ISO 27001 – Ausweis für Ihre Informationssicherheit

Die Anforderungen an die Informationssicherheit steigen stetig. Täglich ist von neuen Schwachstellen zu lesen, Angriffe auf Firmen und Privatpersonen nehmen zu und die gesetzlichen und regulativen Anforderungen sind immer aufwändiger zu erfüllen. ISO 27001 stellt die Anforderungen an ein Informationssicherheitsframework, welches den Umgang mit diesen Themen für das eigene Unternehmen vereinfacht.

Dieser Artikel stellt den Start einer Reihe zum Thema Informationssicherheit nach ISO 27001 dar. In jeder Ausgabe wird ein Themengebiet des internationalen Standards behandelt.

© Storyblocks, Registriert auf Andreas Wisler

Informationssicherheit wird zu einem wichtigeren Thema für jedes Unternehmen. Jede Firma möchte die eigenen und fremden Daten sicher aufbewahren und schützen. Um für Kundinnen und Kunden, Lieferanten und Partner auch einen Nachweis zu haben, bildet die Zertifizierung nach ISO 27001 einen anerkannten Nachweis. ISO 27001 ist ein Framework, um ein Informationssicherheitsmanagementsystem, kurz ISMS aufzubauen, zu unterhalten und stetig weiterzuentwickeln.

Das Framework besteht aus verschiedenen (Sub-) Standards. Laufend kommen weitere dazu, vor allem im Bereich der sektionsspezifischen Standards in bestimmten Bereichen wie Telekommunikation, Finanzen, Gesundheitswesen und Energieversorgung. Die Basis bilden aber die beiden Normen ISO 27001 und ISO 27002.

Inhalt

ISO 27001 beschreibt den Aufbau des Frameworks. Die Kapitel umfassen den Kontext der Organisation (Aufbau, Prozesse, involvierte Stellen, Geltungsbereich und das Managementsysteme), Anforderungen an die Führung (Verantwortung und Zuständigkeiten, Leitlinie), der Planung (Risiko-Analyse, Umsetzungspläne), die Unterstützung (Ressourcen, Kompetenzen, Schulungen, Kommunikation), den Einsatz (Planung und Kontrolle), die Auswertung (Überwachung, Messung, Analyse und Auswertung) sowie die stetigen Verbesserungen.

Im zweiten Teil, dem ISO 27002 geht es um konkrete Massnahmen. Total handelt es sich um 114 so genannte Controls, aufgeteilt in 14 Kapitel. Dabei werden Themen wie die Organisation, Sicherheit des Personals, Management von Werten, Zugriffskontrolle, physische Sicherheit, Betriebssicherheit, Unterhalt und Wartung, Beziehungen mit Lieferanten, Management von Sicherheitsvorfällen sowie Business Continuity Management behandelt.

Management-Anforderungen

Nur mit dem Auftrag ein ISMS aufzubauen, ist es für die Geschäftsleitung aber nicht getan. Mit der letzten Überarbeitung im Jahr 2013 kamen weitere Anforderungen dazu, die die Leitung des Unternehmens in die Pflicht nimmt. Die Norm definiert die folgenden Anforderungen, die es zu erfüllen gibt:

  • Übernahme der Gesamtverantwortung für die Informationssicherheit
  • Informationssicherheit in alle Prozesse und Projekte integrieren
  • Informationssicherheit steuern und aufrechterhalten
  • Erreichbare Ziele setzen
  • Sicherheitskosten gegen Nutzen abwägen
  • Vorbildfunktion

Oft stehen solche Systeme in der Kritik, dass viel Papier erstellt werden muss, dies aber für das Unternehmen nur wenig bringt. Dies ist sicherlich teilweise richtig. Auch für ISO 27001 müssen einige Dokumente erstellt werden. Aus meiner Erfahrung bei verschiedenen Projekten, sind dies aber Dokumente, die ein Unternehmen auch ohne Zertifizierung erstellen sollte. Gerade die Leitlinie zum Umgang mit der Informationssicherheit ist essentiell. Auch die Risikoanalyse ist wichtig und wird auch für das Interne Kontrollsysteme IKS nach OR 728a gefordert.

