AMSI
AMSI levels
AMSI levels
115
0.0 (0)
Fichier Détails
Cartes-fiches | 115 |
---|---|
Langue | Deutsch |
Catégorie | Informatique |
Niveau | Université |
Crée / Actualisé | 01.10.2023 / 18.01.2024 |
Attribution de licence | Non précisé |
Lien de web |
https://card2brain.ch/box/20231001_amsi
|
Intégrer |
<iframe src="https://card2brain.ch/box/20231001_amsi/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Audits und ISO-27001-Zert. - Was ist der Unterschied zwischen Hauptabweichungen (Major) und Nebenabweichungen (Minor)?
Hauptabweichungen:
- Ein gesamtes Normkapitel wurde nicht umgesetzt
- Produkte & Dienstleistungen erfüllen die Anforderungen nicht
- Hauptabweichung führt zu Nicht-Bestehen des Zertifizierungsaudits
Nebenabweichungen:
- Norm-Kapitel zwar umgesetzt, die Umsetzung und Wirksamkeit aber mehrere Mängel und Lücken aufweist
- Führt nicht zum Nicht-Bestehen eines Zertifizierungsaudits
- Nebenabweichungen müssen bis zu den vereinbarten Terminen abgestellt werden
- Wenn sie unbegründet bis zum nächsten Termin nicht abgestellt sind, droht eine Hauptabweichung, da sich die Org. scheinbar gegen die Fortlaufende Verbesserung (Kapitel 10.2) entschieden hat.
Audits und ISO-27001-Zert. - Was könnte auditiert werden?
- des «Kontext» (Abschnitte 4.1, 4.2, 4.3)
- des «Top-Managements» (5)
- der «Massnahmen zum Umgang mit Risiken und Chancen» (6.1)
- von «Zielen, Ressourcen und Kompetenzen» (6.2, 7.1, 7.2)
- von «Bewusstsein und Kommunikation» (7.3, 7.4, 7.5.2/3)
- von «Betrieb und Überwachung» (8, 9.1)
- der «Kontinuierlichen Verbesserung» (9.2, 9.3, 10.1, 10.2)
Audits und ISO-27001-Zert. - Was sind die Vorteile einer ISO 27001 Zertifizierung?
- Reduziertes Risiko
Eine höhere Datensicherheit reduziert die unternehmerischen Risiken insgesamt und hilft, die Auswirkungen eventueller Pannen zu begrenzen. - Geringere Kosten
Eine ISO 27001 senkt das Risiko für Sicherheitsvorfälle und kann die Kosten der IT-Sicherheit sowie kostspielige Auswirkungen von Datendiebstahl verringern. - Wettbewerbsvorteil
ISO/IEC 27001-zertifizierte Organisationen signalisieren klar, dass sie sich der Sicherheit vertraulicher Informationen verpflichtet fühlen. Damit haben sie einen entscheidenden Vorteil gegenüber nicht zertifizierten
Audits und ISO-27001-Zert. - Welche Arten von Auditfeststellungen gibt es?
- Konformität & positive Auditfeststellung, wirksame und gutfunktionierende Prozesse
- Chancen zur Verbesserung (Opportunity for improvement), wirksamer Prozess aber nich effizient genug
- Potenzielle Risiken (Beobachtungen bei dem Schwachpunkte vorhanden waren)
- Nichtkonformität
Audits und ISO-27001-Zert. - Wie sieht ein Auditprozess aus?
- Voraudit
Bestandsaufnahme inkl. Sichtung der Dokumente auf Vollständigkeit und Normkonformität (GAP-Analyse) - Zertifizierungsaudit
Stufe 1: Prüfung der Dokumentation des ISMS
Stufe 2: Prüfung der Wirksamkeit des ISMS - Bericht:
Dokumentation des Audits inkl. Bewertung des Managementsystems - Zertifikat & Siegel
Nachweis der erfolgreichen Zertifizierung mit maximal 3 Jahren Laufzeit - Erste Überwachung:
Auditierung der Praxisumsetzung des ISMS (nach 1 Jahr) - Zweite Überwachung:
Wiederholte Auditierung der Praxisumsetzung des ISMS - Rezertifizierung:
Wiederholung der Schritte 2 bis 6 zur Verlängerung für weitere 3 Jahre
Awareness - (Notizen aus Unterricht) Drei Pfeiler die für die IT-Sicherheit wichtig sind
- Technik (Fire Walls bspw.)
- Prozesse müssen abgesichert werden, auf Sicherheit getrimmt werden
- Der Mensch, der die Technik bedient, muss geschult sein