ISO/IEC 27014 Informationssicherheits-Governance

Live-Demo buchen

büro,kollegen,haben,lässig,diskussion,während,besprechung,in,konferenz,zimmer.

Informationssicherheit ist für Unternehmen ein zentrales Anliegen Sie versuchen, sich an die raschen Fortschritte bei den Angriffsmethoden und -techniken sowie an die daraus resultierenden Änderungen der gesetzlichen Anforderungen anzupassen. Ausfall eines Informationssicherheit der Organisation Maßnahmen können mehrere negative Folgen für die Organisation und ihre Stakeholder haben, einschließlich des Vertrauensverlusts.

Um in der heutigen Geschäftswelt relevant zu bleiben und wettbewerbsfähig zu bleiben, sollte jedes Unternehmen über ein Information Security Governance-Programm (ISGP) verfügen. Glücklicherweise besteht die Möglichkeit, die Informationssicherheits-Governance und das allgemeine Risikomanagement im Geschäftsumfeld zu verbessern, indem sie an Compliance-Anforderungen wie z. B. angepasst werden ISO 27001 und der Ableger ISO 27014.

Was ist der ISO/IEC 27014-Standard?

ISO/IEC 27014 ist ein Standard in der ISO / IEC 27000 Serie.

Dieser Standard soll „Organisationen bei der effektiven Verwaltung ihrer Informationssicherheitsstrategien unterstützen“. Der Standard bietet „Anweisungen zu den Grundsätzen und Konzepten für die Informationssicherheits-Governance, anhand derer Organisationen informationssicherheitsbezogene Praktiken in der Organisation bewerten, leiten, überwachen, kommunizieren und sicherstellen können.“

Der elfseitige Standard fasst die Governance-Standards für Informationstechnologie zusammen und umfasst eine Struktur aus sechs Prinzipien und fünf Prozessen. Der Standard betrachtet IT-Governance als Interaktion mit der Governance der Informationstechnologie, die alle Bestandteile des umfassenderen Rahmens der organisatorischen Governance sind. Im Dezember 2020 wurde ein weiteres ISO/IEC 27014:2020-Leitdokument veröffentlicht, das die erste Ausgabe von 2013 ablöste.

Wir sind so froh, dass wir diese Lösung gefunden haben, sie hat alles einfacher zusammenpassen lassen.
Emmie Cooney
Operations Manager Amigo
100 % unserer Benutzer bestehen die Zertifizierung beim ersten Mal
Buchen Sie Ihre Demo

Was ist Informationssicherheits-Governance?

  • Informationssicherheits-Governance ist die Lebenszyklus von Richtlinien, Kontrollen und Verfahren zur Gewährleistung der Informationssicherheit für eine Organisation.
  • Die Governance der Informationssicherheit bietet einen integrierten Ansatz für die allgemeine Informationssicherheit.
  • Es gewährleistet, dass der Informationssicherheitsansatz der Organisation mit den Gesamtzielen der Organisation übereinstimmt. Dies ermöglicht es dem Leitungsorgan, Entscheidungen über die strategischen Ziele der Organisation zu treffen, indem es Informationen über potenzielle Bedrohungen der Informationssicherheit präsentiert.
  • Die Implementierung eines wirksamen Programms zur Informationssicherheits-Governance trägt dazu bei, Risiken zu reduzieren, Vertrauen in alle Aktivitäten zu schaffen und unangemessene Maßnahmen zu verhindern.

Was ist ein Leitungsgremium?

Ein Leitungsgremium ist ein Kollektiv von Einzelpersonen, die das haben Autorität und Verantwortung, Richtlinien zu formulieren und eine Organisation zu leiten allgemeine Flugbahn. Das kollektive Gremium ist für die Entscheidungsfindung und Umsetzung im Namen seiner Mitarbeiter, Stakeholder und der Organisation verantwortlich.

