- Audit (normativ):
- VdS 10000, DIN EN ISO/IEC 27001, DIN EN ISO/IEC 27005 - Entwurf, DIN SPEC 66286
Informationen bilden die organisatorische Basis der Geschäftstätigkeit einer Organisation und werden als Unternehmenswert verstanden.
Der technische Schutz vor Manipulationen, die Analyse von Angriffsvektoren und die eine Suche nach Ergonomie durch Technikgestaltung gehören zum systematischen Selbstverständnis von Sachkunde24 (S24). Das grundsätzliche Design unterstützt Ihre Organisation somit bereits ohne Nutzung des Monitor (ISMS) dabei:
- die Vertraulichkeit zu verbessern, dass hinterlegte Informationen nur denjenigen zugänglich sind, die zum Zugriff berechtigt sind.
- eine Verfügbarkeit so relevant zu koordinieren, dass der Zugang zu Informationen und zugehörigen Anlagen bedarfs- und fristgerecht auf die mitwirkenden und verantwortlichen Personen adressiert wird
- die Integrität im Sinne einer Richtigkeit und Vollständigkeit über Verarbeitungsmethoden sicher zu stellen.
Der Monitor (ISMS) unterstützt ein Firmenprofil im Aufbau mit einigen Herangehensweisen und Prozessen, welche es Ihrer Organisation erlauben Nachweise zur "gelebten" Informationssicherheit zu dokumentieren. Hierzu zählen insbesondere Aspekte zur:
- Sensibilisierung des Personals einer Organisation im Hinblick auf Informationssicherheit.
- Möglichkeiten zur individuelle Erstellung und Dokumentation von organisatorischen Maßnahmen der Informationssicherheit und deren Durchdringung
Informationssicherheitsmanagementsysteme (ISMS) legen Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung, Verbesserung und die Dokumentationsanforderungen fest. Dabei sollten, wenn immer sinnvoll und möglich (Risikobeurteilung) auch individuelle IT-Risiken des Kontext der Organisation einschließlich Hardware und Lieferkette berücksichtigt werden, um Datenschutz und Informationssicherheit ganzheitlich gewährleisten zu können. Ein gutes System unterstützt Organisationen dabei, eine Politik und Ziele für das Management der Informationssicherheit festzulegen und anschließend zu verstehen, welche wichtigen Aspekte verwaltet werden können, welche Maßnahmen zu implementieren sind und welche klaren Ziele zur Verbesserung der Informationssicherheit priorisiert und umgesetzt werden können.
In Zeiten von "Künstlicher Intelligenz (KI)" ist insbesondere S24 aufgefordert die einhergehende Narrative, den aktuellen Stand der Technik neu zu bewerten, die strategische Ausrichtung anzupassen und auf operative Maßnahmen und Entscheidungen herunterzubrechen. Dies geschieht bei S24 sowohl bei der Auswahl von und Zusammenarbeit mit geeigneten Partnern bei der Informationsverarbeitung mit Datenverarbeitungsnachweis (DVN). Wenn auch in einem grundsätzlich kryptrischen Zustand werden die persönlichen wie auch die organisatorischen Daten bei der Nutzung von S24 von diesen Partnern gemeinsam abgesichert. KI generierte Bots eröffnen bei allen neuen Vorteilen auch neue Angriffsvektoren und somit Konflikt- und Gefahrenpotential für die Sicherheit von geschützten Systemen. Wenn auch S24 im Verbund die technische Absicherung stetig verbessert, bleibt das Softwareerlebnisses und dessen Gebrauchstauglichkeit von einer verifizierbaren Nutzeridentität (Nutzerkonto) abhängig. Hierbei kann und muss eine Mitverantwortung bei der Sicherheit der Nutzeridentität belassen werden. Wir versuchen die Notwendigkeit zur Ausübung dieser Mitverantwortung somit auf einen wesentlichen Punkt zu reduzieren und liefern selbst dort Unterstützung durch Technikgestaltung und Hinweise zur Verbesserung der Informationssicherheit. Im Kontext mit unserer sehr einfach geschriebenen AGB funktioniert das nachweislich wunderbar und stellt gleichzeitig auch eine doukumentierte Verbindlichkeit zwischen den handelnden Akteuren in einem interaktivem und kollaborierenden System sicher.
