• Was ist eine Akkreditierung?
• Was sind Geschäftskontinuitätspläne?
• Was ist eine Zertifizierung?
• Was bedeutet Nachverfolgbarkeit von Daten?
• Was ist Datenverschlüsselung?
• Was ist ein Informationssicherheitsmanagementsystem?
• Was ist ein Informationssystem?
• Was sind ISO 27001, ISO 27002 und ISO 9001?
• Was versteht man unter Risikobewertung?
• Was ist ein Statement of Applicability (SOA)?
• Was ist ein Informationssicherheitsmanagementsystem (ISMS)?

Akkreditierung
Die Akkreditierung ist eine Zertifizierung durch ein staatlich anerkanntes Institut hinsichtlich der Fähigkeit einer Firma/Organisation, bestimmte Aufgaben und Projekte durchführen zu können. Weitere Einzelheiten unter http://www.ukas.com/

Was sind Geschäftskontinuitätspläne?
Das Geschäftskontinuitätsmanagement ist eine in Übereinstimmung mit den für diesen Bereich international geltenden und anerkannten Normen arbeitende Komponente des Informationssicherheitsmanagements. Das Ziel des Geschäftskontinuitätsmanagements ist es, wesentliche Geschäftsprozesse vor den Auswirkungen von größeren Systemausfällen oder -katastrophen zu schützen. Mit Hilfe von integrierten Maßnahmen der Prävention und der Wiederherstellung des Betriebs im Fall von Systemfehlern können die Auswirkungen von Betriebsstörungen und - unterbrechungen und Krisen auf ein akzeptables Maß begrenzt werden.

Geschäftskontinuitätspläne sind ein integraler Bestandteil des Geschäftskontinuitätsmanagements. Zu solchen Plänen gehören die Katagorisierung von Bestriebseinheiten nach Wichtigkeit sowie die Spezifizierung von Teams mit fest definierten Rollen für den Fall des Eintritts von Notfällen, von Aktionen, die zur zeitgerechten Wiederherstellung des Betriebs ausgeführt werden müssen, und das regelmäßige Testen des gesamten Systems. Geschäftskontinuitätspläne müssen regelmäßig überprüft werden, um anwendbar zu bleiben.

Geschäftskontinuitätspläne werden auch Katastrophenpläne oder Notfallpläne genannt.

Was ist eine Zertifizierung?
Die Zertifizierung ist eine Bestätigung von einer Drittinstanz darüber, dass Betriebsprozeduren bestimmte festgelegte Kriterien erfüllen. Eine Organisation kann als Ganzes oder in Teilen zertifiziert werden. Der Umfang der zu zertifizierenden Betriebseinheiten muss bekannt sein und die Zertifizierung wird auf diese Aktivitäten beschränkt sein. Eine Zertifizierung gilt als akkreditiert, wenn die die Zertifizierung aussprechende Instanz durch eine von einer staatlichen Regierung anerkannte Akkreditierungsinstanz bestätigt wurde. Ein Beispiel für eine solche staatliche Akkreditierungsinstanz ist der United Kingdom Accreditation Service (UKAS). Die British Standards Institution in London, die eine Zweigstelle in Island unterhält, ist eine akkreditierte Zertifizierungsstelle. Die Zertifizierung gilt als nicht akkreditiert, wenn die Zertifizierungsstelle selbst nicht von einer durch eine staatliche Regierung bestätigte Akkreditierungsinstanz bestätigt wurde. So ist zum Beispiel Vottun hf. in Island keine akkreditierte Zertifizierungsstelle.

Was bedeutet Nachverfolgbarkeit von Daten?
Bei jeder Software ist es wichtig, dass alle Entwicklungsarbeiten an der Software und Änderungen an Daten jederzeit untersucht werden können. Dies gilt besonders für Software, die beim Risiko- und Qualitätsmanagement verwendet wird. Bei Software, die das Merkmal der Nachverfolgbarkeit bietet, muss bei jeder Änderung von Daten folgendes als Minimum aufgezeichnet werden:

• Wer die Änderungen ausgeführt hat
• Der Status der Daten vor der Änderung
• Der Status der Daten nach der Änderung
• Wann die Änderung stattgefunden hat
• Die Auswirkungen der Änderung auf einzelne Teile des Systems oder auf das System als Ganzem
• Die Nachverfolgbarkeit von Daten ist eine Schlüsselkomponente bei der Software von Stiki.

