ISO 27001 – Basics – Die Hauptkapitel der Norm

Zielgruppe des Videos:

Informationssicherheitsbeauftragte (ISB), Chief Information Security Officer (CISO), IT-Leiter, Geschäftsführer, Interne Auditoren, Softwareentwickler, IT-Administratoren, alle Interessierten an der Implementierung eines ISMS, Kursteilnehmer einer Schulung zur ISO 27001 (Foundation, Security Officer, Auditor, …) zur Prüfungsvorbereitung

Inhaltsübersicht:

Eine kurze Beschreibung der Kapitel 4 bis 10 der ISO/IEC 27001 zum Aufbau eines Informationssicherheits-Managementsystems (ISMS)

Transkritbt:

ISO 27001 Basics – Die 7 Hauptkapitel der IS0 27001 und der häufigste Fehler, den Unternehmen immer wieder bei der Umsetzung machen. Mein Name ist Jörn Hahn, Ich bin Lead Auditor und Berater für ISO 27001. Ein ISMS, ein Informationssicherheitsmanagementsystem nach der internationalen Norm ISO 27001 ist ein Managementsystem, also eine Sammlung von systematischen Regeln,Verantwortlichkeiten, Steuer- und Kontrollmechanismen um Informationssicherheit zu erreichen. Der Standard dafür wird im Hauptteil der Norm definiert. Er beginnt nach Einleitung, Anwendungsbereich, Verweisen und Begriffsklärung – mit den Hauptkapiteln: Kapitel 4 Der Kontext der Organisation, der muss zuallererst beleuchtet und verstanden werden. In welcher Branche sind wir unterwegs, was gibt es für branchenspezifische Anforderungen und Standards, was sind die weiteren interessierten Parteien, also wen sollten Sie einbeziehen oder zumindest über die Ergebnisse informieren. Wie weit ist der Anwendungsbereich gefasst, also welche Unternehmensbereiche und Sparten werden einbezogen und welche nicht. Dann geht es um die Führung, ein ganz wichtiger Punkt. Ist die Firmenpolitik in Bezug auf Informationssicherheit festgelegt, und was genau wollen wir erreichen. Eine Verpflichtung der Geschäftsleitung zum ISMS ist essentiell, und sie sollte auch im Unternehmen bekannt gemacht werden. Auch Richtlinien müssen ausgearbeitet, Rollen und Verantwortlichkeiten geklärt und kommuniziert werden. Und all das muss in die bestehenden Geschäftsprozesse integriert werden.

Im Anschluss geht es weiter mit Kapitel 6 – Planung, also um Maßnahmen mit denen man den Chancen und Risiken in Bezug auf Informationssicherheit begegnet, 118 Massnahmen werden im Anhang der Norm beschrieben. Das Unternehmen benötigt Kriterien nach denen Risiken beurteilt, behandelt und gegebenenfalls akzeptiert werden. Es geht auch um die konkreten Ziele, also was genau wollen wir wann erreichen und woran machen wir fest, dass wir es erreicht haben. Punkt 7 Unterstützung beschreibt, was auch immer vorhanden sein muss, dass das Managementsystem funktionieren kann: Ressourcen müssen zur Verfügung stehen, die Mitarbeiter brauchen das passende Knowhow und es muss ein allgemeines Sicherheitsbewusstsein im Unternehmen vorhanden sein und regelmäßig aufgefrischt werden. Es muss geklärt sein, wie und wann stimmt man sich ab und wo wird aufgeschrieben, was passiert-ist und was zu passieren hat. Punkt 8, Betrieb, beschäftigt sich damit, dass die geplanten Maßnahmen umgesetzt werden und dass neue Risiken regelmäßig analysiert und dann behandelt werden. Es geht also darum die in Punkt 6 geplanten Maßnahmen auch umzusetzen und die erkannten und bewerteten Risiken auch behandeln – Wie gut das Ganze funktioniert schaut man sich in Punkt 9 an, es wird bewertet, wie gut die Maßnahmen greifen und inwieweit die gesetzten Ziele erreicht werden. Es wird also nicht nur die Informationssicherheit bewertet, sondern auch das Funktionieren des Managementsystems. Wir wollen ja nicht nur, dass es zufälligerweise gerade keine Vorfälle gibt, sondern auch, dass wir in einem stabilen System arbeiten, das auch langfristig sicherstellt, dass wir ein hohes Maß an Informationssicherheit halten. Mindestens einmal pro Jahr durchgeführte Interne Audits gehören dazu und regelmäßige Berichte an die oberste Leitung. – Abschließend, der letzte Punkt  – 10 – beschäftigt sich mit Verbesserung, also zum einen wie man damit umgeht, wenn etwas nicht funktioniert und um die fortlaufende Verbesserung um mit jedem Audit-Zyklus beim Betrieb des ISMS besser zu werden. Was ist der häufigste Fehler bei der Umsetzung? Ein Fremdkörper – Das ISMS wird als Fremdkörper im Unternehmen wahrgenommen und dann ist es auch ein Fremdkörper und bringt nicht viel mehr als ein mit Schweiß, Tränen und viel Geld bezahltes Stück Papier an der Wand, dass der Kunde sehen will – und so ist es viel zu oft. Ich weiß, es gibt für die meisten Menschen lustvollere Dinge, als die Beschäftigung mit Normen. Zum Glück und gleichzeitig ist die ISO 27001 über Jahre, über Jahrzehnte entwickelt, mit gesammelten Erfahrungen verbessert, angepasst und weiter verbessert worden und bringt, richtig angewendet einen wesentlichen Vorteil, in der Planung der Informationssicherheit in der Durchführung und auch in der täglichen Arbeit. Die 10 Normkapitel und 118 Maßnahmen bringen sehr viel Flexibilität, von der ein Mann Firma bis zum Weltkonzern lässt sich alles Abbilden und richtig umgesetzt kann sie sich organisch in das Unternehmen integrieren und ist ein wichtiges Hilfsmittel für Chef genauso wie den Mitarbeiter. Deshalb beteiligen Sie alle im Unternehmen, schaffen Sie einfache Kommunikationsmöglichkeiten und klare Ansprechpartner, verwenden Sie nur Software, mit der Sie vertraut sind für den einen ist das Word, für den anderen ein Wiki und für den dritten eine Spezielle ISMS Software, aber es muss nicht immer eine eigene Lösung dafür sein, es lässt sich auf fast jeder IT-Basis ein gutes ISMS implementieren das dann von allen gerne genutzt wird und einen sehr guten Level an Informationssicherheit schafft.

Folien: