institut für interne revision Österreich – iia...

Institut für Interne Revision Österreich – IIA Austria

Informationssicherheitsmanagementsystem

fb-isms.book Seite 1 Montag, 10. Oktober 2016 1:41 13

Informationssicherheits-managementsystem

Damoklesschwert Daten-Gau – Systematische Prüfung

und wirksame Prävention

Institut für Interne Revision Österreich – IIA Austria

fb-isms_titelei.fm Seite 3 Mittwoch, 12. Oktober 2016 8:31 08

Druck: Hans Jentzsch & Co GmbH1210 Wien, Scheydgasse 31

Dieses Buch wurde in Österreich hergestellt.

PEFC zertifiziertDieses Produkt stammt aus nach-haltig bewirtschafteten Wäldern und kontrollierten Quellenwww.pefc.at

Gedruckt nach der Richtlinie „Druckerzeugnisse“ des Öster-reichischen Umweltzeichens, Druckerei Hans Jentzsch & Co GmbH, UW Nr. 790

Zitiervorschlag: Institut für Interne Revision Österreich – IIA Austria, Informationssicherheitsmanage-mentsystem (2016) Seite

Bibliografische Information der Deutschen NationalbibliothekDie Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie;

detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Hinweis: Aus Gründen der leichteren Lesbarkeit wird auf eine geschlechtsspezifische Differenzierung verzichtet. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung für beide Geschlechter.

Das Werk ist urheberrechtlich geschützt. Alle Rechte, insbesondere die Rechte der Verbreitung, der Verviel-fältigung, der Übersetzung, des Nachdrucks und der Wiedergabe auf fotomechanischem oder ähnlichemWege, durch Fotokopie, Mikrofilm oder andere elektronische Verfahren sowie der Speicherung in Datenver-

arbeitungsanlagen, bleiben, auch bei nur auszugsweiser Verwertung, dem Verlag vorbehalten.

Es wird darauf verwiesen, dass alle Angaben in diesem Fachbuch trotz sorgfältiger Bearbeitung ohne Gewähr erfolgen und eine Haftung der Autoren oder des Verlages ausgeschlossen ist.

ISBN 978-3-7143-0307-0 (Print)ISBN 978-3-7094-0851-3 (E-Book-PDF)ISBN 978-3-7094-0850-6 (E-Book-ePub)

© Linde Verlag Ges.m.b.H., Wien 20161210 Wien, Scheydgasse 24, Tel.: 01/24 630

www.lindeverlag.at

1


IIA Austria, Informationssicherheitsmanagementsystem V

VorwortVorwortVorwortInformationssicherheit ist ein Thema, das die Unternehmen in den nächsten Jahrenwirklich beschäftigen wird. Einerseits hängt von der erfolgreichen Implementierungder ungestörte Geschäftsbetrieb ab, andererseits müssen auch die dafür notwendi-gen Investitionen in einem vertretbaren Rahmen gehalten werden. Es ist ein Balan-ceakt, der den Unternehmenserfolg immer stärker beeinflusst. Als wenn das nichtschon schwierig genug zu lösen wäre, kommen noch die komplexen rechtlichen Fra-gestellungen dazu. IT-gestützte Prozesse sind für Unternehmen das, was Nerven-bahnen für den menschlichen Körper sind, sie leiten die notwendigen Informatio-nen an die richtigen Stellen und geben die steuernden Impulse. Die Interne Revisionmit dem Auftrag zur risikoorientierten Prüfung steht daher vor der herausfordern-den Aufgabe, gerade dieses unternehmensweite, bereichsübergreifende und fachlichhochkomplexe System zu prüfen. Die Idee zu diesem Buch entstand im ArbeitskreisEnergiewirtschaft, da fast alle Kollegen Prüfungen aus diesem Themenkreis in ihrenPrüfplänen hatten. Viele dieser Fragestellungen konnten besser gelöst werden, wennIT-Kompetenz in den Abteilungen vorhanden war, und da am Institut für InterneRevision auch der Arbeitskreis EDV etabliert ist, war es nur allzu logisch, dass eineKooperation dieser beiden Kreise eine sehr gute Ausgangslage bildete für die Ent-wicklung eines praxisorientierten Ratgebers, der Wissenslücken auf eine lösungsori-entierte Weise schließt und den Arbeitsaufwand der Prüfungsplanung minimiert.Nicht nur Revisoren werden von der Lektüre dieses Buches profitieren können,auch für Vorstände und Führungskräfte stellt es eine gute Möglichkeit dar, sich inkompakter und umsetzungsorientierter Weise einen schnellen Überblick zu ver-schaffen. Das hier vorliegende Werk ist aber auch eine gute Quelle für best practiceauf diesem Gebiet. Die Auswertung der gemeinsam mit dem deutschen Institutdurchgeführten Umfrage zu Informationsmanagementsystemen stellt dem Manage-ment eine Benchmark über den Einführungsgrad und die Qualität der bereits einge-setzten Systeme zur Verfügung. Die gleichfalls mitgelieferten Links bieten Vertie-fungen zu einigen Kapiteln und praktische Prüfungshilfen.Im Namen des Vorstandes des Instituts für Interne Revision Österreich bedanke ichmich herzlich bei allen Kollegen aus den beiden Arbeitskreisen für den engagierten,zeitintensiven Einsatz im letzten Jahr. Wobei ich aus Gesprächen mit den Autorenauch positives Feedback bekommen habe, dass dieser intensive Diskurs auch einebereichernde Erfahrung für diese Kolleginnen und Kollegen gewesen ist.Den interessierten Lesern soll diese Koproduktion die Arbeit erleichtern, egal inwelchem Zusammenhang diese zum ISMS stehen, und zusätzlich inspirierende Im-pulse geben. Vor allem für Prüfende ist diese Publikation eine Fundgrube für rele-vante Fragestellungen, die im Rahmen von unterschiedlichsten Prüfansätzen beant-wortet werden müssen. Dafür viel Erfolg!