Leistungsumfang (Firmenprofil)
| Kontext | Prozess | Beschreibung |
|---|---|---|
| Monitore | Normenverzeichnis (ISMS) | TODO [Monitor] |
| Unternehmen | Audits (ISMS) | TODO [Monitor] |
Literaturverweise
| Name | letzte Aktualisierung | Titel |
|---|---|---|
| BDSG (ff.) | 2018 | Bundesdatenschutzgesetz (BDSG) |
| Verordnung (EU) 2016/679 (EU-DSGVO) | 04.03.2021 | Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung (EU-DSGVO)) |
| Verordnung (EU) 2023/1114 | 31.05.2023 | Märkte für Kryptowerte |
| DIN EN ISO 9241 | 2023 | Ergonomische Anforderungen für Bürotätigkeiten mit Bildschirmgeräten / Ergonomie der Mensch-System-Interaktion |
| DIN ISO 9241-100 | :2010-09 | Ergonomie der Mensch-System-Interaktion - Teil 100: Überblick über Normen zur Software-Ergonomie |
| DIN EN ISO 9241-151 | :2008-09 | Ergonomie der Mensch-System-Interaktion - Teil 151: Leitlinien zur Gestaltung von Benutzungsschnittstellen für das World Wide Web |
| VdS 10000 | 2022 | Informationsverarbeitung - Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU) - Anforderungen |
| VdS 10001 | :2022-02 | Informationsverarbeitung - VdS Quick-Audit - Verfahren |
| VdS 10002 | :2019-11 | Informationsverarbeitung - Zertifizierung von Managementsystemen für KMU (Informationssicherheit und Datenschutz) - Verfahren |
| VdS 10003 | 01.12.2018 | Informationsverarbeitung - Richtlinien für die Anerkennung von Beratern für Cyber-Security |
| VdS 10005 | 01.07.2021 | Informationsverarbeitung - Mindestanforderungen an die Informationssicherheit von Klein- und Kleinstunternehmen - Anforderungen |
| VdS 10006 | 01.07.2021 | Informationsverarbeitung - Testierung der Informationssicherheit von Klein- und Kleinstunternehmen - Verfahren |
| VdS 10013 | :2018-12 | Informationsverarbeitung - Richtlinien für die Anerkennung von Beratern für Datenschutzmanagement |
| DIN EN ISO 14090 | :2020-02 | Anpassung an die Folgen des Klimawandels - Grundsätze, Anforderungen und Leitlinien |
| DIN EN 16234-1 | :2020-02 | e-Kompetenz-Rahmen (e-CF) - Ein gemeinsamer europäischer Rahmen für IKT-Fach- und Führungskräfte in allen Branchen - Teil 1: Rahmenwerk |
| DIN EN 17529 | :2022-08 | Datenschutz und Schutz der Privatsphäre durch Technikgestaltung und datenschutzfreundliche Voreinstellungen |
| DIN EN 17748-1 | :2022-12 | Grundlegendes Wissen für IKT-Berufe (IKT BoK) - Teil 1: Der Wissensbestand |
| DIN EN 17926 | 01.02.2024 | Datenschutz-Informationsmanagementsystem per ISO/IEC 27701 - Verfeinerungen im europäischen Kontext |
| ISO/IEC 18033 (ff.) | — | Informationssicherheit - Verschlüsselungsalgorithmen |
| DIN EN ISO/IEC 18045:2023-12 - Entwurf | 17.11.2023 | Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre - Evaluationskriterien für IT-Sicherheit - Methodik für die Bewertung der IT-Sicherheit (ISO/IEC 18045:2022) |
| DIN ISO/IEC 19086 | 2019 | Informationstechnik - Cloud Computing - Dienstgütevereinbarung (SLA) Rahmenwerk |
| ISO/IEC 19770 | 2024 | Informationstechnik - Management von IT-Assets |
| ISO/IEC 19896 (ff.) | — | IT-Sicherheitstechniken - Kompetenzanforderungen an Tester und Evaluatoren von Informationssicherheit |
| DIN EN ISO/IEC 19896-1 | :2023-10 | IT-Sicherheitstechniken - Kompetenzanforderungen an Tester und Evaluatoren von Informationssicherheit - Teil 1: Einführung, Konzepte und allgemeine Anforderungen |
| DIN EN ISO/IEC 19896-2 | 01.03.2024 | IT-Sicherheitstechniken - Kompetenzanforderungen an Tester und Evaluatoren von Informationssicherheit - Teil 2: Anforderungen an Wissen, Fähigkeiten und Effektivität für ISO/IEC 19790-Tester |
