Wofür steht ISO/IEC 27001?

ISO/IEC 27001: 2013 ist eine internationale Norm, die Anforderungen für das Management der Informationssicherheit in einer Organisation enthält. Die Verwendung dieser Norm ermöglicht es Organisationen jeder Art, die Sicherheit von Vermögenswerten wie Finanzdaten, geistigem Eigentum, Mitarbeiterdaten oder von Dritten anvertrauten Informationen zu verwalten. Der Standard wurde im Jahr 2013 veröffentlicht.

In diesem Artikel wird untersucht, wie die Norm ISO 27001, auch bekannt als ISO/IEC 27001:2017, genutzt werden kann, um Anforderungen an die Erstellung, Implementierung, Aufrechterhaltung und ständige Aktualisierung eines Informationssicherheitsmanagementsystems (ISMS) zu stellen. Ein Managementsystem für die Informationssicherheit, auch ISMS genannt, ist ein methodischer Ansatz für die Verwaltung der Kronjuwelen einer Organisation (z. B. wertvolle Vermögenswerte und Daten) und sensibler Informationen, um zu gewährleisten, dass sie durch eine Risikomanagementstrategie sicher aufbewahrt werden. Darüber hinaus sollte ein Unternehmen mit Hilfe des ISMS die folgenden drei primären Sicherheitsziele anstreben:

– Vertraulichkeit: Nur autorisierte Personen können Änderungen an den Informationen vornehmen.

– Integrität: Informationen dürfen nicht unbefugt oder unabsichtlich verändert werden.

– Verfügbarkeit: Die Informationen müssen den befugten Mitarbeitern jederzeit zur Verfügung stehen, damit sie bei Bedarf auf sie zugreifen können.

Anforderungen der ISO 27001

In dem Teil der Norm, der mit „Anforderungen“ betitelt ist, werden die wesentlichen Eigenschaften dargelegt, die ein Unternehmen besitzen muss, um sein ISMS effektiv zu verwalten. Der Abschnitt „Voraussetzungen“ ist in elf prägnante Abschnitte unterteilt, die von 0 bis 10 reichen. Die Abschnitte 0 bis 3 (Einleitung, Anwendungsbereich, normative Verweise sowie Begriffe und Definitionen) geben einen Überblick über die Norm ISO 27001 und ihre Abschnitte. Die Paragraphen 4 bis 10 umreißen die obligatorischen Anforderungen an ein ISMS, das eine Organisation einrichten muss, um die Norm zu erfüllen.

Um sicherzustellen, dass die Informationen einer Organisation vertraulich und sicher sind, verwendet die Norm eine Risikomanagementstrategie. Nach der Durchführung einer Risikobewertung zur Ermittlung möglicher Bedrohungen für Informationen ist der nächste Schritt die Risikobehandlung, d. h. die Abschwächung solcher Bedrohungen durch die Einführung von Sicherheitsmaßnahmen. Richtlinien, Verfahren und technologische Kontrollen sind die Arten von Sicherheitskontrollen, die zum Schutz von Werten eingesetzt werden. Mit diesen Kontrollen soll das Risiko gemindert werden. Das ISMS muss alle unten aufgeführten wesentlichen Standards erfüllen.

Managementrahmen der ISO 27001

Kontext der Organisation

Definition des vorgesehenen Geltungsbereichs der Norm innerhalb einer Organisation sowie der Anforderungen für externe und interne Belange und interessierte Parteien. Das Verständnis des Unternehmens und des Umfelds, in dem es tätig ist, sowie der Erwartungen der zahlreichen Interessengruppen und des Anwendungsbereichs von Managementsystemen kann dazu beitragen, dieses Ziel zu erreichen.

Führung

Festlegung der Aufgaben und Zuständigkeiten der obersten Führungsebene sowie der wichtigsten Elemente der Informationssicherheitspolitik und der Rollen, die sie spielen. Dies kann dadurch erreicht werden, dass sich die oberste Führungsebene für ein effizientes Informationssicherheitsmanagementsystem (ISMS) und eine Sicherheitspolitik einsetzt und die mit der Sicherheit verbundenen Aufgaben und Pflichten ausdrücklich festlegt.

Planung

Im sechsten Schritt des Planungsprozesses werden die Ziele der Informationssicherheit sowie die Anforderungen an die Risikobewertung, die Risikobehandlung und eine Erklärung zur Anwendbarkeit festgelegt. Die Festlegung einer Strategie zur Erreichung der Informationssicherheitsziele und die Ergreifung von Maßnahmen zur Bewältigung von Risiken und Chancen innerhalb des Unternehmens sind zwei Wege zur Festlegung der Informationssicherheitsziele.

Unterstützung

Festlegung der Anforderungen an die Verfügbarkeit von Ressourcen, Kompetenzen, Bewusstsein, Kommunikation und Kontrolle von Dokumenten und Aufzeichnungen durch Bereitstellung der erforderlichen Ressourcen, Kommunikation und Schulung in Bezug auf das Bewusstsein für Informationssicherheit. Dies wird durch die Definition der Anforderungen erreicht.

Betrieb

Festlegung der Umsetzung von Risikobewertung und -behandlung sowie von Kontrollen und anderen Prozessen, die zum Erreichen der Ziele der Informationssicherheit erforderlich sind. Der achte Schritt des Informationssicherheitsprozesses ist der Betrieb. Dies kann durch die Verwendung einer risikobasierten Methode für die Bewertung, die Bestimmung des Risikos und die möglichen Behandlungen dafür, die Ausarbeitung eines Risikobehandlungsplans und die Umsetzung dieses Plans für die entdeckten Risiken erreicht werden.

Bewertung

Die regelmäßige Leistungsbewertung, welche die Festlegung der Anforderungen für Überwachung, Messung, Analyse, Bewertung, internes Audit und Managementreview umfasst.

Verbesserung

Festlegung von Standards für Nichtkonformitäten, Korrekturen, Abhilfemaßnahmen und kontinuierliche Verbesserung durch Nutzung von Gelegenheiten, um die Sicherheitsverfahren und -kontrollen im Laufe der Zeit effektiver zu gestalten.

Controls zur Gewährleistung der Sicherheit (Anhang A)

Anhang A, oft auch als Abschnitt „Kontrollen“ bezeichnet, ist ein Teil von ISO 27001, der eine Sammlung von 114 Sicherheitskontrollen oder Schutzmaßnahmen enthält, die den Standard für die Branche darstellen. Diese Kontrollen sind in 14 Teile unterteilt und in die folgenden Kategorien eingeteilt:

Informationssicherheitsrichtlinien

Diese umfassen die Festlegung der Managementausrichtung und der Regeln für die Informationssicherheit in Übereinstimmung mit den Anforderungen des Unternehmens sowie mit den geltenden Gesetzen und Vorschriften.

Festlegung einer Organisationsstruktur

Die Festlegung einer Organisationsstruktur, um die Umsetzung der Informationssicherheit zu beginnen und zu kontrollieren. Dies wird als die „Organisation der Informationssicherheit“ bezeichnet.

Personalsicherheit

Bei der Personalsicherheit muss sichergestellt werden, dass sich die Mitarbeiter und Auftragnehmer ihrer Verantwortung bewusst sind und für die Positionen, für die sie in Frage kommen, qualifiziert sind; sie müssen sich auch ihrer Verantwortung für die Informationssicherheit vor, während und nach ihrer Beschäftigung im Unternehmen bewusst sein und diese erfüllen.

Asset Management

Asset Management ist der Prozess der Identifizierung von Unternehmensressourcen und der Festlegung angemessener Schutzverantwortlichkeiten, wie z.B. die Verhinderung der unbefugten Offenlegung, Änderung, Entfernung oder Zerstörung von auf Medien gespeicherten Informationen. Dies wird als „Verhinderung der unbefugten Weitergabe, Änderung, Entfernung oder Zerstörung von Informationen“ bezeichnet.

Zugriffskontrolle

Zugriffskontrolle ist der Prozess der Beschränkung des Zugangs von Benutzern zu Informationen und Informationsverarbeitungseinrichtungen, um nur autorisierten Benutzern die Nutzung dieser Einrichtungen zu ermöglichen und zu verhindern, dass nicht autorisierte Benutzer Zugang zu anderen Systemen und Diensten erhalten.

Kryptographie

Sicherstellung des korrekten und effektiven Einsatzes von Kryptographie, um die Gültigkeit und Integrität von Informationen sowie deren Vertraulichkeit zu wahren.

Physische und umgebungsbedingte Sicherheit

Die Verhinderung des illegalen physischen Zugriffs, der Beschädigung und des Eingriffs in die Informationen und Informationsverarbeitungseinrichtungen der Organisation. Dazu gehört auch der Schutz vor Umweltgefahren wie Feuer und Überschwemmung.

Betriebliche Sicherheit

Diese bezieht sich auf den Prozess, der sicherstellt, dass die Informationsverarbeitungseinrichtungen korrekt und sicher betrieben werden.

Kommunikationssicherheit

Die Kommunikationssicherheit umfasst die Gewährleistung der Sicherheit der in Netzwerken gespeicherten Daten und der Informationsverarbeitungseinrichtungen, die zur Unterstützung dieser Netzwerke eingesetzt werden, sowie die Wahrung der Vertraulichkeit von Daten, die sowohl innerhalb einer Organisation als auch an Dritte übermittelt werden.

Erwerb, Entwicklung und Wartung von Systemen

Die Sicherstellung, dass die Informationssicherheit während der gesamten Lebensdauer von Informationssystemen ein fester Bestandteil der Informationssysteme ist. Dazu gehören auch die Standards für Informationssysteme, die erfüllt werden müssen, um Dienste über öffentliche Netze bereitzustellen.

Information-Assets

Schutz der Information-Assets der Organisation, die Lieferanten zur Verfügung gestellt werden, bei gleichzeitiger Aufrechterhaltung positiver Beziehungen zu diesen Unternehmen

Informationssicherheisvorfälle

Das Management von Informationssicherheitsvorfällen gewährleistet einen einheitlichen und effektiven Ansatz für das Management von Informationssicherheitsvorfällen, einschließlich der Kommunikation über Sicherheitsvorfälle und Schwachstellen. Diese Aufgabe fällt unter die umfassendere Kategorie der Informationssicherheit.

Business Continuity Management (BCM)

Die Einbeziehung der Kontinuität der Informationssicherheit in die Systeme des Business Continuity Management (BCM) einer Organisation. Dies bezieht sich auf die Informationssicherheitskomponenten des Business Continuity Management.

Compliance

Compliance bezieht sich auf die Verhinderung von Verstößen gegen rechtliche, gesetzliche, behördliche oder vertragliche Pflichten, die mit der Informationssicherheit verbunden sind, sowie gegen Sicherheitsanforderungen. Dies umfasst die Einhaltung rechtlicher und vertraglicher Anforderungen sowie die Bewertung der Informationssicherheit.