Mag. Gottfried BERGER, CIA, CRMAVorsitzender des Vorstands

Institut für Interne Revision IIA Austria

fb-isms.book Seite V Montag, 10. Oktober 2016 1:41 13

IIA Austria, Informationssicherheits-Managementsystem VII

Autorenverzeichnis

AutorenverzeichnisAutorenverzeichnisProjektleitungMag. Thomas Goldstein, CRMA, CISMVERBUND AG

RedaktionIng. Harald Chasa, CISAUNIQA Group Audit GmbHDr. Markus Fally, CRMA, Dipl. Int. RevisorEnergie Steiermark AGMag. (FH) Wolfgang HieblingerTÜV AUSTRIA HOLDING AGChristoph Maier, CGEITRaiffeisen Zentralbank Österreich AGMag. Andreas Niederbacher, CISADeloitte Oberösterreich Wirtschaftsprüfungs-GmbHMag. Andrea Rockenbauer, CRMA, Dipl. Int. RevisorEnergie AG OberösterreichIng. Mag. Raoul RumplmayrAutobahnen- und Schnellstraßen-Finanzierungs-Aktiengesellschaft (ASFINAG)

Autorinnen und AutorenMag. (FH) Robert Angerer, CIA, CRMA, CCSATiroler Wasserkraft AG (TIWAG)Maria BerghöferWiener KAVMag. (FH) Wolfgang BöhmGenerali Holding Vienna AGBSc. Dietmar Grabher, MA, CIA, CRMA, CISAMITANAND Consulting Grabher e.U.Mag. Sonja Haider-Schöffer, MBA, Dipl. Int. RevisorLINZ AGDipl.-Kfm. Andreas HammerschmidtBMW Financial Services AGMSc Jürgen Horn, CISARaiffeisen Zentralbank Österreich AG

fb-isms.book Seite VII Montag, 10. Oktober 2016 1:41 13

IIA Austria, Informationssicherheits-ManagementsystemVIII

Autorenverzeichnis

Ing. Mag. Anton Ilmer, MA, Dipl. Int. RevisorSalzburg AG für Energie, Verkehr und Telekommunikation

Mag. Ulrike Knödlstorfer-Ross, MBA, CIA, CISAAgrarmarkt Austria (AMA)

Ing. Gerald MickWiener Stadtwerke Holding AG

Mag. Manfred OrtnerStadtwerke Klagenfurt AG

Birgit RaabOÖGKK – Forum Gesundheit

Dipl.-Ing. Kurt RainerEnergie Steiermark AG

Friedrich Winterstein, CIA, CISA

MSc. Reinhold Wochner, MBA, CRISC, CRMA, CISA, CISM, CISSP, CGEITRaiffeisen Bank International AG

QualitätssicherungIng. Manfred Scholz, CISA, CISMSEC4YOU Advanced IT-Audit Services Ges.m.b.H.

Herbert Wit

fb-isms.book Seite VIII Montag, 10. Oktober 2016 1:41 13

IIA Austria, Informationssicherheitsmanagementsystem IX

Inhaltsverzeichnis

Vorwort ............................................................................................................................. VAutorenverzeichnis .......................................................................................................... VIIAbbildungsverzeichnis .................................................................................................... XIIIAbkürzungsverzeichnis ................................................................................................... XVEinleitung .......................................................................................................................... 11. Grundlagen und Ziele für ein Informationssicherheitsmanagementsystem

(ISMS) ............................................................................................................................... 21.1. Managementprinzipien .................................................................................. 2

1.1.1. Corporate Governance ...................................................................... 21.1.2. Internes Kontrollsystem (IKS) ......................................................... 41.1.3. Risikomanagementsystem (RMS) .................................................... 51.1.4. Interne Revision (IR) ......................................................................... 51.1.5. Compliance Management System (CMS) ....................................... 51.1.6. Informationssicherheitsmanagementsystem (ISMS) .................... 6

1.2. Informationssicherheitsstrategie ................................................................... 71.3. Stakeholder ....................................................................................................... 9

1.3.1. Management ....................................................................................... 91.3.2. Chief Information Security Officer (CISO) .................................... 91.3.3. IT-Bereich ............................................................................................ 101.3.4. Mitarbeiter ........................................................................................... 101.3.5. Externe Personengruppen ................................................................. 10

1.4. Informationssicherheitsmanagementprozess ............................................. 102. Vorschriften und Empfehlungen .......................................................................... 13

2.1. Gesetze und Verordnungen in Österreich ................................................... 132.1.1. Datenschutzgesetz 2000 (DSG); Fassung vom 7.7.2016 ............... 132.1.2. Arbeitsverfassungsgesetz ................................................................... 142.1.3. Telekommunikationsgesetz .............................................................. 152.1.4. Signaturgesetz ..................................................................................... 152.1.5. Dienstnehmerhaftpflichtgesetz ........................................................ 162.1.6. Betrugsbekämpfungsgesetz 2010 ..................................................... 162.1.7. Unternehmensrechts-Änderungsgesetz (URÄG 2008) ................ 172.1.8. KFS/DV1 ............................................................................................. 17

2.2. Gesetze und Verordnungen in Deutschland ............................................... 182.2.1. KontraG ............................................................................................... 182.2.2. Bundesdatenschutzgesetz (BDSG) ................................................... 182.2.3. Arbeitnehmerhaftung ........................................................................ 192.2.4. Telekommunikationsgesetz (TKG) ................................................. 192.2.5. Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung

von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) .............................................. 20

2.2.6. IT-Sicherheitsgesetz ........................................................................... 20

fb-isms.book Seite IX Montag, 10. Oktober 2016 1:41 13

IIA Austria, InformationssicherheitsmanagementsystemX

Inhaltsverzeichnis

2.3. Normen und Leitfäden ................................................................................... 212.3.1. Normenreihe ISO/IEC 27000 ........................................................... 212.3.2. Normenreihe ISO/IEC 20000 ........................................................... 222.3.3. Control Objectives for Information and Related Technology

(COBIT) ............................................................................................... 222.3.4. Information Technology Infrastructure Library (ITIL) ................ 222.3.5. Bundesamt für Sicherheit in der Informationstechnik (BSI) ....... 232.3.6. Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) .......... 23

2.4. Interne Richtlinien .......................................................................................... 242.5. Zukünftige Entwicklungen ............................................................................. 24

3. Die Interne Revision als Prüfer und Projektleiter von IT-Sicherheitsaudits .. 273.1. IT-Sicherheitsaudits ........................................................................................ 273.2. Rahmenkonzepte und Prüfansätze ............................................................... 29

3.2.1. Rahmenkonzepte für IT-Sicherheitsaudits ..................................... 303.2.2. Prüfansatz für IT-Sicherheitsaudits ................................................. 30

3.3. Festsetzung des Prüfungsumfangs (Scoping) .............................................. 313.3.1. Konkretisierung durch laufenden Erkenntnisgewinn: Das mehr-

phasige Prüfprogramm und andere Herangehensweisen ............. 323.3.2. BSI-Leitfaden ....................................................................................... 333.3.3. Informationsbeschaffung .................................................................. 343.3.4. Prüfungsabgrenzung .......................................................................... 363.3.5. Prüfmethodik ...................................................................................... 373.3.6. Prüfprogramm/Prüfkriterien/Field Work Matrix ......................... 38

3.4. Interne Revision als Projektleiter von IT-Sicherheitsaudits ...................... 383.4.1. Abwicklung von Prüfungsaufträgen mit externen Prüfern .......... 393.4.2. Mitwirkung der Internen Revision an Prüfungsaufträgen von

externen Prüfern ................................................................................. 394. Organisatorische Aspekte ....................................................................................... 41

4.1. Sicherheitsorganisation .................................................................................. 414.1.1. Aufbau- und Ablauforganisation ..................................................... 414.1.2. Organisation der Systemlandschaft ................................................. 434.1.3. Informationsklassifizierung .............................................................. 444.1.4. Umgang mit Sicherheitsvorfällen ..................................................... 46

4.2. Zugriffssicherheit (Zugriffsmanagement) .................................................... 484.2.1. Berechtigungskonzept ........................................................................ 494.2.2. Berechtigungsvergabe und -entzugsprozess ................................... 514.2.3. Prävention von unfreiwilligem Datenabfluss (Data Leakage) ..... 534.2.4. Penetration Testing ............................................................................ 54

4.3. Änderungsmanagement ................................................................................. 564.3.1. Prozessbeschreibung Änderungsmanagement .............................. 564.3.2. Sicherheitsrelevante Aspekte des Änderungsmanagements ........ 58

4.4. Business Continuity Management ................................................................ 594.4.1. Analyse der Geschäftsprozesse zur Sicherung des IT-Betriebs .... 604.4.2. Notfallvorsorge und Disaster Recovery ........................................... 624.4.3. Absicherung der Maßnahmen durch wiederkehrende Tests ....... 64

fb-isms.book Seite X Montag, 10. Oktober 2016 1:41 13

IIA Austria, Informationssicherheitsmanagementsystem XI

Inhaltsverzeichnis

5. Informationstechnik ................................................................................................ 665.1. Informationstechnik und Informationssicherheit ...................................... 66

5.1.1. Informationstechnik und Risiko ...................................................... 675.1.2. Auswirkungen eines ISMS auf die Sicherheitsmaßnahmen

für die IT .............................................................................................. 685.2. IT-Services: Geschäftsprozessnahe Applikationen ..................................... 71

5.2.1. Erläuterung des Prüfbereichs ........................................................... 715.2.2. Risikodarstellung für Applikationen ............................................... 715.2.3. Eigen-/Fremdprüfung ........................................................................ 72

5.3. IT-Services: Sichere Softwareentwicklung ................................................... 735.3.1. Erläuterung des Prüfbereichs ........................................................... 735.3.2. Risikodarstellung für Softwareentwicklung ................................... 745.3.3. Eigen-/Fremdprüfung ........................................................................ 74

5.4. IT-Services: Outsourcing und Cloud-Dienste ............................................. 755.4.1. Erläuterung des Prüfbereichs ........................................................... 755.4.2. Risikodarstellung für Outsourcing und Cloud-Dienste ............... 785.4.3. Eigen-/Fremdprüfung ........................................................................ 79

5.5. IT-Services: Datensicherung, Archivierung und Datenträger .................. 805.5.1. Erläuterung des Prüfbereichs ........................................................... 805.5.2. Risikodarstellung für Datensicherung, Archivierung und

Datenträger ......................................................................................... 845.5.3. Eigen-/Fremdprüfung ........................................................................ 84

5.6. IT-Infrastruktur: Mobiles Arbeiten .............................................................. 855.6.1. Erläuterung des Prüfbereichs ........................................................... 855.6.2. Risikodarstellung für mobiles Arbeiten .......................................... 855.6.3. Eigen-/Fremdprüfung ........................................................................ 86

5.7. IT-Infrastruktur: End Point Security ............................................................ 895.7.1. Erläuterung des Prüfbereichs ........................................................... 895.7.2. Risikodarstellung für End Point Security ....................................... 895.7.3. Eigen-/Fremdprüfung ........................................................................ 90