| DIN EN ISO 22300 | :2021-06 | Sicherheit und Resilienz - Begriffe |
| DIN EN ISO 22301 | :2020-06 | Sicherheit und Resilienz - Business Continuity Management System (BCMS) - Anforderungen |
| DIN EN ISO 22361 | :2023-02 | Sicherheit und Resilienz - Krisenmanagement - Leitlinien für die Entwicklung einer Strategie |
| DIN EN ISO 22739 | :2022-12 | Blockchain und Technologien für verteilte elektronische Journale - Begriffe |
| DIN EN ISO 26000 | :2021-04 | Leitfaden zur gesellschaftlichen Verantwortung |
| DIN EN ISO/IEC 27000 | :2020-06 | Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme - Überblick und Terminologie |
| ISO/IEC 27000 | 01.02.2018 | Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme (ISMS) - Überblick und Terminologie |
| DIN EN ISO/IEC 27001 | :2024-01 | Informationssicherheit, Cybersicherheit und Datenschutz - Informationssicherheitsmanagementsysteme - Anforderungen |
| ISO/IEC 27001 | 01.10.2022 | Informationssicherheit, Cybersicherheit und Datenschutz - Informationssicherheitsmanagementsysteme - Anforderungen |
| ISO/IEC 27002 | :2022-02 | Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre - Informationssicherheitsmaßnahmen |
| DIN EN ISO/IEC 27002 | :2024-01 | Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre - Informationssicherheitsmaßnahmen |
| ISO/IEC 27003 | 01.03.2017 | Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme - Anleitung |
| ISO/IEC 27004 | 01.12.2016 | Informationstechnik - Sicherheitsverfahren - Informationssicherheits-Management - Überwachung, Messung, Analyse und Evaluation |
| ISO/IEC 27005 | 01.10.2022 | Informationssicherheit, Cybersicherheit und Datenschutz - Leitfaden zur Handhabung von Informationssicherheitsrisiken |
| DIN EN ISO/IEC 27005 - Entwurf | 05.04.2024 | Informationssicherheit, Cybersicherheit und Datenschutz - Leitfaden zur Handhabung von Informationssicherheitsrisiken |
| DIN EN ISO/IEC 27006 | 01.05.2021 | Informationstechnik - IT-Sicherheitsverfahren - Anforderungen an Institutionen, die Audits und Zertifizierungen von Informationssicherheits-Managementsystemen (ISMS) anbieten |
| DIN EN ISO/IEC 27007 | 01.10.2022 | Informationssicherheit, Cybersicherheit und Datenschutz - Leitfaden für das Auditieren von Informationssicherheitsmanagementsystemen |
| ISO/IEC TS 27008 | 01.01.2019 | Informationstechnik - Sicherheitsverfahren - Leitfaden zur Bewertung von Informationssicherheitsmaßnahmen |
| DIN ISO/IEC 27009 | 01.09.2022 | Informationssicherheit, Cybersicherheit und Datenschutz - Sektorspezifische Anwendung der ISO/IEC 27001 - Anforderungen (ISO/IEC 27009:2020) |
| ISO/IEC 27010 | 01.11.2015 | Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagement für sektor- und organisationsübergreifende Kommunikation |
| DIN EN ISO/IEC 27011 | :2021-10 | Informationstechnik - Sicherheitsverfahren - Leitfaden für Informationssicherheitsmaßnahmen auf Grundlage von ISO/IEC 27002 für Telekommunikationsorganisationen |
| ISO/IEC 27013 | 01.11.2021 | Informationssicherheit, Cybersicherheit und Datenschutz - Leitfaden für die integrierte Einführung von ISO/IEC 27001 und ISO/IEC 20000-1 |
| ISO/IEC 27014 | 01.12.2020 | Informationssicherheit, Cybersecurity und Datenschutz - Governance von Informationssicherheit |
| ISO/IEC TR 27016 | 01.03.2014 | Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheitsmanagement - organisationelle Wirtschaftlichkeit |
