ISO 27001 & BS 25999

Falls Sie gehört haben, dass ISO 27001 viele Verfahren erfordert, so ist dies nicht ganz richtig. Die Norm fordert tatsächlich nur vier dokumentierte Verfahren: ein Verfahren für Dokumentenkontrolle, ein Verfahren für interne ISMS-Audits, ein Verfahren für Korrekturmaßnahmen sowie ein Verfahren für Vorbeugungsmaßnahmen. Der Begriff „dokumentiert“ bedeutet, dass es ein „festgelegtes, dokumentiertes, umgesetztes und instand gehaltenes Verfahren“ ist (ISO/IEC 27001, 4.3.1 Anmerkung 1).

Hinweis: In diesem Blog-Eintrag werde ich nicht über weitere verbindliche Unterlagen wie ISMS-Anwendungsbereich, ISMS-Leitlinie, Methodik der Risikoeinschätzung, Risikoeinschätzungsbericht, Erklärung zur Anwendbarkeit, Plan zur Risikobehandlung usw. schreiben – hier konzentriere ich mich nur auf Verfahren.

Mit dem Verfahren für die Dokumentenkontrolle (Verfahren für Dokumentenmanagement) sollte festgelegt werden, wer für die Genehmigung und Überprüfung der Dokumente verantwortlich ist, wie Änderungen und Versionsstatus markiert werden, wie die Dokumente verteilt werden usw. anders ausgedrückt: Dieses Verfahren sollte festlegen, wie der Kreislauf des Unternehmens (der Dokumentenfluss) funktioniert.

Das Verfahren für interne Audits muss Verantwortlichkeiten für die Planung und Durchführung von Audits definieren und festlegen, wie die Audit-Ergebnisse berichtet und wie die Aufzeichnungen aufbewahrt werden. Dies bedeutet, dass die wichtigsten Regeln für die Durchführung des Audits festgelegt werden müssen.

Das Verfahren für Korrekturmaßnahmen sollte festlegen, wie die Nichteinhaltung und ihre Ursache erkannt werden, wie die notwendigen Maßnahmen definiert und umgesetzt werden, welche Aufzeichnungen erfolgen und auf welche Weise die Überprüfung der Maßnahmen durchgeführt wird. Mit diesem Verfahren soll festgelegt werden, wie jede Korrekturmaßnahme die Ursache der Nichteinhaltung beseitigen sollte,, so dass diese nicht wieder auftritt.

Das Verfahren für die Vorbeugungsmaßnahme ist fast das gleiche wie bei der Korrekturmaßnahme, mit dem Unterschied, dass es auf die Beseitigung der Ursache einer Abweichung abzielt, so dass diese gar nicht erst auftritt. Aufgrund ihrer Ähnlichkeiten werden diese beiden Verfahren in der Regel in einem zusammengefasst.

Aber ist es nach ISO 27001 erforderlich, das Verfahren dokumentiert werden, die in keiner Beziehung zur Informationssicherheit stehen, während Sicherheitsverfahren nicht verbindlich sind?

Die Antwort liegt in der Risikoeinschätzung – nach ISO 27001 müssen Sie eine Risikoeinschätzung durchführen. Sollte diese Risikoeinschätzung gewisse unzulässige Risiken erkennen, so muss nach ISO 27001 eine Maßnahme aus ihrem Anhang A umgesetzt werden, um das Risiko bzw. die Risiken einzudämmen. Die Maßnahme kann technischer Art sein (z. B. Anti-Virus-Software, um das Risiko eines Angriffs durch schädliche Software abzuschwächen). Es kann aber auch organisatorischer Art sein – die Umsetzung einer Leitlinie oder eines Verfahrens (z. B. Einrichtung eines Back-up-Verfahrens). Daher sind die Verfahren nur dann zwingend, wenn die Risikoeinschätzung unzulässige Risiken erkennt.

Eine wichtige Anmerkung noch: Anders als die vier vorgeschriebenen Verfahren, die dokumentiert werden müssen, ist eine Dokumentierung der Verfahren gemäß den Maßnahmen in Anhang A nicht erforderlich. Es ist Sache des Unternehmens einzuschätzen, ob ein solches Verfahren dokumentiert werden soll oder nicht.

