ISO 27001 & BS 25999

Heute ist Wikileaks aus einem guten Grund eine brandheiße Geschichte – es geschieht nicht sehr häufig, dass vertrauliche Dokumente der weltweit mächtigsten Regierung im Internet veröffentlicht werden. Und einige dieser Dokumente sind gelinde gesagt peinlich.

Ich werde mich hier nicht dazu äußern, ob die Veröffentlichung dieser Dokumente durch Wikileaks legal war oder nicht, ob die Veröffentlichung dieser Informationen aus öffentlichem Interesse hätte erfolgen müssen oder nicht, oder was mit seinem Gründer geschieht (beim Verfassen dieses Artikels war Julian Assange in Haft) usw.

Das Problem ist eher, dass ein neues Wikileaks erscheint, sobald das alte Wikileaks geschlossen werden sollte. Anders ausgedrückt: Die Bedrohung durch Weitergabe von Informationen an die Öffentlichkeit nimmt ständig zu. (Übrigens hatte Julian Assange vor dem Gang ins Gefängnis angekündigt, er werde belastende Informationen über eine große US-Bank und ihre missbräuchliche Praxis veröffentlichen.)

Ich möchte hier den Standpunkt eines Unternehmens herausstellen – was geschieht, falls wir das nächste Ziel von Wikileaks oder dessen Klon werden sollten? Wie kann die Sicherheit unserer Informationen gewährleistet und der Schaden eines solchen großen Vorfalls vermieden werden?

Einfaches Beispiel

Aber wie funktioniert Informationssicherheit in der Praxis? Nehmen wir ein einfaches Beispiel – zum Beispiel lassen Sie Ihr Notebook häufig im Auto auf dem Rücksitz liegen. Die Chancen stehen gut, dass es früher oder später gestohlen wird.

Was können sie tun, um dieses Risiko zu senken? Zunächst einmal können Sie eine Vorschrift (durch Schreiben eines Verfahrens oder einer Leitlinie) erlassen, dass Notebooks nicht in einem Auto unbeaufsichtigt zurückgelassen werden dürfen, oder dass das Auto dort geparkt werden soll, wo eine Art physischer Schutz gegeben ist. Zweitens können Sie Ihre Daten schützen, indem Sie ein starkes Passwort verwenden und Ihre Daten verschlüsseln. Außerdem können Sie fordern, dass Ihre Mitarbeiter eine Erklärung unterzeichnen, mit der sie sich rechtlich für die möglicherweise eintretenden Schäden verantwortlich erklären. Aber all diese Maßnahmen können wirkungslos bleiben, wenn Sie Ihren Mitarbeitern die Vorschriften nicht mithilfe einer kurzen Schulung erklären.

Welche Schlussfolgerungen können Sie aus diesem Beispiel ziehen? Informationssicherheit ist niemals nur eine einzelne Sicherheitsmaßnahme, sie ist immer mehrere Maßnahmen zusammen. Und die Maßnahmen sind nicht nur IT-bezogen, sondern umfassen auch organisatorische Fragen, Personalmanagement, physische Sicherheit und Rechtsschutz.

Das Problem ist: Dies war ein Beispiel eines einzelnen Notebooks, ohne bedrohtes Insiderwissen. Betrachten wir nun, wie komplex der Schutz der Informationen Ihres Unternehmen ist. Informationen sind nicht nur auf Ihren PCs gespeichert, sondern auch auf verschiedenen Servern, nicht nur in Ihren Schubladen, sondern auch auf sämtlichen Ihrer Mobiltelefone, nicht nur auf USB-Sticks, sondern auch in den Köpfen aller Mitarbeiter. Und Sie haben möglicherweise einen sehr verärgerten Mitarbeiter.

Scheint wie eine unmögliche Aufgabe? Schwer – ja, aber nicht unmöglich.

Herangehensweise

Um dieses komplexe Problem zu lösen, benötigen Sie einen Rahmen. Die gute Nachricht ist, dass es diese Rahmenbedingungen in Form von Normen bereits gibt – am stärksten verbreitet ist ISO 27001, die international führende Norm für Informationssicherheits-Managementsysteme, aber es gibt auch andere – COBIT, NIST SP 800 Series, PCI DSS usw.

Ich werde hier auf ISO 27001 konzentrieren. Ich glaube, dass Sie Ihnen beim Aufbau eines Informationssicherheitssystems eine gute Grundlage bietet, weil sie einen Katalog mit 133 Sicherheitsmaßnahmen beinhaltet und die Flexibilität bietet, nur die Maßnahmen anzuwenden, die hinsichtlich des Risikos wirklich benötigt werden. Ihre bestes Merkmal ist jedoch, dass es einen Managementrahmen für die Kontrolle und Leitung von Sicherheitsproblemen definiert. Damit wird erreicht, dass Sicherheitsmanagement Teil des Gesamtmanagements eines Unternehmens wird.

Kurzum – mit dieser Norm können Sie alle in verschiedener Form vorliegenden Informationen und sämtliche Risiken berücksichtigen. Ihnen wird ein Weg aufgezeigt, um jedes potenzielle Problem sorgfältig zu lösen und die Sicherheit Ihrer Informationen sicherzustellen.

Konsequenzen für das Geschäft

Also sollten Konzerne fürchten, dass Ihre Informationen an die Öffentlichkeit kommen? Sollten sie etwas Illegales oder Unethisches tun, so sollten sie das sicherlich.

Doch wenn rechtschaffene Unternehmen ihr Geschäft schützen möchten, so dürfen sie nicht nur an Rendite, Marktanteil, Kernkompetenzen und langfristige Visionen denken. Ihre Strategie muss auch die Sicherheitsprobleme berücksichtigen, denn unsichere Informationen können wesentlich teurer als beispielsweise die fehlgeschlagene Markteinführung eines neuen Produktes werden. Mit Sicherheit meine ich nicht nur physische Sicherheit, den die reicht einfach nicht mehr aus – die heutige Technik ermöglicht Informationslöcher über viele verschiedene Wegen.

Was wir brauchen, ist ein umfassendes Konzept für die Informationssicherheit – egal, ob Sie ISO 27001, COBIT oder ein anderes Framework verwenden, solange Sie es systematisch nutzen. Und es ist keine einmalige Anstrengung, es ist ein dauerhafter Vorgang. Und ja – es ist nichts, was Ihre IT-Jungs alleine schaffen können. Es ist etwas, an dem sich das ganze Unternehmen beteiligen muss, angefangen bei der Geschäftsleitung.

Wenn Sie beginnen, ISO 27001 umzusetzen, suchen Sie wahrscheinlich nach einem einfachen Weg. Ich muss Sie leider enttäuschen: Es gibt keinen einfachen Weg. Allerdings werde ich versuchen, Ihre Arbeit zu erleichtern – um eine Zertifizierung nach ISO 27001 zu erreichen, müssen Sie die folgenden sechzehn Schritte absolvieren:

1. Unterstützung des Managements einholen

Dieser Punkt erscheint ziemlich offensichtlich – er wird in der Regel jedoch nicht ernst genug genommen. Nach meiner Erfahrung ist dies der Hauptgrund, warum ISO 27001-Projekte scheitern: Das Management stellt nicht genügend Mitarbeiter oder Gelder für das Projekt bereit. (Lesen Sie Vier wichtige Vorteile der ISO 27001-Umsetzung für Ideen, um dem Management den Fall zu präsentieren.)

2. Behandeln Sie es als Projekt

Wie bereits gesagt wurde, ist die Umsetzung von ISO 27001 ein komplexes Thema, das verschiedene Tätigkeiten und viele Personen umfasst und mehrere Monate (oder mehr als ein Jahr) dauert. Wenn Sie nicht eindeutig definieren, was zu tun ist, wer es tun wird und in welchem Zeitrahmen (d. h. die Durchführung eines Projektmanagements), könnten Sie genauso gut die Aufgabe nie zu Ende bringen.