| DIN EN ISO/IEC 27017 | :2021-11 | Informationstechnik - Sicherheitsverfahren - Anwendungsleitfaden für Informationssicherheitsmaßnahmen basierend auf ISO/IEC 27002 für Cloud Dienste |
| DIN EN ISO/IEC 27018 | :2020-08 | Informationstechnik - Sicherheitsverfahren - Leitfaden zum Schutz personenbezogener Daten (PII) in öffentlichen Cloud-Diensten als Auftragsdatenverarbeitung |
| DIN EN ISO/IEC 27019 | :2020-08 | Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmaßnahmen für die Energieversorgung |
| ISO/IEC 27021 | — | Informationstechnik - Sicherheitsverfahren - Anforderungen an die Kompetenz von Sachkundigen für Informationssicherheits-Managementsysteme (ISMS) |
| ISO/IEC 27035 (ff.) | — | Informationstechnik |
| ISO/IEC 27035-1 | 01.02.2023 | Informationstechnik - Management von Informationssicherheitsvorfällen - Teil 1: Grundsätze und Verfahren |
| ISO/IEC 27035-2 | :2023-02 | Informationstechnik - Management von Informationssicherheitsvorfällen - Teil 2: Leitfaden zur Planung und Vorbereitung der Reaktion auf Vorfälle |
| ISO/IEC 27035-3 | 01.09.2020 | Informationstechnik - Informationssicherheit Vorfallmanagement - Teil 3: Leitlinien für IKT-Vorfallsreaktionsmaßnahmen |
| ISO/IEC 27036 (ff.) | — | Cybersecurity - Lieferantenbeziehungen |
| ISO/IEC 27036-1 | 01.09.2021 | Cybersicherheit - Lieferantenbeziehungen - Teil 1: Überblick und Konzepte |
| ISO/IEC 27036-2 | 01.06.2022 | Cybersecurity - Lieferantenbeziehungen - Teil 2: Anforderungen |
| ISO/IEC 27036-4 | 01.10.2016 | Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheit für Zulieferbeziehungen - Teil 4: Leitlinien für die Sicherheit von Cloud-Diensten |
| DIN SPEC 27076 | :2023-05 | IT-Sicherheitsberatung für Klein- und Kleinstunternehmen |
| DIN EN ISO 27501 | :2019-06 | Die menschzentrierte Organisation - Anleitung für Führungskräfte |
| DIN EN ISO/IEC 27701 | 01.07.2021 | Sicherheitstechniken - Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Managementsystem von Informationen zum Datenschutz - Anforderungen und Leitlinien |
| DIN ISO 28000 | :2023-11 | Sicherheit und Belastbarkeit - Sicherheitsmanagementsysteme - Anforderungen für die Lieferkette |
| DIN EN ISO/IEC 29151 | :2022-07 | Informationstechnik - Sicherheitsverfahren - Leitfaden für den Schutz personenbezogener Daten |
| DIN ISO 30401 | :2022-11 | Wissensmanagementsysteme - Anforderungen |
| DIN ISO 30414 | :2019-06 | Personalmanagement - Leitlinien für das interne und externe Human Capital Reporting |
| DIN ISO 31000 | :2018-10 | Risikomanagement - Leitlinien |
| DIN 31644 | :2012-04 | Information und Dokumentation - Kriterien für vertrauenswürdige digitale Langzeitarchive |
| DIN 31645 | :2011-11 | Information und Dokumentation - Leitfaden zur Informationsübernahme in digitale Langzeitarchive |
| DIN ISO 37301 | :2021-11 | Compliance-Managementsysteme - Anforderungen mit Leitlinien zur Anwendung |
| DIN EN ISO 56000 | :2024-03 - Entwurf | Innovationsmanagement - Grundlagen und Begriffe |
| DIN SPEC 66286 | :2014-07 | Management von Cloud Computing Lösungen in kleinen und mittleren Unternehmen (KMU) |
| DIN SPEC 91443 | :2021-08 | Systematisches Wissensmanagement für KMU - Instrumente und Verfahren |
| BetrSichV § 10 | 2015 | Instandhaltung und Änderung von Arbeitsmitteln |
| BDSG § 22 | 2018 | Verarbeitung besonderer Kategorien personenbezogener Daten |
| BDSG § 27 | 2018 | Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken |