ISO 27001 & BS 25999

Die Bedeutung der Erklärung zur Anwendbarkeit (Abk. SoA – Statement of Applicability) wird in der Regel unterschätzt. Wie das Qualitätshandbuch in ISO 9001 ist sie das zentrale Dokument, in dem festgelegt wird, wie Sie einen großen Teil Ihrer Informationssicherheit umsetzen.

Eigentlich ist die Erklärung zur Anwendbarkeit die wichtigste Verknüpfung zwischen der Risikoeinschätzung und -behandlung und Ihrer Informationssicherheit. Sie soll festlegen, welche der vorgeschlagenen 133 Maßnahmen (Sicherheitsmaßnahmen) aus Anhang A der ISO 27001 von Ihnen angewendet werden sowie die Art und Weise, wie Sie die ausgewählten Maßnahmen umsetzen werden.

Warum ist sie erforderlich

Warum ist nun ein solches Dokument notwendig, wenn Sie bereits den Bericht zur Risikoeinschätzung (der auch obligatorisch ist) erstellt haben, in dem die notwendigen Maßnahmen ebenfalls festgelegt werden? Dies sind die Gründe:

• Erstens erkennen Sie während der Risikobehandlung die notwendigen Maßnahmen, weil sie Risiken erkannt haben, die eingedämmt werden müssen. In der SoA benennen Sie außerdem die Maßnahmen, die aus anderen Gründen erforderlich sind – d. h. aus gesetzlichen Gründen, aufgrund vertraglicher Anforderungen, wegen anderer Prozesse usw.
• Zweitens könnte der Bericht zur Risikoeinschätzung recht lang werden. Einige Unternehmen könnten ein paar Tausend Risiken erkennen (manchmal sogar mehr), so dass ein solches Dokument für den alltäglichen betrieblichen Einsatz nicht wirklich nützlich ist. Andererseits ist die Erklärung zur Anwendbarkeit eher kurz – sie hat 133 Zeilen (jede Zeile steht für eine Maßnahme). Damit ist es möglich, sie dem Management vorzulegen und dieses Dokument aktuell zu halten.
• Drittens (und am wichtigsten): Die SoA muss dokumentieren, ob jede anzuwendende Maßnahme bereits umgesetzt wurde oder nicht. Gute Praxis (und die meisten Prüfer werden genau danach suchen) bedeutet auch, die Art der Umsetzung jeder anzuwendenden Maßnahme zu beschreiben – z. B. entweder durch Verweis auf ein Dokument (Richtlinie/ Verfahren/ Arbeitsanweisungen usw.) oder durch eine Kurzbeschreibung des verwendeten Verfahrens oder Geräts.

Wenn Sie sich heute um eine Zertifizierung nach ISO 27001 bemühen, wird der Prüfer Ihre Erklärung zur Anwendbarkeit verwenden und in Ihrem gesamten Unternehmen prüfen, ob Sie Ihre Maßnahmen in der Art umgesetzt haben, wie sie in Ihrer SoA beschrieben wurden. Sie ist das zentrale Dokument für deren Audit vor Ort.

Eine sehr kleine Anzahl von Unternehmen erkennt, dass man mit der Erstellung einer guten Erklärung zur Anwendbarkeit die Anzahl der anderen Dokumente verringern könnte. Wenn Sie zum Beispiel eine bestimmte Maßnahme dokumentieren möchten, aber die Beschreibung des zugehörigen Verfahrens eher kurz wäre, so können Sie diese in der SoA festhalten. Somit würden Sie es vermeiden, ein weiteres Dokument zu verfassen.

Warum ist sie nützlich

Nach meiner Erfahrung verbringen die meisten Unternehmen, die das Informationssicherheits-Managementsystem nach ISO 27001 umsetzen, viel mehr Zeit als erwartet mit der Erstellung dieses Dokuments. Der Grund dafür ist, dass sie darüber nachdenken müssen, wie sie ihre Maßnahmen umsetzen: Werden sie neue Geräte kaufen? Oder das Verfahren ändern? Oder einen neuen Mitarbeiter einstellen? Dies sind recht wichtige (und manchmal auch teure) Entscheidungen. Daher überrascht es nicht, dass für die erfolgreiche Durchführung ziemlich viel Zeit erforderlich ist. Das Gute an der SoA ist, dass Unternehmen zu einer systematischen Durchführung dieser Aufgabe gezwungen werden.

Aus diesem Grund sollten Sie dieses Dokument nicht als eines dieser „überflüssigen Dokumente“ ansehen, die im wirklichen Leben keinen Nutzen haben. Sehen Sie es als das wichtigste Dokument, in dem Sie festlegen, was Sie mit Ihrer Informationssicherheit erreichen wollen. Wenn sie richtig verfasst wird, ist die SoA ein perfekter Überblick, was, warum und wie etwas im Bereich Informationssicherheit getan werden muss.

Klicken Sie hier, um eine kostenlose Vorlage für die Erklärung zur Anwendbarkeit herunterzuladen.

Macht es Sinn, betriebliches Kontinuitätsmanagement in kleineren Unternehmen umzusetzen? Warum sollten diese Unternehmen eine derart kostenaufwendige Sache benötigen, wenn der Inhaber des Unternehmens doch über alle notwendigen Informationen in seinem/ihrem Kopf verfügt?

Lassen Sie mich mit einer Geschichte beginnen, die ich vor Kurzem gehört habe. Es geht um ein kleines Unternehmen (für den Vertrieb verschiedener Geräte an einen großen Kundenstamm), das ausgeraubt wurde. Der Dieb brach nachts in das Büro ein und stahl neben anderen Wertsachen auch alle Computer. Das Problem bestand darin, dass der Inhaber dieses Unternehmens alle Daten gesichert hatte, dieses Back-up jedoch auf einem anderen Computer im selben Büro aufbewahrte. Sehr bald ging die Firma bankrott. Sie war einfach nicht in der Lage, wichtige geschäftliche Informationen zurückzugewinnen.

Dies ist ein klassisches Beispiel für das „Das wird mir nie passieren“-Syndrom, unter dem die Mehrzahl der kleinen Unternehmen leidet.

Rahmen für betriebliches Kontinuitätsmanagement

Bedeutet dies, dass kleine Unternehmen in kostspielige Notfallstandorte einschließlich Geräten mit hoher Verfügbarkeit investieren müssen? Sicher nicht.

In einigen Fällen ist betriebliches Kontinuitätsmanagement wirklich nicht notwendig, weil der Eigentümer des Unternehmens alle Informationen in seinem/ihrem Kopf hat. Aber solche Fälle sind sehr selten – wie viele von diesen haben kein Notebook mit verschiedenen Arten wichtiger Informationen? Darüber nachzudenken, wie diese Informationen im Falle einer Katastrophe verfügbar bleiben, ist bereits Teil eines Versuchs des betrieblichen Kontinuitätsmanagements.

Eigentümer von Kleinunternehmen müssen genau überlegen, welche Informationen (und andere Ressourcen) für ihr Geschäft wichtig sind, wie gewährleistet wird, dass diese Informationen und andere Ressourcen im Falle einer Katastrophe zur Verfügung stehen, und welche Schritte notwendig sind, um die Geschäftstätigkeit im Falle einer Katastrophe wieder aufzunehmen. Diese Schritte sind nichts anderes als die Erstellung einer Geschäftsauswirkungsanalyse, einer Strategie des betrieblichen Kontinuitätsmanagements und von Plänen zum betrieblichen Kontinuitätsmanagement, wie es jedes größere Unternehmen bei der Umsetzung des betrieblichen Qualitätsmanagements machen würde. Sämtliche dieser Vorgänge werden in einer führenden Norm zum betrieblichen Kontinuitätsmanagement – BS 25999-2 – beschrieben.

