Titelseite

  • Standort

  • Vorbereitet von

  • Datum und Uhrzeit

  • Standort

4. Kontext der Organisation

  • 4.1 Die Organisation und ihren Kontext verstehen

  • Die Organisation muss die externen und internen Aspekte bestimmen, die für ihren Zweck relevant sind und die ihre Fähigkeit beeinflussen, das/die beabsichtigte(n) Ergebnis(se) ihres Informationssicherheits-Managementsystems zu erreichen.

  • 4.2 Bedürfnissen und Erwartungen interessierter Parteien verstehen

  • Die Organisation muss Folgendes ermitteln:<br>a) Interessengruppen, die für das Informationssicherheits-Managementsystem von Bedeutung sind; und<br>b) die Anforderungen dieser Interessengruppen, die für die Informationssicherheit relevant sind

  • 4.3 Festlegung des Anwendungsbereichs des Informationssicherheits-Managementsystems

  • Die Organisation muss die Grenzen und die Anwendbarkeit des Informationssicherheits-Managementsystems bestimmen, um dessen Anwendungsbereich festzulegen.

  • 4.4 Informationssicherheits-Managementsystem

  • Die Organisation muss in Übereinstimmung mit den Anforderungen dieser Internationalen Norm ein Informationssicherheits-Managementsystem einführen, umsetzen, aufrechterhalten und kontinuierlich verbessern.

5. Führung

  • 5.1 Führung und Verpflichtung

  • Die Geschäftsführung muss ihre Verpflichtung zur Einrichtung, Umsetzung, Betrieb, Überwachung, Überprüfung, Aufrechterhaltung und Verbesserung des ISMS nachweisen, indem sie:

  • 5.1 (a) sicherstellt, dass die Informationssicherheitspolitik und die Informationssicherheitsziele festgelegt werden und mit der strategischen Ausrichtung der Organisation vereinbar sind;

  • 5.1 (b) sicherstellt, dass die Anforderungen des Informationssicherheits-Managementsystems in die Prozesse der Organisation integriert werden;

  • 5.1 (c) sicherstellt, dass die für das Informationssicherheits-Managementsystem erforderlichen Ressourcen verfügbar sind;

  • 5.1 (d) die Notwendigkeit eines wirksamen Informationssicherheitsmanagements und der Einhaltung der Anforderungen an das Informationssicherheits-Managementsystem vermittelt;

  • 5.1 (e) sicherstellt, dass das Informationssicherheits-Managementsystem die beabsichtigten Ergebnisse erzielt;

  • 5.1 (f) Personen, die zur Wirksamkeit des Informationssicherheits-Managementsystems beitragen, anleitet und unterstützt;

  • 5.1 (g) die kontinuierliche Verbesserung fördert; und

  • 5.1 (h) andere relevante Managementfunktionen unterstützt, um ihre Führungsqualitäten in ihren Verantwortungsbereichen unter Beweis zu stellen.

  • 5.2 Richtlinien

  • Die Unternehmensleitung muss eine Informationssicherheitspolitik festlegen, die:<br>a) für den Zweck der Organisation geeignet ist;<br>b) Informationssicherheitsziele enthält (siehe 6.2) oder den Rahmen für die Festlegung von Informationssicherheitszielen bietet;<br>c) eine Verpflichtung zur Erfüllung der geltenden Anforderungen an die Informationssicherheit enthält; und<br>d) eine Verpflichtung zur kontinuierlichen Verbesserung des Informationssicherheits-Managementsystems enthält.<br><br>Die Informationssicherheitspolitik muss:<br>e) als dokumentierte Information verfügbar sein;<br>f) innerhalb der Organisation kommuniziert werden; und<br>g) Interessengruppen gegebenenfalls zur Verfügung stehen

  • 5.3 Organisatorische Rollen, Verantwortlichkeiten und Befugnisse

  • Die Unternehmensleitung stellt sicher, dass die Zuständigkeiten und Befugnisse für Rollen, die für die Informationssicherheit relevant sind, zugewiesen und kommuniziert werden.