3. Definieren Sie den Anwendungsbereich

Wenn Sie ein größeres Unternehmen sind, ist es wahrscheinlich sinnvoll, ISO 27001 nur in einem Teil Ihres Unternehmens zu implementieren, um damit Ihr Projektrisiko deutlich zu senken. (Probleme bei der Festlegung des Anwendungsbereichs für ISO 27001)

4. Schreiben Sie eine ISMS-Leitlinie

Die ISMS-Leitlinie ist das Dokument höchster Ebene in Ihrer ISMS – es sollte nicht sehr detailliert sein, aber einige grundlegende Fragen zur Informationssicherheit in Ihrem Unternehmen definieren. Aber was ist ihr Zweck, wenn sie nicht detailliert ist? Der Zweck besteht für das Management darin, zu definieren, was es erreichen will und wie es diesen Vorgang steuern wird. (Informationssicherheitsleitlinie – wie detailliert sollte sie sein?)

5. Festlegen der Methodik für die Risikoeinschätzung.

Die Risikoeinschätzung ist die komplizierteste Aufgabe im ISO 27001 Projekt – der entscheidende Punkt ist, die Regeln zur Ermittlung der organisationseigenen Werte, Schwachstellen, Bedrohungen, Auswirkungen und Wahrscheinlichkeiten zu bestimmen und die zulässige Höhe des Risikos zu definieren. Werden diese Regeln nicht klar definiert, so können Sie sich in einer Situation wiederfinden, in der Sie unbrauchbare Ergebnisse erhalten. (Lesen Sie Tipps zur Risikobewertung für Kleinunternehmen)

6. Durchführen der Risikoeinschätzung und Risikobehandlung

Hier müssen Sie umsetzen, was im vorherigen Schritt definiert wurde – bei großen Unternehmen kann dies mehrere Monate dauern, weshalb Sie einen solchen Aufwand sehr sorgfältig koordinieren sollten. Entscheidend ist, ein umfassendes Bild der Gefahren für die unternehmenseigenen Informationen zu erhalten.

Der Zweck der Risikobehandlung besteht darin, die nicht akzeptablen Risiken zu senken – dies erfolgt üblicherweise dadurch, dass der Einsatz der Maßnahmen aus Anhang A geplant wird.

In diesem Schritt wird Bericht zur Risikoeinschätzung verfasst, der alle Schritte der Risikoeinschätzung und der Risikobehandlung dokumentiert. Ebenso muss eine Genehmigung der Restrisiken eingeholt werden – entweder als separates Dokument oder als Teil der Erklärung zur Anwendbarkeit.

7. Erstellung einer Erklärung zur Anwendbarkeit

Sobald Sie Ihre Risikoeinschätzung abgeschlossen haben, werden Sie genau wissen, welche Maßnahmen aus Anhang A benötigt werden (insgesamt gibt es 133 Maßnahmen, aber sie werden wahrscheinlich nicht alle brauchen). Mit diesem Dokument (häufig „SoA“ genannt) sollen alle Maßnahmen aufgelistet und festgelegt werden, welche Maßnahmen anwendbar sind und welche nicht, die Gründe für diese Entscheidung, die mit den Maßnahmen zu erreichenden Ziele sowie eine Beschreibung, wie die Maßnahmen umgesetzt werden.

Die Erklärung zur Anwendbarkeit ist auch das am besten geeignete Dokument, um die Genehmigung des Managements für die Durchführung des ISMS einzuholen.

8. Plan zur Risikobehandlung erstellen

Gerade als Sie dachten, Sie hätten alle risikobezogenen Dokumente gelöst, kommt das nächste – der Zweck des Risikobehandlungsplans besteht darin, genau zu definieren, wie die Maßnahmen aus dem SoA umgesetzt werden sollen – wer führt sie durch, wann, mit welchem Budget usw. Dieses Dokument ist eigentlich ein Umsetzungsplan, der sich auf Ihre Maßnahmen konzentriert. Ohne ihn wären Sie nicht in der Lage, weitere Schritte im Projekt durchzuführen.

9. Definieren Sie, wie Sie die Wirksamkeit der Maßnahmen messen werden

Eine weitere Aufgabe, die in der Regel unterschätzt wird. Der wichtige Aspekt dabei ist – wenn Sie nicht messen können, was Sie getan haben, wie können Sie dann sicher sein, dass Sie den Zweck erfüllt haben? Aus diesem Grund müssen Sie festlegen, wie Sie die Erfüllung der von Ihnen gesetzten Ziele sowohl für das gesamte ISMS als auch für jede anwendbare Maßnahme in der Erklärung zur Anwendbarkeit messen wollen.

10. Umsetzung der Maßnahmen und verbindliche Verfahren

Leichter gesagt als getan. Hier müssen Sie die vier obligatorischen Verfahren und die anwendbaren Maßnahmen aus Anhang A umsetzen.

Dies ist meist die riskanteste Aufgabe im Projekt. Sie bedeutet normalerweise die Anwendung neuer Technologien, vor allem aber die Umsetzung neuer Verhaltensweisen in Ihrem Unternehmen. Oft werden neue Strategien und Verfahren benötigt (was bedeutet, dass Änderungen erforderlich sind). Menschen stehen Veränderungen üblicherweise ablehnend gegenüber – darum ist die nächste Aufgabe (Schulung und Sensibilisierung) entscheidend für die Vermeidung dieses Risikos.

11. Durchführung der Schulungs- und Sensibilisierungsprogramme

Wenn Sie wollen, dass Ihr Personal alle neuen Richtlinien und Verfahren umsetzt, müssen Sie ihnen zunächst erklären, warum sie notwendig sind, und sie müssen Ihre Mitarbeiter schulen, ihre Aufgaben wie erwartet wahrzunehmen. Das Ausbleiben dieser Tätigkeiten ist die zweithäufigste Ursache für das Scheitern von ISO 27001 Projekten.

12. Betreiben des ISMS

Dies ist der Teil, in dem ISO 27001 zur alltäglichen Routine in Ihrem Unternehmen wird. Das entscheidende Wort hier lautet: „Aufzeichnungen“. Prüfer lieben Aufzeichnungen – ohne Aufzeichnungen wird es sehr schwer für Sie, die Durchführung von Aktivitäten wirklich nachzuweisen. Aber Aufzeichnungen sollten Ihnen in erster Linie helfen. Mit ihrer Hilfe können Sie beobachten, was geschieht. Sie werden tatsächlich mit Sicherheit wissen, ob Ihre Mitarbeiter (und Lieferanten) ihren Aufgaben wie gefordert nachkommen.

13. Überwachen des ISMS

Was passiert in Ihrem ISMS? Wie viele Vorfälle welcher Art gab es bei Ihnen? Werden alle Verfahren richtig ausgeführt?

Hier kommen die Ziele für Ihre Maßnahmen und Messmethodik zusammen – Sie müssen prüfen, ob ihre Ergebnisse den von Ihnen gesteckten Zielen entsprechen. Falls nicht, dann wissen Sie, dass etwas falsch läuft – Sie müssen Korrektur- und/oder Vorbeugungsmaßnahmen ergreifen.

14. Internes Audit

Sehr oft ist Menschen nicht bewusst, dass sie etwas falsch machen (auf der anderen Seite ist es das manchmal schon, aber sie wollen nicht, dass jemand davon erfährt). Aber die Unkenntnis vorhandener oder potenzieller Probleme kann Ihrer Organisation schaden – man muss interne Audits durchführen, um solche Dinge herauszufinden. Der springende Punkt ist nicht, disziplinarische Maßnahmen einzuleiten, sondern Korrektur- und/oder Vorbeugungsmaßnahmen zu ergreifen. (Lesen Sie Probleme bei internen Auditoren nach ISO 27001 und BS 25999-2)

15. Managementprüfung

Das Management muss nicht Ihre Firewall konfigurieren, aber es muss wissen, was im ISMS vor sich geht, d. h. ob jeder seine Aufgaben erfüllt, ob das ISMS die gewünschten Ergebnisse erzielt usw. Auf dieser Grundlage muss das Management einige entscheidende Entscheidungen treffen.