Vorbereitung

Der Unterschied zwischen kleinen und großen Unternehmen liegt in der Komplexität und den Kosten der Vorbereitung, die für das betriebliche Kontinuitätsmanagement kleiner Unternehmen anfallen:

• Sicherung elektronischer Daten– kleine Unternehmen können einige der Werkzeuge verwenden, mit denen die Daten von ihren Computern fast umgehend in der Cloud gesichert werden. Natürlich muss sorgfältig drauf geachtet werden, dass alle notwendigen Daten berücksichtigt sind.
• Sicherung von Papierdokumenten – Kleine Unternehmen sind heute in der Lage, Papierdokumente fast vollständig aus ihrer täglichen Arbeit zu verbannen und alles in elektronische Form zu bringen. In den seltenen Fällen, in denen Papierdokumente erforderlich sind, können sie zum Zwecke des betrieblichen Kontinuitätsmanagements eingescannt werden.
• Alternative Bürostandorte – In den meisten Fällen wird es ausreichen, dass die Mitarbeiter den Geschäftsbetrieb von zuhause aus fortführen. Die Voraussetzung dafür wären eine Internetverbindung, Notebooks/PCs und Passwörter. Sollte die Arbeit von zuhause aus nicht angemessen sein, so kann in weniger als einer Stunde immer noch ein Hotelzimmer gemietet werden.
• Hardware – Sofern in einem Unternehmen keine spezielle Art von Computern eingesetzt wird, ist es sehr einfach, eine Alternative zu finden. In der Regel ist das ein privater Computer zu Hause, oder von einem Verwandten kann ein Gerät ausgeliehen werden, oder man kann einen Computer im Laden nebenan erwerben.
• Arbeitskraft – Dies ist wahrscheinlich der schwierigste Punkt. Nehmen wir einmal an, dass ein Mitarbeiter nicht verfügbar ist und er der Einzige ist, dem bestimmte Informationen bekannt sind (z. B. Administratoren-Passwörter, notwendige Schritte in einem wichtigen Projekt usw.). Für solche Fälle bestünde die Vorbereitung darin, sämtliche dieser Informationen zu dokumentieren, so dass sie verwendet werden können, ohne dass der Mitarbeiter anwesend sein muss. Der andere Fall träte ein, wenn ein Mitarbeiter fehlt und niemand sonst die Zeit oder die Fähigkeiten hat, seine Arbeit zu erledigen. Für diesen Fall bestünde die Vorbereitung darin, im Voraus festzulegen, wer für eine kurzfristige Einstellung zur Verfügung stünde, um die Aufgaben des fehlenden Mitarbeiters wahrzunehmen. Der springende Punkt ist hier natürlich, jemanden mit den richtigen Fähigkeiten / Qualifikationen zu finden.

Zusammengefasst ist festzustellen, dass es hinsichtlich des Rahmens für betriebliches Kontinuitätsmanagement keinen Unterschied zwischen großen und kleinen Unternehmensorganisationen gibt. Beide müssen detailliert planen, welche Vorbereitungen notwendig sind, um eine Katastrophe zu überleben. Der Unterschied liegt im Vorbereitungsaufwand: Kleinere Unternehmen schaffen es mit einem sehr niedrigen Investitionsaufwand.

Falls Sie gehört haben, dass ISO 27001 viele Verfahren erfordert, so ist dies nicht ganz richtig. Die Norm fordert tatsächlich nur vier dokumentierte Verfahren: ein Verfahren für Dokumentenkontrolle, ein Verfahren für interne ISMS-Audits, ein Verfahren für Korrekturmaßnahmen sowie ein Verfahren für Vorbeugungsmaßnahmen. Der Begriff „dokumentiert“ bedeutet, dass es ein „festgelegtes, dokumentiertes, umgesetztes und instand gehaltenes Verfahren“ ist (ISO/IEC 27001, 4.3.1 Anmerkung 1).

Hinweis: In diesem Blog-Eintrag werde ich nicht über weitere verbindliche Unterlagen wie ISMS-Anwendungsbereich, ISMS-Leitlinie, Methodik der Risikoeinschätzung, Risikoeinschätzungsbericht, Erklärung zur Anwendbarkeit, Plan zur Risikobehandlung usw. schreiben – hier konzentriere ich mich nur auf Verfahren.

Mit dem Verfahren für die Dokumentenkontrolle (Verfahren für Dokumentenmanagement) sollte festgelegt werden, wer für die Genehmigung und Überprüfung der Dokumente verantwortlich ist, wie Änderungen und Versionsstatus markiert werden, wie die Dokumente verteilt werden usw. anders ausgedrückt: Dieses Verfahren sollte festlegen, wie der Kreislauf des Unternehmens (der Dokumentenfluss) funktioniert.

Das Verfahren für interne Audits muss Verantwortlichkeiten für die Planung und Durchführung von Audits definieren und festlegen, wie die Audit-Ergebnisse berichtet und wie die Aufzeichnungen aufbewahrt werden. Dies bedeutet, dass die wichtigsten Regeln für die Durchführung des Audits festgelegt werden müssen.

Das Verfahren für Korrekturmaßnahmen sollte festlegen, wie die Nichteinhaltung und ihre Ursache erkannt werden, wie die notwendigen Maßnahmen definiert und umgesetzt werden, welche Aufzeichnungen erfolgen und auf welche Weise die Überprüfung der Maßnahmen durchgeführt wird. Mit diesem Verfahren soll festgelegt werden, wie jede Korrekturmaßnahme die Ursache der Nichteinhaltung beseitigen sollte,, so dass diese nicht wieder auftritt.

Das Verfahren für die Vorbeugungsmaßnahme ist fast das gleiche wie bei der Korrekturmaßnahme, mit dem Unterschied, dass es auf die Beseitigung der Ursache einer Abweichung abzielt, so dass diese gar nicht erst auftritt. Aufgrund ihrer Ähnlichkeiten werden diese beiden Verfahren in der Regel in einem zusammengefasst.

Aber ist es nach ISO 27001 erforderlich, das Verfahren dokumentiert werden, die in keiner Beziehung zur Informationssicherheit stehen, während Sicherheitsverfahren nicht verbindlich sind?

Die Antwort liegt in der Risikoeinschätzung – nach ISO 27001 müssen Sie eine Risikoeinschätzung durchführen. Sollte diese Risikoeinschätzung gewisse unzulässige Risiken erkennen, so muss nach ISO 27001 eine Maßnahme aus ihrem Anhang A umgesetzt werden, um das Risiko bzw. die Risiken einzudämmen. Die Maßnahme kann technischer Art sein (z. B. Anti-Virus-Software, um das Risiko eines Angriffs durch schädliche Software abzuschwächen). Es kann aber auch organisatorischer Art sein – die Umsetzung einer Leitlinie oder eines Verfahrens (z. B. Einrichtung eines Back-up-Verfahrens). Daher sind die Verfahren nur dann zwingend, wenn die Risikoeinschätzung unzulässige Risiken erkennt.

Eine wichtige Anmerkung noch: Anders als die vier vorgeschriebenen Verfahren, die dokumentiert werden müssen, ist eine Dokumentierung der Verfahren gemäß den Maßnahmen in Anhang A nicht erforderlich. Es ist Sache des Unternehmens einzuschätzen, ob ein solches Verfahren dokumentiert werden soll oder nicht.

Man könnte die vier vorgeschriebenen Verfahren als Säulen Ihres Managementsystems (zusammen mit den Sicherheitsrichtlinien) erwägen – sobald sie fest im Boden verankert sind, können Sie mit dem Bau der Hauswände beginnen. Offensichtlich wird dies, wenn man sich andere Managementsysteme ansieht – auch dort sind die gleichen vier Verfahren obligatorisch – in ISO 9001 (Qualitätsmanagementsystemen), ISO 14001 (Umweltmanagementsystemen) und BS 25999 -2 (Systemen für betriebliches Kontinuitätsmanagement). Als Folge können Sie diese Verfahren als wichtigstes Bindeglied zwischen verschiedenen Managementsystemen nutzen, falls Sie das sogenannte „integrierte Managementsystem“ entwickeln wollen.

Wenn Sie mein Blog gelesen haben, so denken Sie sicher, ich sei davon überzeugt, dass ISO 27001 das vollkommenste Dokument sei, das jemals geschrieben worden sei. Tatsächlich stimmt das jedoch nicht. Bei der Arbeit mit meinen Kunden und bei Lehrveranstaltungen zu diesem Thema treten regelmäßig die gleichen Schwächen der Norm hervor. Hier stelle ich diese Schwächen vor, mit meinen Vorschlägen, wie sie behoben werden können:

Mehrdeutige Begriffe

Einige der Anforderungen in der Norm sind recht unklar:

• Abschnitt 4.3.1 c) verlangt, dass die ISMS-Dokumentation „Verfahren und Maßnahmen, die das ISMS unterstützen“, enthalten muss. Bedeutet das, dass für jede der angewendeten Maßnahmen ein Dokument verfasst werden muss (Anhang A enthält 133 Maßnahmen)? Aus meiner Sicht ist das nicht notwendig. In der Regel empfehle ich meinen Kunden, nur die Leitlinien und Verfahren schriftlich festzuhalten, die unter betrieblichen Gesichtspunkten und zur Verringerung der Risiken notwendig sind. Alle anderen Maßnahmen können in der Erklärung zur Anwendbarkeit kurz beschrieben werden, da diese Erklärung die Beschreibung aller umgesetzten Maßnahmen enthalten muss.
• (Nicht) dokumentierte Leitlinien und Verfahren – in vielen Maßnahmen in Anhang A werden Leitlinien und Verfahren ohne das Wort „dokumentiert“ genannt. Tatsächlich bedeutet das, dass diese Leitlinien und Verfahren nicht schriftlich festgehalten werden müssen. Allerdings ist dieser Umstand für 95 % der Leser der Norm nicht klar.
• Externe (Beziehungen) / Dritte – diese Begriffe werden synonym verwendet, was zu Verwechslungen führen kann. Es wäre viel besser, wenn nur ein Begriff verwendet würde.

Organisation der Norm

Einige der Anforderungen in der Norm finden sich verstreut wieder oder werden unnötigerweise doppelt genannt:

• Einige Maßnahmen befinden sich einfach an der falschen Stelle. Dies gilt zum Beispiel für den Abschnitt A.11.7 ‚Mobile Computing und Kommunikation‘, der sich unter A.11 ‚Zugangskontrolle‘ befindet. Obwohl man beim Umgang mit Mobile Computing, sich auch um Zutrittskontrolle kümmern muss, ist Abschnitt A.11 eigentlich nicht der richtige Ort, um Fragen bezüglich Mobile Computing und Kommunikation zu klären.
• Fragen zu externen Beziehungen sind auf verschiedene Abschnitte der Norm verstreut. Sie finden sie in Abschnitt A.6.2 (Externe Beziehungen), A.8 (Personelle Sicherheit) und A.10.2 (Management der Dienstleistungs-Erbringung von Dritten). Mit dem Voranschreiten von Cloud-Computing und anderer Arten des Outsourcings ist es empfehlenswert, sämtliche dieser Vorschriften in einem Dokument oder einer Reihe von Dokumenten zusammenzustellen, die sich mit externen Beziehungen bzw. Dritten befassen.
• Sensibilisierung der Mitarbeiter und Schulung werden sowohl in Abschnitt 5.2.2 des Hauptteils der Norm sowie in Maßnahme A.8.2.2 gefordert. Dies ist nicht nur eine unnötige Dopplung, sondern es stiftet auch zusätzliche Verwirrung – theoretisch könnte jeder Maßnahme aus dem Anhang A ausgenommen werden. So könnte es am Ende passieren, dass eine Anforderung ausgeschlossen wird, obwohl sie nicht ausgeschlossen werden kann, weil sie laut Hauptteil der Norm erforderlich ist. Das Gleiche geschieht mit dem internen Audit (Absatz 6 des Hauptteils der Norm) und der Maßnahme A.6.1.8 ‚Unabhängige Überprüfung der Informationssicherheit‘.
• Einige der Maßnahmen aus Anhang A können wirklich breit angewendet werden, und sie können weitere Maßnahmen umfassen – so ist zum Beispiel Maßnahme A.7.1.3 ‚Zulässiger Gebrauch von organisationseigenen Werten (Assets)‘ so allgemein, dass es A.7.2.2 (Kennzeichnung von und Umgang mit Informationen), A.8.3.2 (Rückgabe von organisationseigenen Werten), A.9.2.1 (Platzierung und Schutz von Betriebsmitteln), A.10.7.1 (Verwaltung von Wechselmedien), A.10.7.2 (Entsorgung von Medien), A.10.7.3 (Umgang mit Informationen) usw. abdeckt. In der Regel empfehle ich meinen Kunden, ein Dokument zu erstellen, das sämtliche dieser Maßnahmen abdeckt.

Problem oder nicht?

Die folgenden Fragen werden in der Regel als problematisch dargestellt, obwohl ich dem eigentlich nicht zustimme:

• Die Norm ist zu vage und geht nicht genug ins Detail. Würde sie hinsichtlich der einzusetzenden Technologie stärker ins Detail gehen, so wäre die Norm bald überholt. Würde sie hinsichtlich der Methoden und/oder organisatorischen Lösungen stärker ins Detail gehen, so könnte sie nicht auf alle Unternehmensgrößen und -typen angewendet werden. Eine Großbank muss ganz anders als eine kleine Marketingagentur organisiert werden. Trotzdem sollten beide in der Lage sein, ISO 27001 umzusetzen.
• Die Norm ermöglicht zu viel Flexibilität.Mit dieser Kritik ist das Konzept der Risikoeinschätzung gemeint, bei der bestimmte Sicherheitsmaßnahmen ausgeschlossen werden können, wenn es keine zugehörigen Risiken gibt. Also wird die Frage gestellt: „Wie kann es nur möglich sein, Back-ups oder einen Antivirenschutz auszuschließen?“ Beim derzeitigen Stand der Technologien wie zum Beispiel Cloud-Computing sollte diese Art von Schutz nicht in die Verantwortung des Unternehmens fallen, das ISO 27001 umsetzt. (Allerdings wären in einem solchen Fall die Risiken des Outsourcings ziemlich hoch, so dass andere Sicherheitsmaßnahmen erforderlich wären.)