6. Planung

  • 6.1 Maßnahmen zum Umgang mit Risiken und Chancen

  • 6.1.1 Allgemeines

  • Bei der Planung des Informationssicherheits-Managementsystems muss die Organisation die in 4.1 genannten Aspekte und die in 4.2 genannten Anforderungen berücksichtigen und die Risiken und Chancen bestimmen, die berücksichtigt werden müssen, um:<br>a) sicherzustellen, dass das Informationssicherheits-Managementsystem seine beabsichtigten Ergebnisse erzielen kann;<br>b) unerwünschte Auswirkungen zu verhindern oder zu verringern und<br>c) eine kontinuierliche Verbesserung zu erreichen

  • 6.1.1 (d) Die Organisation muss Maßnahmen planen, um diesen Risiken und Chancen zu begegnen; und

  • 6.1.1 (e) Die Organisation muss planen, wie sie:<br>1) diese Maßnahmen in die Prozesse ihres Informationssicherheits-Managementsystems integriert und umzusetzt; und<br>2) die Wirksamkeit dieser Maßnahmen bewertet.

  • 6.1.2 Risikobewertung der Informationssicherheit

  • 6.1.2 (a) erstellt und pflegt Kriterien für die Informationssicherheitsrisiken, die Folgendes umfassen:<br>1) die Risikoakzeptanzkriterien und<br>2) Kriterien für die Durchführung von Risikobewertungen im Bereich der Informationssicherheit;

  • Die Organisation muss einen Prozess zur Bewertung der Informationssicherheitsrisiken definieren und anwenden, der:

  • 6.1.2 (b) gewährleistet, dass wiederholte Bewertungen der Informationssicherheitsrisiken zu konsistenten, gültigen und vergleichbaren Ergebnissen führen;

  • 6.1.2 (c) die Informationssicherheitsrisiken identifiziert:<br>1) Anwendung des Verfahrens zur Bewertung der Informationssicherheitsrisiken, um Ermittlung der Risiken im Zusammenhang mit dem Verlust der Vertraulichkeit, der Integrität und der Verfügbarkeit von Informationen innerhalb des Anwendungsbereichs des Informationssicherheits-Managementsystems; und<br>2) Identifizierung der Risikoverantwortlichen;

  • 6.1.2 d) die Informationssicherheitsrisiken analysiert:<br>1) Bewertung der möglichen Folgen, die sich beim Eintreten der unter 6.1.2 c) 1) genannten Risiken ergeben würden;<br>2) Bewertung der realistischen Wahrscheinlichkeit des Eintretens der in Abschnitt 6.1.2 c) 1) genannten Risiken; und<br>3) Bestimmung des Risikoniveaus;

  • 6.1.2 (e) die Informationssicherheitsrisiken bewertet:<br>1) Vergleich der Ergebnisse der Risikoanalyse mit den in 6.1.2 a) festgelegten Risikokriterien; und<br>2) Priorisierung der analysierten Risiken für die Risikobehandlung.

  • 6.1.3 Behandlung von Informationssicherheitsrisiken

  • Die Organisation muss einen Prozess der Behandlung von Informationssicherheitsrisiken definieren und anwenden, der:

  • 6.1.3 (a) unter Berücksichtigung der Ergebnisse der Risikobewertung geeignete Optionen für die Behandlung von Informationssicherheitsrisiken auswählt:

  • 6.1.3 (b) alle Kontrollen bestimmt, die zur Umsetzung der gewählten Option(en) zur Behandlung des Informationssicherheitsrisikos erforderlich sind;

  • 6.1.3 (c) die unter 6.1.3 (b) festgelegten Kontrollen mit denen in Anhang A vergleicht und überprüft, dass keine notwendigen Kontrollen ausgelassen wurden;

  • 6.1.3 (d) eine Erklärung über die Anwendbarkeit erstellt, die die erforderlichen Kontrollen (siehe 6.1.3.b und c) und die Begründung für die Aufnahme von Kontrollen, unabhängig davon, ob sie durchgeführt werden oder nicht, sowie die Begründung für den Ausschluss von Kontrollen aus Anhang A enthält;

  • 6.1.3 (e) einen Plan zur Behandlung von Informationssicherheitsrisiken erstellt und

  • 6.1.3 (f) die Genehmigung des Plans zur Behandlung von Informationssicherheitsrisiken und die Anerkennung der verbleibenden Informationssicherheitsrisiken durch die Risikoeigner einholt.

  • 6.2 Ziele der Informationssicherheit und Pläne zu deren Umsetzung

  • Die Organisation muss Ziele für die Informationssicherheit auf den entsprechenden Funktionen und Ebenen festlegen.

