ISO 27001 Informationssicherheit
Entdecken Sie unser Glossar, das Ihnen eine Zusammenfassung der wichtigsten Fachbegriffe in gängigen Managementsystem-Normen und unseren Fachthemen bietet. Kurze und prägnante Erläuterungen zu den einzelnen Begriffen stehen zur Verfügung.
Sollten Sie weitergehende Fragen zu den Begrifflichkeiten haben oder sich für die Zertifizierung einer Norm interessieren, wenden Sie sich an uns – wir beraten Sie gerne.
A
Abgeleitete Messgröße
Aufrechterhaltung der Informationssicherheit
Authentisierung
Authentizität
B
Bedrohung
Bestandsregister Hard- und Software
Britischer Standard BS 7799-2:2002
C
D
E
Elementarmessgröße
Externe Kommunikation
Externer Kontext
F
Fachkraft für Informationssicherheitsmanagementsysteme
G
H
Handhabung von Informationssicherheitsvorfällen
I
Indikator
Informations-Sicherheits-Management-System (ISMS)
Informationsaustauschende Gemeinschaft
Informationsbedarf
Informationssicherheit
Informationssicherheitsbeauftragter
Informationssicherheitsereignis
Informationssicherheitsleitlinie
Informationssicherheitsmanagement-Handbuch
Informationssicherheitspolitik
Informationssicherheitsrisiken
Informationssicherheitsrisikobehandlung
Informationssicherheitsrisikobeurteilung
Informationssicherheitsvorfall
Informationssicherheitsziele
Informationssystem
Informationsverarbeitende Einrichtungen
Integrität
Internationale Elektrotechnische Kommission (IEC)
Interner Kontext
IT-Nutzungsrichtlinie
IT-Risiken
IT-Sicherheit
M
N
R
Restrisiko
Risikoakzeptanz
Risikoanalyse
Risikobehandlung
Risikobeurteilung
Risikobewertung
Risikoeigentümer
Risikoidentifizierung
Risikokommunikation und -absprache
Risikokriterien
Risikomanagementprozess
Risikoniveau
S
Schwachstelle
Standard zur Einführung von Sicherheit
Steuerung der Informationssicherheit
Steuerungsgremium
Ü
V
Verfügbarkeit
Vertrauenswürdige Einheit zur Informationsverarbeitung
Vertraulichkeit
W
Z
Abgeleitete Messgröße
Maßeinheit, die durch das Berechnen einer Funktion Aussagen über die Sensitivitäten der eingesetzten Maßeinheiten treffen kann.
Aufrechterhaltung der Informationssicherheit
Vorgehensweise oder Prozess, um die Ausführungen zur Gewährleistung der Informationssicherheit zu bewahren.
Authentisierung
Prüfung auf Richtigkeit von Behauptungen oder Annahmen zu bestimmten Eigenschaften.
Authentizität
Wahre Eigenschaft eines Produktes, einer Dienstleistung oder einer Einheit.
Bedrohung
Gefahr, die ein gewisses Schadensausmaß für das Unternehmen oder die Organisation mit sich trägt.
Bestandsregister Hard- und Software
Verzeichnis, in dem sämtliche Hard- und Software des Unternehmens oder der Organisation zu einem bestimmten Zeitpunkt oder innerhalb eines Zeitraumes aufgeführt ist.
Britischer Standard BS 7799-2:2002
Die Norm spezifiziert das Informations-Sicherheits-Management-System (ISMS) und wurde im Jahr 2005 als ISO-Norm 27001 international genormt. Mittels festgeschriebener Anforderungen soll der Standard die Informationssicherheit in Unternehmen und Organisationen gewährleisten.
CyberRisiko-Check
Veröffentlicht in ISO 27001-Informationssicherheit, ISO 27701-Datenschutz | ISO-Glossar
DIN EN ISO 27001
Internationale Norm, die die Informationssicherheit in privaten, öffentlichen und gemeinnützigen Organisationen regelt. Sie beschreibt die Anforderungen für das Einrichten, Realisieren, Betreiben und Optimieren eines dokumentierten Informationssicherheits-Managementsystems (IMSM). Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation.
Elementarmessgröße
Unabhängige, zugrundeliegende Einheit oder Wert, die/der durch eine bestimmte Eigenschaft beschrieben werden kann.
Externe Kommunikation
Externe Kommunikation bezeichnet den Austausch von Informationen, Nachrichten und Botschaften zwischen einer Organisation und Personen oder Gruppen außerhalb der Organisation. Dies kann Kunden, Lieferanten, Investoren, Medien, Regierungsbehörden, die Öffentlichkeit oder andere Interessengruppen umfassen. Ziel der externen Kommunikation ist es, das Image der Organisation zu formen, Beziehungen zu externen Parteien zu pflegen, Informationen über Produkte oder Dienstleistungen bereitzustellen, die Öffentlichkeit über Unternehmensereignisse oder -entwicklungen zu informieren und letztendlich das Vertrauen und die Glaubwürdigkeit der Organisation zu stärken. Externe Kommunikation kann über verschiedene Kanäle erfolgen, darunter Pressemitteilungen, soziale Medien, Websites, öffentliche Veranstaltungen, Werbung und persönliche Interaktionen.
Externer Kontext
Versuch eines Unternehmens oder einer Organisation, die aufgestellten Ziele auch im äußeren Umfeld zu erreichen.
Fachkraft für Informationssicherheitsmanagementsysteme
Natürliche Person, die alle Schritte eines Managementsystems begleitet und ausführt, um die Sicherheit der Informationen sicherzustellen.
Gesetzliche Anforderungen
Gesetzliche Anforderungen beziehen sich auf die Vorschriften, Verordnungen und Gesetze, die von Regierungen oder Behörden festgelegt werden und die Unternehmen einhalten müssen. Normen wie die ISO 14001 für Umweltmanagementsysteme oder die ISO 27001 für Informationssicherheitsmanagementsysteme können Unternehmen dabei unterstützen, die Einhaltung gesetzlicher Anforderungen sicherzustellen, indem sie strukturierte Ansätze zur Erfüllung gesetzlicher Verpflichtungen bieten und Unternehmen dabei helfen, die Einhaltung zu überprüfen und nachzuweisen.
Handhabung von Informationssicherheitsvorfällen
Vorgehensweise, um schwerwiegende Ereignisse in der Informationssicherheit zu identifizieren und zu bewerten, Maßnahmen für die Bekämpfung abzuleiten und in Zukunft vorzubeugen.
Indikator
Indiz oder Anhaltspunkt für die Beurteilung.
Informations-Sicherheits-Management-System (ISMS)
Das ISMS soll durch das Aufstellen von Verfahren und Regeln die Informationssicherheit innerhalb eines Unternehmens oder einer Organisation garantieren. Das ISMS definiert, steuert, kontrolliert und optimiert die Informationssicherheit kontinuierlich und wird Top-Down ausgeführt.
Informationsaustauschende Gemeinschaft
Gruppe, die aus mehreren Unternehmen oder Organisationen besteht und das Ziel verfolgt, Informationen an die anderen Gruppenmitglieder zu geben und von den anderen Gruppenmitgliedern zu erhalten.
Informationsbedarf
Voraussetzung und Interesse an Informationen bzw. verarbeiteten Daten zur Erfüllung von Informationssicherheitszielen oder zur Vorbeugung und Bekämpfung von Risiken und auftretenden Problemen.
Informationssicherheit
Informationssicherheit umfasst den Schutz aller technischen und nicht-technischen Informationen. Eine Information gilt als sicher, wenn Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet werden können.
Informationssicherheitsbeauftragter
Der Informationssicherheitsbeauftragte ist für alle Fragen rund um die Informationssicherheit in der Organisation zuständig.
Informationssicherheitsereignis
Vorkommnis, dessen Auswirkung auf die Informationssicherheitspolitik und -ziele eines Unternehmens oder einer Organisation vorerst unklar ist. Das Ereignis kann Systeme, Dienste und Netzwerke betreffen.