5.8. IT-Infrastruktur: Server, Storage, Betriebssysteme, Plattformen und Datenbanksysteme .......................................................................................... 915.8.1. Erläuterung des Prüfbereichs ........................................................... 915.8.2. Risikodarstellung für Server, Storage, Betriebssysteme,

Plattformen und Datenbanksysteme ............................................... 925.8.3. Eigen-/Fremdprüfung ........................................................................ 93

5.9. IT-Infrastruktur: Netzwerke/WLAN ............................................................ 975.9.1. Erläuterung des Prüfbereichs ........................................................... 975.9.2. Risikodarstellung für Netzwerke/WLAN ....................................... 1005.9.3. Eigen-/Fremdprüfung ........................................................................ 102

5.10. IT-Infrastruktur: Physische Sicherheit ......................................................... 1065.10.1. Erläuterung des Prüfbereichs ........................................................... 1065.10.2. Risikodarstellung für physische Sicherheit ..................................... 1085.10.3. Eigen-/Fremdprüfung ........................................................................ 108

6. Faktor Mensch in der Informationssicherheit ................................................... 1116.1. Einstellung und Verhalten gegenüber Informationssicherheit ................ 111

6.1.1. Der Mensch in seinem Informationsumfeld .................................. 111

fb-isms.book Seite XI Montag, 10. Oktober 2016 1:41 13

IIA Austria, InformationssicherheitsmanagementsystemXII

Inhaltsverzeichnis

6.1.2. Verhalten des Menschen am Arbeitsplatz ...................................... 1146.2. Bedeutung der Rolle Mitarbeiter ................................................................... 115

6.2.1. Rolle des Menschen im Umgang mit Information generell ......... 1156.2.2. Bedeutung der Rolle IT-Mitarbeiter in der Informations-

sicherheit .............................................................................................. 1166.2.3. Schatten-IT .......................................................................................... 118

6.3. Organisatorische Aspekte des Faktors Mensch ........................................... 1206.4. Social Engineering (SE) .................................................................................. 123

7. Smart Meter, Smart Grid, SCADA-Systeme und Industrial Control Systems ........................................................................................................................ 129

8. Umfrage zu ISMS ...................................................................................................... 1308.1. Die ISMS-Umfrage im Überblick .................................................................. 1308.2. Umfrageergebnisse .......................................................................................... 1318.3. Abgeleitete Erkenntnisse ................................................................................ 133

Literaturliste ...................................................................................................................... 135Stichwortverzeichnis ........................................................................................................ 139

fb-isms.book Seite XII Montag, 10. Oktober 2016 1:41 13

IIA Austria, Informationssicherheitsmanagementsystem XIII

Abbildungsverzeichnis

Abb. 1: Beauftragungen und Prüfungen im Rahmen des „Three Lines of Defense“-Modells ....................................................................................... 3

Abb. 2: Stufenbau der Steuerungssysteme und Verantwortlichkeiten am Beispiel einer Aktiengesellschaft .............................................................. 4

Abb. 3: 3-Ebenen-Modell: Sinnbildliche Darstellung der Verknüpfung von Geschäftsmodell und den dahinterliegenden Ebenen der Informationstechnik .................................................................................. 29

Abb. 4: 5-Schichten-Modell nach BSI-Leitfaden ................................................. 34Abb. 5: Beispiel einer IT-Landschaft ..................................................................... 34Abb. 6: Gliederung eines Prüfprogramms ........................................................... 38Abb. 7: Mögliche Schutzbedarfskategorien ......................................................... 44Abb. 8: Prozess zum Management von Sicherheitsvorfällen ............................ 47Abb. 9: Prozessablauf einer Berechtigungsänderung ......................................... 51Abb. 10: Änderungsmanagement-Prozess ............................................................. 57Abb. 11: Schritte bei der Business-Impact-Analyse .............................................. 61Abb. 12: 3-Ebenen-Modell: Sinnbildliche Darstellung der Verknüpfung

von Geschäftsmodell und den dahinterliegenden Ebenen der Informationstechnik mit Prüfobjekten ................................................... 66

Abb. 13: Risikoermittlung und Schutzmaßnahmenfestlegung im Rahmen des ISMS-Sicherheitskonzepts, vereinfachend in Anlehnung an ISO 27005 / ISO 27001 .............................................................................. 67