Die Hauptaufgabe des Leitungsgremiums besteht darin, die Privilegien und Interessen der Organisation sowie aller Personen zu schützen, die im Rahmen der Organisation arbeiten. Dieses Gremium erreicht dies, indem es sicherstellt, dass die Organisation effizient arbeitet und in der Lage ist, die Ziele und Prioritäten zu erreichen, denen sie sich verpflichtet hat. Darüber hinaus ist das Leitungsgremium für die Finanzen, das Personal und das Vermögen der Organisation verantwortlich. Eine wichtige Aufgabe des Leitungsgremiums in jeder Organisation besteht darin, Entscheidungen zu treffen Entscheidungen, die die Informationssicherheit innerhalb der Organisation fördern.

ISMS.online macht die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich.

Peter Risdon
CISO, Lebenswichtig

Buchen Sie Ihre Demo

Sehen Sie, wem wir bereits geholfen haben

Implementierung der Governance-Prozesse für Informationssicherheit (ISO/IEC 27014)

Governance-Prozesse für Informationssicherheit wurden entwickelt, um Organisationen bei der Überwachung und Verwaltung ihrer Informationssicherheitsbemühungen zu unterstützen. Sie existieren jedoch nicht im luftleeren Raum – sie müssen es sein in die Gesamtbetriebsführung integriert Prozesse, wenn sie effektiv sein sollen (und das gilt für viele damit verbundene Sicherheitsaktivitäten, wie zum Beispiel das Risikomanagement). Gemäß ISO/IEC 27014:2020 sind das Leitungsorgan und das Top-Management für die Umsetzung von vier Governance-Systemen verantwortlich.

Bewerten

Einer der Governance-Prozesse der Informationssicherheit ist die Bewertung. Die Bewertung ist ein wichtiger Prozess, bei dem der aktuelle Zustand eines Prozesses oder einer Komponente innerhalb einer Organisation untersucht wird. Dies hilft dabei, festzustellen, was an diesem bestimmten Prozess oder dieser bestimmten Komponente richtig und was falsch ist.

Direkt

Die Richtung ist einer der Governance-Prozesse der Informationssicherheit. Dazu gehört die Planung, Festlegung und Überprüfung von Richtlinienstandards und -verfahren sowie die Bewertung der Einhaltung festgelegter Einschränkungen durch das Personal.

Überwachen

Die Überwachung ist einer der Informationssicherheitsprozesse. Es sind Managementaktivitäten, die die Verfügbarkeit, Integrität, Authentifizierung und Vertraulichkeit der Systeme und Netzwerke sicherstellen und überprüfen, ob Mitarbeiter diese Systeme und Netzwerke ordnungsgemäß und auf eine Art und Weise nutzen befolgt Sicherheitsrichtlinien.

Kommunizieren

Kommunikation ist der Schlüssel zu Informationssicherheits-Governance-Prozessen. Sie sind damit betraut, Ihr Unternehmen und seine verschiedenen Vermögenswerte zu schützen, aber das darf kein isolierter Prozess sein.

Es trägt dazu bei, unser Verhalten auf eine positive Art und Weise zu steuern, die für uns funktioniert
& unsere Kultur.

Emmie Cooney
Betriebsleiter, Amigo

Buchen Sie Ihre Demo

Sehen Sie, wie unsere einfache, leistungsstarke Plattform funktioniert

Was sind die Ziele der Information Security Governance?

Die Governance der Informationssicherheit sollte sicherstellen, dass die Maßnahmen zur Informationssicherheit robust und integriert sind. Der Standard legt sechs hochrangige „handlungsorientierte“ Prinzipien für die Informationssicherheits-Governance fest. Dazu gehört Folgendes:

Schaffen Sie organisationsweite Informationssicherheit

Bedenken hinsichtlich der Informationstechnologie oder Cybersicherheit können in den Rahmen und die Funktionen der Organisation eindringen. Auf allen Führungsebenen Informationssicherheit sollten mit Informationstechnologie (IT) und anderen Funktionen kombiniert werden. Das Top-Management sollte sicherstellen, dass die Informationssicherheit den allgemeinen strategischen Interessen des Unternehmens entspricht, und Verantwortlichkeit und Verantwortung in der gesamten Organisation schaffen.

Treffen Sie Entscheidungen mit einem risikobasierten Ansatz

Die Sicherheitsverwaltung, einschließlich Ressourcenverteilung und Budgetierung, sollte sich an der Risikobereitschaft einer Organisation orientieren, die wiederum durch einen risikobasierten Ansatz beeinflusst werden sollte, der Folgendes berücksichtigt: Verlust von Wettbewerbsvorteilen, regulatorische und haftungsrechtliche Bedenken, betriebliche Verzögerungen, Reputationsschäden, und finanzieller Verlust.

Geben Sie die Richtung Ihrer Investitionsentscheidungen vor

Stellen Sie sicher, dass Informationssicherheitsrisiken werden ordnungsgemäß analysiert bevor neue Geschäftstätigkeiten wie Investitionen, Übernahmen, Fusionen, die Einführung neuer Technologien, Outsourcing-Vereinbarungen und Verträge mit externen Lieferanten aufgenommen werden. Zusätzlich, Informationssicherheit integrieren in interne Agenturprozesse wie Projektmanagement, Beschaffung, Finanzmanagement, Einhaltung gesetzlicher und behördlicher Vorschriften sowie organisatorisches Risikomanagement. Das Top-Management sollte einen Informationssicherheitsansatz entwickeln, der auf die Ziele der Organisation abgestimmt ist, was bedeutet, dass die Informationssicherheitsanforderungen von Behörden und Organisationen konsistent sind.

Stellen Sie die Konformität mit internen und externen Anforderungen sicher

Zu den externen Anforderungen zählen erforderliche Gesetze und Vorschriften, Zertifizierungsstandards und vertragliche Verpflichtungen. Interne Kriterien sind Teilmengen der Gesamtziele und Prioritäten einer größeren Organisation. Unabhängige Sicherheitsbewertungen sind die allgemein anerkannte Methode zur Feststellung und Verfolgung der Konformität. Das Top-Management muss durch eine Prüfung sicherstellen, dass die Informationssicherheitspraktiken den internen und externen Standards zufriedenstellend entsprechen unabhängige Sicherheitsüberprüfungen.

Fördern Sie eine sicherheitspositive Kultur

Es sollte eine Koordination und Abstimmung zwischen den verschiedenen Stakeholdern im ISMS stattfinden. Um einen kohärenten Kurs zur Informationssicherheit zu erreichen, muss das Top-Management die Zusammenarbeit der Aufgaben und Aktivitäten aller vom ISMS Betroffenen fördern und erleichtern. Zusätzlich Nachweis der Sicherheitsunterweisung, -vorbereitung, und Sensibilisierungsprogramme solte gegeben sein. Verantwortlichkeiten für die Informationssicherheit sollten in die Positionen des Personals und anderer Interessengruppen integriert werden, und alle sollten ihre Verantwortung wahrnehmen, um zur Wirksamkeit des ISMS beizutragen.

Stellen Sie sicher, dass die Sicherheitsleistung den aktuellen und zukünftigen Anforderungen des Unternehmens entspricht

Der Sicherheitserfolg wird nicht nur an der Wirksamkeit und Zuverlässigkeit gemessen, sondern auch an seinen Auswirkungen auf die allgemeinen Unternehmensziele. Das für die Governance zuständige Top-Management sollte regelmäßige Überprüfungen eines Leistungsmesssystems zur Nachverfolgung, Prüfung und Verbesserung einbeziehen, das die Informationssicherheit in eine optimale Geschäftsleistung umsetzt.

Sehen Sie unsere Plattformfunktionen in Aktion

Eine maßgeschneiderte praktische Sitzung, basierend auf Ihren Bedürfnissen und Zielen

Buchen Sie Ihre Demo

Sehen Sie nicht, wonach Sie suchen?
Wir können es leicht bauen.

Umfang und Zweck der Norm ISO 27014

Das ISO 27014-Dokument enthält Richtlinien zu Grundsätzen, Zielen und Verfahren der Informationssicherheits-Governance, die Organisationen verwenden sollten, um informationssicherheitsbezogene Prozesse innerhalb der Organisation zu bewerten, zu steuern, zu überwachen und zu kommunizieren.