Man könnte die vier vorgeschriebenen Verfahren als Säulen Ihres Managementsystems (zusammen mit den Sicherheitsrichtlinien) erwägen – sobald sie fest im Boden verankert sind, können Sie mit dem Bau der Hauswände beginnen. Offensichtlich wird dies, wenn man sich andere Managementsysteme ansieht – auch dort sind die gleichen vier Verfahren obligatorisch – in ISO 9001 (Qualitätsmanagementsystemen), ISO 14001 (Umweltmanagementsystemen) und BS 25999 -2 (Systemen für betriebliches Kontinuitätsmanagement). Als Folge können Sie diese Verfahren als wichtigstes Bindeglied zwischen verschiedenen Managementsystemen nutzen, falls Sie das sogenannte „integrierte Managementsystem“ entwickeln wollen.

Sie können sich auch unser Video Tutorial How to Write ISO 27001/ISO 22301 Document Control Procedure ansehen (kommerzielles Video).

Ihr Management hat Ihnen die Aufgabe übertragen, ein betriebliches Kontinuitätsmanagement umzusetzen, aber Sie sind nicht wirklich sicher, wie das geht? Obwohl es keine einfache Aufgabe ist, können Sie sich mit der BS 25999-2 Methodik das Leben einfacher machen – hier sind die wichtigsten Schritte, die für die Umsetzung dieser Norm notwendig sind:

1. Unterstützung des Managements einholen

Obwohl dies in BS 25999-2 kein verbindlicher Schritt ist, so ist dies sicherlich der entscheidende Schritt am Anfang. Sollte das Management die Vorteile des betrieblichen Qualitätsmanagements nicht verstehen und sich nicht für dieses Projekt engagieren, so ist das Projekt wahrscheinlich zum Scheitern verurteilt.

2. Behandeln Sie es als Projekt

Es wird ziemlich viel Zeit und Ressourcen kosten, Ihr betriebliches Kontinuitätsmanagement (BCMS) einzurichten – Sie müssen klar definieren, was getan werden muss, in welchem Zeitrahmen, und welche Aufgaben bei der Projektdurchführung anstehen. Mit anderen Worten müssen Sie Methoden des Projektmanagements anwenden.

3. Definieren Sie Ziele und Anwendungsbereich. Schreiben Sie eine BCM-Leitlinie

Sie müssen definieren, was Sie mit dem BCMS erreichen möchten – Compliance, Senken des Risikos, Anforderungen Ihrer Kunden/Partner usw. Darüber hinaus müssen Sie definieren, was Sie in Ihr BCMS integrieren werden – die gesamte Unternehmensorganisation oder nur einen Teil davon. So können Sie entscheiden, dass Sie nur Ihr Rechenzentrum einbeziehen, falls Sie Hosting-Dienstleistungen für Ihre Kunden anbieten. Alles dies muss in der BCMS-Leitlinie dokumentiert werden.

4. Definieren von Rollen und Verantwortlichkeiten für das BCMS

Da das BCMS in Ihrem Unternehmen zu einer dauerhaften Tätigkeit werden wird, müssen Sie klare Verantwortlichkeiten dafür definieren. Dies gilt besonders für den „Sponsor“ des BCMS (jemand, der die Verantwortung für das BCMS trägt, aber nicht in alltägliche BCMS-Tätigkeiten involviert ist) und „BCM-Koordinator“, „BCM-Manager“ oder Ähnliches – eine oder mehrere Personen mit aktiven Pflichten hinsichtlich des BCMS. Es ist am besten, diese Rollen und Verantwortlichkeiten in Ihrer BCM-Leitlinie zu dokumentieren.

5. Obligatorische Verfahren umsetzen

BS 25999-2 fordert die Umsetzung der folgenden vier obligatorischen Verfahren: Dokumenten- und Aufzeichnungsmanagement, internes Audit, Vorbeugungs- und Korrekturmaßnahmen. Diese Verfahren sind in der Tat das Fundament Ihres Managementsystems, ähnlich wie in der ISO 27001 oder ISO 9001.

6. Durchführen der Geschäftsauswirkungsanalyse und der Risikoeinschätzung

Mithilfe einer Geschäftsauswirkungsanalyse müssen Sie die kritischen Aktivitäten, ihren maximal tolerierbaren Störungszeitraum und die Abhängigkeiten dieser kritischen Aktivitäten (einschließlich Abhängigkeiten gegenüber Lieferanten und Outsourcing-Partnern) erkennen und Recovery Time Objectives festlegen.

