ISO/IEC 27001: Die Basis für Informationssicherheit
Die Norm ISO/IEC 27001 ist maßgebend für den Aufbau eines ISMS. Sie beschreibt, mit welchen Prozessen und Maßnahmen Organisationen eine höhere Informationssicherheit erreichen.
Der Schaden durch Cyberangriffe und Datenverlust kann in die Milliarden gehen. Informationssicherheit ist daher ein grundlegender Aspekt von IT-Sicherheit. Informationen müssen zuverlässig verfügbar sein und sind vor nicht autorisiertem Zugriff (Vertraulichkeit) sowie ungewollter Veränderung (Integrität) zu schützen. Grundlage dafür ist die Installation eines Information Security Management Systems (ISMS) auf Basis der Norm ISO/IEC 27001 („Information technology – Security techniques – Information security management systems – Requirements“).
Wir haben zum Aufbau eines ISMS bereits einen Einführungsartikel sowie einen Text mit Best Practices zur Umsetzung am konkreten Beispiel veröffentlicht. Dieser Artikel rund um Informationssicherheit beschäftigt sich mit dem Aufbau und den Inhalten der maßgebenden Norm ISO/IEC 27001. Sie ist das zentrale und wichtigste Dokument der Standard-Reihe ISO/IEC 270xx, einer Reihe von Dokumenten, die die verschiedenen Aspekte des Managements von Informationssicherheit in einer Organisation (Unternehmen, staatliche und Non-Profit-Organisationen) näher betrachten.
Aufbau: Die drei Teile der ISO/IEC 27001
Die ISO/IEC 27001 ist in drei Teile gegliedert:
Einführende Kapitel 0 - 3: Nach einem einleitenden Kapitel (0) mit Beschreibung der Mindestanforderungen und der Kompatibilität mit anderen Normen für Management-Systeme folgen die Kapitel Anwendungsbereich, Normative Verweisungen und in Kapitel 3 die Definition der wichtigste Fachbegriffe aus der Welt der Informationssicherheit (Verweis auf die ISO 27000). Dazu gehören beispielsweise Informationssicherheit, ISMS, Vertraulichkeit, Integrität, Richtlinie, Prozess, Verfahren, Risikoanalyse, Risikobewertung oder die Unterscheidung zwischen Informationssicherheits-Ereignis und -Vorfall.
Hauptteil mit sieben Normkapiteln 4 - 10: Diese Kapitel beschreiben das Managementsystem und welche Punkte ein Unternehmen sicherstellen muss, um die eigenen Aktivitäten und Maßnahmen im Bereich Informationssicherheit wirksam zu steuern. Dazu gehören beispielsweise das Festlegen des Geltungsbereichs (Scope) des ISMS, die Verantwortung des Managements, Risikomanagement, die Bereitstellung von Ressourcen, interne ISMS-Audits, die Managementbewertung oder die kontinuierliche Verbesserung des ISMS.
Anhang A: Der wichtige normative Anhang A der ISO/IEC 27011 beschreibt die Maßnahmenziele und Maßnahmen (Controls), die eine Organisation oder ein Unternehmen grundsätzlich umsetzen muss, um ein hohes Maß an Informationssicherheit zu gewährleisten. Insgesamt beschreibt der Anhang A 114 Maßnahmen in 14 Bereichen wie etwa Incident Management, Kryptographie, Netzwerksicherheit oder Zugangskontrolle.
Normkapitel spezifizieren ISMS-Anforderungen
In den Normkapiteln 4 - 10 formuliert die ISO/IEC 27001 Grundsätze zu Implementierung, Betrieb, Überwachung, Wartung und Verbesserung eines Information Security Management Systems. Hier eine kurze Übersicht:
- Kontext der Organisation: Dahinter verbergen sich das Verständnis der Organisation und der ISMS-Anforderungen von Stakeholdern im Unternehmen (Welche Dokumente gibt es? Wer ist vom ISMS betroffen oder zuständig?). Zudem wird hier der Scope des ISMS festgelegt.
- Führung: Der Aufbau eines ISMS ist Chefsache. Das Top-Management muss die Leitlinie für Informationssicherheit festlegen, Ressourcen bereitstellen, Verantwortlichkeiten definieren etc.
- Planung: Dieses Kapitel beschäftigt sich mit Maßnahmen zum Umgang mit Risiken für die Informationssicherheit (Risikokriterien, Risikomanagement-Prozess, Risikoanalyse und -bewertung).
- Unterstützung: Die ISO/IEC 27001 macht Vorgaben zum Planen und Bereitstellen von Ressourcen (Personen, Infrastruktur, Arbeitsmittel, Wissen etc.), zum Aufbau von Kompetenzen für ein ISMS oder zum Schaffen eines Bewusstseins für Informationssicherheit im Unternehmen (Security Awareness). Hinzu kommen Regeln für die interne und externe Kommunikation rund um das ISMS sowie für die wichtige Dokumentation aller Richtlinien, Prozesse, Verfahren oder Maßnahmen.
- Betrieb: Hier geht es um die operative Planung und Steuerung des ISMS sowie um die Einschätzung und Behandlung der Risiken für die Informationssicherheit.
- Leistungsbewertung: Für die Überwachung, Messung, Analyse und Bewertung der Leistung des ISMS fordert die ISO/IEC 27001 Regeln: Was wird mit welchen Methoden überwacht? Wann wird gemessen? Wer ist verantwortlich? Wer analysiert die Ergebnisse? Hinzu kommen Vorgaben für interne Audits sowie die jährliche Management-Bewertung des ISMS durch die Geschäftsführung.
- Verbesserung: Die ISO/IEC 27001 fordert die kontinuierliche Verbesserung des ISMS mit der PDCA-Methodik (Plan, Do, Check, Act).
Anhang A: Maßnahmenziele und Maßnahmen
Wichtiges Instrument für den Aufbau eines ISMS und die Zertifizierung ist der normative Anhang A der ISO/IEC 27001. Er beschreibt Maßnahmenziele (control objectives) und konkrete Maßnahmen (controls), mit denen Firmen die Informationssicherheit verbessern können. Sie bilden die Grundlage für den Risikobehandlungsplan und den Umgang mit Risiken: Was müssen wir tun, um unsere Assets wie Informationen, Hardware, Software, Mitarbeiter oder Reputation zu schützen?
Insgesamt umfasst der Anhang A 114 Maßnahmen in 14 Bereichen wie Richtlinien zur Informationssicherheit, Organisation (unter anderem Festlegen von Verantwortlichkeiten oder Umgang mit mobilen Geräten und Telearbeit), Personalsicherheit (unter anderem Security Awareness Training) oder Zugriffskontrolle (beispielsweise Passwort-Management oder Einschränkung von Zugriffsrechten).
Weitere Maßnahmen betreffen Kryptografie, physische und umgebungsbezogene Sicherheit (zum Beispiel die Einrichtung von Sicherheitszonen, physische Zutrittskontrollen), die Kommunikationssicherheit (beispielsweise Netzwerk-Segmentierung), die Beziehungen zu Lieferanten, Incident Management, Business Continuity Management oder die Einhaltung von Vorgaben (Compliance).
Am Ende steht dann das Statement of Applicability (SoA), eine Erklärung zur Anwendbarkeit der Maßnahmen. Das SoA beschreibt die Risiken und welche Maßnahmen warum getroffen oder ausgeschlossen wurden, um die größten Risiken lindern. Wichtig sind die permanente Dokumentation aller umgesetzten Maßnahmen und die regelmäßige Prüfung, ob die Controls greifen. Es geht darum, das ISMS kontinuierlich zu verbessern.