ISO 27001 & BS 25999

Ihr Management hat Ihnen die Aufgabe übertragen, ein betriebliches Kontinuitätsmanagement umzusetzen, aber Sie sind nicht wirklich sicher, wie das geht? Obwohl es keine einfache Aufgabe ist, können Sie sich mit der BS 25999-2 Methodik das Leben einfacher machen – hier sind die wichtigsten Schritte, die für die Umsetzung dieser Norm notwendig sind:

1. Unterstützung des Managements einholen

Obwohl dies in BS 25999-2 kein verbindlicher Schritt ist, so ist dies sicherlich der entscheidende Schritt am Anfang. Sollte das Management die Vorteile des betrieblichen Qualitätsmanagements nicht verstehen und sich nicht für dieses Projekt engagieren, so ist das Projekt wahrscheinlich zum Scheitern verurteilt.

2. Behandeln Sie es als Projekt

Es wird ziemlich viel Zeit und Ressourcen kosten, Ihr betriebliches Kontinuitätsmanagement (BCMS) einzurichten – Sie müssen klar definieren, was getan werden muss, in welchem Zeitrahmen, und welche Aufgaben bei der Projektdurchführung anstehen. Mit anderen Worten müssen Sie Methoden des Projektmanagements anwenden.

3. Definieren Sie Ziele und Anwendungsbereich. Schreiben Sie eine BCM-Leitlinie

Sie müssen definieren, was Sie mit dem BCMS erreichen möchten – Compliance, Senken des Risikos, Anforderungen Ihrer Kunden/Partner usw. Darüber hinaus müssen Sie definieren, was Sie in Ihr BCMS integrieren werden – die gesamte Unternehmensorganisation oder nur einen Teil davon. So können Sie entscheiden, dass Sie nur Ihr Rechenzentrum einbeziehen, falls Sie Hosting-Dienstleistungen für Ihre Kunden anbieten. Alles dies muss in der BCMS-Leitlinie dokumentiert werden.

4. Definieren von Rollen und Verantwortlichkeiten für das BCMS

Da das BCMS in Ihrem Unternehmen zu einer dauerhaften Tätigkeit werden wird, müssen Sie klare Verantwortlichkeiten dafür definieren. Dies gilt besonders für den „Sponsor“ des BCMS (jemand, der die Verantwortung für das BCMS trägt, aber nicht in alltägliche BCMS-Tätigkeiten involviert ist) und „BCM-Koordinator“, „BCM-Manager“ oder Ähnliches – eine oder mehrere Personen mit aktiven Pflichten hinsichtlich des BCMS. Es ist am besten, diese Rollen und Verantwortlichkeiten in Ihrer BCM-Leitlinie zu dokumentieren.

5. Obligatorische Verfahren umsetzen

BS 25999-2 fordert die Umsetzung der folgenden vier obligatorischen Verfahren: Dokumenten- und Aufzeichnungsmanagement, internes Audit, Vorbeugungs- und Korrekturmaßnahmen. Diese Verfahren sind in der Tat das Fundament Ihres Managementsystems, ähnlich wie in der ISO 27001 oder ISO 9001.

6. Durchführen der Geschäftsauswirkungsanalyse und der Risikoeinschätzung

Mithilfe einer Geschäftsauswirkungsanalyse müssen Sie die kritischen Aktivitäten, ihren maximal tolerierbaren Störungszeitraum und die Abhängigkeiten dieser kritischen Aktivitäten (einschließlich Abhängigkeiten gegenüber Lieferanten und Outsourcing-Partnern) erkennen und Recovery Time Objectives festlegen.

Durch die Risikoeinschätzung finden sie tatsächlich heraus, welche Ursachen die Unterbrechung Ihrer kritischen Aktivitäten haben könnten – sie können natürliche Gründe haben oder auf Menschen zurückzuführen sein (entweder absichtlich oder versehentlich). Sie müssen auch eine Risikobehandlung durchführen. Das heißt, dass Sie entscheiden müssen, wie mögliche Fehlentwicklungen eingedämmt werden sollen. Leider werden Risikoeinschätzung und -behandlung in dieser Norm nicht sehr klar definiert. Daher sollten Sie vielleicht einen Blick auf ISO 27001 werden, in der diese Aspekte detaillierter beschrieben werden.

7. Festlegen der Strategie für betriebliches Kontinuitätsmanagement

Bevor Sie Pläne für betriebliches Kontinuitätsmanagement verfassen, müssen Sie festlegen, welche Ressourcen Sie für die Wiederaufnahme Ihrer kritischen Aktivitäten benötigen – welche Mitarbeiter, Standorte, Daten, Hardware, Software, Lieferanten, Outsourcing-Partner usw.

Die Strategie für betriebliches Kontinuitätsmanagement muss nicht nur festlegen, was Sie brauchen, sondern auch, wie Sie sich diese Ressourcen beschaffen.

8. Entwicklung eines Störfallmanagements und von Plänen für betriebliches Kontinuitätsmanagement

Der Zweck von Störfallmanagementplänen besteht darin, zu beschreiben, wie Sie direkt auf einen Vorfall reagieren (z. B. Feuer, Erdbeben, Bombendrohung, Stromausfall usw.), um eine Ausweitung zu verhindern und zu versuchen, die direkten Auswirkungen einzudämmen. Andererseits besteht der Zweck der Pläne für betriebliches Kontinuitätsmanagement in der Beschreibung, wie Sie Ihre kritischen Tätigkeiten wiederherstellen – wie Sie alle vorbereiteten Ressourcen in Aktionen umsetzen. Das bedeutet, dass Sie beschreiben müssen, wer was tun soll, in welcher Zeit, mithilfe welcher Daten und Technologie, um Ihr Unternehmen wieder in Betrieb nehmen zu können.

Sämtliche dieser Pläne müssen detailliert beschrieben werden, denn sie müssen auch dann ausgeführt werden, wenn das Hauptpersonal nicht verfügbar ist – aus diesem Grund müssen so geschrieben werden, dass jeder andere in der Lage wäre, sie auszuführen.

9. Schulung und Sensibilisierung

Sie müssen die erforderliche Kompetenz definieren, um die Pläne des betrieblichen Kontinuitätsmanagements im Falle einer Unterbrechung durchführen zu dürfen und dann sämtliche Mitarbeiter schulen (Mitarbeiter und externe Partner), um diese Kompetenz zu erreichen.

Dies ist jedoch nicht genug – Sie müssen Ihren Mitarbeiter auch erklären, warum BCM notwendig ist. Seien wir ehrlich – Ihre Pläne für betriebliches Kontinuitätsmanagement werden vielleicht nur einmal im Leben genutzt. Daher werden sie von vielen Menschen als Zeitverschwendung angesehen. Daher müssen Sie erklären, warum so eine Sache eingerichtet werden muss. (Siehe auch Der Umgang mit BCM-Skeptikern)

10. BCMS-Übungen

Wenn Sie dachten, dass Sie Ihre schriftlichen Pläne perfekt verfasst haben, liegen sie möglicherweise falsch – es ist fast unmöglich, gleich am Anfang einen fehlerfreien Plan zu schreiben. Deshalb sind Übungen ein obligatorischer Teil des BCMS: Sie müssen Ihre Pläne in einer Situation testen, die der einer echten Störung mehr oder weniger ähnelt. Nur dann werden Sie herausfinden, was Sie gut geplant haben – und was nicht.

11. Pflege und Überprüfung des BCMS

Ein weiterer Weg, um Ihr BCMS aktuell zu halten, ist die Festlegung der Intervalle, in denen Sie Ihre Pläne für betriebliches Kontinuitätsmanagement sowie weitere Regelungen überprüfen (z. B. Verträge mit Lieferanten und Outsourcing-Partnern, Schulung und Sensibilisierung usw.). Es gibt alle möglichen Arten von umfeldbezogenen Veränderungen, durch die Ihre Dokumentation obsolet werden könnte: Es reicht aus, dass ein Mitarbeiter das Unternehmen verlässt, um in einem Plan eine unbrauchbare Rufnummer zu haben, falls diese Person eine Rolle im BCMS hatte.

Ebenso sind zwingend notwendig, im Ernstfall nach einem Vorfall eine Prüfung durchzuführen. Der Zweck besteht darin herauszufinden, wie das Unternehmen tatsächlich reagiert hat – wurden die Pläne befolgt oder nicht.

12. Internes Audit

Der Zweck des internen Audits besteht darin herauszufinden, ob etwas objektiv falsch ist – der interne Prüfer soll seine Person sein, die herausfinden kann, ob Ihr BCMS Fehler enthält, um diese zu korrigieren. Wird es richtig durchgeführt, so kann das interne Audit eine der besten Möglichkeiten sein, um Ihr BCMS zu verbessern. (Lesen Sie Probleme bei internen Auditoren nach ISO 27001 und BS 25999-2)

13. Managementprüfung

Wie bereits gesagt ist es sehr wichtig, Ihr Management in das Projekt einzubinden – Überprüfung des Managements wurde genau dafür verfasst. Gemäß der Norm muss das Management alle relevanten Fakten über BCM prüfen und entscheiden, ob es seinen Zweck erfüllt hat. Nachdem dies abgeschlossen ist, muss das Management entscheiden, welche Verbesserungen vorgenommen werden müssen.

14. Vorbeugungs- und Korrekturmaßnahmen

Am besten wäre es, Fehler (oder „Nichtübereinstimmungen“, um es mit BS 25999 auszudrücken) bereits zu vermeiden, bevor sie geschehen – dafür werden Vorbeugungsmaßnahmen verwendet – sie korrigieren Dinge auf systematische Weise, bevor ein Problem auftritt. Ähnlich wie bei Vorbeugungsmaßnahmen gibt es auch Korrekturmaßnahmen, die das bereits aufgetretene Problem beheben.

Nun lautet die Frage: Warum sollte man BS 25999-2 verwenden? Obwohl es (noch) keine internationale Norm ist, so ist es doch die weltweit beliebteste Norm für betriebliches Kontinuitätsmanagement. Die oben genannten Schritte wurden von den besten Fachleuten für betriebliches Kontinuitätsmanagement erstellt. Wenn Sie also besten anerkannten Umsetzungsverfahren für betriebliches Kontinuitätsmanagement einsetzen wollen, brauchen Sie nicht weiterzusuchen.

Hier können Sie das Diagramm der BS 25999-2 Umsetzung herunterladen. Es zeigt alle diese Schritte zusammen mit den erforderlichen Unterlagen (Registrierung erforderlich).

Ist es Ihnen schon passiert, dass Ihr Management Ihnen die Verantwortung für Umsetzung des betrieblichen Kontinuitätsmanagements übertragen hat, nur weil Sie in der IT-Abteilung arbeiten? Warum wird betriebliches Kontinuitätsmanagement in der Regel mit Informationstechnologie in Verbindung gebracht?

Das liegt wahrscheinlich daran, dass betriebliches Kontinuitätsmanagement aus dem ‚Disaster Recovery‘ (DR) entstanden ist, und Disaster Recovery im Grunde auf Informationstechnologie basiert. Vor 20 oder 30 Jahren gab es das betriebliche Kontinuitätsmanagement als Konzept noch nicht, dafür aber Disaster Recovery (DR) – das Hauptanliegen war, im Falle einer Katastrophe die Daten zu retten. Damals war es sehr beliebt, teure Geräte zu kaufen und an einem entfernten Ort aufzustellen, so dass alle wichtigen Daten eines Unternehmens zum Beispiel im Falle eines Erdbebens erhalten blieben. Nicht nur erhalten, sondern auch, dass die Daten mit mehr oder weniger der gleichen Kapazität verarbeitet würden, als ob sie sich am Hauptstandort befunden hätten.

Nach einer Weile wurde jedoch klar – was würde mit den Daten gemacht werden können, falls es keine Geschäftstätigkeit mehr gäbe, um diese Daten zu nutzen? So wurde die Idee des betrieblichen Kontinuitätsmanagements geboren – sein Zweck bestand darin, den fortlaufenden Betrieb des Unternehmens selbst im Falle eines größeren Vorfalls zu ermöglichen.

Definitionen

Werfen wir einen Blick auf die Definitionen – betriebliches Kontinuitätsmanagement ist die „strategische und taktische Fähigkeit des Unternehmens, für Vorfälle Störungen des Geschäftsbetriebs zu planen und auf diese zu reagieren, um betriebliche Abläufe auf einem vorab definierten akzeptablen Niveau weiterzuführen“ (BS 25999-2:2007), während die Wiederherstellung im Notfall die „Prozesse, Leitlinien und Verfahren für die Wiederherstellung oder Fortsetzung der kritischen technologischen Infrastruktur eines Unternehmens nach einer natürlichen oder vom Menschen verursachten Katastrophe“ umfasst (englischsprachige Wikipedia).

Wie Sie den Definitionen entnehmen können, liegt der Schwerpunkt in der DR auf der Technologie, während es im BC vor allem um den Geschäftsbetrieb geht. Daher ist Disaster Recovery Teil des betrieblichen Kontinuitätsmanagements. Sie können DR als einen der wichtigsten Faktoren des Geschäftsbetriebs oder als den technologischen Teil des betrieblichen Kontinuitätsmanagements betrachten.

Vielleicht haben Sie auch etwas anderes bemerkt: Die Definition des BC entstammt der BS 25999-2, der führenden Norm für betriebliches Kontinuitätsmanagement, während die Definition von DR aus der Wikipedia zitiert wird. Eigentlich ist „Betriebliches Kontinuitätsmanagement“ eine offizielle, in Normen anerkannte Bezeichnung, „Disaster Recovery“ ist es dagegen nicht.

Auswirkungen auf Umsetzung

Warum ist es eine schlechte Idee, dass die IT-Abteilung das betriebliche Kontinuitätsmanagement für das gesamte Unternehmen umsetzt? Weil betriebliches Kontinuitätsmanagement vor allem ein Thema für das Unternehmen und kein IT-Problem ist. Falls die IT-Abteilung betriebliches Kontinuitätsmanagement für das gesamte Unternehmen umsetzt, so könnte sie weder die kritische Bedeutung der Geschäftstätigkeit noch die Wichtigkeit von Informationen zu definieren. Außerdem steht infrage, ob die IT-Abteilung das Engagement der geschäftlichen Unternehmensteile erreichen würde.