Informationssicherheitsleitlinie
In der Informationssicherheitsleitlinie sollten die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit zu Grunde gelegt werden und mit der Einhaltung der Richtlinie sichergestellt werden. Eine solche Leitlinie (Richtlinie) sollte von der Unternehmensleitung entworfen und festgelegt werden.
Informationssicherheitsmanagement-Handbuch
Dokument, in dem die allgemeinen Grundsätze sowie zentral organisierten Elemente der Informationssicherheit festgeschrieben sind. Das Handbuch informiert über Prozesse, gibt Hilfestellungen und kommuniziert verständlich den Sinn und Zweck der Informationssicherheit.
Informationssicherheitspolitik
Leitlinie des Unternehmens oder der Organisation, in der die Ziele und Rahmenbedingungen für ein funktionierendes Informationssicherheitsmanagement festgehalten sind.
Informationssicherheitsrisiken
Möglichkeit des Ausnutzens einer Schwachstelle im System, die einen Schaden für das Unternehmen oder die Organisation anrichten kann.
Informationssicherheitsrisikobehandlung
Ist ein Risiko identifiziert und analysiert, stellt sich die Frage nach dem Umgang mit der Gefahr oder Bedrohung. Dafür stehen vier Alternativen zur Verfügung: Vermeidung, Akzeptanz, Verlagerung oder Reduzierung.
Informationssicherheitsrisikobeurteilung
Die Beurteilung von Gefahren und Bedrohungen für ein Unternehmen oder eine Organisation findet in drei Schritten statt. Zuerst muss die Gefahr oder Bedrohung identifiziert werden, anschließend erfolgt die Analyse, bevor letztendlich Eintrittswahrscheinlichkeit und Schadensausmaß bewertet werden.
Informationssicherheitsvorfall
Aneinanderreihung von Ereignissen, die mit großer Wahrscheinlichkeit zu einer Gefahr in der Informationssicherheit führen und dadurch die Abläufe im Unternehmen oder der Organisation beeinträchtigen können oder werden.
Informationssicherheitsziele
Informationssicherheitsziele definieren den Zweck, der mit der Informationssicherheit erreicht werden soll. Übergeordnete Ziele sind Vertraulichkeit, Integrität und Verfügbarkeit, die dem Schutz der Informationen dienen sollen.
Informationssystem
Netz aus Personen und Maschinen, die Daten so verarbeiten, dass sie eine Aussage zu bestimmten Themen, Prozessen oder Eigenschaften geben können. Zudem werden diese verarbeiteten Daten innerhalb des Netzes verbreitet.
Informationsverarbeitende Einrichtungen
System, Dienst oder Infrastruktur, in der Daten so verarbeitet werden, dass sie Auskünfte zu bestimmten Fragestellungen und Themen geben können.
Integrität
Wert, der sich durch Wahrhaftigkeit und Gesamtheit definiert.
Internationale Elektrotechnische Kommission (IEC)
Internationale Organisation für die Erstellung von Normen in den Bereichen der Elektrotechnik und Elektronik.
Interner Kontext
Versuch eines Unternehmens oder einer Organisation, die aufgestellten Ziele innerbetrieblich zu erreichen.
IT-Nutzungsrichtlinie
Leitlinie, in der Verantwortlichkeiten, Pflichten im Umgang mit der Datenverarbeitung sowie Befugnisse der Datenverwendung definiert sind.
IT-Risiken
Unter IT-Risiken versteht man mögliche Gefahren, die die Beschädigung der Unversehrtheit der IT zur Folge haben können und dass Verantwortliche ihre Tätigkeiten nicht mehr ausführen können.
IT-Sicherheit
Definiert den Schutz von IT-Systemen oder allgemein technischen Systemen und umfasst sowohl eine Datei, als auch Netzwerke, Cloud-Systeme und Rechenzentren. Durch den Schutz sollen Bedrohungen und Schäden verhindert werden.
Messfunktion
Berechnungsprozess mehrerer Variablen, die als elementar bewertet wurden.
