ISO 27001 & BS 25999

Falls Sie gehört haben, dass ISO 27001 viele Verfahren erfordert, so ist dies nicht ganz richtig. Die Norm fordert tatsächlich nur vier dokumentierte Verfahren: ein Verfahren für Dokumentenkontrolle, ein Verfahren für interne ISMS-Audits, ein Verfahren für Korrekturmaßnahmen sowie ein Verfahren für Vorbeugungsmaßnahmen. Der Begriff „dokumentiert“ bedeutet, dass es ein „festgelegtes, dokumentiertes, umgesetztes und instand gehaltenes Verfahren“ ist (ISO/IEC 27001, 4.3.1 Anmerkung 1).

Hinweis: In diesem Blog-Eintrag werde ich nicht über weitere verbindliche Unterlagen wie ISMS-Anwendungsbereich, ISMS-Leitlinie, Methodik der Risikoeinschätzung, Risikoeinschätzungsbericht, Erklärung zur Anwendbarkeit, Plan zur Risikobehandlung usw. schreiben – hier konzentriere ich mich nur auf Verfahren.

Mit dem Verfahren für die Dokumentenkontrolle (Verfahren für Dokumentenmanagement) sollte festgelegt werden, wer für die Genehmigung und Überprüfung der Dokumente verantwortlich ist, wie Änderungen und Versionsstatus markiert werden, wie die Dokumente verteilt werden usw. anders ausgedrückt: Dieses Verfahren sollte festlegen, wie der Kreislauf des Unternehmens (der Dokumentenfluss) funktioniert.

Das Verfahren für interne Audits muss Verantwortlichkeiten für die Planung und Durchführung von Audits definieren und festlegen, wie die Audit-Ergebnisse berichtet und wie die Aufzeichnungen aufbewahrt werden. Dies bedeutet, dass die wichtigsten Regeln für die Durchführung des Audits festgelegt werden müssen.

Das Verfahren für Korrekturmaßnahmen sollte festlegen, wie die Nichteinhaltung und ihre Ursache erkannt werden, wie die notwendigen Maßnahmen definiert und umgesetzt werden, welche Aufzeichnungen erfolgen und auf welche Weise die Überprüfung der Maßnahmen durchgeführt wird. Mit diesem Verfahren soll festgelegt werden, wie jede Korrekturmaßnahme die Ursache der Nichteinhaltung beseitigen sollte,, so dass diese nicht wieder auftritt.

Das Verfahren für die Vorbeugungsmaßnahme ist fast das gleiche wie bei der Korrekturmaßnahme, mit dem Unterschied, dass es auf die Beseitigung der Ursache einer Abweichung abzielt, so dass diese gar nicht erst auftritt. Aufgrund ihrer Ähnlichkeiten werden diese beiden Verfahren in der Regel in einem zusammengefasst.

Aber ist es nach ISO 27001 erforderlich, das Verfahren dokumentiert werden, die in keiner Beziehung zur Informationssicherheit stehen, während Sicherheitsverfahren nicht verbindlich sind?

Die Antwort liegt in der Risikoeinschätzung – nach ISO 27001 müssen Sie eine Risikoeinschätzung durchführen. Sollte diese Risikoeinschätzung gewisse unzulässige Risiken erkennen, so muss nach ISO 27001 eine Maßnahme aus ihrem Anhang A umgesetzt werden, um das Risiko bzw. die Risiken einzudämmen. Die Maßnahme kann technischer Art sein (z. B. Anti-Virus-Software, um das Risiko eines Angriffs durch schädliche Software abzuschwächen). Es kann aber auch organisatorischer Art sein – die Umsetzung einer Leitlinie oder eines Verfahrens (z. B. Einrichtung eines Back-up-Verfahrens). Daher sind die Verfahren nur dann zwingend, wenn die Risikoeinschätzung unzulässige Risiken erkennt.

Eine wichtige Anmerkung noch: Anders als die vier vorgeschriebenen Verfahren, die dokumentiert werden müssen, ist eine Dokumentierung der Verfahren gemäß den Maßnahmen in Anhang A nicht erforderlich. Es ist Sache des Unternehmens einzuschätzen, ob ein solches Verfahren dokumentiert werden soll oder nicht.