16. Korrektur- und Vorbeugungsmaßnahmen

Der Zweck des Managementsystems besteht darin, dass alle Fehler (sogenannte „Nichtübereinstimmungen“) behoben oder hoffentlich verhindert werden. Daher ist es nach ISO 27001 erforderlich, dass systematisch Korrektur- und Vorbeugungsmaßnahmen durchgeführt werden. Das bedeutet, dass die Ursache einer Nichtübereinstimmung festgestellt sowie anschließend aufgelöst und verifiziert werden muss.

Hoffentlich konnte dieser Artikel klären, was getan werden muss – obwohl ISO 27001 keine leichte Aufgabe darstellt, ist sie nicht unbedingt kompliziert. Sie müssen nur jeden Schritt sorgfältig planen und keine Angst haben – Sie werden Ihr Zertifikat erhalten.

Hier können Sie das Diagramm der ISO 27001 Umsetzung herunterladen. Es zeigt alle diese Schritte zusammen mit den erforderlichen Unterlagen.

Haben sie jemals versucht, Ihr Management davon zu überzeugen, Informationssicherheit auf grundlegende Weise umzusetzen? Wenn ja, dann wissen Sie wahrscheinlich, wie es sich anfühlt – sie werden Sie fragen, wie viel es kostet, und wenn es zu teuer klingt, werden sie Nein sagen.

Eigentlich sollte man ihnen das nicht verdenken – schließlich ist die Rentabilität des Unternehmens ihre ultimative Verantwortung. Das bedeutet, dass jede ihrer Entscheidungen auf dem Gleichgewicht zwischen Investition und Nutzen basiert, oder um es in der Sprache des Managements auszudrücken: ROI (Return on Investment).

Das heißt, Sie müssen zuerst Ihre Hausaufgaben machen, bevor Sie versuchen, eine solche Investition vorzuschlagen. Denken Sie sorgfältig darüber nach, wie Sie Vorteile präsentieren und eine Sprache einsetzen, die vom Management verstanden wird und Zustimmung findet.

Ich werde versuchen, Ihnen zu helfen – es gibt zahlreiche Vorteile der Informationssicherheit und insbesondere der Umsetzung der ISO 27001. Aber meiner Erfahrung nach sind die folgenden vier Punkte am wichtigsten:

1. Einhaltung

Es mag seltsam klingen, dies als wichtigsten Vorteil aufzuführen, aber die Einhaltung (Compliance) zeigt oft die schnellste Rendite. Wenn ein Unternehmen verschiedene Vorschriften bezüglich Datenschutz, Privatsphäre und EDV einhalten muss (insbesondere bei Finanz-, Gesundheits- oder Regierungsorganisationen), dann kann ISO 27001 die Methodik einbringen, um dies am effizientesten durchzuführen.

2. Marketing

Auf einem immer stärker durch Wettbewerb gekennzeichneten Markt ist es manchmal sehr schwierig, etwas zu finden, was Sie aus Sicht Ihrer Kunden abhebt. ISO 27001 könnte in der Tat ein Alleinstellungsmerkmal sein, vor allem wenn Sie sensible Daten der Kunden verarbeiten.

3. Senkung der Kosten

Informationssicherheit wird üblicherweise als Unkosten betrachtet, ohne offensichtlichen finanziellen Gewinn. Allerdings gibt es einen finanziellen Vorteil, wenn Sie Ihre durch Vorfälle verursachten Kosten senken. Sie haben es wahrscheinlich mit einer Betriebsunterbrechung oder gelegentlichen Datenlecks oder unzufriedenen Mitarbeitern zu tun. Oder verärgerte ehemalige Angestellte.

Die Wahrheit ist, dass es noch keine Methode und/oder Technologie gibt, um die Summe zu berechnen, die Sie durch ein Verhindern dieser Vorfälle einsparen würden. Aber es klingt immer gut, wenn Sie dem Management diese Fälle präsentieren.

4. Bringen Sie Ihr Geschäft in Ordnung

Dieser Punkt ist wahrscheinlich am stärksten unterschätzt – falls Sie ein Unternehmen sind, dass den letzten Jahren stark gewachsen ist, könnten Sie vor Problemen stehen wie zum Beispiel ‚wer entscheidet was‘, ‚wer ist für bestimmte Informationen verantwortlich‘, ‚wer genehmigt den Zugang zu Informationssystemen‘ usw.

