ISO 27001 & BS 25999

Anhang A der ISO 27001 ist der wohl am häufigsten genannte Anhang einer Managementnorm. Warum gibt es so viel darüber zu reden? Warum geschieht dies manchmal so kontrovers?

Falls Sie den Anhang A gelesen haben, so haben Sie gesehen, dass dort 133 Sicherheitsmaßnahmen aufgeführt sind. Falls dies so ist, wozu wird der größte Teil der Norm verwendet?

Zweck

Anhang A enthält die folgenden Klauseln (manchmal auch als ISO 27001 Anhang A Bereiche genannt):

• A.5 Sicherheitsrichtlinien
• A.6 Organisation der Informationssicherheit
• A.7 Management von organisationseigenen Werten
• A.8 Personelle Sicherheit
• A.9 Physikalische und ökologische Sicherheit
• A.10 Betriebs- und Kommunikationsmanagement
• A.11 Zugangskontrolle
• A.12 Beschaffung, Entwicklung und Wartung von Informationssystemen
• A.13 Umgang mit Informationssicherheitsvorfällen
• A.14 Betriebliches Kontinuitätsmanagement
• A.15 Einhaltung

Wie bereits erwähnt enthält Anhang A 133 Maßnahmen, die – wie man den Namen der Abschnitte entnehmen kann – nicht allein auf IT ausgerichtet sind. Sie decken ebenso physische Sicherheit, Rechtsschutz, Personalmanagement, organisatorische Fragen usw. ab.

Aus diesem Grund sollten Sie Anhang A als eine Art Katalog von einzusetzenden Maßnahmen betrachten, den Sie während ihres Behandlungsprozesses einsetzen. Sobald Sie unzulässige Risiken bei der Risikoeinschätzung erkennen, hilft Anhang A Ihnen dabei, die richtige Maßnahme(n) zu wählen, um diese Risiken zu senken. Und stellen Sie sicher, dass Sie keine wichtige Maßnahme vergessen.

Im Anhang A kommen ISO 27001 und ISO 27002 zusammen – die Maßnahmen in ISO 27002 sind die gleichen wie in Anhang A der ISO 27001. Der Unterschied liegt in den Details – ISO 27001 nennt für jede Maßnahme nur eine kurze Definition, während ISO 27002 detaillierte Leitlinien nennt, wie die Maßnahme umzusetzen ist.

Nachteile

Wenn Sie jetzt denken, dass Anhang A das perfekte Umsetzungswerkzeug für Ihr Informationssicherheitsprojekt ist, so sollten Sie nicht zu optimistisch sein – er umfasst auch einige Dinge, die keinen Sinn machen. So definieren einige Maßnahmen beinahe die gleichen Fragen, was manchmal für Verwirrung sorgt – wie A.9.2.6 (Sichere Entsorgung oder Wiederverwendung von Betriebsmitteln) und A.10.7.2 (Entsorgung von Medien). Auf der anderen Seite werden einige Probleme wie die Beziehungen zu Dritten auf verschiedene Abschnitte des Anhangs A verstreut. Sie finden sie in Abschnitt A.6.2 (Externe Beziehungen), A.8 (Personelle Sicherheit) und A.10.2 (Management der Dienstleistungs-Erbringung von Dritten) sowie in der Maßnahme A.12.5.5 (Ausgelagerte Softwareentwicklung). Deswegen ist es manchmal schwierig, Anhang A als Umsetzungswerkzeug zu verwenden.

Aber dies sind nicht die einzigen Unklarheiten – bei einigen der Maßnahmen erwähnt Anhang A Richtlinien und Verfahren, fordert aber nicht deren Dokumentation. Es erscheint komisch, aber nur dort, wo das Wort „dokumentiert“ erscheint, verlangt die Normen schriftliche Richtlinien/Verfahren. Wenn Sie die gesamte Anlage A analysieren, so wird der Begriff „dokumentiert“ in nur 6 Maßnahmen genannt (A.5.1.1, A.7.1.3, A.8.1.1, A.10.1.1, A.11.1.1, A.15.1.1). Das heißt, dass Sie alle anderen Maßnahmen ohne Dokumentation umsetzen können.

Allerdings sollte man diese Flexibilität der Anlage A nicht missbrauchen. Je größer das Unternehmen ist, desto mehr Dokumente sollten Sie erstellen, um zu gewährleisten, dass sich jeder Ihrer Sicherheitsverfahren bewusst ist (und diese erfüllt). Auf der anderen Seite sollten Sie darauf achten, die Dokumentation nicht zu übertreiben – falls sie übertrieben groß ist, wird sie von niemandem mehr beachtet werden.

Verbindung zum wichtigsten Teil der ISO 27001

Der Hauptteil der Norm, oder genauer gesagt die verbindlichen Abschnitte 4 bis 8 enthalten den Managementteil der Norm – sie schreiben den PDCA-Zyklus (Planen – Durchführen – Überprüfen – Handeln) vor, einschließlich Risikoeinschätzung und -behandlung, Dokumentations- und Aufzeichnungsmanagement, Bereitstellung von Ressourcen, internes Audit, Managementprüfung, Korrektur- und Vorbeugungsmaßnahmen usw.

Wie bereits erwähnt sind Risikoeinschätzung und Risikobehandlung die wichtigste Verbindung der Abschnitte 4 bis 8 und der Maßnahmen in Anhang A. Sie werden Ihnen bei der Entscheidung helfen, ob einzelne Maßnahmen aus Anhang A sind das Senken der Risiken notwendig sind oder nicht.

Das bedeutet, dass die Abschnitte 4 bis 8 und Anhang A nur gemeinsam existieren können. Die Risikoeinschätzung macht keinen Sinn, wenn es keine Maßnahmen gibt, um die Risiken zu verringern, und der einzige Weg, um die Anwendbarkeit der Maßnahmen zu bestimmen, ist eine Risikoeinschätzung.

Meiner Meinung nach gehören dieser Schwerpunkt auf Risiken sowie die Flexibilität bei der Anwendung der Sicherheitsmaßnahmen gemäß der eigenen Einschätzung zu den größten Vorteilen der ISO 27001 – Sie müssen nur darauf achten, den vollen Nutzen daraus zu ziehen.

Sie können sich auch unser Webinar ISO 27001 Foundations Part 3: Annex A overview ansehen (kommerzielles Training).

Wenn Sie beginnen, ISO 27001 umzusetzen, suchen Sie wahrscheinlich nach einem einfachen Weg. Ich muss Sie leider enttäuschen: Es gibt keinen einfachen Weg. Allerdings werde ich versuchen, Ihre Arbeit zu erleichtern – um eine Zertifizierung nach ISO 27001 zu erreichen, müssen Sie die folgenden sechzehn Schritte absolvieren:

1. Unterstützung des Managements einholen

Dieser Punkt erscheint ziemlich offensichtlich – er wird in der Regel jedoch nicht ernst genug genommen. Nach meiner Erfahrung ist dies der Hauptgrund, warum ISO 27001-Projekte scheitern: Das Management stellt nicht genügend Mitarbeiter oder Gelder für das Projekt bereit. (Lesen Sie Vier wichtige Vorteile der ISO 27001-Umsetzung für Ideen, um dem Management den Fall zu präsentieren.)

2. Behandeln Sie es als Projekt

Wie bereits gesagt wurde, ist die Umsetzung von ISO 27001 ein komplexes Thema, das verschiedene Tätigkeiten und viele Personen umfasst und mehrere Monate (oder mehr als ein Jahr) dauert. Wenn Sie nicht eindeutig definieren, was zu tun ist, wer es tun wird und in welchem Zeitrahmen (d. h. die Durchführung eines Projektmanagements), könnten Sie genauso gut die Aufgabe nie zu Ende bringen.

3. Definieren Sie den Anwendungsbereich

Wenn Sie ein größeres Unternehmen sind, ist es wahrscheinlich sinnvoll, ISO 27001 nur in einem Teil Ihres Unternehmens zu implementieren, um damit Ihr Projektrisiko deutlich zu senken. (Probleme bei der Festlegung des Anwendungsbereichs für ISO 27001)

4. Schreiben Sie eine ISMS-Leitlinie

Die ISMS-Leitlinie ist das Dokument höchster Ebene in Ihrer ISMS – es sollte nicht sehr detailliert sein, aber einige grundlegende Fragen zur Informationssicherheit in Ihrem Unternehmen definieren. Aber was ist ihr Zweck, wenn sie nicht detailliert ist? Der Zweck besteht für das Management darin, zu definieren, was es erreichen will und wie es diesen Vorgang steuern wird. (Informationssicherheitsleitlinie – wie detailliert sollte sie sein?)

5. Festlegen der Methodik für die Risikoeinschätzung.

Die Risikoeinschätzung ist die komplizierteste Aufgabe im ISO 27001 Projekt – der entscheidende Punkt ist, die Regeln zur Ermittlung der organisationseigenen Werte, Schwachstellen, Bedrohungen, Auswirkungen und Wahrscheinlichkeiten zu bestimmen und die zulässige Höhe des Risikos zu definieren. Werden diese Regeln nicht klar definiert, so können Sie sich in einer Situation wiederfinden, in der Sie unbrauchbare Ergebnisse erhalten. (Lesen Sie Tipps zur Risikobewertung für Kleinunternehmen)

6. Durchführen der Risikoeinschätzung und Risikobehandlung

Hier müssen Sie umsetzen, was im vorherigen Schritt definiert wurde – bei großen Unternehmen kann dies mehrere Monate dauern, weshalb Sie einen solchen Aufwand sehr sorgfältig koordinieren sollten. Entscheidend ist, ein umfassendes Bild der Gefahren für die unternehmenseigenen Informationen zu erhalten.

Der Zweck der Risikobehandlung besteht darin, die nicht akzeptablen Risiken zu senken – dies erfolgt üblicherweise dadurch, dass der Einsatz der Maßnahmen aus Anhang A geplant wird.

In diesem Schritt wird Bericht zur Risikoeinschätzung verfasst, der alle Schritte der Risikoeinschätzung und der Risikobehandlung dokumentiert. Ebenso muss eine Genehmigung der Restrisiken eingeholt werden – entweder als separates Dokument oder als Teil der Erklärung zur Anwendbarkeit.

7. Erstellung einer Erklärung zur Anwendbarkeit

Sobald Sie Ihre Risikoeinschätzung abgeschlossen haben, werden Sie genau wissen, welche Maßnahmen aus Anhang A benötigt werden (insgesamt gibt es 133 Maßnahmen, aber sie werden wahrscheinlich nicht alle brauchen). Mit diesem Dokument (häufig „SoA“ genannt) sollen alle Maßnahmen aufgelistet und festgelegt werden, welche Maßnahmen anwendbar sind und welche nicht, die Gründe für diese Entscheidung, die mit den Maßnahmen zu erreichenden Ziele sowie eine Beschreibung, wie die Maßnahmen umgesetzt werden.

Die Erklärung zur Anwendbarkeit ist auch das am besten geeignete Dokument, um die Genehmigung des Managements für die Durchführung des ISMS einzuholen.

8. Plan zur Risikobehandlung erstellen

Gerade als Sie dachten, Sie hätten alle risikobezogenen Dokumente gelöst, kommt das nächste – der Zweck des Risikobehandlungsplans besteht darin, genau zu definieren, wie die Maßnahmen aus dem SoA umgesetzt werden sollen – wer führt sie durch, wann, mit welchem Budget usw. Dieses Dokument ist eigentlich ein Umsetzungsplan, der sich auf Ihre Maßnahmen konzentriert. Ohne ihn wären Sie nicht in der Lage, weitere Schritte im Projekt durchzuführen.

9. Definieren Sie, wie Sie die Wirksamkeit der Maßnahmen messen werden

Eine weitere Aufgabe, die in der Regel unterschätzt wird. Der wichtige Aspekt dabei ist – wenn Sie nicht messen können, was Sie getan haben, wie können Sie dann sicher sein, dass Sie den Zweck erfüllt haben? Aus diesem Grund müssen Sie festlegen, wie Sie die Erfüllung der von Ihnen gesetzten Ziele sowohl für das gesamte ISMS als auch für jede anwendbare Maßnahme in der Erklärung zur Anwendbarkeit messen wollen.

