Zusammenfassung
Im Bereich der Unternehmensabsicherung (Enterprise Security) haben sich Management Systeme wie das ISMS gemäß ISO/IEC 27001 nach dem Deming-Zyklus (PDCAZyklus) etabliert. In Deutschland hat sich im öffentlichen Sektor der BSI Standard 100-2 bzw. die Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz des BSI (Bonn) durchgesetzt. Die Grundschutz-Methodik geht dabei von einer Institution oder Behörde aus, die für sich genommen eine Einheit bildet. Diese Situation liegt bei einem Telekommunikationsdienstleister allerdings nicht vor. Daher stellt sich die Frage, wie die Abgrenzung des Informationsverbundes in diesem Fall vorzunehmen ist. An Hand eines Beispiels wird in diesem Beitrag eine praxisbewährte und zertifizierungskonforme Lösung vorgestellt, die für große Institutionen richtungsweisend sein kann.
Literatur
SC27: ISO/IEC 27001:2013, Information technology — Security techniques — Information security management systems — Requirements. Beuth-Verlag, Berlin, 10–1, 2013.
Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise. Version 2.0, 2008; www.bsi.bund.de/gshb.
SC27: ISO/IEC 27001:2005, Information technology — Security techniques — Information security management systems — Requirements. Beuth-Verlag, Berlin, 10, 2005.
Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz. Version 2.5, 2008; www.bsi.bund.de/gshb.
M. Brenner et al.: Praxisbuch ISO/IEC 27001. Hanser Verlag, München, 2011.
W. Böhmer: Towards a target function of an Information Security Management System. Third IEEE International Symposium on Trust, Security and Privacy for Emerging Applications (TSP-10), Bradford, UK, June 29th–July 1st, 2010.
W. Böhmer: Managementsysteme sind Balance-Systeme — Diskussion relevanter Kennzahlen eines ISMS gemäß ISO/IEC 27001:2005. In: Multikonferenz Wirtschaftsinformatik, Göttingen (MKWI2010), 2010.
R. Rumpel: Messen und Bewerten der Wirksamkeit von Informationssicherheits-Managementsystemen. IT Governance, Fachzeitschrift der ISACA Germany Chapter, Heft 23, März 2016.
Bundesamt für Sicherheit in der Informationstechnik (BSI): Ein IT-Grundschutzprofil für eine große Institution. 11, 2004; www.bsi.bund.de/gshb.
K. Adusei-Poku: Operational Risk Management Implementing a Bayesian Network for Foreign Exchange and Money Market Settlement. PhD thesis, Universität Göttingen, 2005.
C. Alexander: Bayesian methods for measuring operational risk. Discussion Papers in Finance, 2000.
L. Dalla Valle and P. Giudici: A bayesian approach to estimate the marginal loss distributions in operational risk management. Comput. Stat. Data Anal., vol. 52, no. 6, pp. 3107–3127, 2008.
SC27: ISO/IEC 27005:2011, Information technology — Security techniques — Information security risk management (2nd. ed.). Beuth-Verlag, Berlin, 07, 2011.
W. Böhmer: How to estimate a technical VaR with the conditional probability and attack trees. In: Proceedings of ARES 2013 Conference, IEEE Computer Society, University of Regensburg, Germany, September 2nd–6th, 2013.
W. Böhmer: Towards to analyze sophisticated attacks, with conditional probability, genetic algorithm and a crime function. Lecture Notes in Computer Science (LNCS), Volume 8708, Proceedings of ARES 2014 Conference, IEEE Computer Society, University of Fribourg, Switzerland, September 8th–12th, 2014.
Author information
Authors and Affiliations
Corresponding author
Additional information
Wolfgang Böhmer Technische Universität Darmstadt, Morneweg Str. 30, CASED building, 64293 Darmstadt, Germany
Thomas Milde T-Systems International GmbH, TC Division, 13509 Berlin, Germany
Rights and permissions
About this article
Cite this article
Böhmer, W., Milde, T. IT-Grundschutz bei einem Telekommunikationsdienstleister. Datenschutz Datensich 41, 104–110 (2017). https://doi.org/10.1007/s11623-017-0737-8
Published:
Issue Date:
DOI: https://doi.org/10.1007/s11623-017-0737-8