ISO 27001 ist besonders gut für die Bewältigung dieser Probleme geeignet – diese Norm wird Sie zwingen, Verantwortlichkeiten und Pflichten sehr genau zu umreißen und damit Ihre interne Organisation stärken.

Abschließend gesagt könnte ISO 27001 Ihnen viele Vorteile einbringen – sie ist mehr als nur ein weiteres Zertifikat an der Wand. Wenn Sie diese Vorteile klar darstellen, so wird das Management in den meisten Fällen anfangen, Ihnen zuzuhören.

Sie können sich auch unser Webinar ISO 27001 / BS 25999-2 management responsibilities: What does management need to know? ansehen (kommerzielles Training).

Man würde denken, dass diese beiden Begriffe Synonyme sind – dreht es sich bei Informationssicherheit schließlich nicht immer um Computer?

Nicht wirklich. Der grundlegende Punkt ist, dass Sie vielleicht perfekte IT-Sicherheitsmaßnahmen eingerichtet haben, aber nur eine böswillige Handlung beispielsweise durch den Administrator legt das gesamte IT-System lahm. Dieses Risiko hat nichts mit Computern zu tun, sondern mit Menschen, Prozessen, Überwachung usw.

Außerdem könnten wichtige Information möglicherweise nicht einmal in digitaler Form vorliegen, sondern nur ausgedruckt – beispielsweise ein wichtiger Vertrag, der mit dem größten Kunden abgeschlossen wurde, persönliche Notizen des Geschäftsführers oder in einem Safe gelagerte ausgedruckte Administrator-Passwörter.

Deshalb pflege ich meinen Kunden gerne zu sagen – IT-Sicherheit entspricht 50 % der Informationssicherheit, weil Informationssicherheit immer auch physische Sicherheit, Personalmanagement, Rechtsschutz, Organisation, Prozesse usw. bedeutet. Der Zweck der Informationssicherheit besteht darin, ein System aufzubauen, dass sämtliche mögliche Risiken für die Informationssicherheit (IT-bezogen oder nicht IT-bezogen) berücksichtigt und umfassende Maßnahmen umsetzt, um alle Arten unzulässiger Risiken zu reduzieren.

Diese integrierte Herangehensweise für die Sicherheit von Informationen wird in ISO 27001 am besten definiert, der international führenden Norm für Informationssicherheits-Management. Kurzum ist eine Risikoeinschätzung für alle Vermögenswerte des Unternehmens erforderlich – einschließlich Hardware, Software, Dokumentation, Mitarbeiter, Lieferanten, Partner usw. Für eine Verringerung dieser Risiken sind entsprechende Maßnahmen auszuwählen.

ISO 27001 bietet 133 Maßnahmen in ihrem Anhang A. Ich habe diese Maßnahmen kurz analysiert und folgende Ergebnisse erhalten:

• IT-bezogene Maßnahmen: 46 %
• Maßnahmen im Zusammenhang mit Organisation / Dokumentation: 30%
• Physische Sicherheitsmaßnahmen: 9%
• Rechtsschutz: 6%
• Maßnahmen im Zusammenhang mit Beziehungen zu Lieferanten und Käufern: 5%
• Organisationsmaßnahmen im Personalwesen: 4%

Was bedeutet dies alles für die Informationssicherheit und Umsetzung der ISO 27001? Diese Art Projekt sollte nicht als IT-Projekt angesehen werden, denn als solches wäre es unwahrscheinlich, dass alle Teile der Organisation sich daran beteiligen möchten. Es sollte als unternehmensweites Projekt gesehen werden, an dem relevante Mitarbeiter aus allen Geschäftsbereichen teilnehmen sollten – leitendes Management, IT-Mitarbeiter, Rechtsexperten, Personalmanager, Sicherheitspersonal, Geschäftsbereiche des Unternehmens usw. Ohne eine solche Herangehensweise werden sie an der IT-Sicherheit arbeiten, ohne sich damit vor den größten Risiken zu schützen.

Sie können sich auch unser Webinar ISO 27001 Foundations Part 3: Annex A overview ansehen (kommerzielles Training).