  • Die Informationssicherheitsziele müssen:<br>a) mit der Informationssicherheitspolitik vereinbar sein;<br>b) messbar sein (falls durchführbar);<br>c) die geltenden Anforderungen an die Informationssicherheit sowie die Ergebnisse von Risikobewertungen und Risikobehandlungen berücksichtigen<br>d) kommuniziert werden; und<br>e) bei Bedarf aktualisiert werden.

  • Bei der Planung, wie die Ziele der Informationssicherheit erreicht werden sollen, muss die Organisation festlegen:<br>f) was getan werden soll;<br>g) welche Ressourcen benötigt werden;<br>h) wer verantwortlich sein wird;<br>i) wann die Maßnahmen abgeschlossen sein werden; und<br>j) wie die Ergebnisse bewertet werden sollen.

7. Unterstützung

  • 7.1 Ressourcen

  • Die Organisation muss die Ressourcen bestimmen und bereitstellen, die für die Einrichtung, Umsetzung, Aufrechterhaltung und ständige Verbesserung des Informationssicherheits-Managementsystems erforderlich sind.

  • 7.2 Kompetenz

  • Die Organisation muss:

  • 7.2 (a) die erforderliche Kompetenz der Personen bestimmen, die unter seiner Kontrolle Arbeiten ausführen, die sich auf seine Informationssicherheit auswirken;

  • 7.2 (b) sicherstellen, dass diese Personen aufgrund einer angemessenen Ausbildung, Schulung oder Erfahrung kompetent sind;

  • 7.2 (c) gegebenenfalls Maßnahmen zu ergreifen, um die erforderliche Kompetenz zu erwerben, und die Wirksamkeit der ergriffenen Maßnahmen zu bewerten; und

  • 7.2 (d) geeignete dokumentierte Informationen als Kompetenznachweis aufbewahren.

  • 7.3 Umsicht

  • Unter der Aufsicht der Organisation arbeitende Personen müssen sich der folgenden Punkte bewusst sein:

  • 7.3 (a) Die Informationssicherheitspolitik;

  • 7.3 (b) Ihr Beitrag zur Wirksamkeit des Informationssicherheitsmanagementsystems, einschließlich der Vorteile einer verbesserten Informationssicherheitsleistung; und

  • 7.3 (c) Die Folgen einer Nichteinhaltung der Anforderungen des Informationssicherheits-Managementsystems.

  • 7.4 Kommunikation

  • Die Organisation muss den Bedarf an interner und externer Kommunikation in Bezug auf das Informationssicherheits-Managementsystem ermitteln, inklusive:

  • 7.4 (a) was zu kommunizieren ist;

  • 7.4 (b) wann kommuniziert werden soll;

  • 7.4 (c) mit wem kommuniziert werden soll;

  • 7.4 (d) wer komminizieren soll; und

  • 7.4 (e) welche Verfahren für die Kommunikation verwendet werden sollen.

  • 7.5 Dokumentierte Informationen

  • 7.5.1 Allgemeines

  • Das Informationssicherheits-Managementsystem der Organisation muss Folgendes umfassen:

  • 7.5.1 (a) dokumentierte Informationen, wie sie in dieser Internationalen Norm vorgeschrieben sind; und

  • 7.5.1 (b) dokumentierte Informationen, die von der Organisation als für die Wirksamkeit des Informationssicherheits-Managementsystems notwendig erachtet werden.

  • 7.5.2 Erstellen und Aktualisieren

  • Bei der Erstellung und Aktualisierung der dokumentierten Informationen muss die Organisation sicherstellen, dass:

  • 7.5.2 (a) Kennzeichnung und Beschreibung (z. B. Titel, Datum, Autor oder Referenznummer) angemessen sind;

  • 7.5.2 (b) Format (z. B. Sprache, Softwareversion, Grafiken) und Medien (z. B. Papier, elektronisch) angemessen sind; und

  • 7.5.2 (c) dass Überprüfung und Genehmigung auf Eignung und Angemessenheit angemessen sind.

  • 7.5.3 Kontrolle der dokumentierten Informationen

  • Dokumentierte Informationen, die durch das Informationssicherheits-Managementsystem und durch diese Internationale Norm gefordert werden, müssen kontrolliert werden, um sicherzustellen, dass:

  • 7.5.3 (a) sie verfügbar und geeignet sind, um dort eingesetzt zu werden, wo und wann sie benötigt werden; und

  • 7.5.3 (b) sie angemessen geschützt sind (z. B. vor Verlust der Vertraulichkeit, unsachgemäßer Verwendung oder Verlust der Integrität).