Und was jetzt?

Diese Norm wird sicherlich geändert werden müssen. Die aktuelle Version der ISO/IEC 27001:2005 ist jetzt sechs Jahre alt, und die nächste Version (für das Jahr 2012 oder 2013 erwartet) wird hoffentlich die meisten der oben genannten Probleme lösen.

Obwohl diese Mängel oft zu Verwirrung führen können, glaube ich, dass die positiven Seiten der Norm die negativen in hohem Maße überwiegen. Und ja, ich bin wirklich davon überzeugt, dass diese Norm den bei weitem besten Rahmen für Informationssicherheit-Management darstellt.

Wurde Ihnen jemals die Aufgabe übertragen, Sicherheitsrichtlinien oder ein Verfahren zu schreiben? Aber Sie möchten nicht, dass Ihr Dokument am Ende wie so viele andere endet – verstaubt in irgendeiner Schublade? Hier sind einige Gedanken, die Ihnen helfen könnten …

Die von mir vorgestellten Schritte basieren auf meiner Erfahrung mit verschiedenen Kundentypen, großen und kleinen Unternehmen, öffentlich oder privat, kommerziell oder gemeinnützig. Ich denke, dass diese Schritte für alle gelten. Eigentlich können diese Schritte für jede Art von Richtlinie und Verfahren angewendet werden können, nicht nur in Bezug auf ISO 27001 oder BS 25999-2.

1. Prüfen Sie die Anforderungen

Zuerst muss man verschiedene Anforderungen sehr sorgfältig prüfen – gibt es eine gesetzliche Regelung, dass etwas schriftlich festgehalten werden muss? Oder vielleicht ein Vertrag mit Ihrem Kunden? Oder eine andere hochrangige Richtlinie, die es in Ihrem Unternehmen bereits gibt (vielleicht eine unternehmenseigene Norm)? Und natürlich die Anforderungen der ISO 27001 oder BS 25999-2, wenn Sie diese Normen erfüllen wollen.

2. Berücksichtigen Sie die Ergebnisse Ihrer Risikoeinschätzung

Durch Ihre Risikoeinschätzung wird festgelegt, welche Fragen in Ihrem Dokument angesprochen werden und in welchem ​​Maße – zum Beispiel müssen Sie möglicherweise entscheiden, ob Sie Ihre Informationen nach deren Vertraulichkeit einstufen, und wenn ja, ob Sie zwei, drei oder vier Geheimhaltungsstufen benötigen.

Dieser Schritt kann in dieser Form irrelevant sein, falls Ihre Richtlinie oder Ihr Verfahren keinen Bezug zur Informationssicherheit und zum betrieblichen Kontinuitätsmanagement hat. Die Grundlagen des Risikomanagements gelten natürlich auch für andere Bereiche – Qualitätsmanagement (ISO 9001), Umweltmanagement (ISO 14001) usw. Beispielsweise müssen Sie in ISO 9001 festlegen, in welchem Maße ein Prozess für Ihr Qualitätsmanagement entscheidend ist und dementsprechend müssen Sie entscheiden, ob dieser Prozess dokumentiert werden muss oder nicht.

3. Optimieren und Ausrichten Ihrer Dokument(e)

Es ist wichtig, die Gesamtzahl der Dokumente zu berücksichtigen. Schreiben Sie zehn einseitige Dokumente oder ein 10-seitiges Dokument? Es ist viel leichter, ein Dokument zu verwalten, vor allem wenn es sich um die gleiche Zielgruppe an Lesern handelt. (Erstellen Sie aber nicht ein einzelnes 100-Seiten-Dokument.)

Außerdem müssen Sie darauf achten, Ihr Dokument an anderen Dokumenten auszurichten – die von Ihnen festgelegten Punkte sind möglicherweise bereits in einem anderen Dokument teilweise definiert. In einem solchen Fall kann es überflüssig sein, ein neues Dokument zu schreiben,. Vielleicht muss nur das bestehende Dokumente erweitert werden.

Wenn Sie ein neues Dokument über ein Thema verfassen, das bereits in einem anderen Dokument genannt wird, so achten Sie darauf, Redundanzen zu vermeiden, also den gleichen Punkt in beiden Dokumenten zu behandeln. Später würde es ein Albtraum sein, diese Dokumente zu pflegen. Es ist viel besser, dass sich ein Dokument auf ein anderes bezieht, ohne die Inhalte zu wiederholen.

4. Strukturieren Sie Ihr Dokument

Sie müssen auch darauf achten, die unternehmenseigenen Vorschriften für die Formatierung des Dokuments einzuhalten – vielleicht haben Sie schon eine Vorlage mit vordefinierten Schriftarten, Kopf- und Fußzeilen usw.

Falls Sie ISO 27001 oder BS 25999-2 (oder eine andere Managementnorm) bereits umgesetzt haben, müssen Sie ein Verfahren zur Dokumentenkontrolle beachten. Ein solches Verfahren definiert nicht nur die Formatierung des Dokuments, sondern auch die Vorschriften für Genehmigung, Verteilung usw.

5. Schreiben Sie Ihr Dokument

Die Faustregel lautet: Je kleiner das Unternehmen und je geringer die Risiken, desto weniger komplex wird Ihr Dokument. Es gibt nichts Nutzloseres die Entscheidung, ein langwieriges Dokument zu schreiben, das niemand lesen wird – Sie müssen verstehen, dass das Lesen des Dokuments Zeit braucht, und die Aufmerksamkeit verhält sich umgekehrt proportional zur Zeilenzahl in Ihrem Dokument.

Eine gute Technik, um den Widerstand anderer Mitarbeiter gegenüber diesem Dokument zu überwinden (niemand mag Änderungen, vor allem, wenn das so etwas wie eine Verpflichtung ist, Passwörter regelmäßig zu ändern), besteht darin, sie beim Schreiben oder Kommentieren dieses Dokuments einzubeziehen – auf diese Weise werden Mitarbeiter verstehen, warum das Dokument notwendig ist.

6. Lassen Sie Ihr Dokument genehmigen

Dieser Schritt ist ziemlich selbstverständlich, aber ziemlich bedeutend. Denn falls Sie keine hochrangige Führungskraft Ihres Unternehmen sind, werden Sie nicht die Autorität haben, um dieses Dokument durchzusetzen.

Darum muss eine der Führungskräfte das Dokument verstehen, genehmigen und aktiv seine Umsetzung einfordern. Klingt einfach, aber glauben Sie mir – das ist es nicht. Dieser Schritt (und der nächste) sind diejenigen, deren Umsetzung am häufigsten fehlschlägt.

7. Schulung und Sensibilisierung Ihrer Mitarbeiter

Dieser Schritt ist wahrscheinlich der wichtigste, aber leider wird er sehr oft vergessen. Wie bereits erwähnt sind Mitarbeiter der ständigen Veränderungen müde. Mit Sicherheit werden sie keine weitere Veränderung begrüßen, vor allem nicht, wenn es mehr Arbeit für sie bedeutet.

Daher ist es sehr wichtig, Ihren Mitarbeiter zu erklären, warum eine solche Richtlinie oder Verfahren notwendig ist – warum es nicht nur für das Unternehmen gut ist, sondern auch für sie selbst.

Manchmal wird eine Schulung notwendig sein – es wäre verkehrt anzunehmen, dass jeder die Fähigkeiten besitzt, automatisch neue Tätigkeiten umzusetzen. Sie haben dieses Dokument geschrieben, daher mag es Ihnen als einfach und selbstverständlich erscheinen. Für Ihre Mitarbeiter ist es vielleicht eher etwas wie Gehirnchirurgie.

Ende der Geschichte?

Wenn Sie dachten, Sie hätten das Ende der Dokumentierung erreicht, so irren Sie sich – die Reise hat gerade erst begonnen. Alleine eine perfekte, von allen Mitarbeitern geliebte Richtlinie oder Verfahren reicht nicht aus. Sie müssen dieses Dokument auch pflegen.

Jemand muss dafür sorgen, dass dieses Dokument auf dem aktuellen Stand ist und verbessert wird. Andernfalls wird niemand mehr dieses Dokument beachten. Dieser ‚jemand‘ ist üblicherweise die gleiche Person, die das Dokument verfasst hat. Nicht nur das. Jemand muss prüfen, ob ein solches Dokument seinen Zweck erfüllt hat – auch das können Sie sein.

Wie Sie vielleicht beim Lesen dieses Artikels bemerkt haben, reicht es für eine erfolgreiche Richtlinie oder Verfahren nicht aus, eine schöne Vorlage zu haben – was Sie brauchen, ist eine systematische Herangehensweise an dessen Umsetzung. Und vergessen Sie dabei nicht die wichtigste Tatsache: Das Dokument ist kein Selbstzweck – es ist nur ein Werkzeug, um ein reibungsloses Funktionieren Ihrer Aktivitäten und Abläufe zu ermöglichen. Lassen Sie nicht zu, dass das Gegenteil passiert – nämlich dass ein solches Dokument diese Aktivitäten und Abläufe behindert.

Verschiedenen Quellen zufolge soll die führende Norm für das betriebliche Kontinuitätsmanagement – BS 25999-2 – Ende 2001 durch eine internationale Norm ISO 22301 ersetzt werden. Diese Art des Übergangs ist normal – das gleiche passiert mit den meisten Managementnormen, so zum Beispiel mit der Norm ISO 27001, die 2005 auf BS 7799-2 folgte. Welche sind die wichtigsten Änderungen, die ISO 22301 im Vergleich zu BS 25999-2 bringen wird?

An dieser Stelle eine wichtige Anmerkung: Da ISO 22301 noch nicht veröffentlicht wurde, gibt es noch keine endgültige Version der Norm. Daher könnten einige der von mir hier festgehaltenen Fragen in der endgültigen Fassung gar nicht vorliegen. Ich greife auf einen Entwurf zurück, der im Februar 2011 auf der ‚BSI Draft Review‘-Website veröffentlicht wurde.

ISO 22301 wird folgenden Titel erhalten: ISO 22301, Unternehmenssicherheit – Systeme für betriebliches Kontinuitätsmanagement – Anforderungen. Obwohl „Unternehmenssicherheit“ in Bezug auf betriebliches Kontinuitätsmanagement ein wenig seltsam klingen mag, wird es in der ISO wie folgt definiert: „… Standardisierung im Bereich der Unternehmenssicherheit, die darauf abzielt, das Krisenmanagement sowie die Möglichkeiten des betrieblichen Kontinuitätsmanagements zu verbessern, d. h. durch verbesserte technische, personelle, organisatorische und funktionelle Interoperabilität sowie gemeinsame Situationserfassung aller beteiligten Parteien.“

Auf den ersten Blick unterscheidet sich die Struktur der ISO 22301 offensichtlich von BS 25999-2, obwohl alle grundlegenden Elemente der BS 25999-2 in der ISO 22301 immer noch vorhanden sind.

Werfen wir einen tieferen Blick.

Ähnlichkeiten …

Die größte Ähnlichkeit besteht darin, dass alle zentralen Elemente des betrieblichen Kontinuitätsmanagements aus BS 25999-2 auch in der ISO 22301 zu finden sind: Leitlinie zum betrieblichen Kontinuitätsmanagement, Geschäftsauswirkungsanalyse (GAA), Risikoeinschätzung, Strategie des betrieblichen Kontinuitätsmanagements (die in ISO 22301 „Optionen des betrieblichen Qualitätsmanagements“ genannt werden), Pläne für das betriebliche Kontinuitätsmanagement, Übungen, Prüfungen usw.

Die Geschäftsauswirkungsanalyse wird wahrscheinlich in mehrere Abschnitte aufgeteilt werden, weil sie präzisiert werden muss. Die Anforderungen an die Pläne für betriebliches Kontinuitätsmanagement einschließlich der Reaktionen und Notfallpläne sind ebenso wesentlich detaillierter – z. B. im Bereich Kommunikation.

Ebenso wird der Managementteil aus BS 25999-2 in die neue Norm übertragen – Dokumentkontrolle, internes Audit, Managementüberprüfung, Korrektur- und Vorbeugungsmaßnahmen, Personalverwaltung usw. (übrigens gibt es diese Elemente auch in allen anderen Managementnormen – ISO 9001, ISO 14001, ISO 27001 …).

Jedoch wird die Dokumentation nun als „dokumentierte Informationen“ bezeichnet, und Vorbeugungsmaßnahmen heißen nun „Maßnahmen zur Bewältigung von Problemen und Sorgen“.

… und Unterschiede

Das PDCA-Modell (Planen – Durchführen – Überprüfen – Handeln) ist im Vergleich zur BS 25999-2 in ISO 22301 noch weniger klar dargestellt, obwohl BS 25999-2 in dieser Beziehung nicht so klar wie ISO 27001 ist. Meiner Ansicht nach wird es jedoch nicht die Klarheit des Prozesses beeinträchtigen, mit dem die Norm umgesetzt werden sollte, da die wichtigsten Abschnitte der Norm ziemlich logisch aufgebaut sind.

Die ISO 22301 wird natürlich ein viel größeres Gewicht auf die Festlegung der Ziele sowie die Überwachung der Leistung und Parameter setzen – damit wird betriebliches Kontinuitätsmanagement an die Denkweise von Führungskräften herangeführt.

Dementsprechend formuliert ISO 22301 klarere Erwartungen an das Management und fasst diese in einem einzelnen Abschnitt zusammen.

ISO 22301 wird eine der Schwachstellen von BS 25999-2 überwinden. Sie wird eine weit sorgfältigere Planung und Vorbereitung der benötigten Ressourcen für betriebliches Kontinuitätsmanagement erfordern. Diese Anforderungen wurden jetzt erweitert und klarer strukturiert.

Der Unterschied für ISO 22301 als internationale Norm wird darin bestehen, dass die Zertifizierungsstellen eine Zertifizierung nach dieser Norm sehr viel schwieriger gestalten werden, um seine Beliebtheit schneller voranzutreiben.

Aus diesem Grund werden sich alle grundlegenden Elemente der BS 25999-2 wahrscheinlich in der ISO 22301 wiederfinden. Nur wird die ISO 22301 genauer und anspruchsvoller sein. Organisationen, welche die BS 25999-2 bereits umgesetzt haben und auf ISO 22301 „upgraden“ möchten, müssen stärker auf Details achten und müssen mehr Zeit in die Vorbereitung und Pflege Ihres Systems investieren. Auf der anderen Seite wird ISO 22301 ihnen sicherlich dabei helfen, ihr Maß an Widerstandskraft und Glaubwürdigkeit zu erhöhen –- der gleiche Effekt trat ein, als ISO 27001 vor 6 Jahren BS 7799-2 ersetzt hat.

Dies ist normalerweise eine der ersten Fragen, die mir von potenziellen Kunden gestellt wird. Zu ihrer Enttäuschung kann ich ihnen die genaue Zahl nicht sofort nennen – hier ist der Grund.

In erster Linie hängen die Gesamtkosten der Umsetzung von der Größe Ihres Unternehmens ab (oder der Größe der Unternehmenseinheit(en), die in den Anwendungsbereich der ISO 27001 aufgenommen werden, der Kritikalität von Informationen (zum Beispiel werden Informationen in Banken als kritischer erachtet, so dass ein höheres Maß an Schutz erforderlich ist), der vom Unternehmen verwendeten Technologie (zum Beispiel haben Rechenzentren wegen ihrer komplexen Systeme tendenziell höhere Kosten) und den gesetzlichen Anforderungen (in der Regel sind Finanzbranche und staatliche Sektoren hinsichtlich der Informationssicherheit in höchstem Maße reguliert).

Zweitens wird es nicht möglich sein, die genauen Kosten zu berechnen, bevor Sie nicht wissen, welchen Schutz Sie brauchen – Sie müssen zuerst Risikoeinschätzungen durchführen. Eine solche Analyse sagt Ihnen, welche Sicherheitsmaßnahmen erforderlich sind.

Wenn Sie die Ergebnisse der Risikoeinschätzung kennen, müssen Sie die folgenden Kosten berücksichtigen:

1. Kosten für Fachliteratur und Schulung

Die Umsetzung der ISO 27001 erfordert Änderungen in Ihrem Unternehmen und neue Qualifikationen. Sie können Ihre Mitarbeiter durch den Kauf verschiedener Bücher zum Thema und/oder durch die Entsendung zu Kursen (Präsenz- oder Onlinekurse) vorbereiten – diese Kurse dauern zwischen 1 bis 5 Tagen (lesen Sie Lernen über ISO 27001 und BS 25999-2).

Und vergessen Sie nicht, die ISO 27001 Norm selbst zu kaufen – zu oft besuche ich Unternehmen, welche die Norm umsetzen, ohne sie wirklich zu sehen.

2. Kosten für externe Unterstützung

Leider reicht eine Schulung Ihrer Mitarbeiter nicht aus. Sollten Sie keine Projektmanager mit weitreichender Erfahrung bei der Umsetzung der ISO 27001 zur Verfügung haben, so benötigen Sie jemanden, der über solche Kenntnisse verfügt – Sie können entweder einen Berater engagieren oder alternativ Online-Hilfe in Anspruch nehmen (das machen wir bei der der Information Security & Business Continuity Academy).

Der größte Mehrwert eines Mitarbeiters, der Sie bei dieser Art von Projekten unterstützt, besteht darin, dass Sie am Ende nicht in einer Sackgasse stecken – nach monatelangen Aktivitäten, die nicht wirklich notwendig gewesen sind oder nach Unmengen an Dokumentation, die gemäß der Norm nicht erforderlich waren. Und das kostet wirklich.

Doch seien Sie diesbezüglich vorsichtig – erwarten Sie nicht, dass der Berater die gesamte Umsetzung für Sie erledigt – die ISO 27001 kann nur von Ihren Mitarbeitern umgesetzt werden.

3. Kosten für die Technologie

Es mag komisch klingen, aber die meisten Unternehmen, mit denen ich gearbeitet habe, brauchten keine großen Investitionen in Hardware, Software oder Ähnliches – alles dies war bereits vorhanden. Die größte Herausforderung bestand in der Regel darin, wie vorhandene Technologie auf eine sicherere Weise genutzt werden sollte.

Allerdings müssen Sie diese Investitionen planen, falls sie sich als notwendig erweisen.

4. Kosten für Mitarbeiterzeit

Weder setzt sich die Norm selbst um noch kann sie alleine von einem Berater umgesetzt werden (falls Sie einen engagieren). Ihre Mitarbeiter müssen einige Zeit aufwenden, um herauszufinden, wo die Risiken liegen und wie bestehende Verfahren und Leitlinien verbessert werden können. Ebenso benötigen sie Zeit, um sich für die neuen Aufgaben und die Anpassung an neue Regeln weiterzubilden.

5. Kosten für die Zertifizierung

Wenn Sie einen öffentlichen Nachweis erhalten möchten, dass Sie ISO 27001 erfüllen, so muss die Zertifizierungsstelle ein Zertifizierungsaudit durchführen. Die Kosten dafür hängen von der Anzahl der Manntage für diese Aufgabe ab. Der Aufwand reicht von 10 Arbeitstagen für kleinere Unternehmen bis zu ein paar Dutzend Arbeitstage für größere Organisationen. Die Kosten für einen Manntag sind je nach den örtlichen Marktverhältnissen unterschiedlich.

Sie müssen sehr vorsichtig sein, die tatsächlichen Kosten des ISO 27001 Projekts nicht zu unterschätzen – falls doch, so wird Ihr Management beginnen, Ihr Projekt in einem negativen Licht zu sehen. Auf der anderen Seite wird eine korrekte Prognose sämtlicher Kosten Ihre Professionalität unter Beweis stellen. Vergessen Sie nicht: Sie müssen immer Kosten und Nutzen präsentieren – lesen Sie dazu Vier wichtige Vorteile der ISO 27001 Umsetzung.

Sehr oft höre ich Dinge über ISO 27001 und weiß dabei nicht, ob ich darüber lachen oder weinen soll. Eigentlich ist es komisch, wie sehr Menschen dazu tendieren, Entscheidungen über etwas zu treffen, von dem sie sehr wenig wissen – dies sind die häufigsten Irrtümer:

„Die Norm fordert …“

„Die Norm fordert, dass alle 3 Monate die Passwörter geändert werden.“ „Die Norm fordert, dass es mehrere Lieferanten geben muss.“ „Die Norm fordert, dass der Standort zur Wiederherstellung im Katastrophenfall mindestens 50 km vom Hauptstandort entfernt sein muss.“ Wirklich? Die Norm fordert nichts in dieser Art. Leider höre ich diese Art falscher Informationen ziemlich oft – die Leute halten in der Regel Best Practices fälschlicherweise für Anforderungen der Norm. Das Problem ist jedoch, dass nicht alle Sicherheitsvorschriften auf sämtliche Unternehmenstypen anwendbar sind. Wer behauptet, dass dies in der Norm vorgeschrieben ist, haben die Norm möglicherweise nie gelesen.

„Wir überlassen diese Tätigkeit der IT-Abteilung“

Dies ist der Lieblingssatz des Managements – „Informationssicherheit dreht sich nur um IT, nicht wahr?“ Nun, nicht wirklich – zu den wichtigsten Aspekten der Informationssicherheit gehören nicht nur IT-Maßnahmen, sondern auch organisatorische Fragen und Personalmanagement, die normalerweise außerhalb des Einflussbereichs der IT-Abteilung liegen. Siehe auch Informationssicherheit oder IT-Sicherheit?.

„Wir werden es in ein paar Monaten umsetzen“

Sie können Ihre ISO 27001 in 2 oder 3 Monaten umzusetzen, aber es wird nicht funktionieren. Sie würden nur eine Reihe von Richtlinien und Verfahren schaffen, um die sich niemand kümmert. Umsetzung von Informationssicherheit bedeutet, dass Sie Änderungen umsetzen müssen, und Veränderungen brauchen Zeit.

Nicht zu vergessen, dass Sie nur diejenigen sich heiß Maßnahmen umsetzen, die wirklich notwendig sind. Die Analyse des tatsächlichen Bedarfs braucht Zeit – dies wird Risikoeinschätzung und Risikobehandlung genannt.

„In dieser Norm geht es nur um Dokumentation“

Dokumentation ist ein wichtiger Teil der Umsetzung der ISO 27001, aber Dokumentation ist kein Selbstzweck. Der wichtigste Punkt ist, dass Sie Ihre Aktivitäten auf sichere Weise durchführen. Die Dokumentation dient hier als Unterstützung. Auch die von Ihnen erstellten Aufzeichnungen werden Ihnen bei der Feststellung helfen, ob Sie Ihre Ziele hinsichtlich der Informationssicherheit erreichen. Sie ermöglichen ihnen auch, Aktivitäten mit nicht ausreichender Leistung zu korrigieren.

„Der einzige Vorteil der Norm besteht im Marketing“

„Wir tun dies nur, um das Zertifikat zu bekommen, nicht wahr?“ Nun, das ist (leider) die Art und Weise, wie 80 Prozent der Unternehmen denken. Ich versuche nicht, hier zu argumentieren, dass ISO 27001 nicht zu Werbe- und Vertriebszwecken verwendet werden sollte. Sie kann aber auch zur Erreichung anderer sehr wichtiger Vorteile dienen – wie etwa, so etwas wie Wikileaks bei Ihnen zu verhindern. Siehe auch Vier wichtige Vorteile der ISO 27001 Umsetzung und Lehren aus Wikileaks: Aber was ist Informationssicherheit genau?.

Der springende Punkt ist: Lesen Sie die ISO 27001, bevor Sie sich eine Meinung darüber bilden. Sollte diese Lektüre zu langweilig für Sie sein (ich gebe zu, sie ist nicht spannend), so lassen sich von jemandem beraten, der bereits tatsächlich etwas darüber weiß. Und versuchen sie, andere Vorteile als Marketing zu erfassen. Anders ausgedrückt: Erhöhen Sie Ihre Chancen, eine rentable Investition in die Informationssicherheit zu tätigen.

Heute ist Wikileaks aus einem guten Grund eine brandheiße Geschichte – es geschieht nicht sehr häufig, dass vertrauliche Dokumente der weltweit mächtigsten Regierung im Internet veröffentlicht werden. Und einige dieser Dokumente sind gelinde gesagt peinlich.

Ich werde mich hier nicht dazu äußern, ob die Veröffentlichung dieser Dokumente durch Wikileaks legal war oder nicht, ob die Veröffentlichung dieser Informationen aus öffentlichem Interesse hätte erfolgen müssen oder nicht, oder was mit seinem Gründer geschieht (beim Verfassen dieses Artikels war Julian Assange in Haft) usw.

Das Problem ist eher, dass ein neues Wikileaks erscheint, sobald das alte Wikileaks geschlossen werden sollte. Anders ausgedrückt: Die Bedrohung durch Weitergabe von Informationen an die Öffentlichkeit nimmt ständig zu. (Übrigens hatte Julian Assange vor dem Gang ins Gefängnis angekündigt, er werde belastende Informationen über eine große US-Bank und ihre missbräuchliche Praxis veröffentlichen.)

Ich möchte hier den Standpunkt eines Unternehmens herausstellen – was geschieht, falls wir das nächste Ziel von Wikileaks oder dessen Klon werden sollten? Wie kann die Sicherheit unserer Informationen gewährleistet und der Schaden eines solchen großen Vorfalls vermieden werden?

Einfaches Beispiel

Aber wie funktioniert Informationssicherheit in der Praxis? Nehmen wir ein einfaches Beispiel – zum Beispiel lassen Sie Ihr Notebook häufig im Auto auf dem Rücksitz liegen. Die Chancen stehen gut, dass es früher oder später gestohlen wird.

Was können sie tun, um dieses Risiko zu senken? Zunächst einmal können Sie eine Vorschrift (durch Schreiben eines Verfahrens oder einer Leitlinie) erlassen, dass Notebooks nicht in einem Auto unbeaufsichtigt zurückgelassen werden dürfen, oder dass das Auto dort geparkt werden soll, wo eine Art physischer Schutz gegeben ist. Zweitens können Sie Ihre Daten schützen, indem Sie ein starkes Passwort verwenden und Ihre Daten verschlüsseln. Außerdem können Sie fordern, dass Ihre Mitarbeiter eine Erklärung unterzeichnen, mit der sie sich rechtlich für die möglicherweise eintretenden Schäden verantwortlich erklären. Aber all diese Maßnahmen können wirkungslos bleiben, wenn Sie Ihren Mitarbeitern die Vorschriften nicht mithilfe einer kurzen Schulung erklären.

Welche Schlussfolgerungen können Sie aus diesem Beispiel ziehen? Informationssicherheit ist niemals nur eine einzelne Sicherheitsmaßnahme, sie ist immer mehrere Maßnahmen zusammen. Und die Maßnahmen sind nicht nur IT-bezogen, sondern umfassen auch organisatorische Fragen, Personalmanagement, physische Sicherheit und Rechtsschutz.

Das Problem ist: Dies war ein Beispiel eines einzelnen Notebooks, ohne bedrohtes Insiderwissen. Betrachten wir nun, wie komplex der Schutz der Informationen Ihres Unternehmen ist. Informationen sind nicht nur auf Ihren PCs gespeichert, sondern auch auf verschiedenen Servern, nicht nur in Ihren Schubladen, sondern auch auf sämtlichen Ihrer Mobiltelefone, nicht nur auf USB-Sticks, sondern auch in den Köpfen aller Mitarbeiter. Und Sie haben möglicherweise einen sehr verärgerten Mitarbeiter.

Scheint wie eine unmögliche Aufgabe? Schwer – ja, aber nicht unmöglich.

Herangehensweise

Um dieses komplexe Problem zu lösen, benötigen Sie einen Rahmen. Die gute Nachricht ist, dass es diese Rahmenbedingungen in Form von Normen bereits gibt – am stärksten verbreitet ist ISO 27001, die international führende Norm für Informationssicherheits-Managementsysteme, aber es gibt auch andere – COBIT, NIST SP 800 Series, PCI DSS usw.

Ich werde hier auf ISO 27001 konzentrieren. Ich glaube, dass Sie Ihnen beim Aufbau eines Informationssicherheitssystems eine gute Grundlage bietet, weil sie einen Katalog mit 133 Sicherheitsmaßnahmen beinhaltet und die Flexibilität bietet, nur die Maßnahmen anzuwenden, die hinsichtlich des Risikos wirklich benötigt werden. Ihre bestes Merkmal ist jedoch, dass es einen Managementrahmen für die Kontrolle und Leitung von Sicherheitsproblemen definiert. Damit wird erreicht, dass Sicherheitsmanagement Teil des Gesamtmanagements eines Unternehmens wird.

Kurzum – mit dieser Norm können Sie alle in verschiedener Form vorliegenden Informationen und sämtliche Risiken berücksichtigen. Ihnen wird ein Weg aufgezeigt, um jedes potenzielle Problem sorgfältig zu lösen und die Sicherheit Ihrer Informationen sicherzustellen.

Konsequenzen für das Geschäft

Also sollten Konzerne fürchten, dass Ihre Informationen an die Öffentlichkeit kommen? Sollten sie etwas Illegales oder Unethisches tun, so sollten sie das sicherlich.

Doch wenn rechtschaffene Unternehmen ihr Geschäft schützen möchten, so dürfen sie nicht nur an Rendite, Marktanteil, Kernkompetenzen und langfristige Visionen denken. Ihre Strategie muss auch die Sicherheitsprobleme berücksichtigen, denn unsichere Informationen können wesentlich teurer als beispielsweise die fehlgeschlagene Markteinführung eines neuen Produktes werden. Mit Sicherheit meine ich nicht nur physische Sicherheit, den die reicht einfach nicht mehr aus – die heutige Technik ermöglicht Informationslöcher über viele verschiedene Wegen.

Was wir brauchen, ist ein umfassendes Konzept für die Informationssicherheit – egal, ob Sie ISO 27001, COBIT oder ein anderes Framework verwenden, solange Sie es systematisch nutzen. Und es ist keine einmalige Anstrengung, es ist ein dauerhafter Vorgang. Und ja – es ist nichts, was Ihre IT-Jungs alleine schaffen können. Es ist etwas, an dem sich das ganze Unternehmen beteiligen muss, angefangen bei der Geschäftsleitung.

Eine Schulung ist sicherlich eine der besten Möglichkeiten zur Erleichterung Ihrer Umsetzung von ISO 27001 und BS 25999-2. Da immer mehr Arten von Kursen zur Verfügung stehen, werde ich versuchen, deren Vorteile und die Unterschiede zwischen ihnen zu erläutern.

Der erste Typ ist die Liste der Präsenzkurse – diese Kurse sind immer noch weit verbreitet, verlieren aber stetig gegenüber den Online-Kursen (siehe Erklärung am Ende dieses Artikels).

ISO 27001, BS 25999-2, Kurs für leitenden Auditor

Dies ist der beliebteste Kurs für ISO 27001 oder BS 25999-2 – er dauert 5 Tage und endet mit einer schriftlichen Prüfung. Die Prüfung ist recht schwierig. Niemand sollte davon ausgehen, dass dies der höchste Kurs für beide Normen ist. Wenn Sie die Prüfung bestehen, können Sie ein Prüfer für eine Zertifizierungsstelle werden, aber dies ist nicht der größte Vorteil. Dieser Kurs ist am nützlichsten für Profis, welche die Norm umsetzen, denn er gibt einen hervorragenden Überblick der Normen und bietet tief greifende Erklärungen dessen, wonach die Zertifizierungsprüfer beim Zertifizierungsaudit fragen werden. Daher ist er sowohl für Auditoren als auch für Projektleiter sinnvoll.

Die Zielgruppe für diesen Kurs sind Profis mit mäßiger oder bedeutender Erfahrung in der Informationssicherheit, im betrieblichen Kontinuitätsmanagement, Audits oder IT. Sie sollten nur akkreditierte Studiengänge (z. B. durch IRCA – irca.org) wählen.

ISO 27001, BS 25999-2, Kurs für Projektleiter

Dieser Kurs ist ähnlich, aber nicht so beliebt wie der ISO 27001 oder BS 25999-2 Kurs für den leitenden Auditor. Der Unterschied ist, dass er sich eher auf die Techniken der Umsetzung als auf die Audits konzentriert – sollte also nicht die Zertifizierung ist Ihr Anliegen sein, so könnten Sie diesen Kurs für geeigneter halten.

In diesem Fall ist die Zielgruppe ähnlich – Profis mit mäßiger oder bedeutender Erfahrung in der Informationssicherheit, im betrieblichen Kontinuitätsmanagement oder IT.

ISO 27001, BS 25999-2, Kurs für internen Auditor

Dieser Kurs ist eine „Light“-Version des ISO 27001 oder BS 25999-2 Kurs für den leitenden Auditor. Er dauert in der Regel 2 oder 3 Tage, mit oder ohne Prüfung, und der Inhalt ist eine gekürzte Fassung des Kurs für den leitenden Auditor. Der Hauptunterschied besteht darin, dass Sie mit diesem Kurs kein Prüfer bei einer Zertifizierungsstelle werden können. Falls Sie jedoch eine systematische Einführung in die Welt der ISO 27001 oder BS 25999-2 möchten oder Sie interner Prüfer in Ihrem Unternehmen werden wollen, so ist dieser Kurs die richtige Wahl für Sie.

Zielgruppe sind Profis mit geringer oder mäßiger Erfahrung in der Informationssicherheit, im betrieblichen Kontinuitätsmanagement oder IT.

ISO 27001, BS 25999-2, Grundlagenkurs / Einführungskurs

Diese Kurse dauern in der Regel ein oder zwei Tage – ihr Zweck besteht nicht darin, Sie über Audit oder die Umsetzung der Techniken zu informieren, sondern Ihnen einen Überblick über die Anforderungen und Herausforderungen der Umsetzung zu geben. Wenn Sie nicht viel Zeit übrig haben und wissen wollen, was bei der Umsetzung auf Ihr Unternehmen zukommt, sollten Sie über einen dieser Kurse nachdenken.

Zielgruppe sind Mitglieder der Geschäftsleitung oder Profis ohne Erfahrung in der Informationssicherheit oder im betrieblichen Kontinuitätsmanagement.

Weitere Kurse zur Informationssicherheit / betrieblichen Kontinuitätsmanagement

Sie haben vielleicht die Begriffe Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) oder Certified Information Systems Security Professional (CISSP) gehört – obwohl ich diese Kurse für Ihre Informationssicherheit oder Ihr betriebliches Kontinuitätsmanagement für sehr nützlich halte, sind sie für ISO 27001 oder BS 25999-2 nicht direkt relevant. Daher sollten Sie CISA, CISM und/oder CISSP erst besuchen, nachdem Sie Kurse besucht haben, die sich direkt auf beide Normen beziehen.

Online-Kurse

Zusätzlich zu den oben genannten Präsenzkursen werden Online-Kurse (entweder in Form von E-Learning oder Live-Webinaren) immer beliebter, teils wegen der niedrigeren Kosten – keine Reisekosten, keine verlorene Zeit außerhalb des Büros. Es gibt immer mehr Anbieter im Internet, die immer mehr qualitative Inhalte (einschließlich unserer Information Security & Business Continuity Academy) – Sie können Kurse von einer Stunde (z. B. kostenlose Webinare), bis zu ein paar Wochen (z. B. E-Learning-Kurse) finden.

Der Hauptvorteil von Online-Kursen ist, dass man mehr relevantes Wissen in kürzerer Zeit und für weniger Geld erhält, obwohl die Frage nach der tatsächlichen Wirksamkeit solcher Kurse weiter unbeantwortet bleibt.

Doch unabhängig davon, für welche Form oder Art des Kurses Sie sich entscheiden – seien Sie sich über eine Sache sicher – die Rendite wird sich sehr schnell zeigen.