Was ist Datenverschlüsselung?

• Verschlüsselung:
  Der Vorgang der Verschlüsselung von Daten zu dem Zweck, dass nur der beabsichtigte Empfänger der Daten diese entschlüsseln und lesen kann. Wenn Sequenzen von Wörtern oder Zahlen verschlüsselt werden, werden diese mit Hilfe eines bestimmten Algorithmus zu einem Geheimcode umgewandelt. Um die Daten wieder verständlich zu machen, müssen diese wieder entschlüsselt werden, d. h. zu ihrer ursprünglichen Form umgewandelt werden. Bei der Verschlüsselung wird eine geheime Sequenz von Zeichen verwendet, die als Verschlüsselungsschlüssel bezeichnet wird.
• Einwegeverschlüsselung:
  Verschlüsselung ohne Verschlüsselungsschlüssel. Die Eingabe, als Wort oder Zahl, z. B. als Identifikationsnummer, wird zu einer Sequenz von Zeichen umgewandelt, die nicht mit Hilfe eines Entschlüsselungsschlüssels zurückverfolgt werden kann. Dies wird oft mit Hilfe einer mathematischen Formel mit dem Namen Einweg-Hashfunktion durchgeführt.
• Symmetrische Verschlüsselung:
  Ein einzelner Schlüssel wird sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet. Die eingegebenen Daten, die die Form von Wort- oder Zahlensequenzen haben können, werden mit Hilfe eines Algorithmus oder Schlüssels zurückverwandelt. Die die Verschlüsselung durchführende Person wählt den Schlüssel und muss diesen vor außenstehenden Personen geheim halten. Der selbe Schlüssel wird verwendet, um die verschlüsselten Daten wieder in ihre ursprüngliche Form zurückzuverwandeln.
• Asymmetrische Verschlüsselung:
  Bei der asymmetrischen Verschlüsselung werden zwei verschiedene Schlüssel verwendet, einer für die Verschlüsselung und einer für die Entschlüsselung. Am Anfang wird ein Paar von mathematisch miteinander verbundenen Schlüsseln erzeugt. Trotz der zwischen den Schlüsseln bestehenden Beziehung kann der Entschlüsselungsschlüssel (oder Privatschlüssel) nicht aus dem Verschlüsselungsschlüssel (oder öffentlichen Schlüssel) abgeleitet werden. Wenn diese Art der Verschlüsselung verwendet wird, ist es von wesentlicher Bedeutung, den Entschlüsselungsschlüssel geheim zu halten. Diese Verschlüsselungsmethode wird gewöhnlich zur Verschlüsselung von E-Mail-Kommunikationsinhalten verwendet. Der Absender verschlüsselt den E-Mail-Text und die zugehörigen Anhänge mit Hilfe des öffentlichen Schlüssels des Empfängers. Nach der Übermittlung der E-Mail entschlüsselt der Empfänger die E-Mail mit Hilfe seines privaten Schlüssels.

Was ist ein Informationssicherheitsmanagementsystem?
Ein Informationssicherheitsmanagementsystem (ISMS) ist Teil des übergreifenden Managementsystems einer Organisation. Dieses dient zur Erhaltung der Sicherheit von Informationen. Der Anwendungsbereich des ISMS erstreckt sich auch auf die Aktivitäten und Kundenbeziehungen der jeweiligen Organisation. Ebenso betrifft dieses die Betriebsabläufe einer Organisation, deren Politiken, deren interne Struktur, die Verteilung von Verantwortungsbereichen, Arbeitsroutinen, Prozeduren, Prozesse und Ressourcen.

Der Anwendungsbereich eines ISMS kann die gesamten Betriebseinheiten einer Organisation umfassen oder nur spezifische Teile von deren Aktivitäten. Der Anwendungsbereich eines ISMS muss auch alle Informationssysteme einschließlich aller Informationsgüter, Dienste und Software umfassen, die in den unter dem definierten Anwendungsbereich spezifizierten Betriebseinheiten verwendet werden.

Was ist ein Informationssystem?
Zu einem Informationssystem gehören ein Datenerfassungssystem und ein Datenverarbeitungssystem, die zusammen ein integriertes System für die Speicherung und Verwendung von Informationen bilden. Zu einem Informationssystem gehören auch Personal, Geräte, Software, Dienste, Finanzmittel und andere Dinge, die mit der Bereitstellung oder Verbreitung von Informationen zusammenhängen.

Weitere Informationen hier: https://bsi-global.com, http://www.iso.org/iso/en/ISOOnline.frontpage

Was ist eine Risikobewertung für die Datenverarbeitung?
Unter Risikobewrtung versteht man den gesamten Prozess der Analyse und Gewichtung von Risiken in Übereinstimmung mit der Norm ISO/IEC 27001:2005 und die Evaluierung von Risiken für Daten und für die Verarbeitung von Daten, von deren Auswirkungen, der Anfälligkeit für solche Risiken und der Wahrscheinlichkeit des Eintretens der Risikoereignisse. Dazu gehört auch die Bewertung des Risikos, dass eine firmenexterne Partei auf die Informationen zugreift, diese ändert oder anderweitig deren Sicherheit gefährdet. Zur Risiokobewertung gehört auch die Bestimmung des Umfangs und der Auswirkungen des Risikos in Beziehung auf die Art der verwendeten Daten. Der Zweck der Risikobewertung ist, eine Basis für die Wahl von Sicherungsmaßnahmen zu schaffen. Risikobewertungen werden im Jahresabstand neu überprüft.

Was ist ein Statement of Applicability?
Ein Statement of Applicability (oft abgekürzt als SOA) ist ein Dokument, das die für Ihre Umgebung gewählten Kontrollen auflistet und erläutert, warum diese angemessen sind. Das SOA basiert auf den Ergebnissen der Risikobewertung und muss, falls eine Erfüllung der Bestimmungen der Norm ISO/IEC27001 angestrebt wird, eine eindeutige Beziehung zwischen den gewählten Kontrollen und den ursprünglichen Risiken nachweisen, die die Kontrollen abschwächen sollen. Die Kontrollen werden gewöhnlich der Norm ISO/IEC 27002 entnommen, es ist aber auch möglich, eigene, firmeninterne Kontrollen einzuschließen. Inzwischen wurden einige sektorenspezifische Programme eingeführt, die zusätzliche obligatorisch einzuführende Kontrollen fordern.
Das SOA sollte die Arbeitsabläufe, Prozesse, Politiken oder andere Dokumentationen/Systeme erwähnen, über die ein gewählter Kontrollmechanismus in der Realität implementiert werden wird.

Es hat sich auch als gute Praxis erwiesen, dokumentarisch die Gründe dafür festzuhalten, warum nicht gewählte Kontrollen ausgeschlossen wurden.
Auditoren fragen während des Zertifizierungsprozesses nach dem SOA. Das SOA ist auch ein gutes Marketingdokument für Prozessbeteiligte wie Kunden, Mitarbeiter, Aktionäre und auch für Überwachungsbehörden.

Als nächster Schritt nach der Erstellung und Ausgabe eines Statement of Applicability muss ein Implementierungsprogramm durchgeführt werden.

Informationssicherheitsmanagementsystem (ISMS)
Eine Risikobewertung wird für ein spezifisches Informationssicherheitsmanagementsystem (ISMS) durchgeführt. Entsprechend der Norm ISO/IEC 27001 ist ein Informationssicherheitsmanagementsystem folgendes: “Derjenige Teil des firmenübergreifenden Managementsystems, der die Aufgabe hat, die Informationssicherheit auf der Grundlage der Methode der Bewertung von Risiken für den Geschäftsbetrieb sicher zu stellen, zu implementieren, zu betreiben, zu überwachen, zu überprüfen, aufrechtzuerhalten und zu verbessern.” Oft gibt es ein einzelnes Informationssicherheitsmanagementsystem für eine einzelne Geschäftseinheit oder für das gesamte Unternehmen, das die Durchführung einer Risikobewertung für diese Einheit erlaubt.