Theme

Aufbau der Domäne ISO 27000

Objekt- und Subtypen

Scopeobjekte

  • Organisationen: Zur Abbildung der Organisation mit den wichtigsten Stammdaten.
  • ISMS-Geltungsbereiche: ISMS-Geltungsbereiche für die Festlegung, welche Bereiche eines Unternehmens von der Implementierung und Anwendung des ISMS betroffen sind.
  • Externe Dienstleister: Werden getrennt als externe Institutionen bzw. Organisationen betrachtet, um die speziellen Anforderungen an das Outsourcing abzubilden.
  • Scopes (allgemein): Zur Abbildung sonstiger Betrachtungsgegenstände, wie z.B. Projekte oder Interessengruppen.

Prozessobjekte

  • Geschäftsprozesse: Zur Dokumentation der Kernprozesse und weiterer unterstützender Prozesse.

Assetobjekte

  • Assets: Informationswerte, die im ISMS berücksichtigt werden.

Personenobjekte

  • Personen: Personen(gruppen) oder Rollen.

Incidentobjekte

  • Informationssicherheitsvorfälle: Zur Dokumentation von Incidents/Vorfällen.

Dokumentenobjekte

  • Dokumente: Für die Erfassung und Verlinkung von Dokumenten.
  • Aufzeichnungen: Speicherung der Dokumente, die als Nachweise dienen sollen.

Controlobjekte

  • Anforderungen: Anforderungen der DIN ISO/IEC 27001:2024 aus dem Managementrahmen.
  • Sicherheitsmaßnahmen: Sicherheitsmaßnahmen aus dem Anhang A der DIN ISO/IEC 27001:2024.
  • Control-Gruppen: Alle mitigierenden Maßnahmen zu einem Risiko-Objekt.

Szenarien

  • Szenarien: Szenarien zur Verwendung in der Risikoanalyse.

Katalog

Der Katalog stellt neben Szenarien, welche auf Bedrohungen und Schwachstellen der ISO/IEC 27005:2022 basieren, auch Anforderungen der DIN ISO/IEC 27001:2024 aus dem Managementrahmen sowie Sicherheitsmaßnahmen aus dem Anhang A zur Verfügung. Zusätzlich sind beispielhafte Objekte für Dokumente und Aufzeichnungen enthalten.

Profile

Das Profil Risikoprofil nach DIN ISO/IEC 27001 stellt eine Organisation mit Beispielobjekten zur Abbildung eines ISMS nach DIN ISO/IEC 27001 inklusive vorbereiteter Risikoanalyse zur Verfügung. Auf Bedrohungen und Schwachstellen der ISO/IEC 27005:2022 beruhende Szenarien sind mit relevanten Beispielassets verknüpft und die Managementanforderungen sowie die Anhang A-Anforderungen der DIN ISO/IEC 27001:2024 zur Risikobehandlung berücksichtigt.

Reports

Die Domäne ISO 27000 stellt die folgenden Reports bereit:

  • Erklärung zur Anwendbarkeit: Listet alle Sicherheitsmaßnahmen aus Anhang A der DIN ISO/IEC 27001 auf und beschreibt, ob diese angewendet, ausgeschlossen oder teilweise umgesetzt werden sowie eine Erklärung zur Anwendbar- bzw. Nichtanwendbarkeit.
  • Inventarverzeichnis: Eine Übersicht aller relevanten Vermögenswerte (Assets).

Risikodefinition

Die Standard-Risikodefinition ISO-Risikoanalyse (ISORA) enthält die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit.