Normen und Standards: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
(9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 2: Zeile 2:
|title=Normen und Standards zur Informationssicherheit
|title=Normen und Standards zur Informationssicherheit
|keywords=ISMS,BSI,IT-Grundschutz,Informationssicherheit,WiKi,Hilfe,IT-Sicherheit,Normen,Standards
|keywords=ISMS,BSI,IT-Grundschutz,Informationssicherheit,WiKi,Hilfe,IT-Sicherheit,Normen,Standards
|description=Eine Auflistung relevanter Normen und Standards zur Informationssicherheit und Datenschutz.
|description=Diese Seite listet Normen, Standards, sowie weitere normative Dokumentation auf, die für Informationssicherheit und den Datenschutz von Interesse sind.
}}
}}{{SHORTDESC:Relevante Normen und Standards zur Informationssicherheit.}}
Diese Seite listet Normen, Standards, sowie weitere normative Dokumentation auf, die für Informationssicherheit und den Datenschutz von Interesse sind.
Diese Seite listet Normen, Standards, sowie weitere normative Dokumentation auf, die für Informationssicherheit und den Datenschutz von Interesse sind.


Zeile 18: Zeile 18:
{| class="wikitable"
{| class="wikitable"
|-  
|-  
|| BDSG
| BDSG
|| [https://dsgvo-gesetz.de/bdsg/ Bundesdatenschutzgesetz]
| [https://dsgvo-gesetz.de/bdsg/ Bundesdatenschutzgesetz]
|-  
|-  
|| BSIG
| BSIG
|| [https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik(BSIG)]
| [https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik(BSIG)]
|-  
|-  
|| SÜG
| SÜG
|| Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes und den Schutz von Verschlusssachen<br>[https://www.gesetze-im-internet.de/s_g/index.html Sicherheitsüberprüfungsgesetz - (SÜG)]<br>[https://bmwi-sicherheitsforum.de/handbuch/367,0,0,1,0.html?fk_menu=0 Geheimschutzhandbuch des BMWI]<br>Weitere landesspezifische SÜG der Bundesländer.
| Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes und den Schutz von Verschlusssachen<br>[https://www.gesetze-im-internet.de/s_g/index.html Sicherheitsüberprüfungsgesetz - (SÜG)]<br>[https://bmwi-sicherheitsforum.de/handbuch/367,0,0,1,0.html?fk_menu=0 Geheimschutzhandbuch des BMWI]<br>Weitere landesspezifische SÜG der Bundesländer.
|-  
|-  
|| TKG
| TKG
|| [https://www.gesetze-im-internet.de/tkg_2004/index.html Telekommunikationsgesetz (TKG)]
| [https://www.gesetze-im-internet.de/tkg_2021/ Telekommunikationsgesetz (TKG)]
|-  
|-
|| TMG
|DDG
|| [https://www.gesetze-im-internet.de/tmg/index.html Telemediengesetz (TMG)]
|[https://www.gesetze-im-internet.de/ddg/index.html Digitale-Dienste-Gesetz (DDG)]
|-
|-
|BSIG
|BSIG
||[https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz)]
|[https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz)]
|
|-
|IT-SiG
|[https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl121s1122.pdf#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl121s1122.pdf%27%5D__1730904709148 IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0)]
|-
|TDDDG
|[https://www.gesetze-im-internet.de/ttdsg/ Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)]
|}
|}


=== Landesrecht ===
=== *Landesrecht ===
Landesdatenschutzgesetze sind die landesrechtlichen Pendants zum Bundesdatenschutzgesetz. Die Landesdatenschutzgesetze gelten für die jeweiligen Landesbehörden und Kommunalverwaltungen.
Landesdatenschutzgesetze sind die landesrechtlichen Pendants zum Bundesdatenschutzgesetz. Die Landesdatenschutzgesetze gelten für die jeweiligen Landesbehörden und Kommunalverwaltungen.


Zeile 142: Zeile 147:
|-
|-
||Standard 200-2
||Standard 200-2
||IT-Grundschutz-Methodik<br>[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html BSI-Stan­dard 200-2: IT-Grund­schutz-Me­tho­dik]<br>[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2022.html IT-Grundschutz Kompedium (Ed. 2022)]<br>[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/Umsetzungshinweise/umsetzungshinweise_node.html IT-Grundschutz Kompedium Umsetzungshinweise]<br>[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Leitfaden_zur_Basis-Absicherung.html Leit­fa­den Ba­sis-Ab­si­che­rung nach IT-Grundschutz]
||IT-Grundschutz-Methodik<br>[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html BSI-Stan­dard 200-2: IT-Grund­schutz-Me­tho­dik]<br>[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/IT-Grundschutz-Bausteine/Bausteine_Download_Edition_node.html IT-Grundschutz Kompedium (Ed. 2023)]<br>[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/Umsetzungshinweise/umsetzungshinweise_node.html IT-Grundschutz Kompedium Umsetzungshinweise]<br>[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Leitfaden_zur_Basis-Absicherung.html Leit­fa­den Ba­sis-Ab­si­che­rung nach IT-Grundschutz]
|-
|-
||Standard 200-3
||Standard 200-3
Zeile 148: Zeile 153:
|-
|-
||Standard 200-4
||Standard 200-4
||Business Continuity Management<br>[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_4CD.html BSI-Stan­dard 200-4: Business Continuity Management]<br>''(aktuell als Community-Draft)''
||Business Continuity Management<br>[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/bsi-standard-200-4_Business_Continuity_Management_node.html BSI-Stan­dard 200-4: Business Continuity Management]
|}
|}


Zeile 169: Zeile 174:
||[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Hochverfuegbarkeit/HVKompendium/BandG/HVKompendium_Band_G_node.html Band G]
||[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Hochverfuegbarkeit/HVKompendium/BandG/HVKompendium_Band_G_node.html Band G]
||Einführung und methodische Grundlagen.
||Einführung und methodische Grundlagen.
|-
||[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Hochverfuegbarkeit/HVKompendium/BandB/HVKompendium_Band_B_node.html Band B]
||Bausteine mit Architekturen und Maßnahmenempfehlungen zur Realisierung hoher Verfügbarkeit.
|-
||[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Hochverfuegbarkeit/HVKompendium/BandM/HVKompendium_Band_M_node.html Band M]
||Maßnahmenempfehlungen komprimiert in einem Maßnahmenkatalog.
|-
||[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Hochverfuegbarkeit/HVKompendium/BandAH/HVKompendium_Band_AH_node.html Band AH]
||&nbsp;Architekturmodelle, Steuerungsinstrumente und weitere Hilfsmittel.
|}
|}


Zeile 193: Zeile 189:
||[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/C5_AktuelleVersion/C5_AktuelleVersion_node.html C5:2020]
||[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/C5_AktuelleVersion/C5_AktuelleVersion_node.html C5:2020]
||Der Kriterienkatalog C5 ('''C'''loud '''C'''omputing '''C'''ompliance '''C'''riteria '''C'''atalogue) spezifiziert Mindestanforderungen an sicheres Cloud Computing und richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden.
||Der Kriterienkatalog C5 ('''C'''loud '''C'''omputing '''C'''ompliance '''C'''riteria '''C'''atalogue) spezifiziert Mindestanforderungen an sicheres Cloud Computing und richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden.
|-
|| [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Eckpunktepapier/eckpunktepapier_node.html BSI Eckpunktepapier]
||BSI Eckpunktepapier "Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit)" für sicheres Cloud Computing.
|}
|}


=== KRITIS ===
=== KRITIS/NIS ===
Kritische Infrastrukturen (KRITIS) bezeichnet Infrastrukturen (Anlagen, Organisationen oder Systeme), die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen (Gesundheit, Sicherheit, Versorgung, Finanzen, Verkehr) sind und deren Störung oder Zerstörung erhebliche Auswirkungen hätte.
Kritische Infrastrukturen (KRITIS) bezeichnet Infrastrukturen (Anlagen, Organisationen oder Systeme), die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen (Gesundheit, Sicherheit, Versorgung, Finanzen, Verkehr) sind und deren Störung oder Zerstörung erhebliche Auswirkungen hätte.
{| class="wikitable"
{| class="wikitable"
Zeile 205: Zeile 198:
||Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz)
||Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz)
|-
|-
||[https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl121s1122.pdf#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl121s1122.pdf%27%5D__1676186516435 Aktualisierung]
||[https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl121s1122.pdf#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl121s1122.pdf Aktualisierung]
||Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
||Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
|-
|[https://www.bsi.bund.de/dok/nis-2-faq NIS2 FAQ]
|Fragen und Antworten zu <abbr>NIS-2 (BSI)</abbr>
|}
|}


Zeile 237: Zeile 233:
||ISO 27799
||ISO 27799
||Health informatics - Information security management in health using ISO/IEC 27002<br>Leitfaden für Medizinische Informatik - Informationsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002
||Health informatics - Information security management in health using ISO/IEC 27002<br>Leitfaden für Medizinische Informatik - Informationsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002
|-
|[https://mit-standard-sicher.de/ DIN SPEC 27076]
|Beratung zur IT- und Informationssicherheit für Klein- und Kleinstunternehmen
Das Förderprojekt '''mIT Standard sicher''' entwickelte den Standard zur IT-Sicherheitsberatung für kleine und Kleinstunternehmen.
|}
|}


Zeile 255: Zeile 255:
|}
|}


== Institut der Wirtschaftsprüfer (IDW-Verlautbarungen) ==
== *Institut der Wirtschaftsprüfer (IDW-Verlautbarungen) ==
Das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW), repräsentiert Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften.Das IDW &nbsp;publiziert mit den "IDW-Verlautbarungen" berufsständische Standards wie z.B. die IDW Prüfungsstandards (IDW PS). Diese Standards kommen im Rahmen von Wirtschaftsprüfungen auch für die Prüfung der IT zum Einsatz.Diese Normen sind nicht frei verfügbar.
Das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW), repräsentiert Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften.Das IDW &nbsp;publiziert mit den "IDW-Verlautbarungen" berufsständische Standards wie z.B. die IDW Prüfungsstandards (IDW PS). Diese Standards kommen im Rahmen von Wirtschaftsprüfungen auch für die Prüfung der IT zum Einsatz.Diese Normen sind nicht frei verfügbar.


Zeile 277: Zeile 277:
|}
|}


== Verband der Schadenversicherer e.V. (VdS) ==
Der VdS bzw. die VdS Schadenverhütung GmbH hat mit der VdS Richtlinie 10000 ein speziell auf KMU zugeschnittener Maßnahmenkatalog für ein ISMS erstellt:
{| class="wikitable"
|-
||[https://shop.vds.de/publikation/vds-10000 VdS 10000]
||Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU), Anforderungen
|-
||[https://shop.vds.de/publikation/vds-10020 VdS 10020]
||Leitfaden zur Interpretation und Umsetzung der VdS 10000 für Industrielle Automatisierungssysteme (ICS)
|}
== Weitere Normen und Standards ==
== Weitere Normen und Standards ==
{| class="wikitable"
{| class="wikitable"
Zeile 293: Zeile 303:
|}
|}
[[Kategorie:Artikel]]
[[Kategorie:Artikel]]
[[Kategorie:Datenschutz]]

Aktuelle Version vom 12. November 2024, 18:39 Uhr

Diese Seite listet Normen, Standards, sowie weitere normative Dokumentation auf, die für Informationssicherheit und den Datenschutz von Interesse sind.