Durch die Risikoeinschätzung finden sie tatsächlich heraus, welche Ursachen die Unterbrechung Ihrer kritischen Aktivitäten haben könnten – sie können natürliche Gründe haben oder auf Menschen zurückzuführen sein (entweder absichtlich oder versehentlich). Sie müssen auch eine Risikobehandlung durchführen. Das heißt, dass Sie entscheiden müssen, wie mögliche Fehlentwicklungen eingedämmt werden sollen. Leider werden Risikoeinschätzung und -behandlung in dieser Norm nicht sehr klar definiert. Daher sollten Sie vielleicht einen Blick auf ISO 27001 werden, in der diese Aspekte detaillierter beschrieben werden.

7. Festlegen der Strategie für betriebliches Kontinuitätsmanagement

Bevor Sie Pläne für betriebliches Kontinuitätsmanagement verfassen, müssen Sie festlegen, welche Ressourcen Sie für die Wiederaufnahme Ihrer kritischen Aktivitäten benötigen – welche Mitarbeiter, Standorte, Daten, Hardware, Software, Lieferanten, Outsourcing-Partner usw.

Die Strategie für betriebliches Kontinuitätsmanagement muss nicht nur festlegen, was Sie brauchen, sondern auch, wie Sie sich diese Ressourcen beschaffen.

8. Entwicklung eines Störfallmanagements und von Plänen für betriebliches Kontinuitätsmanagement

Der Zweck von Störfallmanagementplänen besteht darin, zu beschreiben, wie Sie direkt auf einen Vorfall reagieren (z. B. Feuer, Erdbeben, Bombendrohung, Stromausfall usw.), um eine Ausweitung zu verhindern und zu versuchen, die direkten Auswirkungen einzudämmen. Andererseits besteht der Zweck der Pläne für betriebliches Kontinuitätsmanagement in der Beschreibung, wie Sie Ihre kritischen Tätigkeiten wiederherstellen – wie Sie alle vorbereiteten Ressourcen in Aktionen umsetzen. Das bedeutet, dass Sie beschreiben müssen, wer was tun soll, in welcher Zeit, mithilfe welcher Daten und Technologie, um Ihr Unternehmen wieder in Betrieb nehmen zu können.

Sämtliche dieser Pläne müssen detailliert beschrieben werden, denn sie müssen auch dann ausgeführt werden, wenn das Hauptpersonal nicht verfügbar ist – aus diesem Grund müssen so geschrieben werden, dass jeder andere in der Lage wäre, sie auszuführen.

9. Schulung und Sensibilisierung

Sie müssen die erforderliche Kompetenz definieren, um die Pläne des betrieblichen Kontinuitätsmanagements im Falle einer Unterbrechung durchführen zu dürfen und dann sämtliche Mitarbeiter schulen (Mitarbeiter und externe Partner), um diese Kompetenz zu erreichen.

Dies ist jedoch nicht genug – Sie müssen Ihren Mitarbeiter auch erklären, warum BCM notwendig ist. Seien wir ehrlich – Ihre Pläne für betriebliches Kontinuitätsmanagement werden vielleicht nur einmal im Leben genutzt. Daher werden sie von vielen Menschen als Zeitverschwendung angesehen. Daher müssen Sie erklären, warum so eine Sache eingerichtet werden muss. (Siehe auch Der Umgang mit BCM-Skeptikern)

10. BCMS-Übungen

Wenn Sie dachten, dass Sie Ihre schriftlichen Pläne perfekt verfasst haben, liegen sie möglicherweise falsch – es ist fast unmöglich, gleich am Anfang einen fehlerfreien Plan zu schreiben. Deshalb sind Übungen ein obligatorischer Teil des BCMS: Sie müssen Ihre Pläne in einer Situation testen, die der einer echten Störung mehr oder weniger ähnelt. Nur dann werden Sie herausfinden, was Sie gut geplant haben – und was nicht.

11. Pflege und Überprüfung des BCMS

Ein weiterer Weg, um Ihr BCMS aktuell zu halten, ist die Festlegung der Intervalle, in denen Sie Ihre Pläne für betriebliches Kontinuitätsmanagement sowie weitere Regelungen überprüfen (z. B. Verträge mit Lieferanten und Outsourcing-Partnern, Schulung und Sensibilisierung usw.). Es gibt alle möglichen Arten von umfeldbezogenen Veränderungen, durch die Ihre Dokumentation obsolet werden könnte: Es reicht aus, dass ein Mitarbeiter das Unternehmen verlässt, um in einem Plan eine unbrauchbare Rufnummer zu haben, falls diese Person eine Rolle im BCMS hatte.

Ebenso sind zwingend notwendig, im Ernstfall nach einem Vorfall eine Prüfung durchzuführen. Der Zweck besteht darin herauszufinden, wie das Unternehmen tatsächlich reagiert hat – wurden die Pläne befolgt oder nicht.