  • Für die Kontrolle der dokumentierten Informationen muss die Organisation die folgenden Maßnahmen ergreifen, soweit zutreffend:

  • 7.5.3 (c) Verbreitung, Zugang, Abruf und Nutzung;

  • 7.5.3 (d) Speicherung und Aufbewahrung, einschließlich der Erhaltung der Lesbarkeit;

  • 7.5.3 (e) Kontrolle der Änderungen (z. B. Versionskontrolle); und

  • 7.5.3 (f) Einbehaltung und Verfügung.

  • Dokumentierte Informationen externen Ursprungs, die von der Organisation als notwendig für die Planung und den Betrieb des Informationssicherheits-Managementsystems erachtet werden, sind entsprechend zu identifizieren und zu kontrollieren.

8. Betrieb

  • 8.1 Operative Planung und Kontrolle

  • Die Organisation muß die Prozesse, die zur Erfüllung der Anforderungen an die Informationssicherheit und zur Durchführung der in 6.1 festgelegten Maßnahmen erforderlich sind, planen, umsetzen und kontrollieren. Die Organisation muss auch Pläne zur Erreichung der in 6.2 festgelegten Informationssicherheitsziele umsetzen.

  • Die Organisation muss dokumentierte Informationen in dem Maße aufbewahren, das notwendig ist, um sicher zu sein, dass die Prozesse wie geplant durchgeführt wurden.

  • Die Organisation muss geplante Änderungen kontrollieren und die Folgen unbeabsichtigter Änderungen überprüfen und gegebenenfalls Maßnahmen zur Abmilderung negativer Auswirkungen ergreifen.

  • Die Organisation muss sicherstellen, dass ausgelagerte Prozesse bestimmt und kontrolliert werden.

  • 8.2 Risikobewertung der Informationssicherheit

  • Die Organisation muß in geplanten Abständen oder bei vorgeschlagenen oder eingetretenen wesentlichen Änderungen eine Bewertung der Informationssicherheitsrisiken durchführen, wobei die in 6.1.2.a festgelegten Kriterien zu berücksichtigen sind.

  • Die Organisation muss dokumentierte Informationen über die Ergebnisse der Risikobewertungen der Informationssicherheit aufbewahren.

  • 8.3 Behandlung von Informationssicherheitsrisiken

  • Die Organisation muss den Plan zur Behandlung von Informationssicherheitsrisiken umsetzen.

  • Die Organisation muss dokumentierte Informationen über die Ergebnisse der Behandlung von Sicherheitsrisiken aufbewahren.

9. Leistungsbewertung

  • 9.1 Überwachung, Messung, Analyse und Bewertung

  • Die Organisation muss die Leistung der Informationssicherheit und die Wirksamkeit des Informationssicherheits-Managementsystems bewerten.

  • Die Organisation muss ermitteln:

  • 9.1 (a) was überwacht und gemessen werden muss, einschließlich der Prozesse und Kontrollen der Informationssicherheit;

  • 9.1 (b) die Methoden für die Überwachung, Messung, Analyse und Bewertung, soweit zutreffend, um gültige Ergebnisse zu gewährleisten;

  • 9.1 (c) wann die Überwachung und Messung durchgeführt werden soll;

  • 9.1 (d) wer überwachen und messen soll;

  • 9.1 (e) wann die Ergebnisse der Überwachung und Messung zu analysieren und zu bewerten sind; und

  • 9.1 (f) der diese Ergebnisse analysieren und auswerten soll.

  • 9.2 Internes Audit

  • Die Organisation muss in geplanten Abständen interne Audits durchführen, die Aufschluss darüber geben, ob das Informationssicherheits-Managementsystem:

  • 9.2 (a) mit<br>1) den eigenen Anforderungen der Organisation an ihr Informationssicherheits-Managementsystem; und<br>2) den Anforderungen dieser Internationalen Norm;<br>übereinstimmt;

  • 9.2 (b) wirksam umgesetzt und aufrechterhalten wird.