Gesetze

Europäisches Recht

DSGVO Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr (Datenschutz-Grundverordnung)EU Datenschutz GrundverordnungWeitere Erläuterungen und Beweggründe für einzelne Artikel der DSGVO sind in den Erwägungsgründen beschrieben und erleichtern die Interpretation des Verordnungstextes.Erwägungsgründe zur DSGVO

Bundesrecht

BDSG Bundesdatenschutzgesetz
BSIG Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik(BSIG)
SÜG Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes und den Schutz von Verschlusssachen
Sicherheitsüberprüfungsgesetz - (SÜG)
Geheimschutzhandbuch des BMWI
Weitere landesspezifische SÜG der Bundesländer.
TKG Telekommunikationsgesetz (TKG)
DDG Digitale-Dienste-Gesetz (DDG)
BSIG Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz)
IT-SiG IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0)
TDDDG Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)

*Landesrecht

Landesdatenschutzgesetze sind die landesrechtlichen Pendants zum Bundesdatenschutzgesetz. Die Landesdatenschutzgesetze gelten für die jeweiligen Landesbehörden und Kommunalverwaltungen.

DSG BW Baden-Württemberg
Datenschutzgesetz Baden Würtemberg (DSG BW)
BayDSG Bayern
Bayrisches Datenschutzgesetz (BayDSG)
BlnDSG Berlin
Berliner Datenschutzgesetz (BlnDSG)
DSG Bbg Brandenburg
Datenschutzgesetz Brandenburg (DSG Bbg)
BremDSG Bremen
Bremer Datenschutzgesetz (BremDSG)
HmbDSG Hamburg
Hamburger Datenschutzgesetz (HmbDSG)
HDSG Hessen
Hessisches Datenschutzgesetz (HDSG)
DSG M-V Mecklenburg-Vorpommern
Datenschutzgesetz Mecklenburg-Vorpommern (DSG M-V)
NDSG Niedersachsen
Niedersächsisches Datenschutzgesetz (NDSG)
DSG NRW Nordrhein-Westfalen
Datenschutzgesetz Nordrhein-Westfalen (DSG NRW)
DSG RP Rheinland-Pfalz
Datenschutzgesetz Rheinland-Pfalz (DSG RP)
SaarlDSG Saarland
Saarländisches Datenschutzgesetz (SaarlDSG)
SächsDSG Sachsen
Sächsisches Datenschutzgesetz (SächsDSG)
DSG LSA Sachsen-Anhalt
Datenschutzgesetzt Sachsen-Anhalt (DSG LSA)
LDSG SH Schleswig-Holstein
Landesdatenschutzgesetz Schleswig-Holstein (LDSG)
ThürDSG Thüringen
Thüringer Datenschutzgesetz (ThürDSG)

Datenschutz

Standard-Datenschutzmodell

Das Standard-Datenschutzmodell (SDM) wurde von der Datenschutzkonferenz (DSK) entwickelt. Die DSK ist ein Gremium der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in Deutschland, das sich mit Fragen des Datenschutzes beschäftigt. Das SDM beschreibt eine methodische Vorgehensweise für die Planung, Umsetzung und Überwachung von Datenschutzmaßnahmen in IT-Systemen und dient als Rahmen für die Umsetzung des Datenschutzes in Unternehmen und Organisationen.

SDM-3.0 Standard-Datenschutzmodell Version 3.0
SDM-2.0b Standard-Datenschutzmodell Version 2.0b
B.11 „Aufbewahren“ (Version 1.0 vom 6. Oktober 2020)
B.41 „Planen und Spezifizieren“ (Version 1.0 vom 25. März 2021)
B.42 „Dokumentieren“ (Version 1.0a vom 2. September 2020)
B.43 „Protokollieren“ (Version 1.0a vom 2. September 2020)
B.50 „Trennen“ (Version 1.0 vom 6. Oktober 2020)
B.51 „Zugriffe auf Daten, Systeme und Prozesse regeln“ (Version 1.0 vom 01.11.2021)
B.60 „Löschen und Vernichten“ (Version 1.0a vom 2. September 2020)
B.61 „Berichtigen“ (Version 1.0 vom 6. Oktober 2020)
B.62 „Einschränken der Verarbeitung“ (Version 1.0 vom 6. Oktober 2020)

BSI IT-Grundschutz

Eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen der unternehmenseigenen IT. Das Ziel des Grundschutzes ist das Erreichen eines mittleren, angemessenen und ausreichenden Schutzniveaus für IT-Systeme.