Der beste Weg, um betriebliches Kontinuitätsmanagement umzusetzen und zu organisieren, besteht darin, dass der geschäftliche Teil des Unternehmens ein solches Projekt leitet – so werden ein größeres Bewusstsein und stärkere Akzeptanz aller Unternehmensteile erreicht. Die IT-Abteilung sollte natürlich ihre Rolle in einem solchen Projekt – eine entscheidende Rolle – wahrnehmen, um Disaster Notfallpläne vorzubereiten.

Sie können sich auch unser Webinar BS 25999-2 Foundations Part 1: Business Impact Analysis ansehen (kommerzielles Training).

Anhang A der ISO 27001 ist der wohl am häufigsten genannte Anhang einer Managementnorm. Warum gibt es so viel darüber zu reden? Warum geschieht dies manchmal so kontrovers?

Falls Sie den Anhang A gelesen haben, so haben Sie gesehen, dass dort 133 Sicherheitsmaßnahmen aufgeführt sind. Falls dies so ist, wozu wird der größte Teil der Norm verwendet?

Zweck

Anhang A enthält die folgenden Klauseln (manchmal auch als ISO 27001 Anhang A Bereiche genannt):

• A.5 Sicherheitsrichtlinien
• A.6 Organisation der Informationssicherheit
• A.7 Management von organisationseigenen Werten
• A.8 Personelle Sicherheit
• A.9 Physikalische und ökologische Sicherheit
• A.10 Betriebs- und Kommunikationsmanagement
• A.11 Zugangskontrolle
• A.12 Beschaffung, Entwicklung und Wartung von Informationssystemen
• A.13 Umgang mit Informationssicherheitsvorfällen
• A.14 Betriebliches Kontinuitätsmanagement
• A.15 Einhaltung

Wie bereits erwähnt enthält Anhang A 133 Maßnahmen, die – wie man den Namen der Abschnitte entnehmen kann – nicht allein auf IT ausgerichtet sind. Sie decken ebenso physische Sicherheit, Rechtsschutz, Personalmanagement, organisatorische Fragen usw. ab.

Aus diesem Grund sollten Sie Anhang A als eine Art Katalog von einzusetzenden Maßnahmen betrachten, den Sie während ihres Behandlungsprozesses einsetzen. Sobald Sie unzulässige Risiken bei der Risikoeinschätzung erkennen, hilft Anhang A Ihnen dabei, die richtige Maßnahme(n) zu wählen, um diese Risiken zu senken. Und stellen Sie sicher, dass Sie keine wichtige Maßnahme vergessen.

Im Anhang A kommen ISO 27001 und ISO 27002 zusammen – die Maßnahmen in ISO 27002 sind die gleichen wie in Anhang A der ISO 27001. Der Unterschied liegt in den Details – ISO 27001 nennt für jede Maßnahme nur eine kurze Definition, während ISO 27002 detaillierte Leitlinien nennt, wie die Maßnahme umzusetzen ist.

Nachteile

Wenn Sie jetzt denken, dass Anhang A das perfekte Umsetzungswerkzeug für Ihr Informationssicherheitsprojekt ist, so sollten Sie nicht zu optimistisch sein – er umfasst auch einige Dinge, die keinen Sinn machen. So definieren einige Maßnahmen beinahe die gleichen Fragen, was manchmal für Verwirrung sorgt – wie A.9.2.6 (Sichere Entsorgung oder Wiederverwendung von Betriebsmitteln) und A.10.7.2 (Entsorgung von Medien). Auf der anderen Seite werden einige Probleme wie die Beziehungen zu Dritten auf verschiedene Abschnitte des Anhangs A verstreut. Sie finden sie in Abschnitt A.6.2 (Externe Beziehungen), A.8 (Personelle Sicherheit) und A.10.2 (Management der Dienstleistungs-Erbringung von Dritten) sowie in der Maßnahme A.12.5.5 (Ausgelagerte Softwareentwicklung). Deswegen ist es manchmal schwierig, Anhang A als Umsetzungswerkzeug zu verwenden.

Aber dies sind nicht die einzigen Unklarheiten – bei einigen der Maßnahmen erwähnt Anhang A Richtlinien und Verfahren, fordert aber nicht deren Dokumentation. Es erscheint komisch, aber nur dort, wo das Wort „dokumentiert“ erscheint, verlangt die Normen schriftliche Richtlinien/Verfahren. Wenn Sie die gesamte Anlage A analysieren, so wird der Begriff „dokumentiert“ in nur 6 Maßnahmen genannt (A.5.1.1, A.7.1.3, A.8.1.1, A.10.1.1, A.11.1.1, A.15.1.1). Das heißt, dass Sie alle anderen Maßnahmen ohne Dokumentation umsetzen können.

Allerdings sollte man diese Flexibilität der Anlage A nicht missbrauchen. Je größer das Unternehmen ist, desto mehr Dokumente sollten Sie erstellen, um zu gewährleisten, dass sich jeder Ihrer Sicherheitsverfahren bewusst ist (und diese erfüllt). Auf der anderen Seite sollten Sie darauf achten, die Dokumentation nicht zu übertreiben – falls sie übertrieben groß ist, wird sie von niemandem mehr beachtet werden.

Verbindung zum wichtigsten Teil der ISO 27001

Der Hauptteil der Norm, oder genauer gesagt die verbindlichen Abschnitte 4 bis 8 enthalten den Managementteil der Norm – sie schreiben den PDCA-Zyklus (Planen – Durchführen – Überprüfen – Handeln) vor, einschließlich Risikoeinschätzung und -behandlung, Dokumentations- und Aufzeichnungsmanagement, Bereitstellung von Ressourcen, internes Audit, Managementprüfung, Korrektur- und Vorbeugungsmaßnahmen usw.

Wie bereits erwähnt sind Risikoeinschätzung und Risikobehandlung die wichtigste Verbindung der Abschnitte 4 bis 8 und der Maßnahmen in Anhang A. Sie werden Ihnen bei der Entscheidung helfen, ob einzelne Maßnahmen aus Anhang A sind das Senken der Risiken notwendig sind oder nicht.

Das bedeutet, dass die Abschnitte 4 bis 8 und Anhang A nur gemeinsam existieren können. Die Risikoeinschätzung macht keinen Sinn, wenn es keine Maßnahmen gibt, um die Risiken zu verringern, und der einzige Weg, um die Anwendbarkeit der Maßnahmen zu bestimmen, ist eine Risikoeinschätzung.

Meiner Meinung nach gehören dieser Schwerpunkt auf Risiken sowie die Flexibilität bei der Anwendung der Sicherheitsmaßnahmen gemäß der eigenen Einschätzung zu den größten Vorteilen der ISO 27001 – Sie müssen nur darauf achten, den vollen Nutzen daraus zu ziehen.

Sie können sich auch unser Webinar ISO 27001 Foundations Part 3: Annex A overview ansehen (kommerzielles Training).

Haben Sie jemals etwas gehört wie „es kann nicht durchgeführt werden“, „es hat keinen Sinn“, oder „es ist nutzlos, wenn eine größere Katastrophe eintritt“? Falls Sie betriebliches Kontinuitätsmanagement umgesetzt haben, so ist dies wahrscheinlich der Fall. Natürlich würde eine solche Haltung Ihr Projekt nicht voranbringen. Daher folgen einige Vorschläge, wie man mit solchen Leuten umgeht.

„Falls eine größere Katastrophe eintritt, werden wir nichts tun können“

Dies ist wahrscheinlich das häufigste Gegenargument. Nun, das kann stimmen, sofern Sie Ihre Strategie des betrieblichen Kontinuitätsmanagements und Ihre Pläne des betrieblichen Kontinuitätsmanagements nicht unter Berücksichtigung aller möglichen Szenarien erstellt haben. Sollten Sie dies jedoch gemacht haben, dann können Sie entgegnen, dass Sie einen alternativen Standort vorbereitet haben, der für jede Art von Katastrophe weit genug entfernt ist, dass Sie eine Sicherungskopie der Daten vorgenommen haben, dass es einen Ersatz für jeden Mitarbeiter des Unternehmens gibt, dass Sie alternative Anbieter für jede kritische Dienstleistung haben usw.

„Falls ein Atomkrieg ausbricht, wird es nicht funktionieren“

Nun, sofern Sie kein militärischer Lieferant sind, spielt das keine Rolle, oder? Grundsätzlich hätte Ihr Unternehmen bei dieser Art von Katastrophenszenarien keinen Zweck mehr.

„Es hat keinen Sinn“

Beten Sie einfach, dass Sie nie wieder betriebliches Kontinuitätsmanagement brauchen Auch ohne Erwähnung der bekannten Beispiele wie der 11. September oder Hurrikan Katrina reicht es schon, zu fragen, ob Sie jemals einen Stromausfall erlebt haben? Oder ist Ihr Server ausgefallen? Oder vielleicht ein PC mit wichtigen Daten? Haben Sie jemals von einem Gebäude gehört, das vollständig abgebrannt ist? Es reicht aus, die Schlagzeilen einer Zeitung zu lesen, um zu verstehen, dass diese Dinge jedem passieren können.

„Wir tun dies nur, um den Auditor zufriedenzustellen“

Falsche Priorität. Wenn Sie es richtig machen, werden Sie sich selbst schützen, und als Folge dessen wird Ihr Auditor zufrieden sein.

„Wir können nicht alle Vorfälle voraussehen“

Das stimmt, zumindest am Anfang. Aber wenn Sie Ihre Risikoeinschätzung wichtig durchführen, nutzen Sie Literatur und verschiedene Ressourcen und prüfen die Einschätzung. Die Chancen stehen gut, dass Sie rechtzeitig in der Lage sind, auf alle möglichen Risiken einzugehen. Sobald Sie diese kennen, können Sie Ihre Antwort vorbereiten.

„Im Notfall werden die Menschen nach ihren Familien schauen, nicht nach dem Unternehmen.“

Auch wahr. Wer würde im Falle eines Erdbebens nicht zuerst seine/ihre Familie anrufen, ob sie alle gesund sind? Aber wenn Sie sehr sorgfältig planen, wer nach einem Vorfall direkt nach Hause gehen kann und wer bleiben und die Situation lösen muss, wenn Sie sich um die Familie der bleibenden Mitarbeiter kümmern (z. B. durch Zuweisung eines anderen Mitarbeiters für diese Aufgabe), dann haben Sie dieses Problem vermutlich gelöst.

„Menschen werden in Krisensituationen irrational reagieren“

Definitiv wahr. Aber wenn Sie Ihre Mitarbeiter (und Lieferanten/Partner) regelmäßig schulen, und wenn Sie Ihre Pläne für betriebliches Kontinuitätsmanagement üben, dann werden sie sich an Stresssituationen gewöhnen, und reagieren wahrscheinlich richtig, falls solche Situationen auftreten.

Wenn Sie ähnliche Projekte bereits umgesetzt werden, dann wissen Sie, wie wichtig die Sensibilisierung ist. Wenn Ihre Kollegen den Zweck solcher Projekte nicht erkennen, werden Sie bei der Umsetzung große Schwierigkeiten erleben. Nicht zu vergessen, dass Ihr Projekt insgesamt scheitern könnte – darum müssen Sie daran denken, rechtzeitig Bewusstsein zu schaffen.

Sie können sich auch unser Webinar BS 25999-2 Foundations Part 2: Business Continuity Strategy ansehen (kommerzielles Training).

Wenn Sie beginnen, ISO 27001 umzusetzen, suchen Sie wahrscheinlich nach einem einfachen Weg. Ich muss Sie leider enttäuschen: Es gibt keinen einfachen Weg. Allerdings werde ich versuchen, Ihre Arbeit zu erleichtern – um eine Zertifizierung nach ISO 27001 zu erreichen, müssen Sie die folgenden sechzehn Schritte absolvieren:

1. Unterstützung des Managements einholen

Dieser Punkt erscheint ziemlich offensichtlich – er wird in der Regel jedoch nicht ernst genug genommen. Nach meiner Erfahrung ist dies der Hauptgrund, warum ISO 27001-Projekte scheitern: Das Management stellt nicht genügend Mitarbeiter oder Gelder für das Projekt bereit. (Lesen Sie Vier wichtige Vorteile der ISO 27001-Umsetzung für Ideen, um dem Management den Fall zu präsentieren.)

2. Behandeln Sie es als Projekt

Wie bereits gesagt wurde, ist die Umsetzung von ISO 27001 ein komplexes Thema, das verschiedene Tätigkeiten und viele Personen umfasst und mehrere Monate (oder mehr als ein Jahr) dauert. Wenn Sie nicht eindeutig definieren, was zu tun ist, wer es tun wird und in welchem Zeitrahmen (d. h. die Durchführung eines Projektmanagements), könnten Sie genauso gut die Aufgabe nie zu Ende bringen.

3. Definieren Sie den Anwendungsbereich

Wenn Sie ein größeres Unternehmen sind, ist es wahrscheinlich sinnvoll, ISO 27001 nur in einem Teil Ihres Unternehmens zu implementieren, um damit Ihr Projektrisiko deutlich zu senken. (Probleme bei der Festlegung des Anwendungsbereichs für ISO 27001)

4. Schreiben Sie eine ISMS-Leitlinie

Die ISMS-Leitlinie ist das Dokument höchster Ebene in Ihrer ISMS – es sollte nicht sehr detailliert sein, aber einige grundlegende Fragen zur Informationssicherheit in Ihrem Unternehmen definieren. Aber was ist ihr Zweck, wenn sie nicht detailliert ist? Der Zweck besteht für das Management darin, zu definieren, was es erreichen will und wie es diesen Vorgang steuern wird. (Informationssicherheitsleitlinie – wie detailliert sollte sie sein?)

5. Festlegen der Methodik für die Risikoeinschätzung.

Die Risikoeinschätzung ist die komplizierteste Aufgabe im ISO 27001 Projekt – der entscheidende Punkt ist, die Regeln zur Ermittlung der organisationseigenen Werte, Schwachstellen, Bedrohungen, Auswirkungen und Wahrscheinlichkeiten zu bestimmen und die zulässige Höhe des Risikos zu definieren. Werden diese Regeln nicht klar definiert, so können Sie sich in einer Situation wiederfinden, in der Sie unbrauchbare Ergebnisse erhalten. (Lesen Sie Tipps zur Risikobewertung für Kleinunternehmen)

6. Durchführen der Risikoeinschätzung und Risikobehandlung

Hier müssen Sie umsetzen, was im vorherigen Schritt definiert wurde – bei großen Unternehmen kann dies mehrere Monate dauern, weshalb Sie einen solchen Aufwand sehr sorgfältig koordinieren sollten. Entscheidend ist, ein umfassendes Bild der Gefahren für die unternehmenseigenen Informationen zu erhalten.

Der Zweck der Risikobehandlung besteht darin, die nicht akzeptablen Risiken zu senken – dies erfolgt üblicherweise dadurch, dass der Einsatz der Maßnahmen aus Anhang A geplant wird.

In diesem Schritt wird Bericht zur Risikoeinschätzung verfasst, der alle Schritte der Risikoeinschätzung und der Risikobehandlung dokumentiert. Ebenso muss eine Genehmigung der Restrisiken eingeholt werden – entweder als separates Dokument oder als Teil der Erklärung zur Anwendbarkeit.

7. Erstellung einer Erklärung zur Anwendbarkeit

Sobald Sie Ihre Risikoeinschätzung abgeschlossen haben, werden Sie genau wissen, welche Maßnahmen aus Anhang A benötigt werden (insgesamt gibt es 133 Maßnahmen, aber sie werden wahrscheinlich nicht alle brauchen). Mit diesem Dokument (häufig „SoA“ genannt) sollen alle Maßnahmen aufgelistet und festgelegt werden, welche Maßnahmen anwendbar sind und welche nicht, die Gründe für diese Entscheidung, die mit den Maßnahmen zu erreichenden Ziele sowie eine Beschreibung, wie die Maßnahmen umgesetzt werden.

Die Erklärung zur Anwendbarkeit ist auch das am besten geeignete Dokument, um die Genehmigung des Managements für die Durchführung des ISMS einzuholen.

8. Plan zur Risikobehandlung erstellen

Gerade als Sie dachten, Sie hätten alle risikobezogenen Dokumente gelöst, kommt das nächste – der Zweck des Risikobehandlungsplans besteht darin, genau zu definieren, wie die Maßnahmen aus dem SoA umgesetzt werden sollen – wer führt sie durch, wann, mit welchem Budget usw. Dieses Dokument ist eigentlich ein Umsetzungsplan, der sich auf Ihre Maßnahmen konzentriert. Ohne ihn wären Sie nicht in der Lage, weitere Schritte im Projekt durchzuführen.

9. Definieren Sie, wie Sie die Wirksamkeit der Maßnahmen messen werden

Eine weitere Aufgabe, die in der Regel unterschätzt wird. Der wichtige Aspekt dabei ist – wenn Sie nicht messen können, was Sie getan haben, wie können Sie dann sicher sein, dass Sie den Zweck erfüllt haben? Aus diesem Grund müssen Sie festlegen, wie Sie die Erfüllung der von Ihnen gesetzten Ziele sowohl für das gesamte ISMS als auch für jede anwendbare Maßnahme in der Erklärung zur Anwendbarkeit messen wollen.

10. Umsetzung der Maßnahmen und verbindliche Verfahren

Leichter gesagt als getan. Hier müssen Sie die vier obligatorischen Verfahren und die anwendbaren Maßnahmen aus Anhang A umsetzen.

Dies ist meist die riskanteste Aufgabe im Projekt. Sie bedeutet normalerweise die Anwendung neuer Technologien, vor allem aber die Umsetzung neuer Verhaltensweisen in Ihrem Unternehmen. Oft werden neue Strategien und Verfahren benötigt (was bedeutet, dass Änderungen erforderlich sind). Menschen stehen Veränderungen üblicherweise ablehnend gegenüber – darum ist die nächste Aufgabe (Schulung und Sensibilisierung) entscheidend für die Vermeidung dieses Risikos.

11. Durchführung der Schulungs- und Sensibilisierungsprogramme

Wenn Sie wollen, dass Ihr Personal alle neuen Richtlinien und Verfahren umsetzt, müssen Sie ihnen zunächst erklären, warum sie notwendig sind, und sie müssen Ihre Mitarbeiter schulen, ihre Aufgaben wie erwartet wahrzunehmen. Das Ausbleiben dieser Tätigkeiten ist die zweithäufigste Ursache für das Scheitern von ISO 27001 Projekten.

12. Betreiben des ISMS

Dies ist der Teil, in dem ISO 27001 zur alltäglichen Routine in Ihrem Unternehmen wird. Das entscheidende Wort hier lautet: „Aufzeichnungen“. Prüfer lieben Aufzeichnungen – ohne Aufzeichnungen wird es sehr schwer für Sie, die Durchführung von Aktivitäten wirklich nachzuweisen. Aber Aufzeichnungen sollten Ihnen in erster Linie helfen. Mit ihrer Hilfe können Sie beobachten, was geschieht. Sie werden tatsächlich mit Sicherheit wissen, ob Ihre Mitarbeiter (und Lieferanten) ihren Aufgaben wie gefordert nachkommen.

13. Überwachen des ISMS

Was passiert in Ihrem ISMS? Wie viele Vorfälle welcher Art gab es bei Ihnen? Werden alle Verfahren richtig ausgeführt?

Hier kommen die Ziele für Ihre Maßnahmen und Messmethodik zusammen – Sie müssen prüfen, ob ihre Ergebnisse den von Ihnen gesteckten Zielen entsprechen. Falls nicht, dann wissen Sie, dass etwas falsch läuft – Sie müssen Korrektur- und/oder Vorbeugungsmaßnahmen ergreifen.

14. Internes Audit

Sehr oft ist Menschen nicht bewusst, dass sie etwas falsch machen (auf der anderen Seite ist es das manchmal schon, aber sie wollen nicht, dass jemand davon erfährt). Aber die Unkenntnis vorhandener oder potenzieller Probleme kann Ihrer Organisation schaden – man muss interne Audits durchführen, um solche Dinge herauszufinden. Der springende Punkt ist nicht, disziplinarische Maßnahmen einzuleiten, sondern Korrektur- und/oder Vorbeugungsmaßnahmen zu ergreifen. (Lesen Sie Probleme bei internen Auditoren nach ISO 27001 und BS 25999-2)

15. Managementprüfung

Das Management muss nicht Ihre Firewall konfigurieren, aber es muss wissen, was im ISMS vor sich geht, d. h. ob jeder seine Aufgaben erfüllt, ob das ISMS die gewünschten Ergebnisse erzielt usw. Auf dieser Grundlage muss das Management einige entscheidende Entscheidungen treffen.

16. Korrektur- und Vorbeugungsmaßnahmen

Der Zweck des Managementsystems besteht darin, dass alle Fehler (sogenannte „Nichtübereinstimmungen“) behoben oder hoffentlich verhindert werden. Daher ist es nach ISO 27001 erforderlich, dass systematisch Korrektur- und Vorbeugungsmaßnahmen durchgeführt werden. Das bedeutet, dass die Ursache einer Nichtübereinstimmung festgestellt sowie anschließend aufgelöst und verifiziert werden muss.

Hoffentlich konnte dieser Artikel klären, was getan werden muss – obwohl ISO 27001 keine leichte Aufgabe darstellt, ist sie nicht unbedingt kompliziert. Sie müssen nur jeden Schritt sorgfältig planen und keine Angst haben – Sie werden Ihr Zertifikat erhalten.

Hier können Sie das Diagramm der ISO 27001 Umsetzung herunterladen. Es zeigt alle diese Schritte zusammen mit den erforderlichen Unterlagen.

Wenn Sie auf die ISO 27001 und ISO 27002 gestoßen sind, so haben Sie wahrscheinlich bemerkt, dass ISO 27002 wesentlich detaillierter und viel genauer ist – nun, welchen Zweck hat ISO 27001 dann noch?

Zunächst einmal können Sie nicht nach ISO 27002 zertifizieren lassen, weil es sich nicht um eine Managementnorm handelt. Was ist eine Managementnorm? Managementnorm heißt, dass festgelegt wird, wie ein System funktioniert. Im Falle der Norm ISO 27001 werden die Informationssicherheits-Managementsysteme (ISMS) definiert – also ist eine Zertifizierung nach ISO 27001 möglich.

Managementsystem bedeutet, dass Informationssicherheit geplant, umgesetzt, überwacht, geprüft und verbessert werden muss. Es bedeutet, dass das Management eigene Verantwortlichkeiten hat, dass Ziele festgelegt, gemessen und geprüft werden müssen, das interne Audits durchgeführt werden müssen und so weiter. Alle diese Elemente werden in ISO 27001 definiert, aber nicht in ISO 27002.

Die Maßnahmen nach ISO 27002 tragen die gleichen Namen wie in Anhang A der ISO 27001 – zum Beispiel wird Maßnahme 6.1.6 in ISO 27002 „Kontakt zu Behörden“ genannt, während in ISO 27001 Maßnahme A.6.1.6 „Kontakt zu Behörden“ heißt. Doch der Unterschied liegt in den Einzelheiten – in ISO 27002 umfasst die Erklärung einer Maßnahme durchschnittlich eine ganze Seite, während ISO 27001 jeder Maßnahme nur einen Satz widmet.

Schließlich besteht der Unterschied darin, dass ISO 27002 keinen Unterschied zwischen Maßnahmen für ein bestimmtes Unternehmen und übergreifende Maßnahmen macht. Andererseits schreibt ISO 27001 eine zwingend durchzuführende Risikoeinschätzung vor, die für jede Maßnahme feststellt, ob sie zwecks Verringerung der Risiken erforderlich ist, und wenn ja, in welchem ​​Umfang sie angewendet werden sollte.

Die Frage lautet: Warum bestehen zwei Normen getrennt nebeneinander, warum wurden sie nicht zusammengeführt, um die positiven Seiten beider Normen zusammenzubringen? Die Antwort ist Anwenderfreundlichkeit – hätte es eine einzelne Norm gegeben, so wäre sie zu komplex und zu groß für den praktischen Einsatz geworden.

Jeder Standard der ISO 27000-Reihe wurde für einen bestimmten Schwerpunkt konzipiert – falls Sie Grundlagen der Informationssicherheit in Ihrem Unternehmen umsetzen und dafür einen Rahmen schaffen wollen, so sollten Sie ISO 27001 verwenden. Wollen Sie dagegen Kontrollen einrichten, so sollten Sie ISO 27002 verwenden. Für die Durchführung von Risikoeinschätzung und Risikobehandlung wäre ISO 27005 genau richtig usw.

Abschließend könnte man sagen, dass die in Anhang A der ISO 27001 festgelegten Maßnahmen ohne die Details in ISO 27002 nicht umgesetzt werden könnten. Ohne den Managementrahmen aus ISO 27001 jedoch bliebe ISO 27002 nur ein isoliertes Projekt einzelner Anhänger der Informationssicherheit, ohne Akzeptanz des leitenden Managements und damit ohne wirkliche Auswirkungen auf das Unternehmen.

Sie können sich auch unser Webinar ISO 27001 Foundations Part 3: Annex A overview ansehen (kommerzielles Training).

Haben sie jemals versucht, Ihr Management davon zu überzeugen, Informationssicherheit auf grundlegende Weise umzusetzen? Wenn ja, dann wissen Sie wahrscheinlich, wie es sich anfühlt – sie werden Sie fragen, wie viel es kostet, und wenn es zu teuer klingt, werden sie Nein sagen.

Eigentlich sollte man ihnen das nicht verdenken – schließlich ist die Rentabilität des Unternehmens ihre ultimative Verantwortung. Das bedeutet, dass jede ihrer Entscheidungen auf dem Gleichgewicht zwischen Investition und Nutzen basiert, oder um es in der Sprache des Managements auszudrücken: ROI (Return on Investment).

Das heißt, Sie müssen zuerst Ihre Hausaufgaben machen, bevor Sie versuchen, eine solche Investition vorzuschlagen. Denken Sie sorgfältig darüber nach, wie Sie Vorteile präsentieren und eine Sprache einsetzen, die vom Management verstanden wird und Zustimmung findet.

Ich werde versuchen, Ihnen zu helfen – es gibt zahlreiche Vorteile der Informationssicherheit und insbesondere der Umsetzung der ISO 27001. Aber meiner Erfahrung nach sind die folgenden vier Punkte am wichtigsten:

1. Einhaltung

Es mag seltsam klingen, dies als wichtigsten Vorteil aufzuführen, aber die Einhaltung (Compliance) zeigt oft die schnellste Rendite. Wenn ein Unternehmen verschiedene Vorschriften bezüglich Datenschutz, Privatsphäre und EDV einhalten muss (insbesondere bei Finanz-, Gesundheits- oder Regierungsorganisationen), dann kann ISO 27001 die Methodik einbringen, um dies am effizientesten durchzuführen.

2. Marketing

Auf einem immer stärker durch Wettbewerb gekennzeichneten Markt ist es manchmal sehr schwierig, etwas zu finden, was Sie aus Sicht Ihrer Kunden abhebt. ISO 27001 könnte in der Tat ein Alleinstellungsmerkmal sein, vor allem wenn Sie sensible Daten der Kunden verarbeiten.

3. Senkung der Kosten

Informationssicherheit wird üblicherweise als Unkosten betrachtet, ohne offensichtlichen finanziellen Gewinn. Allerdings gibt es einen finanziellen Vorteil, wenn Sie Ihre durch Vorfälle verursachten Kosten senken. Sie haben es wahrscheinlich mit einer Betriebsunterbrechung oder gelegentlichen Datenlecks oder unzufriedenen Mitarbeitern zu tun. Oder verärgerte ehemalige Angestellte.

Die Wahrheit ist, dass es noch keine Methode und/oder Technologie gibt, um die Summe zu berechnen, die Sie durch ein Verhindern dieser Vorfälle einsparen würden. Aber es klingt immer gut, wenn Sie dem Management diese Fälle präsentieren.

4. Bringen Sie Ihr Geschäft in Ordnung

Dieser Punkt ist wahrscheinlich am stärksten unterschätzt – falls Sie ein Unternehmen sind, dass den letzten Jahren stark gewachsen ist, könnten Sie vor Problemen stehen wie zum Beispiel ‚wer entscheidet was‘, ‚wer ist für bestimmte Informationen verantwortlich‘, ‚wer genehmigt den Zugang zu Informationssystemen‘ usw.

ISO 27001 ist besonders gut für die Bewältigung dieser Probleme geeignet – diese Norm wird Sie zwingen, Verantwortlichkeiten und Pflichten sehr genau zu umreißen und damit Ihre interne Organisation stärken.

Abschließend gesagt könnte ISO 27001 Ihnen viele Vorteile einbringen – sie ist mehr als nur ein weiteres Zertifikat an der Wand. Wenn Sie diese Vorteile klar darstellen, so wird das Management in den meisten Fällen anfangen, Ihnen zuzuhören.

Sie können sich auch unser Webinar ISO 27001 / BS 25999-2 management responsibilities: What does management need to know? ansehen (kommerzielles Training).

Sie wussten wahrscheinlich, dass ISO 27001 in einem ersten Schritt den Anwendungsbereich definiert. Wahrscheinlich wissen Sie nicht, dass dieser auf den ersten Blick so einfache Schritt manchmal eine ganze Menge Ärger verursachen kann. Natürlich versuchen viele Unternehmen, ihre Umsetzungskosten durch Einengung des Anwendungsbereichs zu senken. Oft genug finden sie sich aber in einer Situation wieder, in der ein solcher Anwendungsbereich Probleme bereitet.

Wo ist dann das Problem?

Falls der Anwendungsbereich der ISO 27001 nicht das gesamte Unternehmen ist, so stellt sich das Problem, dass das Informationssicherheits-Managementsystem (ISMS) Schnittstellen zur „Außenwelt“ haben muss – in diesem Zusammenhang bedeutet „Außenwelt“ nicht nur die Kunden, Partner, Lieferanten usw., sondern auch die Abteilungen des Unternehmens, die außerhalb des Anwendungsbereichs liegen. Es mag komisch klingen, aber eine Abteilung, die sich außerhalb des Anwendungsbereichs befindet, sollte auf die gleiche Weise wie ein externer Lieferant behandelt werden.

Sollten Sie beispielsweise beschließen, dass sich der Anwendungsbereich nur auf Ihre IT-Abteilung erstreckt und diese Abteilung die Dienste der Abteilung nutzt, so sollte die IT-Abteilung eine Risikoeinschätzung Ihrer Einkaufsabteilung vornehmen, ob ein Risiko für die Informationen besteht, für die Ihre IT-Abteilung verantwortlich ist. Außerdem sollten die beiden Abteilungen für die geleisteten Dienste allgemeine Geschäftsbedingungen vereinbaren.

Warum sind diese Fixkosten notwendig? Man muss sich in die Zertifizierungsstelle versetzen – sie muss bescheinigen, dass Sie innerhalb Ihres Anwendungsbereichs in der Lage sind, Informationen auf sichere Art und Weise zu handhaben. Sie kann jedoch keine Ihrer Abteilungen außerhalb dieses Anwendungsbereichs prüfen. Die einzige Möglichkeit für eine solche Situation besteht darin, diese Abteilungen so zu behandeln, als ob es sich um externe Unternehmen handelt. (Bitte beachten: Zertifizierungsauditoren mögen niemals einen engen Anwendungsbereich.)

Damit hört der Ärger jedoch nicht auf. Manchmal ist ein enger Anwendungsbereich einfach nicht möglich, weil es keine Schnittstelle nach außen gibt. Wenn zum Beispiel Mitarbeiter aus beiden Abteilungen innerhalb und außerhalb des Anwendungsbereichs im gleichen Raum sitzen, so ist ein solcher Anwendungsbereich schwerlich umzusetzen. Wenn beide Mitarbeiter außerhalb und innerhalb des Anwendungsbereichs das gleiche lokale Netzwerk nutzen (ohne Segregation) und Zugriff auf verschiedene Netzwerkdienste haben, so ist ein solcher Anwendungsbereich definitiv unmöglich – es gibt keine Möglichkeit, den Informationsfluss innerhalb des Anwendungsbereichs zu kontrollieren.

Der entscheidende Punkt ist: eine Verengung Ihres ISMS-Anwendungsbereichs ist manchmal unmöglich und führt in den meisten Fällen zu unnötigem Aufwand. Was ursprünglich nicht wie eine gute Lösung erschienen, kann am Ende optimal sein – versuchen Sie, den Anwendungsbereich auf das gesamte Unternehmen auszudehnen. Die Faustregel lautet: Wenn es in Ihrem Unternehmen nicht mehr als ein paar hundert Mitarbeiter und einen oder wenige Standorte gibt, so deckt das ISMS optimalerweise das ganze Unternehmen ab.

Sollten Sie jedoch andererseits nicht das gesamte Unternehmen mit Ihrem ISMS-Anwendungsbereich abdecken können, so versuchen Sie zumindest, diesen in einer ausreichend unabhängigen Unternehmenseinheit umzusetzen. Versuchen Sie, die Beziehungen zu anderen Unternehmenseinheiten außerhalb des Anwendungsbereichs durch Definition ihrer Dienste mithilfe interner Dokumente zu lösen (Leitlinien, Verfahren usw.), die als „Vereinbarungen“ dienen – so könnten Sie die Pflichten diese Unternehmenseinheiten auf eine im täglichen Geschäftsbetrieb einsetzbaren Weise dokumentieren.

Na also – Sie haben den ersten Schritt Ihrer ISO 27001 Umsetzung erfolgreich absolviert.

Sie können sich auch unser Video Tutorial How to Define and Document the ISMS Scope According to ISO 27001 ansehen (kommerzielles Video).

Sie haben sich sicherlich gefragt, warum Sie eine Geschäftsauswirkungsanalyse (GAA) durchführen müssen, nachdem Sie die Risikoeinschätzung durchgeführt haben. Sie haben alle Risiken erkannt, nicht wahr? Sie haben viel Zeit für die Analyse Ihres Unternehmens aufgewendet – warum dann noch eine weitere Analyse?

Nun, ist der Zweck einer GAA ist etwas anderes. Im betrieblichen Kontinuitätsmanagement dreht sich alles um Zeit – es ist egal, ob Sie Ihre geschäftlichen Aktivitäten wiederherstellen, wenn dies nicht in angemessener Zeit geschieht. „Angemessen“ ist das, was die GAA festlegt. Ihr Hauptzweck ist es herauszufinden, welches Recovery Time Objective für jede kritische Aktivität innerhalb eines Unternehmens gilt.

Diese Art der Analyse wird oft auf die leichte Schulter genommen – erstens ist sichert Unternehmen normalerweise nicht bewusst, dass falsche Ergebnisse unnötige Kosten verursachen oder zu einer unpassenden Strategie des betrieblichen Kontinuitätsmanagements führen können. Ebenso wird der benötigte Aufwand für die Durchführung einer GAA unterschätzt.

Deshalb gebe ich hier einige Tipps, wie Ihre Geschäftsauswirkungsanalyse effizienter wird:

Behandeln Sie es als (Mini-)Projekt. Definieren Sie die für die Umsetzung verantwortliche Person sowie seine oder ihre Position. Definieren Sie Anwendungsbereich, Ziele und Zeitrahmen.

