Informationssicherheitsmanagementsystem (ISMS) nach der ISO 27001 etablieren können oder wollen. Dennoch kann die Basis-Absicherung, abhängig von der Größe und Art der Organisation, ein sehr umfangreiches Unterfangen sein. Lohnenswert ist dieser Aufwand aber auf jeden Fall, auch für kleinere Unternehmen, denn es gilt: Selbst ein bisschen Informationssicherheit ist besser als gar keine und die IT-Grundschutz Basis-Absicherung ist, meiner Meinung nach, ein guter Ansatz. Warum? Das lesen Sie in unserem Blog-Beitrag:

5 Tipps gegen Ransomware-Angriffe

Die Nachrichten in den Medien über Ransomware-Angriffe auf Unternehmen und auch Einrichtungen im Gesundheitswesen häufen sich. Gerade während der Corona-Pandemie haben diese Angriffe zugenommen. Vielleicht auch begünstigt durch die vielen Mitarbeiter im Homeoffice. Doch was ist Ransomware eigentlich und wie kann man sich dagegen schützen? Wir haben Ihnen 5 Tipps gegen Ransomware-Agriffe zusammengestellt.

3 Tipps für Ihre Informationssicherheits-Leitlinie

Die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) erfordert vor allem eines: viele Dokumente. Prozesse müssen ausgearbeitet und Verfahrensregeln sowie Richtlinien müssen erstellt werden. Der Satz „Die Organisation muss dokumentierte Informationen […] aufbewahren“ ist auf jeder Seite der DIN ISO 27001 Norm mehrfach zu finden. Das mit Abstand wichtigste Dokument ist dabei die Informationssicherheits-Leitlinie, in der ISO etwas befremdlich mit Informationssicherheits-Politik definiert. Im Folgenden möchte ich den Prozess zum Erstellen unserer SAVISCON IS-Leitlinie erläutern. Was muss in einer solchen Leitlinie enthalten sein und welche Besonderheiten sind zu beachten?