10. Umsetzung der Maßnahmen und verbindliche Verfahren

Leichter gesagt als getan. Hier müssen Sie die vier obligatorischen Verfahren und die anwendbaren Maßnahmen aus Anhang A umsetzen.

Dies ist meist die riskanteste Aufgabe im Projekt. Sie bedeutet normalerweise die Anwendung neuer Technologien, vor allem aber die Umsetzung neuer Verhaltensweisen in Ihrem Unternehmen. Oft werden neue Strategien und Verfahren benötigt (was bedeutet, dass Änderungen erforderlich sind). Menschen stehen Veränderungen üblicherweise ablehnend gegenüber – darum ist die nächste Aufgabe (Schulung und Sensibilisierung) entscheidend für die Vermeidung dieses Risikos.

11. Durchführung der Schulungs- und Sensibilisierungsprogramme

Wenn Sie wollen, dass Ihr Personal alle neuen Richtlinien und Verfahren umsetzt, müssen Sie ihnen zunächst erklären, warum sie notwendig sind, und sie müssen Ihre Mitarbeiter schulen, ihre Aufgaben wie erwartet wahrzunehmen. Das Ausbleiben dieser Tätigkeiten ist die zweithäufigste Ursache für das Scheitern von ISO 27001 Projekten.

12. Betreiben des ISMS

Dies ist der Teil, in dem ISO 27001 zur alltäglichen Routine in Ihrem Unternehmen wird. Das entscheidende Wort hier lautet: „Aufzeichnungen“. Prüfer lieben Aufzeichnungen – ohne Aufzeichnungen wird es sehr schwer für Sie, die Durchführung von Aktivitäten wirklich nachzuweisen. Aber Aufzeichnungen sollten Ihnen in erster Linie helfen. Mit ihrer Hilfe können Sie beobachten, was geschieht. Sie werden tatsächlich mit Sicherheit wissen, ob Ihre Mitarbeiter (und Lieferanten) ihren Aufgaben wie gefordert nachkommen.

13. Überwachen des ISMS

Was passiert in Ihrem ISMS? Wie viele Vorfälle welcher Art gab es bei Ihnen? Werden alle Verfahren richtig ausgeführt?

Hier kommen die Ziele für Ihre Maßnahmen und Messmethodik zusammen – Sie müssen prüfen, ob ihre Ergebnisse den von Ihnen gesteckten Zielen entsprechen. Falls nicht, dann wissen Sie, dass etwas falsch läuft – Sie müssen Korrektur- und/oder Vorbeugungsmaßnahmen ergreifen.

14. Internes Audit

Sehr oft ist Menschen nicht bewusst, dass sie etwas falsch machen (auf der anderen Seite ist es das manchmal schon, aber sie wollen nicht, dass jemand davon erfährt). Aber die Unkenntnis vorhandener oder potenzieller Probleme kann Ihrer Organisation schaden – man muss interne Audits durchführen, um solche Dinge herauszufinden. Der springende Punkt ist nicht, disziplinarische Maßnahmen einzuleiten, sondern Korrektur- und/oder Vorbeugungsmaßnahmen zu ergreifen. (Lesen Sie Probleme bei internen Auditoren nach ISO 27001 und BS 25999-2)

15. Managementprüfung

Das Management muss nicht Ihre Firewall konfigurieren, aber es muss wissen, was im ISMS vor sich geht, d. h. ob jeder seine Aufgaben erfüllt, ob das ISMS die gewünschten Ergebnisse erzielt usw. Auf dieser Grundlage muss das Management einige entscheidende Entscheidungen treffen.

16. Korrektur- und Vorbeugungsmaßnahmen

Der Zweck des Managementsystems besteht darin, dass alle Fehler (sogenannte „Nichtübereinstimmungen“) behoben oder hoffentlich verhindert werden. Daher ist es nach ISO 27001 erforderlich, dass systematisch Korrektur- und Vorbeugungsmaßnahmen durchgeführt werden. Das bedeutet, dass die Ursache einer Nichtübereinstimmung festgestellt sowie anschließend aufgelöst und verifiziert werden muss.