12. Internes Audit

Der Zweck des internen Audits besteht darin herauszufinden, ob etwas objektiv falsch ist – der interne Prüfer soll seine Person sein, die herausfinden kann, ob Ihr BCMS Fehler enthält, um diese zu korrigieren. Wird es richtig durchgeführt, so kann das interne Audit eine der besten Möglichkeiten sein, um Ihr BCMS zu verbessern. (Lesen Sie Probleme bei internen Auditoren nach ISO 27001 und BS 25999-2)

13. Managementprüfung

Wie bereits gesagt ist es sehr wichtig, Ihr Management in das Projekt einzubinden – Überprüfung des Managements wurde genau dafür verfasst. Gemäß der Norm muss das Management alle relevanten Fakten über BCM prüfen und entscheiden, ob es seinen Zweck erfüllt hat. Nachdem dies abgeschlossen ist, muss das Management entscheiden, welche Verbesserungen vorgenommen werden müssen.

14. Vorbeugungs- und Korrekturmaßnahmen

Am besten wäre es, Fehler (oder „Nichtübereinstimmungen“, um es mit BS 25999 auszudrücken) bereits zu vermeiden, bevor sie geschehen – dafür werden Vorbeugungsmaßnahmen verwendet – sie korrigieren Dinge auf systematische Weise, bevor ein Problem auftritt. Ähnlich wie bei Vorbeugungsmaßnahmen gibt es auch Korrekturmaßnahmen, die das bereits aufgetretene Problem beheben.

Nun lautet die Frage: Warum sollte man BS 25999-2 verwenden? Obwohl es (noch) keine internationale Norm ist, so ist es doch die weltweit beliebteste Norm für betriebliches Kontinuitätsmanagement. Die oben genannten Schritte wurden von den besten Fachleuten für betriebliches Kontinuitätsmanagement erstellt. Wenn Sie also besten anerkannten Umsetzungsverfahren für betriebliches Kontinuitätsmanagement einsetzen wollen, brauchen Sie nicht weiterzusuchen.

Hier können Sie das Diagramm der BS 25999-2 Umsetzung herunterladen. Es zeigt alle diese Schritte zusammen mit den erforderlichen Unterlagen (Registrierung erforderlich).

Wenn Sie beginnen, ISO 27001 umzusetzen, suchen Sie wahrscheinlich nach einem einfachen Weg. Ich muss Sie leider enttäuschen: Es gibt keinen einfachen Weg. Allerdings werde ich versuchen, Ihre Arbeit zu erleichtern – um eine Zertifizierung nach ISO 27001 zu erreichen, müssen Sie die folgenden sechzehn Schritte absolvieren:

1. Unterstützung des Managements einholen

Dieser Punkt erscheint ziemlich offensichtlich – er wird in der Regel jedoch nicht ernst genug genommen. Nach meiner Erfahrung ist dies der Hauptgrund, warum ISO 27001-Projekte scheitern: Das Management stellt nicht genügend Mitarbeiter oder Gelder für das Projekt bereit. (Lesen Sie Vier wichtige Vorteile der ISO 27001-Umsetzung für Ideen, um dem Management den Fall zu präsentieren.)

2. Behandeln Sie es als Projekt

Wie bereits gesagt wurde, ist die Umsetzung von ISO 27001 ein komplexes Thema, das verschiedene Tätigkeiten und viele Personen umfasst und mehrere Monate (oder mehr als ein Jahr) dauert. Wenn Sie nicht eindeutig definieren, was zu tun ist, wer es tun wird und in welchem Zeitrahmen (d. h. die Durchführung eines Projektmanagements), könnten Sie genauso gut die Aufgabe nie zu Ende bringen.

3. Definieren Sie den Anwendungsbereich

Wenn Sie ein größeres Unternehmen sind, ist es wahrscheinlich sinnvoll, ISO 27001 nur in einem Teil Ihres Unternehmens zu implementieren, um damit Ihr Projektrisiko deutlich zu senken. (Probleme bei der Festlegung des Anwendungsbereichs für ISO 27001)

4. Schreiben Sie eine ISMS-Leitlinie

Die ISMS-Leitlinie ist das Dokument höchster Ebene in Ihrer ISMS – es sollte nicht sehr detailliert sein, aber einige grundlegende Fragen zur Informationssicherheit in Ihrem Unternehmen definieren. Aber was ist ihr Zweck, wenn sie nicht detailliert ist? Der Zweck besteht für das Management darin, zu definieren, was es erreichen will und wie es diesen Vorgang steuern wird. (Informationssicherheitsleitlinie – wie detailliert sollte sie sein?)

5. Festlegen der Methodik für die Risikoeinschätzung.

Die Risikoeinschätzung ist die komplizierteste Aufgabe im ISO 27001 Projekt – der entscheidende Punkt ist, die Regeln zur Ermittlung der organisationseigenen Werte, Schwachstellen, Bedrohungen, Auswirkungen und Wahrscheinlichkeiten zu bestimmen und die zulässige Höhe des Risikos zu definieren. Werden diese Regeln nicht klar definiert, so können Sie sich in einer Situation wiederfinden, in der Sie unbrauchbare Ergebnisse erhalten. (Lesen Sie Tipps zur Risikobewertung für Kleinunternehmen)

6. Durchführen der Risikoeinschätzung und Risikobehandlung

Hier müssen Sie umsetzen, was im vorherigen Schritt definiert wurde – bei großen Unternehmen kann dies mehrere Monate dauern, weshalb Sie einen solchen Aufwand sehr sorgfältig koordinieren sollten. Entscheidend ist, ein umfassendes Bild der Gefahren für die unternehmenseigenen Informationen zu erhalten.

Der Zweck der Risikobehandlung besteht darin, die nicht akzeptablen Risiken zu senken – dies erfolgt üblicherweise dadurch, dass der Einsatz der Maßnahmen aus Anhang A geplant wird.

In diesem Schritt wird Bericht zur Risikoeinschätzung verfasst, der alle Schritte der Risikoeinschätzung und der Risikobehandlung dokumentiert. Ebenso muss eine Genehmigung der Restrisiken eingeholt werden – entweder als separates Dokument oder als Teil der Erklärung zur Anwendbarkeit.

7. Erstellung einer Erklärung zur Anwendbarkeit

Sobald Sie Ihre Risikoeinschätzung abgeschlossen haben, werden Sie genau wissen, welche Maßnahmen aus Anhang A benötigt werden (insgesamt gibt es 133 Maßnahmen, aber sie werden wahrscheinlich nicht alle brauchen). Mit diesem Dokument (häufig „SoA“ genannt) sollen alle Maßnahmen aufgelistet und festgelegt werden, welche Maßnahmen anwendbar sind und welche nicht, die Gründe für diese Entscheidung, die mit den Maßnahmen zu erreichenden Ziele sowie eine Beschreibung, wie die Maßnahmen umgesetzt werden.

Die Erklärung zur Anwendbarkeit ist auch das am besten geeignete Dokument, um die Genehmigung des Managements für die Durchführung des ISMS einzuholen.

8. Plan zur Risikobehandlung erstellen

Gerade als Sie dachten, Sie hätten alle risikobezogenen Dokumente gelöst, kommt das nächste – der Zweck des Risikobehandlungsplans besteht darin, genau zu definieren, wie die Maßnahmen aus dem SoA umgesetzt werden sollen – wer führt sie durch, wann, mit welchem Budget usw. Dieses Dokument ist eigentlich ein Umsetzungsplan, der sich auf Ihre Maßnahmen konzentriert. Ohne ihn wären Sie nicht in der Lage, weitere Schritte im Projekt durchzuführen.

9. Definieren Sie, wie Sie die Wirksamkeit der Maßnahmen messen werden

Eine weitere Aufgabe, die in der Regel unterschätzt wird. Der wichtige Aspekt dabei ist – wenn Sie nicht messen können, was Sie getan haben, wie können Sie dann sicher sein, dass Sie den Zweck erfüllt haben? Aus diesem Grund müssen Sie festlegen, wie Sie die Erfüllung der von Ihnen gesetzten Ziele sowohl für das gesamte ISMS als auch für jede anwendbare Maßnahme in der Erklärung zur Anwendbarkeit messen wollen.

10. Umsetzung der Maßnahmen und verbindliche Verfahren

Leichter gesagt als getan. Hier müssen Sie die vier obligatorischen Verfahren und die anwendbaren Maßnahmen aus Anhang A umsetzen.

Dies ist meist die riskanteste Aufgabe im Projekt. Sie bedeutet normalerweise die Anwendung neuer Technologien, vor allem aber die Umsetzung neuer Verhaltensweisen in Ihrem Unternehmen. Oft werden neue Strategien und Verfahren benötigt (was bedeutet, dass Änderungen erforderlich sind). