So installieren Sie das ISO 27001 Information Security Management System

Die Einrichtung des Informationssicherheits-Managementsystems ist ein sehr mühsamer Prozess. Die Festlegung von Standards zur Gewährleistung der Informationssicherheit und zum besseren Schutz von Informationen ist jedoch ein entscheidendes Ergebnis für diese Organisation.

Informationssicherheits-Managementsystem Die Art und Weise, wie die einzelnen Organisationen vorgehen, ist nahezu gleich.

Umfang der Informationssicherheitsstudie

Zunächst müssen Umfang und Grenzen der Studie festgelegt werden. Ein System kann für eine gesamte Organisation oder für eine bestimmte Abteilung eingerichtet werden. In jedem Fall sollten die Grenzen der Studie vollständig und korrekt definiert sein. Der Umfang sollte im Einklang mit der Entscheidung des Top-Managements und den Zielen der Organisation für die Informationssicherheit festgelegt werden.

Informationssicherheitspolitik

Diese Richtlinie wird von der Geschäftsleitung festgelegt und legt die Ziele der Studie sowie die zu bewertenden Risiken und die Kriterien für das Risikomanagement fest. Das Top-Management sollte immer hinter der Informationssicherheitspolitik stehen.

Methode zur Risikobewertung

Eine Risikobewertungsmethode sollte im Einklang mit der Informationssicherheitspolitik festgelegt werden. Dementsprechend sollten akzeptable Risikoniveaus identifiziert und Kriterien festgelegt werden. Informationen, die durch die Erstellung einer Risikokarte geschützt werden sollen, sollten nach dem Grad der Auswirkung und der Wahrscheinlichkeit des Eintretens eines Risikos bestimmt werden.

Identifizierung von Risiken

Die das Bestehen von Informationen bedrohenden Risiken sollten anhand der zu bestimmenden Risikobewertungsmethode ermittelt werden. In dieser Studie wird ein Inventar der Informationsressourcen erstellt. Informationsressourcen, die in das Informationssicherheits-Managementsystem aufgenommen werden sollen, werden nach Art und Schweregrad aufgelistet. Das Auftauchen streng geheimer Informationen kann der Organisation großen Schaden zufügen, jedoch kann es weniger schädlich sein, dieselben Informationen unbrauchbar zu machen.

Einschätzung der Risiken

In diesem Schritt werden die zu treffenden Maßnahmen für die zu bestimmenden Risiken festgelegt. Das Risiko kann durch geeignete Kontrollen beseitigt oder auf ein akzeptables Maß reduziert werden. Oder Risikofaktoren werden eliminiert und Risiken vermieden.

Genehmigung der Geschäftsleitung

Nach Abschluss der Risikomanagementstudie muss die Genehmigung der Geschäftsleitung eingeholt werden, um sie anzuwenden.

Wenn ein Risiko nicht vollständig beseitigt werden kann, kann es nach Ermessen des Top-Managements ein akzeptables Risiko sein.

ISO 27001 Informationssicherheits-ManagementsystemUnternehmen können sich an die erfahrenen Manager und Mitarbeiter der TURCERT-Zertifizierungsorganisation für Beratungsleistungen wenden.