Messmethode
Vorgehensweise oder Prozess zur Berechnung von Zusammenhängen verschiedener Variablen, die elementar oder nicht-elementar sein können.
Nichtabstreitbarkeit
Eindeutiger und sichtbarer Nachweis von Eigenschaften oder Ereignissen, wodurch jegliche Diskussionsgrundlage genommen wird.
Restrisiko
Gefahr oder Bedrohung, die trotz vorbeugender Maßnahmen bestehen bleibt.
Risikoakzeptanz
Entscheidung, ein bestimmtes Risiko in Kauf zu nehmen, da die Eintrittswahrscheinlichkeit und/oder das Schadensausmaß gering ist.
Risikoanalyse
Prozess oder Vorgehensweise zur Identifikation und Bestimmung von Gefahren und Bedrohungen für das Unternehmen oder die Organisation.
Risikobehandlung
Verfahren, das bestehende Risiken verändert und letztendlich minimiert.
Risikobeurteilung
Verfahren zur Einschätzung von Gefahren und Bedrohungen, das sich aus Identifizierung, Analyse und Bewertung zusammensetzt.
Risikobewertung
Untersuchungsprozess zur Bestimmung des Akzeptanzniveaus von Gefahren und Bedrohungen. Teil des Prozesses sind die Risikoanalyse und die Bestimmung der Risikokriterien.
Risikoeigentümer
Person oder Einheit, die dazu berechtigt ist, eine Gefahr oder Bedrohung zu bewerten, abzuwehren oder Maßnahmen zur Bekämpfung zu erlassen.
Risikoidentifizierung
Erkennungs- und Beschreibungsprozess von Gefahren und Bedrohungen für Unternehmen oder Organisationen.
Risikokommunikation und -absprache
Vorgehensweise, um interessierte Parteien permanent über mögliche Gefahren und Bedrohungen sowie über die ergriffenen Maßnahmen zur Abwehr und Bekämpfung dieser zu unterrichten. Interessierte Parteien können zudem im Rahmen der Kommunikation und Absprache auf Gefahren und Bedrohungen für das Unternehmen oder die Organisation hinweisen.
Risikokriterien
Merkmale zur Bewertung von Gefahren und Bedrohungen.
Risikomanagementprozess
Nutzung und Verwendung aller definierten Tätigkeiten, Instrumente, Richtlinien und Verfahren, um Risiken identifizieren, analysieren, bewerten, entgegensteuern, überwachen und überprüfen zu können.
Risikoniveau
Rangfolge für die Eintrittswahrscheinlichkeit von Gefährdungen der Informationssicherheit.
Schwachstelle
Punkt, Einheit oder Tätigkeit eines Unternehmens oder einer Organisation, die anfällig für Bedrohungen und Gefahren ist.
Standard zur Einführung von Sicherheit
Regelwerk zur Erreichung der Informationssicherheit.
Steuerung der Informationssicherheit
Führung und Kontrolle aller Handlungen, die in Zusammenhang mit der Sicherstellung der Informationssicherheit stehen.
Steuerungsgremium
Kommission oder Expertengruppe, die die Leistung und Übereinstimmung des Handelns mit den ISO-Normen in einem Unternehmen oder einer Organisation rechtlich verantwortet.
Überprüfungsobjekt
Element, dessen Beitrag zur Zielerreichung kontrolliert werden soll.
Verfügbarkeit
Eigenschaft, die sich aus Zugänglichkeit und Vorhandensein definiert.
Vertrauenswürdige Einheit zur Informationsverarbeitung
Eigenständiges Unternehmen oder Organisation, das innerhalb einer informationsaustauschenden Gemeinschaft unterstützend agiert.
Vertraulichkeit
Eigenschaft von Informationen, die ausdrückt, dass diese Informationen nur bestimmten, befugten Personen zur Verfügung gestellt werden dürfen.
Wahrscheinlichkeit
Eventualität für das Eintreten von Ereignissen oder Eigenschaften.
Ziel der Überprüfung
Zweck, der durch eine Kontrolle erreicht werden soll.