Wie man die Anforderungen von ISO/IEC 27001 erfüllt

  • Wer: Ein Unternehmen, das sein Managementsystem für Informationssicherheit mithilfe des bekannten Standards für führende Praktiken im Bereich der Informationssicherheit stärken und die erforderliche Sicherheit erreichen möchte, sollte die Implementierung von ISO/IEC 27001 in Betracht ziehen.
  • Wann: ISO/IEC 27001 kann jederzeit implementiert und zertifiziert werden, ist aber nicht zwingend erforderlich. Wenn die Organisation aufgrund von Vorschriften dazu gezwungen ist oder wenn sie das Vertrauen von Kunden und Klienten durch erweiterte Sicherheitsgarantien stärken möchte, kann sie sich dafür entscheiden, zunächst die Norm zu implementieren und sich später zertifizieren zu lassen. Dies kann der Fall sein, wenn die Organisation aufgrund von Vorschriften dazu gezwungen ist.
  • Wo: Der Standard kann in jeder Organisation akzeptiert und umgesetzt werden, unabhängig von ihrer Größe, Art und Beschaffenheit, unabhängig davon, ob sie sich in privater oder staatlicher Hand befindet und unabhängig davon, ob sie Gewinne erwirtschaftet oder nicht.
  • Warum: ISO/IEC 27001 ist für Organisationen von Vorteil, weil sie von ihnen verlangt, Sicherheit ganzheitlich zu betreiben. Sie hilft Unternehmen bei der Einhaltung gesetzlicher Vorschriften, verschafft ihnen einen Marketingvorteil, indem sie den Verbrauchern Sicherheit garantieren, spart Kosten, indem sie Vorfälle verhindert, und verbessert die organisatorische Effizienz, indem sie Richtlinien und Verfahren für einen koordinierten Ansatz zur Informationssicherheit erstellt.
  • Wie? Eine Organisation, die ISO/IEC 27001 als Standard für ihr Sicherheitsmanagementsystem verwendet, würde die unten aufgeführten Maßnahmen ergreifen, um ihr Sicherheitsmanagementsystem zu verbessern.

GAP-Analyse

Durchführen einer GAP-Analyse: Dies ist die allererste Maßnahme, die ergriffen werden muss, um die Konformität zu erreichen. Eine Lückenanalyse kann entweder intern oder von einem externen Spezialisten für Informationssicherheit durchgeführt werden. Durch eine Lückenanalyse kann eine Organisation besser feststellen, welche Standards und Kontrollen sie einhält und welche nicht.

Behebung der Lücke: Wenn es Anforderungen oder Kontrollen gibt, die das Unternehmen nicht einhält, hat es die Möglichkeit, Änderungen an seinen Mitarbeitern, Prozessen und Technologien vorzunehmen, um die Einhaltung dieser Anforderungen und Kontrollen zu gewährleisten.

Messen, überwachen und überprüfen

Es wird erwartet, dass die Leistung des ISMS fortlaufend evaluiert und im Hinblick auf seine Effektivität und Konformität bewertet wird und dass Verbesserungen der aktuellen Prozesse und Kontrollen ermittelt werden. Dies ist eine Anforderung, die jederzeit erfüllt werden muss.

Internes Audit

Für das ISMS ist eine praktische Kenntnis des leitenden Auditprozesses in geplanten Abständen erforderlich. Es ist auch für die Verantwortlichen für die Umsetzung und Aufrechterhaltung der ISO/IEC 27001-Konformität von entscheidender Bedeutung, bevor ein Zertifizierungsaudit durch einen externen Auditor oder eine Organisation durchgeführt wird, die berechtigt ist, eine Organisation als ISO/IEC 27001-konform zu zertifizieren und zu registrieren. Dieses Wissen ist für das ISMS in geplanten Abständen erforderlich.

Zertifizierung

Der Auditor wird während des Zertifizierungsaudits der ersten Stufe bewerten, ob die Unterlagen die Kriterien der Norm ISO/IEC 27001 erfüllen. Der Auditor wird auch auf Bereiche hinweisen, in denen das Managementsystem nicht konform ist und verbessert werden kann. Nachdem alle notwendigen Anpassungen vorgenommen wurden, wird die Organisation auf ein Audit der zweiten Stufe vorbereitet, sobald dieser Punkt erreicht ist. In der zweiten Stufe des Audits nimmt der Auditor eine umfassende Bewertung vor, um festzustellen, ob das Unternehmen die Norm ISO/IEC 27001 erfüllt oder nicht.