Hoffentlich konnte dieser Artikel klären, was getan werden muss – obwohl ISO 27001 keine leichte Aufgabe darstellt, ist sie nicht unbedingt kompliziert. Sie müssen nur jeden Schritt sorgfältig planen und keine Angst haben – Sie werden Ihr Zertifikat erhalten.

Hier können Sie das Diagramm der ISO 27001 Umsetzung herunterladen. Es zeigt alle diese Schritte zusammen mit den erforderlichen Unterlagen.

Wenn Sie auf die ISO 27001 und ISO 27002 gestoßen sind, so haben Sie wahrscheinlich bemerkt, dass ISO 27002 wesentlich detaillierter und viel genauer ist – nun, welchen Zweck hat ISO 27001 dann noch?

Zunächst einmal können Sie nicht nach ISO 27002 zertifizieren lassen, weil es sich nicht um eine Managementnorm handelt. Was ist eine Managementnorm? Managementnorm heißt, dass festgelegt wird, wie ein System funktioniert. Im Falle der Norm ISO 27001 werden die Informationssicherheits-Managementsysteme (ISMS) definiert – also ist eine Zertifizierung nach ISO 27001 möglich.

Managementsystem bedeutet, dass Informationssicherheit geplant, umgesetzt, überwacht, geprüft und verbessert werden muss. Es bedeutet, dass das Management eigene Verantwortlichkeiten hat, dass Ziele festgelegt, gemessen und geprüft werden müssen, das interne Audits durchgeführt werden müssen und so weiter. Alle diese Elemente werden in ISO 27001 definiert, aber nicht in ISO 27002.

Die Maßnahmen nach ISO 27002 tragen die gleichen Namen wie in Anhang A der ISO 27001 – zum Beispiel wird Maßnahme 6.1.6 in ISO 27002 „Kontakt zu Behörden“ genannt, während in ISO 27001 Maßnahme A.6.1.6 „Kontakt zu Behörden“ heißt. Doch der Unterschied liegt in den Einzelheiten – in ISO 27002 umfasst die Erklärung einer Maßnahme durchschnittlich eine ganze Seite, während ISO 27001 jeder Maßnahme nur einen Satz widmet.

Schließlich besteht der Unterschied darin, dass ISO 27002 keinen Unterschied zwischen Maßnahmen für ein bestimmtes Unternehmen und übergreifende Maßnahmen macht. Andererseits schreibt ISO 27001 eine zwingend durchzuführende Risikoeinschätzung vor, die für jede Maßnahme feststellt, ob sie zwecks Verringerung der Risiken erforderlich ist, und wenn ja, in welchem ​​Umfang sie angewendet werden sollte.

Die Frage lautet: Warum bestehen zwei Normen getrennt nebeneinander, warum wurden sie nicht zusammengeführt, um die positiven Seiten beider Normen zusammenzubringen? Die Antwort ist Anwenderfreundlichkeit – hätte es eine einzelne Norm gegeben, so wäre sie zu komplex und zu groß für den praktischen Einsatz geworden.

Jeder Standard der ISO 27000-Reihe wurde für einen bestimmten Schwerpunkt konzipiert – falls Sie Grundlagen der Informationssicherheit in Ihrem Unternehmen umsetzen und dafür einen Rahmen schaffen wollen, so sollten Sie ISO 27001 verwenden. Wollen Sie dagegen Kontrollen einrichten, so sollten Sie ISO 27002 verwenden. Für die Durchführung von Risikoeinschätzung und Risikobehandlung wäre ISO 27005 genau richtig usw.

Abschließend könnte man sagen, dass die in Anhang A der ISO 27001 festgelegten Maßnahmen ohne die Details in ISO 27002 nicht umgesetzt werden könnten. Ohne den Managementrahmen aus ISO 27001 jedoch bliebe ISO 27002 nur ein isoliertes Projekt einzelner Anhänger der Informationssicherheit, ohne Akzeptanz des leitenden Managements und damit ohne wirkliche Auswirkungen auf das Unternehmen.

Sie können sich auch unser Webinar ISO 27001 Foundations Part 3: Annex A overview ansehen (kommerzielles Training).