Machen Sie Ihre Hausaufgaben, bereiten Sie einen guten Fragebogen vor. Mit einem gut strukturierten Fragebogen sparen Sie eine Menge Zeit und erzielen Sie genauere Ergebnisse. Die Normen BS 25999-1 und BS 25999-2 geben Ihnen eine recht gute Vorstellung dessen, was enthalten sein muss – unter anderem müssen Sie Auswirkungen von Vorfällen erkennen und bestimmen, wie sich diese im Zeitablauf verändern. Sie müssen die benötigten Ressourcen für die Wiederherstellung erkennen usw. Es ist empfehlenswert, sowohl qualitative als auch quantitative Fragen einzusetzen, um Auswirkungen zu ermitteln.

Definieren Sie klare Kriterien. Wenn Ihr Gesprächspartner Werte zum Beispiel von 1 bis 5 zuweisen muss, so erklären Sie genau, wofür diese fünf Noten stehen. Es ist nicht ungewöhnlich, dass dasselbe Ereignis von Mitarbeitern in niedrigeren Positionen als Katastrophe bewertet wird, während leitende Angestellte dessen Auswirkungen als mäßig beurteilen.

Datenerfassung durch menschliche Interaktion. Die besten Ergebnisse werden erzielt, wenn ein Fachmann im betrieblichen Kontinuitätsmanagement ein Interview mit dem Verantwortlichen für eine kritische Aktivität führt. Auf diese Weise werden viele offene Fragen geklärt und ausgewogene Antworten gegeben. Sollten die Gespräche nicht durchführbar sein, führen Sie mit allen Beteiligten mindestens einen Workshop durch, so dass sie alles fragen können, was auf sie beunruhigend wirkt. Anders ausgedrückt: Sie sollten nicht nur die Fragebögen zusenden und auch noch schimpfen, wenn sie nicht rechtzeitig zurückgeschickt wurden.

Legen Sie die Recovery Time Objectives erst fest, nachdem Sie alle Abhängigkeiten erkannt haben. Zum Beispiel könnten Sie durch den Fragebogen feststellen, dass der maximal tolerierbare Störungszeitraum für die kritische Aktivität „A“ 2 Tage beträgt. Der maximal tolerierbare Störungszeitraum für die kritische Aktivität „B“ beträgt jedoch nur 1 Tag und kann ohne die Hilfe der kritischen Aktivität A nicht wiederhergestellt werden. Dies bedeutet, dass das Recovery Time Objective für „A“ 1 Tag anstelle von 2 Tagen ist.

Nach meiner Erfahrung sind die Ergebnisse der GAA oft anders als erwartet – in der Regel ist das Recovery Time Objective länger als ursprünglich gedacht, und die BIA deckt Abhängigkeiten einiger Ressourcen auf, die eigentlich ein Single Point of Failure sind. Aber das Beste daran ist, dass die Geschäftsauswirkungsanalyse die effizienteste Möglichkeit ist, damit die Mitarbeiter über das Unerwartete nachdenken – wenn sie ein solches Bewusstsein schaffen, erhöhen Sie die Überlebenschancen Ihres Unternehmens.

Sie können sich auch unser Webinar BS 25999-2 Foundations Part 1: Business Impact Analysis ansehen (kommerzielles Training).

Oft sehe ich zu detailliert festgehaltene Informationssicherheitsleitlinien, bei denen versucht wird, alles abzudecken, von den strategischen Zielen bis zur Frage, wie viele Ziffern ein Passwort enthalten sollte. Das einzige Problem bei solchen Leitlinien ist, dass sie 50 oder mehr Seiten umfassen, und niemand sie wirklich ernst nimmt. Sie enden meist als künstliche Dokumente, deren einziger Zweck besteht, den Auditor zufriedenzustellen.

Aber warum sind solche Leitlinien sehr schwierig umzusetzen? Weil sie zu ehrgeizig sind – sie versuchen, zu viele Themen abzudecken, und sie sind für einen großen Kreis von Personen bestimmt.

Deshalb definiert ISO 27001, die führende Norm für Informationssicherheitsleitlinien, unterschiedliche Ebenen dieser Leitlinie:

• High-Level-Leitlinien, wie zum Beispiel die Leitlinie für das Informationssicherheits-Managementsystem – diese High-Level-Leitlinien definieren üblicherweise strategische Absichten, Ziele usw.
• Detaillierte Leitlinien – diese Art von Leitlinien beschreibt normalerweise einen ausgewählten Bereich der Informationssicherheit im Detail, mit genauen Verantwortlichkeiten usw.

ISO 27001 verlangt, dass die Leitlinie des Informationssicherheits-Managementsystems (ISMS) als ranghöchstes Dokument folgende Elemente enthält: den Rahmen für die Festlegung von Zielen, die Berücksichtigung verschiedener Anforderungen und Verpflichtungen, Ausrichtung am Kontext des strategischen Risikomanagements eines Unternehmens sowie die Erstellung von Kriterien für die Risikobewertung. Eine solche Leitlinie sollte eigentlich sehr kurz sein (vielleicht ein oder zwei Seiten), da sein Hauptzweck darin besteht, dass das leitende Management ihr ISMS steuern kann.

Für die betriebliche Nutzung sollten dagegen detaillierte Leitlinien erstellt werden, die sich auf einen engeren Bereich der Sicherheitsaktivitäten konzentrieren. Beispiele für solche Richtlinien sind: Klassifizierungsleitlinie, Leitlinie zur akzeptablen Nutzung von Informationswerten, Back-up-Leitlinie, Zugangskontrollrichtlinie, Passwortrichtlinie, ‚Clear Desk und clear screen‘-Leitlinie, Richtlinie zur Nutzung von Netzwerkdiensten, Richtlinien für mobile Computer, Richtlinie zur Verschlüsselung usw. Hinweis: Nach ISO 27001 ist es nicht erforderlich, sämtliche dieser Leitlinien umzusetzen und/oder zu dokumentieren, weil die Entscheidung, ob und in welchem Umfang solche Maßnahmen anwendbar sind, von den Ergebnissen der Risikoeinschätzung abhängt.

Da solche Leitlinien mehr Details festlegen, sind sie meist länger – bis zu zehn Seiten. Wenn sie viel länger als zehn Seiten sind, wäre es sehr schwierig, diese Leitlinien umzusetzen und zu pflegen.

Mit anderen Worten ist Informationssicherheit zu komplex, um in einer einzelnen Richtlinie definiert zu werden – für unterschiedliche Aspekte des ISMS und verschiedene „Zielgruppen“ sollte es gesonderte Richtlinien geben. Mittelgroße Organisationen erstellen für ihre ISMS in der Regel bis zu fünfzehn Leitlinien.

Man könnte argumentieren, dass diese Zahl von Leitlinien für Unternehmen nichts anderes als eine Mehrbelastung ist. Ich würde sicherlich zustimmen, wenn diese Leitlinien nur mit dem Zertifizierungsaudit im Hinterkopf geschrieben werden – eine solche Leitlinie bringt nur mehr Bürokratie. Wenn eine Leitlinie jedoch mit der Absicht verfasst wurde, die Risiken zu verringern, dann wird sie höchstwahrscheinlich ihren Wert aufzeigen – wenn nicht sofort, dann möglicherweise in zwei oder drei Jahren, weil die Anzahl der Vorfälle gesenkt werden konnte.

Sie können sich auch unser Video Tutorial How to Write the ISMS Policy According to ISO 27001 ansehen (kommerzielles Video).