DIN ISO/IEC 17799:2007-02 (Draft)

Nationales Vorwort
0 Einleitung
   0.1 Was ist Informationssicherheit?
   0.2 Warum ist Informationssicherheit notwendig?
   0.3 Festlegung der Sicherheitsanforderungen
   0.4 Einschätzung der Sicherheitsrisiken
   0.5 Auswahl von Massnahmen
   0.6 Ausgangspunkt für Informationssicherheit
   0.7 Entscheidende Erfolgsfaktoren
   0.8 Entwicklung eigener Richtlinien
1 Anwendungsbereich
2 Begriffe
3 Aufbau dieser Norm
   3.1 Abschnitte
   3.2 Wesentliche Sicherheitskategorien
4 Risikoeinschätzung und -behandlung
   4.1 Einschätzung der Sicherheitsrisiken
   4.2 Umgang mit Sicherheitsrisiken
5 Sicherheitsleitlinie
   5.1 Informationssicherheitsleitlinie
         5.1.1 Leitlinie zur Informationssicherheit
         5.1.2 Überprüfung der Informationssicherheitsleitlinie
6 Organisation der Informationssicherheit
   6.1 Interne Organisation
         6.1.1 Engagement des Managements für
                 Informationssicherheit
         6.1.2 Koordination der Informationssicherheit
         6.1.3 Zuweisung der Verantwortlichkeiten für
                 Informationssicherheit
         6.1.4 Genehmigungsverfahren für
                 informationsverarbeitende Einrichtungen
         6.1.5 Vertraulichkeitsvereinbarungen
         6.1.6 Kontakt zu Behörden
         6.1.7 Kontakt zu speziellen Interessengruppen
         6.1.8 Unabhängige Überprüfung der
                 Informationssicherheit
   6.2 Externe
         6.2.1 Identifizierung von Risiken in Zusammenhang
                 mit Externen
         6.2.2 Adressieren von Sicherheit im Umgang
                 mit Kunden
         6.2.3 Adressieren von Sicherheit in Vereinbarungen
                 mit Dritten
7 Management von organisationseigenen Werte
   7.1 Verantwortung für organisationseigene Werte (Assets)
         7.1.1 Inventar der organisationseigenen
                 Werte (Assets)
         7.1.2 Eigentum von organisationseigenen
                 Werten (Assets)
         7.1.3 Zulässiger Gebrauch von organisationseigenen
                 Werten (Assets)
   7.2 Klassifizierung von Informationen
         7.2.1 Regelungen für die Klassifizierung
         7.2.2 Kennzeichnung von und Umgang mit Informationen
8 Personalsicherheit
   8.1 Vor der Anstellung
         8.1.1 Aufgaben und Verantwortlichkeiten
         8.1.2 Überprüfung
         8.1.3 Arbeitsvertragsklauseln
   8.2 Während der Anstellung
         8.2.1 Verantwortung des Managements
         8.2.2 Sensibilisierung, Ausbildung und Schulung
                 für Informationssicherheit
         8.2.3 Disziplinarverfahren
   8.3 Beendigung oder Änderung der Anstellung
         8.3.1 Verantwortlichkeiten bei der Beendigung
         8.3.2 Rückgabe von organisationseigenen Werten
         8.3.3 Zurücknahme von Zugangsrechten
9 Physische und umgebungsbezogene Sicherheit
   9.1 Sicherheitsbereiche
         9.1.1 Sicherheitszonen
         9.1.2 Zutrittskontrolle
         9.1.3 Sicherung von Büros, Räumen und Einrichtungen
         9.1.4 Schutz vor Bedrohungen von Aussen und aus
                 der Umgebung
         9.1.5 Arbeiten in Sicherheitszonen
         9.1.6 Öffentlicher Zugang, Anlieferungs- und Ladezonen
   9.2 Sicherheit von Betriebsmitteln
         9.2.1 Platzierung und Schutz von Betriebsmitteln
         9.2.2 Unterstützende Versorgungseinrichtungen
         9.2.3 Sicherheit der Verkabelung
         9.2.4 Instandhaltung von Gerätschaften
         9.2.5 Sicherheit von ausserhalb des Standorts
                 befindlicher Ausrüstung
         9.2.6 Sichere Entsorgung oder Weiterverwendung von
                 Betriebsmitteln
         9.2.7 Entfernung von Eigentum
10 Betriebs- und Kommunikationsmanagement
   10.1 Verfahren und Verantwortlichkeiten
         10.1.1 Dokumentierte Betriebsprozesse
         10.1.2 Änderungsverwaltung
         10.1.3 Aufteilung von Verantwortlichkeiten
         10.1.4 Trennung von Entwicklungs-, Test- und
                 Produktiveinrichtungen
   10.2 Management der Dienstleistungs-Erbringung von Dritten
         10.2.1 Erbringung von Dienstleistungen
         10.2.2 Überwachung und Überprüfung der Dienstleistungen
                 von Dritten
         10.2.3 Management von Änderungen an Dienstleistungen
                 von Dritten
   10.3 Systemplanung und Abnahme
         10.3.1 Kapazitätsplanung
         10.3.2 System Abnahme
   10.4 Schutz vor Schadsoftware und mobilem Programmcode
         10.4.1 Massnahmen gegen Schadsoftware
         10.4.2 Schutz vor mobiler Software (mobilen Agenten)
   10.5 Backup
         10.5.1 Backup von Informationen
   10.6 Management der Netzsicherheit
         10.6.1 Massnahmen für Netze
         10.6.2 Sicherheit von Netzdiensten
   10.7 Handhabung von Speicher- und Aufzeichnungsmedien
         10.7.1 Verwaltung von Wechselmedien
         10.7.2 Entsorgung von Medien
         10.7.3 Umgang mit Informationen
         10.7.4 Sicherheit der Systemdokumentation
   10.8 Austausch von Informationen
         10.8.1 Regelwerke und Verfahren zum Austausch
                 von Informationen
         10.8.2 Vereinbarungen zum Austausch von Informationen
         10.8.3 Transport physischer Medien
         10.8.4 Elektronische Mitteilungen/Nachrichten
                 (Messaging)
         10.8.5 Geschäftsinformationssysteme
   10.9 E-Commerce-Anwendungen
         10.9.1 E-Commerce
         10.9.2 Online Transaktionen
         10.9.3 Öffentlich verfügbare Informationen
   10.10 Überwachung
         10.10.1 Auditprotokolle
         10.10.2 Überwachung der Systemnutzung
         10.10.3 Schutz von Protokollinformationen
         10.10.4 Administrator- und Betreiberprotokolle
         10.10.5 Fehlerprotokolle
         10.10.6 Zeitsynchronisation
11 Zugangskontrolle
   11.1 Geschäftsanforderungen für Zugangskontrolle
         11.1.1 Regelwerk zur Zugangskontrolle
   11.2 Benutzerverwaltung
         11.2.1 Benutzerregistrierung
         11.2.2 Verwaltung von Sonderrechten
         11.2.3 Verwaltung von Benutzerpasswörtern
         11.2.4 Überprüfung von Benutzerberechtigungen
   11.3 Benutzerverantwortung
         11.3.1 Passwortverwendung
         11.3.2 Unbeaufsichtigte Benutzerausstattung
         11.3.3 Der Grundsatz des aufgeräumten Schreibtischs
                 und des leeren Bildschirms
   11.4 Zugangskontrolle für Netze
         11.4.1 Regelwerk zur Nutzung von Netzdiensten
         11.4.2 Benutzerauthentisierung für externe
                 Verbindungen
         11.4.3 Geräteidentifikation in Netzen
         11.4.4 Schutz der Diagnose- und Konfigurationsports
         11.4.5 Trennung in Netzen
         11.4.6 Kontrolle von Netzverbindungen
         11.4.7 Routingkontrolle für Netze
   11.5 Zugriffskontrolle auf Betriebssysteme
         11.5.1 Verfahren für sichere Anmeldung
         11.5.2 Benutzeridentifikation und Authentisierung
         11.5.3 Systeme zur Verwaltung von Passwörtern
         11.5.4 Verwendung von Systemwerkzeugen
         11.5.5 Session Time-out
         11.5.6 Begrenzung der Verbindungszeit
   11.6 Zugangskontrolle zu Anwendungen und Information
         11.6.1 Einschränkung von Informationszugriffen
         11.6.2 Isolation sensitiver Systeme
   11.7 Mobile Computing und Telearbeit
         11.7.1 Mobile Computing und Kommunikation
         11.7.2 Telearbeit
12 Beschaffung, Entwicklung und Wartung von Informationssystemen
   12.1 Sicherheitsanforderungen von Informationssystemen
         12.1.1 Analyse und Spezifikation von
                 Sicherheitsanforderungen
   12.2 Korrekte Verarbeitung in Anwendungen
         12.2.1 Überprüfung von Eingabedaten
         12.2.2 Kontrolle der internen Verarbeitung
         12.2.3 Integrität von Nachrichten
         12.2.4 Überprüfung von Ausgabedaten
   12.3 Kryptographische Massnahmen
         12.3.1 Leitlinie zur Anwendung von Kryptographie
         12.3.2 Verwaltung kryptographischer Schlüssel
   12.4 Sicherheit von Systemdateien
         12.4.1 Kontrolle von Software im Betrieb
         12.4.2 Schutz von Test-Daten
         12.4.3 Zugangskontrolle zu Quellcode
   12.5 Sicherheit bei Entwicklungs- und
         Unterstützungsprozessen
         12.5.1 Änderungskontrollverfahren
         12.5.2 Technische Kontrolle von Anwendungen nach
                 Änderungen am Betriebssystem
         12.5.3 Einschränkung von Änderungen an Softwarepaketen
         12.5.4 Ungewollte Preisgabe von Informationen
         12.5.5 Ausgelagerte Softwareentwicklung
   12.6 Umgang mit Schwachstellen
         12.6.1 Kontrolle technischer Schwachstellen
13 Umgang mit Informationssicherheitsvorfällen
   13.1 Melden von Informationssicherheitsereignissen
         und Schwachstellen
         13.1.1 Melden von Informationssicherheitsereignissen
         13.1.2 Melden von Sicherheitsschwachstellen
   13.2 Umgang mit Informationssicherheitsvorfällen
         und Verbesserungen
         13.2.1 Verantwortlichkeiten und Verfahren
         13.2.2 Lernen von Informationssicherheitsvorfällen
         13.2.3 Sammeln von Beweisen
14 Sicherstellung des Geschäftsbetriebs (Business
   Continuity Management)
   14.1 Informationssicherheitsaspekte bei der
         Sicherstellung des Geschäftsbetriebs
         (Business Continuity Management)
         14.1.1 Einbeziehung der Informationssicherheit
                 in den Prozess zur Sicherstellung des
                 Geschäftsb
         14.1.2 Sicherstellung des Geschäftsbetriebs und
                 Risikoeinschätzung
         14.1.3 Entwickeln und Umsetzen von Plänen zur
                 Sicherstellung des Geschäftsbetriebs, die
                 Informationssicherheit enthalten
         14.1.4 Rahmenwerk für die Pläne zur Sicherstellung
                 des Geschäftsbetriebs
         14.1.5 Testen, Instandhaltung und Neubewertung von
                 Plänen zur Sicherstellung des
                 Geschäftsbetriebs
15 Einhaltung von Vorgaben (Compliance)
   15.1 Einhaltung gesetzlicher Vorgaben
         15.1.1 Identifikation der anwendbaren Gesetze
         15.1.2 Rechte an geistigem Eigentum
         15.1.3 Schutz von organisationseigenen
                 Aufzeichnungen
         15.1.4 Datenschutz und Vertraulichkeit von
                 personenbezogenen Informationen
         15.1.5 Verhinderung des Missbrauchs von
                 informationsverarbeitenden Einrichtungen
         15.1.6 Regelungen zu kryptographischen Verfahren
   15.2 Einhaltung von Sicherheitsregelungen und -standards,
         und technischer Vorgaben
         15.2.1 Einhaltung von Sicherheitsregelungen
                 und -standards
         15.2.2 Prüfung der Einhaltung technischer
                 Vorgaben
   15.3 Überlegungen zu Revisionsprüfungen von
         Informationssystemen
         15.3.1 Massnahmen für Audits von
                 Informationssystemen
         15.3.2 Schutz von Revisionswerkzeugen für
                 Informationssysteme
Literaturhinweise