Schlagwort-Archive: GRC

IT-GRC Blog: DIN ISO/IEC 27001

Das Zertifikat zur Norm DIN ISO/IEC 27001 findet sich auf zahlreichen Webseiten, oftmals in Kombination mit Sätzen wie "Bei uns sind ihre Daten sicher!". Im heutigen Beitrag möchte ich die Norm etwas näher betrachten und erläutern, was tatsächlich hinter der Zertifizierung steckt und wie diese aus Kundensicht zu werten ist.

Die Norm DIN ISO/IEC 27001

Der Vollständigkeit halber zu Beginn eine kurze begriffliche Einordnung. Anders als ein Standard wie ITIL, COBIT oder TOGAF wird eine Norm durch ein anerkanntes Normungsinstitut herausgegeben. In Deutschland handelt es sich hierbei beispielsweise um das "Deutsche Institut für Normung e. V." (DIN), welches mit der Bundesrepublik Deutschland im Jahr 1975 einen Normenvertrag geschlossen hat. Das internationale Pendant ist die "International Organization for Standardization" (ISO), ein Zusammenschluss verschiedener nationaler Normungsinstitute. Das amerikanische Institut ist das „American National Standards Institute“ (ANSI).

Die korrekte Bezeichnung der Norm DIN ISO/IEC 27001 ist

"Information Technology - Security techniques - Information security management systems - Requirement"

oder auf deutsch

"Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme – Anforderungen."

Bereits der Name verrät einiges über den Inhalt der Norm. Es handelt sich hierbei um eine internationale Norm ("ISO/IEC"), welche in das deutsche Normenwerk ("DIN") übernommen wurde. Die Norm behandelt Sicherheitsverfahren in der Informationstechnik, konkret die Anforderungen eines ISMS, eines Informationssicherheitsmanagementsystem.

Der Titel der DIN ISO/IEC 27001 ist "Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme – Anforderungen."

IT-GRC Blog: DIN ISO/IEC 27001 weiterlesen

IT-GRC Blog: Governance, Risk & Compliance

Mit diesem Beitrag möchte ich eine neue Kategorie mit Informationen zu den Themen IT Governance, Risk und Compliance im Blog veröffentlichen. Die folgenden Beiträge sollen die sehr technische Seite des IT-Security Blogs um eine fachliche Komponente erweitern. Inspiriert wurde ich zu der neuen Kategorie durch mein berufliches Umfeld sowie mein postgraduales Studium, welches die genannten Themen im Schwerpunkt behandelt.

Bevor ich etwas tiefer in die Thematik einsteigen möchte, beginne ich mit den Grundlagen: Was wird unter IT-GRC verstanden? Was ist GRC, also Governance, Risk und Compliance? Was bedeutet IT-GRC?

Corporate Governance

Unter Corporate Governance wird allgemein der Rahmen für die Leitung und Überwachung eines Unternehmens verstanden. Die für IT-Governance interessante Norm ISO/IEC 38500 (Information technology - Governance of IT for the organization) bezeichnet Governance als "system of directing and controlling". In der deutschen Ausgabe des ISACA Rahmenwerks für Governance und Management der Unternehmens-IT COBIT 5 stellt "Governance sicher, dass die Anforderungen, Rahmenbedingungen und Möglichkeiten der Anspruchsgruppen evaluiert werden, um ausgewogene und vereinbarte Unternehmensziele zu bestimmen, die es zu erreichen gilt. Sie gibt die Richtung durch die Festlegung von Prioritäten und das Fällen von Entscheidungen vor und überwacht die Leistung und Regeleinhaltung gegen vereinbarte Vorgaben und Ziele [1]."

IT-GRC Blog: Governance, Risk & Compliance weiterlesen