Gorodenkoff - stock.adobe.com
Die ISO 27001: Sich im Team hineingraben
Teil 2 der Artikelreihe zur ISO 27001 beschäftigt sich mit der Struktur der Norm. Er beleuchtet damit auch, wie Unternehmen an die Umsetzung der Norm gehen können.
Die ISO 27001 als Norm für Informationssicherheitsmanagementsysteme (ISMS). Sie soll Unternehmen helfen, die Informationssicherheit systematisch zu verbessern. Teil 2 dieser Artikelreihe erläutert die Struktur der Norm und für welche Personen im Unternehmen die Norm relevant ist.
Als Norm für Informationssicherheitsmanagementsysteme oder kurz für Informationssicherheit richtet sich die ISO 27001an die Unternehmensleitung, an das IT-Management und im Besonderen an die Sicherheitsverantwortlichen eines Unternehmens. Sie soll den Beteiligten helfen, Risiken – vor allem die aus der Anwendung von Informationsverarbeitungssystemen resultierenden Risiken – zu erkennen, einzuordnen und Maßnahmen zur Minimierung zu ergreifen.
Dabei reicht die Norm recht weit: So spielt es für die Sicherheit eines Unternehmens nicht nur eine Rolle, ob die Rechner und die Speichersysteme stabil laufen, sondern eben auch, ob jemand unbefugt in das Rechenzentrum eindringen kann.
Es handelt sich also in jedem Aspekt um eine Norm, die es Unternehmen erleichtern soll, Risiken zu minimieren und vor allem Katastrophen zu vermeiden.
Nicht nur Maßeinheiten – eine organisatorische Norm
Eine Besonderheit der ISO 27001 ist die direkte Einbindung der Leitungsebene und die Notwendigkeit der Dokumentation aller Maßnahmen und Vereinbarungen. Die Norm hangelt sich formal am Begriff des ISMS, entlang. Sie beginnt mit allgemeinen Anforderungen und einem Überblick über den Aufbau und die Analyse des Unternehmens hinsichtlich der Informationssicherheit. Sie beschreibt die systematische Erfassung, Bewertung und Behandlung von Risiken.
Nicht ganz uninteressant ist, dass die Norm auch die Rolle der Führungsebene beschreibt. Diese ist schließlich für die Umsetzung und Aufrechterhaltung der Sicherheitsmaßnahmen verantwortlich. Auch die Planung von Sicherheitszielen und -strategien spielt eine zentrale Rolle. Dazu gehört auch, dass die im Unternehmen getroffenen Maßnahmen die regelmäßig überprüft und angepasst werden müssen. Weitere Teile befassen sich mit der Unterstützung durch Ressourcen, Schulungen und einem klaren Rollenverständnis innerhalb der Organisation. Schließlich legt ISO 27001 großen Wert auf die Bewertung und Verbesserung, wobei regelmäßige Audits und Kontrollen vorgesehen sind, um die Einhaltung der Standards sicherzustellen. Der Standard schließt mit Richtlinien zur kontinuierlichen Optimierung des Sicherheitsmanagementsystems, um flexibel auf neue Bedrohungen reagieren zu können.
Die ISO/IEC 27001:2022 – die aktuelle Version des Standards – ist wie folgt aufgebaut:
- Anwendungsbereich
- Normative Verweisungen
- Begriffe und Definitionen
- Kontext der Organisation
- Verständnis der Organisation und ihres Kontextes
- Verständnis der Bedürfnisse und Erwartungen interessierter Parteien
- Festlegung des Anwendungsbereichs des ISMS
- Informationssicherheitsmanagementsystem
- Führung
- Führung und Verpflichtung
- Informationssicherheitspolitik
- Rollen, Verantwortlichkeiten und Befugnisse in der Organisation
- Planung
- Maßnahmen zum Umgang mit Risiken und Chancen
- Informationssicherheitsziele und Planung zu deren Erreichung
- Planung von Änderungen
- Unterstützung
- Ressourcen
- Kompetenz
- Bewusstsein
- Kommunikation
- Dokumentierte Information
- Betrieb
- Betriebliche Planung und Steuerung
- Risikobewertung und -behandlung
- Bewertung der Leistung
- Überwachung, Messung, Analyse und Bewertung
- Internes Audit
- Managementbewertung
- Verbesserung
- Nichtkonformität und Korrekturmaßnahmen
- Kontinuierliche Verbesserung
Die die ISO 27001 einleitenden Kapitel definieren Zweck und Anwendungsbereich definieren und wichtige Begriffe und Definitionen klären. Das ist von der Anlage der Norm her nicht uninteressant, weil dadurch alle Stakeholder mit den gleichen Basisinformationen aufgespürt werden. Der Chef hat also den gleichen Plan von der Norm wie der Datenbank-Admin oder der IT-Einkauf. Dem folgen Anforderungen zur Kontextanalyse, bei der Organisationen ihre internen und externen Befindlichkeiten analysieren müssen. Ziel dieser Schritte ist das Ausmachen potenzieller Einflussfaktoren auf die Informationssicherheit. Im Weiteren beschäftigt sich die Norm mit dem Identifizieren, Bewerten und Klassifizieren von Risiken. Das wiederum ist Voraussetzung für die Maßnahmen. Die Maßnahmen ihrerseits sollen die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen im Unternehmen sicherstellen.
Die Führungsebene wird in der Norm besonders angesprochen, da die oberste Leitung Verantwortung für die Umsetzung des ISMS übernimmt. Dies umfasst die Festlegung von Informationssicherheitszielen und -richtlinien sowie die Bereitstellung der nötigen Ressourcen, um die Einhaltung der Sicherheitsanforderungen zu gewährleisten. Der Abschnitt zur Planung beinhaltet Strategien zur Risikobehandlung sowie konkrete Sicherheitsziele, die messbar und überprüfbar gestaltet sein sollten. Im Bereich Unterstützung geht es um die Bereitstellung von Ressourcen, Kompetenzen und Schulungen, die sicherstellen, dass alle Mitarbeitenden die relevanten Sicherheitsanforderungen verstehen und umsetzen können.
Alle Kapitel umfassen ausdrücklich die Dokumentation aller Schritte. Sie ist entscheidend für die Kommunikation und Nachvollziehbarkeit der Maßnahmen. Den ersten Teil unserer Serie finden Sie hier.
Klassisch: Planen – Umsetzen – Ausführen – Überprüfen
Ein wesentlicher Bestandteil der ISO 27001 ist die Leistungsbewertung, die regelmäßige Audits und Überwachungsmaßnahmen fordert, um sicherzustellen, dass das ISMS den Anforderungen entspricht und kontinuierlich verbessert wird. Der abschließende Abschnitt zur Verbesserung legt Wert auf die Handhabung von Abweichungen und Schwachstellen, sodass Unternehmen in der Lage sind, ihre Sicherheitsmaßnahmen kontinuierlich anzupassen und flexibel auf neue Risiken zu reagieren.
Ein zusätzlicher Anhang A beschreibt einen Maßnahmenkatalog, der spezifische Sicherheitsmaßnahmen zur Unterstützung der Anforderungen enthält. Dieser Anhang gliedert sich in vier Hauptgruppen: organisatorische Maßnahmen, personelle Maßnahmen, physische Maßnahmen und technologische Maßnahmen.
Den ersten Teil unserer ISO-Serie können Sie hier nachlesen. Der nächste Artikel dieser Reihe wird sich mit den grundlegenden Herangehensweisen an die Umsetzung des Standards beschäftigen.