Der IT Security Manager
von: Klaus Schmidt
Carl Hanser Fachbuchverlag, 2006
ISBN: 9783446408838
Sprache: Deutsch
315 Seiten, Download: 4511 KB
Format: PDF, auch als Online-Lesen
| Inhalt | 6 | ||
| Vorwort | 12 | ||
| Über den Autor | 13 | ||
| 1 Stellenwert der Informationssicherheit | 14 | ||
| 1.1 Das Wesen einer Information | 15 | ||
| 1.2 Informationstechnik als Informationsinfrastruktur | 17 | ||
| 1.3 Sicherheit als Erfolgsfaktor | 18 | ||
| 1.4 Sicherheitsfunktionen im Unternehmen | 19 | ||
| 1.5 Risikomanagement vs. IT-Sicherheit | 20 | ||
| 2 Risiko und Sicherheit | 21 | ||
| 2.1 Risiko | 21 | ||
| 2.2 Sicherheit | 26 | ||
| 3 Entstehung und Auswirkungen von Risiken | 33 | ||
| 3.1 Schwachstelle | 33 | ||
| 3.2 Angriffspfad | 34 | ||
| 3.3 Auslöser | 34 | ||
| 3.4 Bedrohung | 35 | ||
| 3.5 Sicherheitsrelevantes Ereignis | 36 | ||
| 3.6 Risikoszenario | 37 | ||
| 3.7 Auswirkungen | 38 | ||
| 3.8 Beispiele für Schadensszenarien | 40 | ||
| 4 Sicherheitsorganisation | 44 | ||
| 4.1 Sicherheitsbereiche im Unternehmen | 44 | ||
| 4.2 Sicherheitsrelevante Rollen | 49 | ||
| 4.3 Organisationsmodelle | 51 | ||
| 4.4 Gestaltung einer Sicherheitsorganisation | 56 | ||
| 5 Methodische Managementgrundlagen | 58 | ||
| 5.1 Vier-Phasen-Managementkreislauf | 58 | ||
| 5.2 Der Information Security Circle | 60 | ||
| 5.3 Zusammenspiel zwischen Statik und Dynamik | 63 | ||
| 5.4 Fragebogen und Interviews | 64 | ||
| 5.5 Moderation | 71 | ||
| 5.6 Argumentation und Verhandlung | 77 | ||
| 5.7 Projektmanagement | 82 | ||
| 6 Sicherheit definieren und vorgeben | 94 | ||
| 6.1 Von der Zielsetzung zur Umsetzung | 94 | ||
| 6.2 Sicherheitsstrategien | 97 | ||
| 6.3 Sicherheitspolitik | 99 | ||
| 6.4 Vordefinierte Sicherheitsstandards | 110 | ||
| 6.5 Business Impact-Analyse | 118 | ||
| 6.6 Abhängigkeitsmatrix | 121 | ||
| 6.7 Schutzbedarfsanalyse | 121 | ||
| 7 Risiken erkennen und bewerten | 123 | ||
| 7.1 Abgrenzung des Analyseobjekts | 124 | ||
| 7.2 IST- Aufnahme | 124 | ||
| 7.3 Schwachstellenanalyse | 126 | ||
| 7.4 Bedrohungsanalyse | 127 | ||
| 7.5 Risikoszenarien | 127 | ||
| 7.6 Darstellung der Risikosituation | 127 | ||
| 7.7 Der Risikokorridor | 129 | ||
| 7.8 Bewerten der Risikosituation und Risikopriorisierung | 131 | ||
| 7.9 Risikoentscheidung und -priorisierung | 131 | ||
| 7.10 Angemessene Schutzkonzepte | 132 | ||
| 7.11 Risikoformel | 133 | ||
| 7.12 FMEA | 140 | ||
| 7.13 Projektbegleitende Risikoanalyse | 142 | ||
| 8 Reporting | 145 | ||
| 8.1 Strukturmodell des House of Security (HoS) | 145 | ||
| 8.2 Präsentation | 153 | ||
| 8.3 Risk Reporting mit der Balanced Scorecard | 160 | ||
| 8.4 Security Capability Maturity Model | 164 | ||
| 8.5 Reporting mit dem Netzdiagramm | 168 | ||
| 8.6 Security Landscape | 169 | ||
| 9 Business Continuity | 170 | ||
| 9.1 Ausgangssituation | 171 | ||
| 9.2 Klassische Datensicherung | 174 | ||
| 9.3 Datenspiegelung | 176 | ||
| 9.4 RAID | 178 | ||
| 9.5 Moderne Storage-Technologien | 184 | ||
| 9.6 Replikation | 186 | ||
| 9.7 Failover | 190 | ||
| 9.8 Redundanz | 191 | ||
| 9.9 Outsourcing | 194 | ||
| 9.10 Fallback | 194 | ||
| 10 Notfallmanagement | 196 | ||
| 10.1 Notfallvorsorge | 197 | ||
| 10.2 Erkennen des Notfalls | 200 | ||
| 10.3 Notfallhandbuch | 204 | ||
| 10.4 Notfallorganisation | 205 | ||
| 10.5 Notfallverlauf | 209 | ||
| 11 Der Mensch in der Informationssicherheit | 220 | ||
| 11.1 Politische Arbeit des Security Managers | 221 | ||
| 11.2 Change Management | 230 | ||
| 11.3 Information Security Awareness | 239 | ||
| 11.4 User Security Standard | 244 | ||
| 12 Incident Handling und IT-Forensik | 247 | ||
| 12.1 Computerkriminalität | 247 | ||
| 12.2 Erkennung von sicherheitsrelevanten Ereignissen | 249 | ||
| 12.3 Beweissicherung | 252 | ||
| 12.4 Forensische Untersuchung | 255 | ||
| 12.5 Bewertung von sicherheitsrelevanten Ereignissen | 256 | ||
| 12.6 Umgang mit den Verursachern | 256 | ||
| 12.7 Eskalation von sicherheitsrelevanten Ereignissen | 257 | ||
| 13 Informationssicherheit und externe Partner | 259 | ||
| 13.1 Externe Partner | 259 | ||
| 13.2 Informationsrisiken in externen Partnerschaften | 260 | ||
| 13.3 Sicherheitsanforderungen für externe Partner | 263 | ||
| 13.4 Security Service Level Agreements | 266 | ||
| 13.5 Vertraulichkeitserklärungen | 267 | ||
| 13.6 Datenschutz im Outsourcing | 269 | ||
| 14 Rechtliche Einflüsse | 272 | ||
| 14.1 KonTraG | 272 | ||
| 14.2 COSO-Framework | 276 | ||
| 14.3 Combined Code | 278 | ||
| 14.4 Sarbanes Oxley Act (SOX) | 280 | ||
| 14.5 Bundesdatenschutzgesetz | 283 | ||
| 14.6 Arbeitsrechtliche Haftung | 290 | ||
| 14.7 Sonstige Haftungsregelungen | 293 | ||
| 14.8 ITK-Gesetze | 294 | ||
| 14.9 GoBS | 306 | ||
| Literatur | 308 | ||
| Register | 312 | ||
| Mehr eBooks bei www.ciando.com | 0 |