Abb. 14: Beispielhafter Prozess zur Einführung und zum Betrieb eines ISMS . 70Abb. 15: Beispielhafter Prozess zur Einführung und zum Betrieb eines ISMS . 70Abb. 16: Dual Firewall DMZ schematisch ............................................................. 98Abb. 17: Netzwerk mit fünf Segmenten ................................................................. 99Abb. 18: WLAN schematisch ................................................................................... 99Abb. 19: 5-Säulen-Modell für Informationssicherheit im Netzwerk

(angelehnt an The Five Pillars of Information Security) ...................... 103Abb. 20: Der Mensch in seinem Informationsumfeld .......................................... 112Abb. 21: Wirkungsdiagramm .................................................................................. 113Abb. 22: Kommunikationsmuster ........................................................................... 125Abb. 23: Übersicht der Maßnahmen über beobachtbares Verhalten am

Arbeitsplatz des Mitarbeiters ................................................................... 128Abb. 24: Branchenzugehörigkeit der Unternehmen ............................................. 130Abb. 25: Anzahl der Mitarbeiter in den Unternehmen ........................................ 131Abb. 26: Organisatorische Zuordnung des ISMS .................................................. 132Abb. 27: Auswirkung ISMS auf Unternehmen ...................................................... 133

fb-isms.book Seite XIII Montag, 10. Oktober 2016 1:41 13

IIA Austria, Informationssicherheitsmanagementsystem XV

Abkürzungsverzeichnis

AbkürzungsverzeichnisAbkürzungsverzeichnis

AP Access PointsAR AufsichtsratASVS Application Security Verification StandardAW Antwort auf eine E-MailBGB Bürgerliches Gesetzbuch (Deutschland)BKA BundeskanzleramtBSI Bundesamt für Sicherheit in der InformationstechnikBSM Business Service ManagementBYOD Bring your own deviceCD Compact DiscCEBS Committee of European Banking SupervisorsCERT Computer Emergency Response TeamCGEIT Certified in the Governance of Enterprise ITCIO Chief Information OfficersCISA Certified Information Systems AuditorCISM Certified Information Security ManagerCISO Chief Information Security OfficerCMDB Configuration Management DatabaseCMS Compliance Management SystemCOBIT Control Objectives for Information and Related TechnologyCOSO Committee of Sponsoring Organizations of the Treadway

CommissionCRISC Certified in Risk and Information Systems ControlCRM Corporate Risk ManagementDDoS Distributed-Denial-of-Service-DetectionDIIR Deutsches Institut für Interne RevisionDMZ Demilitarisierte ZoneDoS Denial-of-ServiceDRDoS Distributed-Reflected-Denial-of-ServiceDSG DatenschutzgesetzDSGVO Datenschutz-GrundverordnungDSS Domäne Delivery Service and SupportDV DatenverarbeitungskonzeptDVR DatenverarbeitungsregisterEAP Extensible Authentication Protocol

fb-isms.book Seite XV Montag, 10. Oktober 2016 1:41 13

IIA Austria, InformationssicherheitsmanagementsystemXVI


EBA European Banking AuthorityELBA Electronic BankingENISA Europäische Agentur für Netz- und InformationssicherheitER-Modell Entity-Relationship-ModellERP-System Anwendungssoftware zur Unterstützung der Ressourcen-

planung eines Unternehmens (Enterprise-Resource-Planning)FAIT Fachausschuss für InformationstechnologieFMA Österreichische FinanzmarktaufsichtGoBD Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung

von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff

GoBS Grundsätze ordnungsmäßiger DV-gestützter Buchführungs-systeme

GUI Graphical User InterfaceICS Industrial Control SystemIDS/IPS Intrusion Detection/Prevention SystemIDW Institut der WirtschaftsprüferIEC International Electrotechnical CommissionIIA Institute of Internal AuditorsIIA Austria Institut für Interne Revision ÖsterreichIKS Internes KontrollsystemIKT/IuK-Technologie