Man könnte die vier vorgeschriebenen Verfahren als Säulen Ihres Managementsystems (zusammen mit den Sicherheitsrichtlinien) erwägen – sobald sie fest im Boden verankert sind, können Sie mit dem Bau der Hauswände beginnen. Offensichtlich wird dies, wenn man sich andere Managementsysteme ansieht – auch dort sind die gleichen vier Verfahren obligatorisch – in ISO 9001 (Qualitätsmanagementsystemen), ISO 14001 (Umweltmanagementsystemen) und BS 25999 -2 (Systemen für betriebliches Kontinuitätsmanagement). Als Folge können Sie diese Verfahren als wichtigstes Bindeglied zwischen verschiedenen Managementsystemen nutzen, falls Sie das sogenannte „integrierte Managementsystem“ entwickeln wollen.

Sie können sich auch unser Video Tutorial How to Write ISO 27001/ISO 22301 Document Control Procedure ansehen (kommerzielles Video).

Wurde Ihnen jemals die Aufgabe übertragen, Sicherheitsrichtlinien oder ein Verfahren zu schreiben? Aber Sie möchten nicht, dass Ihr Dokument am Ende wie so viele andere endet – verstaubt in irgendeiner Schublade? Hier sind einige Gedanken, die Ihnen helfen könnten …

Die von mir vorgestellten Schritte basieren auf meiner Erfahrung mit verschiedenen Kundentypen, großen und kleinen Unternehmen, öffentlich oder privat, kommerziell oder gemeinnützig. Ich denke, dass diese Schritte für alle gelten. Eigentlich können diese Schritte für jede Art von Richtlinie und Verfahren angewendet werden können, nicht nur in Bezug auf ISO 27001 oder BS 25999-2.

1. Prüfen Sie die Anforderungen

Zuerst muss man verschiedene Anforderungen sehr sorgfältig prüfen – gibt es eine gesetzliche Regelung, dass etwas schriftlich festgehalten werden muss? Oder vielleicht ein Vertrag mit Ihrem Kunden? Oder eine andere hochrangige Richtlinie, die es in Ihrem Unternehmen bereits gibt (vielleicht eine unternehmenseigene Norm)? Und natürlich die Anforderungen der ISO 27001 oder BS 25999-2, wenn Sie diese Normen erfüllen wollen.

2. Berücksichtigen Sie die Ergebnisse Ihrer Risikoeinschätzung

Durch Ihre Risikoeinschätzung wird festgelegt, welche Fragen in Ihrem Dokument angesprochen werden und in welchem ​​Maße – zum Beispiel müssen Sie möglicherweise entscheiden, ob Sie Ihre Informationen nach deren Vertraulichkeit einstufen, und wenn ja, ob Sie zwei, drei oder vier Geheimhaltungsstufen benötigen.

Dieser Schritt kann in dieser Form irrelevant sein, falls Ihre Richtlinie oder Ihr Verfahren keinen Bezug zur Informationssicherheit und zum betrieblichen Kontinuitätsmanagement hat. Die Grundlagen des Risikomanagements gelten natürlich auch für andere Bereiche – Qualitätsmanagement (ISO 9001), Umweltmanagement (ISO 14001) usw. Beispielsweise müssen Sie in ISO 9001 festlegen, in welchem Maße ein Prozess für Ihr Qualitätsmanagement entscheidend ist und dementsprechend müssen Sie entscheiden, ob dieser Prozess dokumentiert werden muss oder nicht.

3. Optimieren und Ausrichten Ihrer Dokument(e)

Es ist wichtig, die Gesamtzahl der Dokumente zu berücksichtigen. Schreiben Sie zehn einseitige Dokumente oder ein 10-seitiges Dokument? Es ist viel leichter, ein Dokument zu verwalten, vor allem wenn es sich um die gleiche Zielgruppe an Lesern handelt. (Erstellen Sie aber nicht ein einzelnes 100-Seiten-Dokument.)

Außerdem müssen Sie darauf achten, Ihr Dokument an anderen Dokumenten auszurichten – die von Ihnen festgelegten Punkte sind möglicherweise bereits in einem anderen Dokument teilweise definiert. In einem solchen Fall kann es überflüssig sein, ein neues Dokument zu schreiben,. Vielleicht muss nur das bestehende Dokumente erweitert werden.

Wenn Sie ein neues Dokument über ein Thema verfassen, das bereits in einem anderen Dokument genannt wird, so achten Sie darauf, Redundanzen zu vermeiden, also den gleichen Punkt in beiden Dokumenten zu behandeln. Später würde es ein Albtraum sein, diese Dokumente zu pflegen. Es ist viel besser, dass sich ein Dokument auf ein anderes bezieht, ohne die Inhalte zu wiederholen.

4. Strukturieren Sie Ihr Dokument

Sie müssen auch darauf achten, die unternehmenseigenen Vorschriften für die Formatierung des Dokuments einzuhalten – vielleicht haben Sie schon eine Vorlage mit vordefinierten Schriftarten, Kopf- und Fußzeilen usw.

Falls Sie ISO 27001 oder BS 25999-2 (oder eine andere Managementnorm) bereits umgesetzt haben, müssen Sie ein Verfahren zur Dokumentenkontrolle beachten. Ein solches Verfahren definiert nicht nur die Formatierung des Dokuments, sondern auch die Vorschriften für Genehmigung, Verteilung usw.

5. Schreiben Sie Ihr Dokument

Die Faustregel lautet: Je kleiner das Unternehmen und je geringer die Risiken, desto weniger komplex wird Ihr Dokument. Es gibt nichts Nutzloseres die Entscheidung, ein langwieriges Dokument zu schreiben, das niemand lesen wird – Sie müssen verstehen, dass das Lesen des Dokuments Zeit braucht, und die Aufmerksamkeit verhält sich umgekehrt proportional zur Zeilenzahl in Ihrem Dokument.

Eine gute Technik, um den Widerstand anderer Mitarbeiter gegenüber diesem Dokument zu überwinden (niemand mag Änderungen, vor allem, wenn das so etwas wie eine Verpflichtung ist, Passwörter regelmäßig zu ändern), besteht darin, sie beim Schreiben oder Kommentieren dieses Dokuments einzubeziehen – auf diese Weise werden Mitarbeiter verstehen, warum das Dokument notwendig ist.

6. Lassen Sie Ihr Dokument genehmigen

Dieser Schritt ist ziemlich selbstverständlich, aber ziemlich bedeutend. Denn falls Sie keine hochrangige Führungskraft Ihres Unternehmen sind, werden Sie nicht die Autorität haben, um dieses Dokument durchzusetzen.

Darum muss eine der Führungskräfte das Dokument verstehen, genehmigen und aktiv seine Umsetzung einfordern. Klingt einfach, aber glauben Sie mir – das ist es nicht. Dieser Schritt (und der nächste) sind diejenigen, deren Umsetzung am häufigsten fehlschlägt.

7. Schulung und Sensibilisierung Ihrer Mitarbeiter

Dieser Schritt ist wahrscheinlich der wichtigste, aber leider wird er sehr oft vergessen. Wie bereits erwähnt sind Mitarbeiter der ständigen Veränderungen müde. Mit Sicherheit werden sie keine weitere Veränderung begrüßen, vor allem nicht, wenn es mehr Arbeit für sie bedeutet.

Daher ist es sehr wichtig, Ihren Mitarbeiter zu erklären, warum eine solche Richtlinie oder Verfahren notwendig ist – warum es nicht nur für das Unternehmen gut ist, sondern auch für sie selbst.

Manchmal wird eine Schulung notwendig sein – es wäre verkehrt anzunehmen, dass jeder die Fähigkeiten besitzt, automatisch neue Tätigkeiten umzusetzen. Sie haben dieses Dokument geschrieben, daher mag es Ihnen als einfach und selbstverständlich erscheinen. Für Ihre Mitarbeiter ist es vielleicht eher etwas wie Gehirnchirurgie.

Ende der Geschichte?

Wenn Sie dachten, Sie hätten das Ende der Dokumentierung erreicht, so irren Sie sich – die Reise hat gerade erst begonnen. Alleine eine perfekte, von allen Mitarbeitern geliebte Richtlinie oder Verfahren reicht nicht aus. Sie müssen dieses Dokument auch pflegen.

Jemand muss dafür sorgen, dass dieses Dokument auf dem aktuellen Stand ist und verbessert wird. Andernfalls wird niemand mehr dieses Dokument beachten. Dieser ‚jemand‘ ist üblicherweise die gleiche Person, die das Dokument verfasst hat. Nicht nur das. Jemand muss prüfen, ob ein solches Dokument seinen Zweck erfüllt hat – auch das können Sie sein.

Wie Sie vielleicht beim Lesen dieses Artikels bemerkt haben, reicht es für eine erfolgreiche Richtlinie oder Verfahren nicht aus, eine schöne Vorlage zu haben – was Sie brauchen, ist eine systematische Herangehensweise an dessen Umsetzung. Und vergessen Sie dabei nicht die wichtigste Tatsache: Das Dokument ist kein Selbstzweck – es ist nur ein Werkzeug, um ein reibungsloses Funktionieren Ihrer Aktivitäten und Abläufe zu ermöglichen. Lassen Sie nicht zu, dass das Gegenteil passiert – nämlich dass ein solches Dokument diese Aktivitäten und Abläufe behindert.