Wie die anderen ISO27k-Standards ist es „für alle Arten und Größen von Organisationen geeignet“, insbesondere für solche, bei denen das ISMS die gesamte Organisation oder nur einen Teil davon abdeckt oder bei denen sich ein einzelnes ISMS auf mehrere Unternehmen erstreckt (z. B. innerhalb eines Unternehmens). Unternehmensstruktur).

Eine ordnungsgemäße Informationssicherheits-Governance garantiert, dass sie mit den in Strategien und Richtlinien festgelegten Unternehmenszielen übereinstimmt und diese unterstützt.

ISO 27014 legt großen Wert auf die Governance-Komponenten von ISO/IEC 27001 und legt innerhalb dieses Rahmens Governance-Ziele fest. Es umfasst die Integration von Governance-Aktivitäten im Bereich der Informationssicherheit mit anderen Governance-Funktionen und -Zielen. ISO 27014 spezifiziert weiter die Anforderungen und Erwartungen des Leitungsgremiums an ein ISO27k-ISMS.

Wer sollte ISO 27014 implementieren?

ISO/IEC 27014:2020 richtet sich an folgende Zielgruppen:

  • Das Leitungsgremium und die oberste Leitung einer Organisation.
  • Diejenigen, die für die Bewertung, Leitung und Verfolgung eines ISO/IEC 27001-konformen Informationssicherheits-Managementsystems (ISMS) verantwortlich sind.
  • Diejenigen, die für das Informationssicherheitsmanagement verantwortlich sind, das außerhalb der Reichweite eines erfolgt ISO/IEC 27001-basiertes Informationssicherheits-Managementsystem (ISMS), aber im Kontext der Governance.

Dieses Dokument gilt für alle Arten und Größen von Organisationen.

Wie ISMS.online die Implementierung von ISO 27014 einfach machen kann

Auf ISMS.onlineWir machen es Ihnen leicht, Ihre Informationssicherheits-Governance so zu dokumentieren, dass sie dem ISO 27014-Standard entspricht. Wir stellen Ihnen eine logische, benutzerfreundliche, cloudbasierte Informationsverwaltungsschnittstelle zur Verfügung, die Ihrem Unternehmen dabei hilft, seine Infosec-Governance-Prozesse zu überprüfen und Fortschritte im Vergleich zum ISO 27014-Standard zu erzielen.

Unsere cloudbasierte Plattform ermöglicht Ihnen den Zugriff auf alle Ihre ISMS-Ressourcen an einem Ort. Wir verfügen über ein internes Team von Informationssicherheitsexperten, die Ihnen mit Rat und Tat zur Seite stehen und Fragen beantworten können, um Sie auf Ihrem Weg zur ISO 27014-Implementierung zu unterstützen, damit Sie Ihr Engagement für Best Practices für die Informationssicherheits-Governance unter Beweis stellen können. Rufen Sie ISMS.online an +44 (0)1273 041140 Erfahren Sie mehr darüber, wie wir Ihnen bei der Zertifizierung nach ISO 27001 helfen können.

Buchen Sie Ihre Demo

Sehen Sie, wie einfach
es ist mit
ISMS.online

Buchen Sie eine maßgeschneiderte praktische Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.

Buchen Sie Ihre Demo

Seit der Migration konnten wir den Verwaltungsaufwand reduzieren.
Jodie Korber
Geschäftsführer Lanrex
100 % unserer Benutzer bestehen die Zertifizierung beim ersten Mal
Buchen Sie Ihre Demo

Der bewährte Weg zum ISO 27001-Erfolg

Ausgestattet mit allem, was Sie brauchen, um problemlos erfolgreich zu sein, und sofort einsatzbereit – keine Schulung erforderlich!
Richtlinien

Perfekte Richtlinien und Kontrollen

Arbeiten Sie ganz einfach zusammen, erstellen Sie Dokumente und zeigen Sie, dass Sie jederzeit den Überblick über Ihre Dokumentation haben

Mehr erfahren
Risikomanagement

Einfaches Risikomanagement

Bewältigen Sie Bedrohungen und Chancen mühelos und erstellen Sie dynamische Leistungsberichte

Mehr erfahren
Reporting

Messung und automatisierte Berichterstattung

Treffen Sie bessere Entscheidungen und zeigen Sie mit Dashboards, KPIs und zugehörigen Berichten, dass Sie die Kontrolle haben

Mehr erfahren
Audits

Audits, Aktionen und Bewertungen

Machen Sie Korrekturmaßnahmen, Verbesserungen, Audits und Managementbewertungen zu einem Kinderspiel

Mehr erfahren
Linking

Kartierungs- und Verknüpfungsarbeiten

Beleuchten Sie kritische Beziehungen und verknüpfen Sie Bereiche wie Vermögenswerte, Risiken, Kontrollen und Lieferanten elegant

Mehr erfahren
Details

Einfache Vermögensverwaltung

Wählen Sie Vermögenswerte aus der Asset Bank aus und erstellen Sie ganz einfach Ihr Asset-Inventar

Mehr erfahren
Nahtlose Integration

Schnelle, nahtlose Integration

Sofort einsatzbereite Integrationen mit Ihren anderen wichtigen Geschäftssystemen, um Ihre Compliance zu vereinfachen

Mehr erfahren
Normen-Vorschriften

Andere Standards und Vorschriften

Fügen Sie sorgfältig weitere Compliance-Bereiche hinzu, die sich auf Ihr Unternehmen auswirken, um noch mehr zu erreichen

Mehr erfahren
Compliance

Mitarbeiter-Compliance-Sicherung

Binden Sie Mitarbeiter, Lieferanten und andere jederzeit mit dynamischer End-to-End-Compliance ein

Mehr erfahren
Lieferkette

Supply Chain Management

Verwalten Sie Due Diligence, Verträge, Kontakte und Beziehungen über deren Lebenszyklus

Mehr erfahren
Interessierte Parteien

Interessentenmanagement

Ordnen Sie interessierte Parteien visuell zu und verwalten Sie sie, um sicherzustellen, dass ihre Bedürfnisse klar berücksichtigt werden

Mehr erfahren
Datenschutz

Starke Privatsphäre und Sicherheit

Starke Privatsphäre durch Design und Sicherheitskontrollen, die Ihren Bedürfnissen und Erwartungen entsprechen

Mehr erfahren
 

Welche Art von Hilfe benötigen Sie von uns?

Neu in der Informationssicherheit?

Wir haben alles, was Sie zum Entwerfen, Erstellen und Implementieren Ihres ersten ISMS benötigen.

Mehr erfahren

Sind Sie bereit, Ihr ISMS zu transformieren?

Wir helfen Ihnen dabei, mehr aus Ihrer bereits geleisteten Infosec-Arbeit herauszuholen.

Mehr erfahren

Möchten Sie Ihre Infosec-Expertise entfesseln?

Mit unseren Plattform, auf der Sie das ISMS aufbauen können was Ihre Organisation wirklich braucht.

Mehr erfahren

Entdecken Sie andere Standards innerhalb der ISO 27k-Familie

  • 1Die ISO 27000-Familie
  • 2ISO 27002
  • 3ISO 27003
  • 4ISO 27004
  • 5ISO 27005
  • 6ISO 27008
  • 7ISO 27009
  • 8ISO 27010
  • 9ISO 27014
  • 11ISO 27013
  • 12ISO 27016
  • 13ISO 27017
  • 14ISO 27018
  • 15ISO 27019
  • 16ISO 27038
  • 17ISO 27039
  • 18ISO 27040
  • 19ISO 27050
  • 20ISO 27102

100 % unserer Benutzer erreichen beim ersten Mal die ISO 27001-Zertifizierung

Beginnen Sie Ihre Reise noch heute
Sehen Sie, wie wir Ihnen helfen können

Optimieren Sie Ihren Workflow mit unserer neuen Jira-Integration! Hier erfahren Sie mehr.