BSI Standards

Standard 200-1 Managementsysteme für Informationssicherheit (ISMS)
BSI-Stan­dard 200-1: Ma­na­ge­ment­sys­te­me für In­for­ma­ti­ons­si­cher­heit
Standard 200-2 IT-Grundschutz-Methodik
BSI-Stan­dard 200-2: IT-Grund­schutz-Me­tho­dik
IT-Grundschutz Kompedium (Ed. 2023)
IT-Grundschutz Kompedium Umsetzungshinweise
Leit­fa­den Ba­sis-Ab­si­che­rung nach IT-Grundschutz
Standard 200-3 Risikomanagement
BSI-Stan­dard 200-3: Ri­si­ko­ma­na­ge­ment
Standard 200-4 Business Continuity Management
BSI-Stan­dard 200-4: Business Continuity Management

ISi-Reihe

Die ISi-Reihe (BSI-Standards zur Internet-Sicherheit) gibt konkrete technische Empfehlungen zu verschiedenen Themenbereichen der IT-Sicherheit.

Hochverfügbarkeitskompendium

Das BSI stellt mit dem HV-Kompendium Instrumente zur Verfügung, die bei der Identifikation kritischer Geschäftsprozesse und der Ermittlung deren Qualitätsanforderungen ansetzen und daraus Vorschläge für ein anforderungskonformes Service-Design ableiten.

Band G Einführung und methodische Grundlagen.

Weitergehende Dokumentation:

Cloud Computing (C5)

C5:2020 Der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) spezifiziert Mindestanforderungen an sicheres Cloud Computing und richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden.

KRITIS/NIS

Kritische Infrastrukturen (KRITIS) bezeichnet Infrastrukturen (Anlagen, Organisationen oder Systeme), die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen (Gesundheit, Sicherheit, Versorgung, Finanzen, Verkehr) sind und deren Störung oder Zerstörung erhebliche Auswirkungen hätte.

BSIG Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz)
Aktualisierung Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
NIS2 FAQ Fragen und Antworten zu NIS-2 (BSI)

DIN/ISO/IEC

Das DIN (Deutsches Institut für Normung) ist die nationale Organisation für Normen. Die ISO (International Organization for Standardization) und die IEC (International Electrotechnical Commission) sind internationale Vereinigungen von Normungsorganisationen zur Erarbeitung internationaler Normen.Diese Normen sind nicht frei verfügbar.

ISO 27000

Die ISO/IEC 27000-Reihe ist eine Reihe von Standards zur Informationssicherheit.

ISO 27001 Information security management systems – Requirements
Definiert die Anforderungen an ein ISMS (Basis für eine Zertifizierung nach ISO 27001).
ISO 27002 Code of practice for information security Management
Enthält Empfehlungen für die Umsetzung der ISO 27001 Anforderungen.
ISO 27003 Information security management systems – Implementation Guidelines
Ein Leitfaden zur Implementierung eines ISMS nach ISO 27001
ISO 27004 Information security management measurements
Definiert Kennzahlen für ein ISMS.
ISO 27005 Information security risk Management.
Leitfaden für das Informationssicherheits-Risikomanagement
ISO 27011 Information Security Mgmt guidelines for telecommunications organizations based on ISO/IEC 27002
Leitfaden für das Informationssicherheits-Management im Telekom-Sektor
ISO 27799 Health informatics - Information security management in health using ISO/IEC 27002
Leitfaden für Medizinische Informatik - Informationsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002
DIN SPEC 27076 Beratung zur IT- und Informationssicherheit für Klein- und Kleinstunternehmen