Sie können sich auch unser Video Tutorial How to Write ISO 27001/ISO 22301 Document Control Procedure ansehen (kommerzielles Video).

Warum wird die Dokumentenkontrolle in ISO 27001 und BS 25999-2 so sehr betont? Beide Normen definieren sehr streng, wie Dokumente verwaltet werden müssen. Sie verlangen nicht nur, dass die Organisation ein dokumentiertes Verfahren für die Verwaltung von Dokumenten vorweisen muss – noch schlimmer, Sie werden erst zertifiziert, wenn Sie ein solches Verfahren eingeführt haben.

Dokumente können in verschiedenen Formen vorliegen – Papierdokumente, Text- oder Tabellenblattdateien, Video- oder Audio-Dateien usw. Eine Organisation muss nicht nur interne Dokumente verwalten (z. B. verschiedene Richtlinien, Verfahren, Projektdokumentation usw.), sondern auch externe Dokumente (zum Beispiel verschiedene Arten von Korrespondenz, zusammen mit Geräten erhaltene Dokumentation usw.). Mit anderen Worten ist die Verwaltung von Dokumenten eine recht komplexe und umfassende Aufgabe.

Also warum ist es so wichtig, Dokumente zu verwalten? Haben Sie sich jemals in einer Situation befunden, in der Sie nicht wussten, wo einige wichtige Dokumente zu finden waren? Oder Sie fanden heraus, dass Ihre Mitarbeiter eine falsche (veraltete) Version eines Verfahrens angewendet haben? Oder einige Mitarbeiter haben ein wichtiges Verfahren überhaupt nicht erhalten? Oder vielleicht war nicht klar, welche Version dieses Verfahren aktuell war? Oder einige vertrauliche Dokumente wurden an die falschen Leute weitergegeben? Wenn Sie diese problematischen Situationen nie erlebt haben, dann haben Sie wahrscheinlich doch eine Erfahrung gemacht – Ihre Verfahren sind einfach nicht aktuell.

Wenn Sie keinen systematischen Ansatz für die Verwaltung Ihrer Dokumente haben, werden Sie sich wahrscheinlich in einigen dieser Situationen wiedererkennen. Aus diesem Grund fordern ISO 27001 und BS 25999-2, dass Organisationen eine solche systematische Herangehensweise einführen, indem ein Verfahren für Dokumentenmanagement erstellt wird.

Dieses Verfahren muss klare Verantwortlichkeiten für die Dokumente festlegen – wer kann sie genehmigen, wie werden sie verteilt und archiviert, wie werden sie aktualisiert, welches Versionierungssystem wird verwendet, wie werden Änderungen in Dokumenten verfolgt, was geschieht mit externen Dokumenten usw.

Da Dokumentenmanagement ist eine solch grundlegende Sache ist, stellen Sie bitte sicher, dass der Zertifizierungsprüfer nicht nur nach einem solchen Verfahren sucht, sondern auch prüft, ob Ihre Dokumentation wirklich so verwaltet wird, wie Sie in Ihrem Verfahren für das Dokumentenmanagement festgelegt haben. Aufgrund der Einführung dieses Verfahrens müssen Sie wahrscheinlich Ihr System für den Umgang mit Dokumenten ändern müssen, die Dokumentation im Intranet speichern oder ein komplexeres Dokumentenmanagement umsetzen sowie das Archiv für Papierdokumente organisieren.

Wenn Sie anfangen, die Norm ISO 27001 / BS 25999-2 umzusetzen, erfassen Sie zunächst die Bedeutung, Dinge schriftlich festzuhalten. Sie werden aber auch sehen, dass diese schriftlich festgehaltenen Dinge organisiert werden müssen, damit Sie nicht die Kontrolle über sie verlieren. Die Dokumente sind in der Tat das Blutsystem Ihres Managementsystems – pflegen Sie es gut, damit Ihr System gesund bleibt.

Sie können sich auch unser Video Tutorial How to Write ISO 27001/ISO 22301 Document Control Procedure ansehen (kommerzielles Video).

Sie haben ISO 9001 bereits umgesetzt? Sie haben gehört, dass ISO 27001 eine gute Idee ist? Aber wie kann etwas, was mit Qualität zu tun hat, Sie bei der Umsetzung von Informationssicherheit unterstützen?

Es kann das sicher mehr als Sie vielleicht denken … ISO 9001 legt fest, wie das Qualitätsmanagementsystem (QMS) aussehen muss, während ISO/IEC 27001 die Informationssicherheits-Managementsysteme (ISMS) definiert. Daher ist der Teil zu den „Managementsystemen“ der gleiche – worum geht es dabei eigentlich?

Die Philosophie der Managementsysteme hat sich aus der Theorie von W. Edwards Deming in der zweiten Hälfte des 20. Jahrhunderts entwickelt und basiert auf dem ‚Planen – Durchführen – Überprüfen – Handeln‘-Zyklus. Grundsätzlich besteht dieser Zyklus aus folgenden Elementen: In der Planungsphase müssen Sie planen, was Sie mit dem Managementsystem erreichen wollen. In der Durchführungsphase setzen Sie es um. In der Überprüfungsphase überwachen Sie permanent, ob Sie erreicht haben, was geplant war. In der Handlungsweise wiederum machen Sie Verbesserungen, d. h. Sie schließen die Lücke zwischen dem, was Sie geplant haben und dem, was Sie erreicht haben.

Obwohl dieser Zyklus mit Qualitätsmanagement im Hinterkopf erfunden wurde, hat es sich als Grundlage für alle anderen Managementsysteme etabliert – Informationssicherheit (ISO/IEC 27001), Umwelt (ISO 14001), Betriebliches Kontinuitätsmanagement (BS 25999-2) usw. Das bedeutet, dass einige der Elemente, die Sie für das Qualitätsmanagement nach ISO 9001 umgesetzt haben, von Ihnen ebenso für das Informationssicherheits-Managementsystem verwendet werden – hier ist die Liste:

• Dokumentenmanagement – das für die Dokumentenmanagement im QMS eingesetzte Verfahren kann für den gleichen Zweck im ISMS verwendet werden, mit nur geringfügigen Anpassungen
• Internes Audit – das gleiche Verfahren kann für QMS und ISMS verwendet werden, obwohl das interne Audit selbst in der Regel von verschiedenen Personen durchgeführt werden würde, da es sehr unwahrscheinlich ist, dass eine Person ausreichend tiefe Kenntnisse sowohl in der Informationssicherheit als auch im Bereich Qualität hat
• Korrektur- und Vorbeugungsmaßnahmen – das im QMS eingesetzte Verfahren kann für den gleichen Zweck im ISMS verwendet werden, obwohl es wahrscheinlich ist, dass verschiedene Personen die Probleme für QMS oder ISMS lösen
• Personalmanagement – der gleiche Zyklus von Personalplanung, Schulung und Bewertung wird für beide Managementsysteme verwendet. Der Unterschied liegt natürlich im Profil der benötigten Fähigkeiten und Kenntnisse
• Managementprüfung – die Grundsätze der Managementprüfung sind bei beiden Managementsystemen gleich. Obwohl es nicht empfehlenswert wäre, beide Prüfungen parallel durchzuführen, wird das Management bereits Erfahrung mit Entscheidungen im QMS haben. Daher wird es besser verstehen, wie im Rahmen des ISMS Entscheidungen getroffen werden
• Festlegen der Unternehmensziele und Nachverfolgung, ob diese erreicht wurden – in beiden Normen wird der gleiche Mechanismus dargestellt, so dass das Management an diese systematische Planung gewöhnt sein wird

Sollten Sie ISO 9001 bereits umgesetzt haben, wird es Ihnen aus diesem Grund leichter fallen, die Norm ISO 27001 umzusetzen (und umgekehrt) – Sie könnten bis zu 30 % der notwendigen Zeit einsparen. Außerdem werden die Zertifizierungsaudits preiswerter sein, da die Zertifizierungsstellen sogenannte „integrierte Audits“ anbieten. Dies bedeutet, dass in einem Audit ISO 9001 und ISO 27001 geprüft werden, wodurch die Gebühren im Vergleich zu separaten Audits niedriger ausfallen.

Sollte Ihr QMS gut funktionieren, so wird Ihr ISMS-Projekt eher reibungslos umgesetzt werden können – das Management hat ein besseres Verständnis der möglichen wirtschaftlichen Vorteile, während alle Unternehmenseinheiten an die Notwendigkeit gewöhnt sind, präzise Verfahren, Verantwortlichkeiten und Dokumentationen festzulegen.

Ein vorhandenes QMS ist in der Tat eine sehr gute Grundlage für Informationssicherheit – sind Sie bereits nach ISO 9001 zertifiziert, so sollten Sie ernsthaft über ISO 27001 nachdenken.

Sie können sich auch unser kostenloses Webinar ISO 27001 implementation: How to make it easier using ISO 9001 ansehen.