Erfolgreicher Abschluss

Nach der Norm gilt ein Informationssicherheitssystem dann als erfolgreich abgeschlossen, wenn folgende Punkte erfüllt sind:

  • es gibt eine definierte Leitlinie, welche sich an den Zielen und Massnahmen der Geschäftszielen orientiert und an das Vorgehen zum Management der Informationssicherheit der Unternehmenskultur angepasst ist,
  • ein Budget für Informationssicherheitsmanagement zugeteilt wurde und die Aktivitäten zur Informationssicherheit von der Leitung (Topmanagement) unterstützt werden,
  • in der Organisation das Verständnis für die Anforderungen an Informationssicherheit verbreitet ist, Risikoanalysen durchgeführt und Notfallvorsorge betrieben wird,
  • die Benutzer hinreichend für Informationssicherheit sensibilisiert und geschult sind und die geltenden Sicherheitsvorgaben und Regelungen kennen sowie
  • es existiert ein Sicherheitsprozess mit einer regelmässig wiederholten Beurteilung und Verbesserung des ISMS.

Ablauf zur Zertifizierung

Wie kann ein Unternehmen nun den Weg in Richtung ISO 27001 einschlagen? Welche Dinge gilt es in welcher Reihenfolge umzusetzen? Nachfolgende Schritte zeigen einen pragmatischen Weg zu einer erfolgreichen Zertifizierung auf:

  • 1. Unterstützung der Geschäftsleitung einholen
  • 2. Projekt-Plan erstellen
  • 3. Anforderungen und Rahmenbedingungen ermitteln (Interessenvertreter, vertragliche und rechtliche Anforderungen). Dazu sollten unter anderem die folgenden Fragen beantwortet werden:
    • a. Welche Geschäftsprozesse gibt es und wie hängen diese mit den Geschäftszielen zusammen?
    • b. Welche Geschäftsprozesse hängen von einer funktionierenden, also einer ordnungsgemäss und anforderungsgerecht arbeitenden IT ab?
    • c. Welche Informationen werden für diese Geschäftsprozesse verarbeitet?
    • d. Welche Informationen sind besonders wichtig und damit in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit schützenswert und warum (z. B. personenbezogene Daten, Kundendaten, strategische Informationen, Geheimnisse wie Entwicklungsdaten, Patente, Verfahrensbeschreibungen)?
    • e. Gibt es Partner, Kunden oder weitere Stellen, die Zugriff auf Firmenwerte benötigen?
    • f. Welche vertraglichen Anforderungen müssen erfüllt werden?
    • g. Gibt es rechtliche Vorschriften, die es einzuhalten gilt?
  • 4. Anwendungsbereich definieren (welcher Bereich soll zertifiziert werden?)
  • 5. Informationssicherheitsrichtlinie erstellen
  • 6. Prozess zur Risikoeinschätzung etablieren (Prozesse erfassen, Assets (Werte) definieren), Kritikalität definieren)
  • 7. Risikoeinschätzung durchführen
  • 8. Umsetzung der daraus entstehenden Massnahmen
  • 9. Durchführung von Trainings und Awareness-Schulungen
  • 10. Internes Audit durchführen (Überprüfung der 114 Controls aus ISO 27002)
  • 11. Management-Bewertung durchführen
  • 12. Anmeldung zur Zertifizierung
  • 13. Durchführen des ISO 27001-Audits durch eine akkreditierte Stelle

Es lohnt sich dabei, als Unterstützung oder Begleitung auf einen erfahrenen Spezialisten zu setzen. Dieser kennt die notwendigen Schritte, kann an den richtigen Stellen nachfragen und setzt auch etwas Druck auf, damit das Projekt in der Hektik des Tagesgeschäftes nicht untergeht. Doch nicht alle Schritte können durch eine externe Stelle schnell umgesetzt werden. Gerade die Beschreibung von Prozessen, das Erfassen von Assets (Firmenwerten) und der damit verbundenen Risikoanalyse kann das Unternehmen oft besser und schneller durchführen, sind diese doch schon bekannt. Die erforderlichen Dokumente, der Aufbau des ISMS, eine allenfalls notwendige Anpassung von Prozessen, die Schulung von Mitarbeitern (Stichwort Sensibilisierung) und die Begleitung durch die notwendigen Kontrollen (Internal Audit, Management Review und der zwei- bis dreistufigen Zertifizierung) können abgegeben werden.

Das Resultat dieser Schritte ist ein effektives Informationssicherheitsmodell, durchgängige Prozesse und eine Sensibilisierung aller Mitarbeiter. Gegenüber Kunden, Partnern und weiteren interessierten Stellen existiert ein akzeptierter Nachweis über die eigenen Tätigkeiten rund um die Informationssicherheit. 

ISO 27001 – Kontext des Unternehmens
ISMS-Ressourcen

Ähnliche Beiträge

 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Gäste
Freitag, 23. August 2019

Sicherheitscode (Captcha)