Das Förderprojekt mIT Standard sicher entwickelte den Standard zur IT-Sicherheitsberatung für kleine und Kleinstunternehmen.

weitere DIN/ISO-Normen

DIN SPEC 27076 CyberRisikoCheck (kostenlos beim Beuth-Verlag)

IT-Sicherheitsberatung für kleine und Kleinstunternehmen

ISO 15408 Common Criteria
Informationstechnik - IT-Sicherheitsverfahren - Evaluationskriterien für IT-Sicherheit
ISO 15408-1: Einführung und allgemeines Modell
ISO 15408-2: funktionale Sicherheitsanforderungen
ISO 15408-3: Anforderungen an die Vertrauenswürdigkeit
DIN 66399-1 Büro- und Datentechnik – Vernichten von Datenträgern –
Teil 1: Grundlagen und Begriffe
Teil 2: Anforderungen an Maschinen zur Vernichtung von Datenträgern
Teil 3: Prozess der Datenträgervernichtung
DIN 66398 Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten

*Institut der Wirtschaftsprüfer (IDW-Verlautbarungen)

Das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW), repräsentiert Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften.Das IDW  publiziert mit den "IDW-Verlautbarungen" berufsständische Standards wie z.B. die IDW Prüfungsstandards (IDW PS). Diese Standards kommen im Rahmen von Wirtschaftsprüfungen auch für die Prüfung der IT zum Einsatz.Diese Normen sind nicht frei verfügbar.

(IDW Verlautbarungen - IDW Prüfungsstandards)

Hier sind die einige IT-Lastige Prüfstandards gesondert gelistet:

IDW PS 330 Abschlussprüfung bei Einsatz von Informationstechnologie
Bezugsquelle IDW-Shop: IDW PS 330
ISACA-Leitfaden IDW PS 330 <> ISO 27001 Referenztabelle (PDF)
IDW PS 850 Projektbegleitende Prüfung bei Einsatz von Informationstechnologie
Bezugsquelle IDW-Shop: IDW PS 850
IDW PS 860 IT-Prüfung außerhalb der Abschlussprüfung
Bezugsquelle IDW-Shop: IDW PS 860
IDW PS 951 Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsunternehmen ausgelagerte Funktionen (bei Outsourcing und Cloud Computing)
Bezugsquelle IDW-Shop: IDW PS 951

Verband der Schadenversicherer e.V. (VdS)

Der VdS bzw. die VdS Schadenverhütung GmbH hat mit der VdS Richtlinie 10000 ein speziell auf KMU zugeschnittener Maßnahmenkatalog für ein ISMS erstellt:

VdS 10000 Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU), Anforderungen
VdS 10020 Leitfaden zur Interpretation und Umsetzung der VdS 10000 für Industrielle Automatisierungssysteme (ICS)

Weitere Normen und Standards

RFC Die "Request for Comments" (RFC) ist eine Reihe technischer und organisatorischer quasi-Standard-Dokumente des RFC-Editors zum Internet.
Auflistung der RFCs bei RFC-Editors
FIPS Federal Information Processing Standard (FIPS) sind öffentliche Standards der Vereinigten Staaten. Diese werden von der US-Bundesregierung festgelegt und gelten für alle zivilen Regierungseinrichtungen in den USA und deren Vertragslieferanten.
Auflistung der FIPS Stadards
CISIS12 Ein einfaches, zertifizierbares ISMS ist das Compliance Informations Sicherheitsmanagement Systemen in 12 Schritten (CISIS12), das in zwölf Schritten konkrete Handlungsanweisungen bietet und daher mit geringen Vorkenntnissen schnell eingeführt werden kann.
https://cisis12.de/
ITIL IT Infrastructure Library