Informations- und Kommunikationstechnologien

IP-Adresse Internet-Protocol-AdresseIPS Intrusion Prevention SystemIR Interne RevisionIS InformationssicherheitISACA Information Systems Audit and Control AssociationISAE International Standard on Assurance EngagementsISM InformationssicherheitsmanagementISMS InformationssicherheitsmanagementsystemISO International Organization for StandardizationISP Internet Service ProviderIT InformationstechnologieITIL Information Technology Infrastructure LibraryLAN Local Area NetworkMDM Mobile Device Management SystemNACD National Association of Corporate Directors

fb-isms.book Seite XVI Montag, 10. Oktober 2016 1:41 13

IIA Austria, Informationssicherheitsmanagementsystem XVII


NIS Netzwerk- und InformationssicherheitOLA Operational Level Agreement ÖNB Österreichische NationalbankÖNORM Vom Austrian Standards Institute veröffentlichte nationale

NormOSI Open System Interconnection ModelOSSTMM Open Source Security Testing Methodology ManualOWASP Open Web Application Security ProjectPA PrüfungssauschussP-Tests Penetration TestsRL RichtlinienRMS RisikomanagementsystemRPO Recovery Point ObjectiveRTO Recovery Time ObjectiveSAS Statement on Auditing StandardsSAST Static Application Security TestingSCADA Supervisory Control and Data AcquisitionSD-Karte Sichere Digitale SpeicherkarteSDLC Software Development Life CycleSE Social EngineeringSLA Service-Level-AgreementSSID Service Set IdentifierSW SoftwareTKG TelekommunikationsgesetzUGB UnternehmensgesetzbuchURÄG Unternehmensrechts-ÄnderungsgesetzUSB-Stick Universal-Serial-Bus-StickUSP UnternehmensserviceportalUSV Unterbrechungsfreie StromversorgungVAST Vendor Application Security TestingVPN Virtual Private NetworkVS VorstandWAN Wide Area NetworkWLAN Wireless Local Area NetworkWP Wirtschaftsprüfer

fb-isms.book Seite XVII Montag, 10. Oktober 2016 1:41 13

IIA Austria, Informationssicherheitsmanagementsystem 1

Einleitung

Dieses Buch ist von Praktikern für Praktiker verfasst, wobei der Fokus nicht auf wis-senschaftliche Aufarbeitung, sondern auf praxisnahe Prüfansätze und Lösungen ge-legt wird. Das vorliegende Werk gibt einen Überblick und umfassende Informationzu den vielen Facetten des Informationssicherheitsmanagementsystems in kompri-mierter Form. Neben einer umfangreichen Fragenliste stehen weitere Materialienwie der Prüfleitfaden „IKS im IT-Bereich“ sowie eine Risiko-Kontrollmatrix zurweiteren Vertiefung im Downloadbereich zum Buch zur Verfügung:

www.internerevision.at/ISMSBuch2016.zipPasswort: 13Zh98tW

Die Autoren arbeiten in den unterschiedlichsten Bereichen, von Revisionen inGroßunternehmen bis hin zu Banken, Behörden, Institutionen im öffentlichenBereich, aber auch in der Wirtschaftsprüfung und Beratung. Damit wird ein gro-ßes Spektrum der unterschiedlichen organisatorischen Lösungen für eingesetzteManagementsysteme und IT-Landschaften abgedeckt. Um dieser Vielfalt adäquatbegegnen zu können, sind auch manche sprachlichen Besonderheiten zu berück-sichtigen. Wesentliche Begriffe werden daher für diese Publikation definiert, umein gemeinsames Verständnis zu gewährleisten und für eine gute Lesbarkeit zusorgen.

So umfasst der Begriff „Unternehmen“ alle Organisationsformen, die organisatori-sche Vorkehrungen und Maßnahmen im Rahmen des Informationssicherheitsma-nagements zu setzen haben.

Der Begriff des Prüfers wird für alle Aufgabenstellungen in diesem Bereich verwen-det. Wenn es sich um spezielle Tätigkeiten aus dem Bereich der Unternehmensrevi-sionen handelt, wird dezidiert die Bezeichnung Revisor eingesetzt.

Risikomanagement wird je nach betrieblichem Umfeld und Aufgabenstellung viel-schichtig gebraucht. Um hier eine klare Zuordnung treffen zu können, wird zwi-schen Risikomanagement im Sinne von Corporate Risk Management (CRM) undIT-Risikomanagement unterschieden.

Die legistische Ausgangslage referenziert auf Österreich und Deutschland.


institut für interne revision Österreich – iia...

Documents