  • Die Organisation muss:

  • 9.2 (c) ein oder mehrere Auditprogramme planen, einrichten, durchführen und aufrechterhalten, einschließlich Häufigkeit, Methoden, Zuständigkeiten, Planungsanforderungen und Berichterstattung. Das (die) Auditprogramm(e) muss (müssen) der Bedeutung der betreffenden Prozesse und den Ergebnissen früherer Audits Rechnung tragen;

  • 9.2 (d) die Prüfungskriterien und den Prüfungsumfang für jede Prüfung festlegen;

  • 9.2 (e) Prüfer auswählen und Prüfungen durchführen, die Objektivität und Unparteilichkeit des Prüfungsverfahrens gewährleisten;

  • 9.2 (f) sicherstellen, dass die Prüfungsergebnisse dem zuständigen Management mitgeteilt werden; und

  • 9.2 (g) dokumentierte Informationen als Nachweis für das/die Auditprogramm(e) und die Auditergebnisse aufbewahren.

  • 9.3 Managementbewertung

  • Die Unternehmensleitung überprüft das Informationssicherheits-Managementsystem der Organisation in geplanten Abständen, um seine fortdauernde Eignung, Angemessenheit und Wirksamkeit sicherzustellen.

  • Die Managementbewertung muss folgende Aspekte berücksichtigen:

  • 9.3 (a) den Status von Maßnahmen aus früheren Managementbewertungen;

  • 9.3 (b) Veränderungen bei externen und internen Aspekten, die für das Informationssicherheitsmanagementsystem von Bedeutung sind;

  • 9.3 (c) Feedback über die Leistung im Bereich der Informationssicherheit, einschließlich Trends bei:<br>1) Nichtkonformitäten und Abhilfemaßnahmen;<br>2) Überwachungs- und Messergebnissen;<br>3) Audit-Ergebnissen und<br>4) Erfüllung der Informationssicherheitsziele;

  • 9.3 (d) Feedback von Interessengruppen;

  • 9.3 (e) Ergebnisse der Risikobewertung und Status des Risikobehandlungsplans; und

  • 9.3 (f) Möglichkeiten zur kontinuierlichen Verbesserung.

  • Die Ergebnisse der Managementbewertung müssen Entscheidungen über Möglichkeiten zur kontinuierlichen Verbesserung und über notwendige Änderungen des Informationssicherheits-Managementsystems enthalten. Die Organisation muss dokumentierte Informationen als Nachweis für die Ergebnisse der Managementbewertungen aufbewahren.

10. Verbesserung

  • 10.1 Nichtkonformität und Korrekturmaßnahmen

  • Wenn eine Nichtkonformität auftritt, muss die Organisation:

  • 10.1 (a) auf die Nichtkonformität zu reagieren und gegebenenfalls:<br>1) Maßnahmen zur Kontrolle und Korrektur zu ergreifen; und<br>2) mit den Folgen umgehen;

  • 10.1 (b) die Notwendigkeit von Maßnahmen zur Beseitigung der Ursachen der Nichtkonformität bewerten, damit diese nicht erneut oder an anderer Stelle auftreten, und zwar durch:<br>1) Überprüfung der Nichtkonformität;<br>2) Ermittlung der Ursachen für die Nichtkonformität und<br>3) Feststellung, ob ähnliche Nichtkonformitäten bestehen oder möglicherweise auftreten könnten;

  • 10.1 (c) alle erforderlichen Maßnahmen umzusetzen;

  • 10.1 (d) die Wirksamkeit der ergriffenen Abhilfemaßnahmen überprüfen; und

  • 10.1 (e) gegebenenfalls Änderungen am Informationssicherheits-Managementsystem vornehmen.

  • Die Korrekturmaßnahmen müssen die Auswirkungen der festgestellten Nichtkonformitäten angemessen berücksichtigen.

  • Die Organisation muss dokumentierte Informationen aufbewahren, als Nachweis von:

  • 10.1 (f) der Art der Nichtkonformitäten und der daraufhin ergriffenen Maßnahmen, und

  • 10.1 (g) den Ergebnissen etwaiger Abhilfemaßnahmen.

  • 10.2 Kontinuierliche Verbesserung

  • Die Organisation muss die Eignung, Angemessenheit und Wirksamkeit des Informationssicherheits-Managementsystems kontinuierlich verbessern.

Abschluss

  • Kommentare/Empfehlungen

  • Name und Unterschrift

The templates available in our Public Library have been created by our customers and employees to help get you started using SafetyCulture's solutions. The templates are intended to be used as hypothetical examples only and should not be used as a substitute for professional advice. You should seek your own professional advice to determine if the use of a template is permissible in your workplace or jurisdiction. You should independently determine whether the template is suitable for your circumstances.