ISO 27001 & BS 25999

 

ISO 27001/BS 25999 documents, presentation decks and implementation guidelines


Free_Downloads
 
Newsletter
 
Sign up to our free Newsletter and as bonus you'll receive my tips on how to launch an information security and business continuity project.
 
 
 
 
 
 
    

UPCOMING WEBINARS

    

 
ISO 27001 & BS 25999-2: Why is it better to implement them together?

    

Wednesday
May 23, 2012

    Register_now_green
     

 
Risk Management Part 1: Risk assessment methodology and risk assessment process

Monday
May 21, 2012

    Register_now_green
 
 
 
 

Die Bedeutung der Erklärung zur Anwendbarkeit für ISO 27001

'By 'Dejan Kosutic on April 18, 2011
Share

Die Bedeutung der Erklärung zur Anwendbarkeit (Abk. SoA – Statement of Applicability) wird in der Regel unterschätzt. Wie das Qualitätshandbuch in ISO 9001 ist sie das zentrale Dokument, in dem festgelegt wird, wie Sie einen großen Teil Ihrer Informationssicherheit umsetzen.

Eigentlich ist die Erklärung zur Anwendbarkeit die wichtigste Verknüpfung zwischen der Risikoeinschätzung und -behandlung und Ihrer Informationssicherheit. Sie soll festlegen, welche der vorgeschlagenen 133 Maßnahmen (Sicherheitsmaßnahmen) aus Anhang A der ISO 27001 von Ihnen angewendet werden sowie die Art und Weise, wie Sie die ausgewählten Maßnahmen umsetzen werden.

Warum ist sie erforderlich

Warum ist nun ein solches Dokument notwendig, wenn Sie bereits den Bericht zur Risikoeinschätzung (der auch obligatorisch ist) erstellt haben, in dem die notwendigen Maßnahmen ebenfalls festgelegt werden? Dies sind die Gründe:

  • Erstens erkennen Sie während der Risikobehandlung die notwendigen Maßnahmen, weil sie Risiken erkannt haben, die eingedämmt werden müssen. In der SoA benennen Sie außerdem die Maßnahmen, die aus anderen Gründen erforderlich sind – d. h. aus gesetzlichen Gründen, aufgrund vertraglicher Anforderungen, wegen anderer Prozesse usw.
  • Zweitens könnte der Bericht zur Risikoeinschätzung recht lang werden. Einige Unternehmen könnten ein paar Tausend Risiken erkennen (manchmal sogar mehr), so dass ein solches Dokument für den alltäglichen betrieblichen Einsatz nicht wirklich nützlich ist. Andererseits ist die Erklärung zur Anwendbarkeit eher kurz – sie hat 133 Zeilen (jede Zeile steht für eine Maßnahme). Damit ist es möglich, sie dem Management vorzulegen und dieses Dokument aktuell zu halten.
  • Drittens (und am wichtigsten): Die SoA muss dokumentieren, ob jede anzuwendende Maßnahme bereits umgesetzt wurde oder nicht. Gute Praxis (und die meisten Prüfer werden genau danach suchen) bedeutet auch, die Art der Umsetzung jeder anzuwendenden Maßnahme zu beschreiben – z. B. entweder durch Verweis auf ein Dokument (Richtlinie/ Verfahren/ Arbeitsanweisungen usw.) oder durch eine Kurzbeschreibung des verwendeten Verfahrens oder Geräts.

Wenn Sie sich heute um eine Zertifizierung nach ISO 27001 bemühen, wird der Prüfer Ihre Erklärung zur Anwendbarkeit verwenden und in Ihrem gesamten Unternehmen prüfen, ob Sie Ihre Maßnahmen in der Art umgesetzt haben, wie sie in Ihrer SoA beschrieben wurden. Sie ist das zentrale Dokument für deren Audit vor Ort.

Eine sehr kleine Anzahl von Unternehmen erkennt, dass man mit der Erstellung einer guten Erklärung zur Anwendbarkeit die Anzahl der anderen Dokumente verringern könnte. Wenn Sie zum Beispiel eine bestimmte Maßnahme dokumentieren möchten, aber die Beschreibung des zugehörigen Verfahrens eher kurz wäre, so können Sie diese in der SoA festhalten. Somit würden Sie es vermeiden, ein weiteres Dokument zu verfassen.

Warum ist sie nützlich

Nach meiner Erfahrung verbringen die meisten Unternehmen, die das Informationssicherheits-Managementsystem nach ISO 27001 umsetzen, viel mehr Zeit als erwartet mit der Erstellung dieses Dokuments. Der Grund dafür ist, dass sie darüber nachdenken müssen, wie sie ihre Maßnahmen umsetzen: Werden sie neue Geräte kaufen? Oder das Verfahren ändern? Oder einen neuen Mitarbeiter einstellen? Dies sind recht wichtige (und manchmal auch teure) Entscheidungen. Daher überrascht es nicht, dass für die erfolgreiche Durchführung ziemlich viel Zeit erforderlich ist. Das Gute an der SoA ist, dass Unternehmen zu einer systematischen Durchführung dieser Aufgabe gezwungen werden.

Aus diesem Grund sollten Sie dieses Dokument nicht als eines dieser „überflüssigen Dokumente“ ansehen, die im wirklichen Leben keinen Nutzen haben. Sehen Sie es als das wichtigste Dokument, in dem Sie festlegen, was Sie mit Ihrer Informationssicherheit erreichen wollen. Wenn sie richtig verfasst wird, ist die SoA ein perfekter Überblick, was, warum und wie etwas im Bereich Informationssicherheit getan werden muss.

Klicken Sie hier, um eine kostenlose Vorlage für die Erklärung zur Anwendbarkeit herunterzuladen.

0saves
Save
If you enjoyed this post, please consider leaving a comment in a box below or subscribing to the RSS feed to have future articles delivered to your feed reader.

This post is also available in: Englisch, Japanisch, Spanisch, Kroatisch, Portugiesisch, Brasilien


«

This entry was posted on Monday, April 18th, 2011 at 21:08 and is filed under Main. You can follow any responses to this entry through the RSS 2.0 feed. You can skip to the end and leave a response. Pinging is currently not allowed.

©2010-2012 Dejan Kosutic. Proudly powered by WordPress
Entries (RSS) and Comments (RSS).