Auf den ersten Blick haben Informationssicherheit und betriebliches Kontinuitätsmanagement nicht viel gemeinsam – man möchte vielleicht anmerken, dass beide mit IT zu tun haben.

Informationssicherheit-Management wird in der internationalen Norm ISO/IEC 27001 am besten definiert, während die britische Norm BS 25999-2 betriebliches Kontinuitätsmanagement festlegt – wenn wir also diese beiden Themen vergleichen wollen, so ist es das Klügste, die Inhalte dieser beiden Normen anzuschauen.

Zunächst einmal ist IT ein wichtiger Teil sowohl der ISO 27001 als auch der BS 25999-2, aber beide Normen drehen sich keineswegs nur um IT – der Schwerpunkt liegt auf organisationseigenen Verfahren und Werten und den damit verbundenen Risiken. Es stimmt, dass IT das wichtigste Instrument ist, um Daten zu verarbeiten. Tatsache bleibt aber, dass die größten Risiken in bösartigen und unbeabsichtigten Aktivitäten von Mitarbeitern bestehen. Daher können die Risiken hinsichtlich der Informationssicherheit oder des betrieblichen Kontinuitätsmanagements nicht allein durch Informationstechnologie gelöst werden. Es ist viel wichtiger, Organisation, Verfahren und Verantwortlichkeiten innerhalb des Unternehmens zu definieren.

Aber was ist Informationssicherheit im Grunde? ISO 27001 definiert sie als „Bewahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen“. Andererseits definiert BS 25999-2 betriebliches Kontinuitätsmanagements als die „strategische und taktische Fähigkeit des Unternehmens, für Vorfälle Störungen des Geschäftsbetriebs zu planen und auf diese zu reagieren, um betriebliche Abläufe auf einem vorab definierten akzeptablen Niveau weiterzuführen“.

Die beiden Normen scheinen sich nicht sehr ähnlich zu sein. Da gibt es jedoch einen sehr ähnlichen Aspekt – Verfügbarkeit. Der Schwerpunkt liegt sowohl bei der Informationssicherheit als auch beim betrieblichen Kontinuitätsmanagement darauf, Informationen für die Mitarbeiter verfügbar zu halten, die sie benötigen – diesbezüglich bietet der Anhang A der ISO 27001 einige Maßnahmen, die sich nur auf das betriebliche Kontinuitätsmanagement beziehen.

Außerdem verlangen beide Normen, dass die Risikoeinschätzung vorgenommen wird, um mögliche Probleme im Zusammenhang mit Informationen zu erkennen. Beide Normen machen zudem ein Dokumentenmanagement, die Durchführung interner Audits, Managementprüfungen sowie Korrektur- und Vorbeugungsmaßnahmen erforderlich. Sollten Sie also bereits über eine Dokumentation für ISO 27001 verfügen, so können sie die gleichen Verfahren auch für BS 25999-2 verwenden (mit nur geringfügigen Änderungen).

Was sind die Unterschiede? Der Hauptunterschied liegt in der Detailgenauigkeit. ISO 27001 deckt einen wesentlich größeren Bereich ab und ist daher bezüglich des betrieblichen Kontinuitätsmanagements nicht sehr genau. Andererseits beschreibt BS 25999-2 detailliert, wie eine Geschäftsauswirkungsanalyse durchzuführen ist, wie Strategien für betriebliches Kontinuitätsmanagement festgelegt werden, welche Inhalte die Pläne für betriebliches Kontinuitätsmanagement haben sollten usw.

Um es nochmals deutlich zu machen: Der springende Punkt ist hier also, dass man sich betriebliches Kontinuitätsmanagements als einen Teil der Informationssicherheit vorstellen kann. In der Praxis bedeutet das, dass Sie bei einer Umsetzung des betrieblichen Kontinuitätsmanagements im Rahmen der ISO 27001 optimalerweise Norm BS 25999-2 als Leitlinie verwenden sollten.

Sie können sich auch unser kostenloses Webinar ISO 27001 & BS 25999-2: Why is it better to implement them together? ansehen.