2.1 Überblick (Kap. 4 des Standards)
Gemäß dem Titel des Standards (based on ISO/IEC 27002) ist die Gliederung der Kerninhalte identisch mit den 14 Themenbereichen der ISO/IEC 27002, unter denen dort die Maßnahmenziele und Maßnahmen strukturiert sind:
| Themenbereiche | |
| 5. | Informationssicherheitsrichtlinien |
| 6. | Organisation der Informationssicherheit |
| 7. | Personalsicherheit |
| 8. | Verwaltung der Werte |
| 9. | Zugangssteuerung |
| 10. | Kryptographie |
| 11. | Physische und umgebungsbezogene Sicherheit |
| 12. | Betriebssicherheit |
| 13. | Kommunikationssicherheit |
| 14. | Anschaffung, Entwicklung und Instandhalten von Systemen |
| 15. | Lieferantenbeziehungen |
| 16. | Handhabung von Informationssicherheitsvorfällen |
| 17. | Informationssicherheitsaspekte beim Business Continuity Management |
| 18. | Compliance |
Der Startwert „5” wurde bewusst gewählt, da die Themenbereiche sowohl in der ISO/IEC 27011, der ISO/IEC 27002 als auch im Anhang zur ISO 27001/IEC (dort mit einem vorangestellten „A”) mit diesen Ziffern dargestellt sind.
Telecommunications-specific implementation guidance
In den Kapiteln 5–18 des Standards werden alle Maßnahmenziele und Maßnahmen der ISO/IEC 27002 daraufhin überprüft, ob ihre Umsetzungsanleitung in der bekannten Form für TK-Unternehmen anwendbar ist oder ergänzt werden sollte. Eine etwaige Ergänzung wird als Telecommunications-specific implementation guidance dargestellt. Dabei wird in der Regel auf die spezielle Rolle eines TK-Unternehmens als Dienstleistungserbringer für seine Kunden und die daraus resultierenden Organisations- und Sicherheitsaspekte eingegangen.
In den Kapiteln 5–18 des Standards werden alle Maßnahmenziele und Maßnahmen der ISO/IEC 27002 daraufhin überprüft, ob ihre Umsetzungsanleitung in der bekannten Form für TK-Unternehmen anwendbar ist oder ergänzt werden sollte. Eine etwaige Ergänzung wird als Telecommunications-specific implementation guidance dargestellt. Dabei wird in der Regel auf die spezielle Rolle eines TK-Unternehmens als Dienstleistungserbringer für seine Kunden und die daraus resultierenden Organisations- und Sicherheitsaspekte eingegangen.
Vor diesen Kapiteln steht, wie bei ISO-Standards üblich, eine
| 1. | Beschreibung des Geltungsbereichs, |
| 2. | Referenz bedeutsamer Normen (hier ISO/IEC 27000:2013 und ISO/IEC 27002:2013), |
| 3. | Definition wichtiger Begriffe und Abkürzungen (interessant aufgrund zahlreicher Begriffe aus der TK-Branche!). |
Nachfolgend wird der Begriff „Informationssicherheit” üblicherweise mit „IS” abgekürzt.
IS-Management
Kapitel 4 des Standards stellt zunächst die Struktur gemäß ISO/IEC 27002 dar und geht dann auf die Anforderungen des IS-Managements in der Telekommunikation ein:
Kapitel 4 des Standards stellt zunächst die Struktur gemäß ISO/IEC 27002 dar und geht dann auf die Anforderungen des IS-Managements in der Telekommunikation ein:
| • | Kunden erwarten eine hohe Sicherheitsqualität von Netzservices inkl. einer ausreichenden Verfügbarkeit auch in Katastrophensituationen. |
| • | Öffentliche Behörden fordern Sicherheit durch Richtlinien und Gesetze, um die Verfügbarkeit der Services, einen fairen Wettbewerb und den Schutz der Privatsphäre zu gewährleisten. |
| • | TK-Dienstleister haben ein Eigeninteresse an Sicherheit zur Wahrung von Geschäftsinteressen und zur Erfüllung ihrer Verpflichtungen. |
Es schließt sich eine kurze Darstellung wesentlicher umgebungsbezogener und operativer Sicherheitsvorfälle an, die von TK-Organisationen berücksichtigt werden sollten, die die Notwendigkeit eines systematischen IS-Managements inkl. spezieller security guidelines deutlich machen.
Weitere wichtige Aspekte sind:
| • | Kenntnis und Schutzbedarfsfeststellung der organisationseigenen Werte (Asset Management) |
| • | Erfassung aller IS-relevanten Verpflichtungen (Anforderungsmanagement) |
| • | Kenntnis und Bewertung relevanter Bedrohungen inkl. der Entscheidung zu ihrer Behandlung (Risikomanagement) |
| • | Auswahl, Implementierung und Aufrechterhaltung geeigneter IS-Maßnahmen |
Anhang A – zusätzliche Maßnahmen
Der Anhang A des Standards ist ausdrücklich als integraler Bestandteil des Standards deklariert und präsentiert zu den bekannten Themenbereichen zusätzliche Maßnahmenziele, Maßnahmen und Umsetzungsanleitungen speziell für TK-Unternehmen. Damit kann ein vorhandenes Statement of Applicability (SoA, Erklärung zur Anwendbarkeit der Maßnahmen aus ISO/IEC 27001/27002) in diesen Unternehmen direkt branchenspezifisch erweitert werden, so dass die Qualität des etablierten ISMS weiter gesteigert wird.
Der Anhang A des Standards ist ausdrücklich als integraler Bestandteil des Standards deklariert und präsentiert zu den bekannten Themenbereichen zusätzliche Maßnahmenziele, Maßnahmen und Umsetzungsanleitungen speziell für TK-Unternehmen. Damit kann ein vorhandenes Statement of Applicability (SoA, Erklärung zur Anwendbarkeit der Maßnahmen aus ISO/IEC 27001/27002) in diesen Unternehmen direkt branchenspezifisch erweitert werden, so dass die Qualität des etablierten ISMS weiter gesteigert wird.
Anhang B
Ein weiterer Anhang B gibt Umsetzungshinweise für Maßnahmen zum Umgang mit Cyber-Angriffen sowie Überlastsituationen im Netz. Er ist kein integraler Bestandteil des Standards.
Ein weiterer Anhang B gibt Umsetzungshinweise für Maßnahmen zum Umgang mit Cyber-Angriffen sowie Überlastsituationen im Netz. Er ist kein integraler Bestandteil des Standards.
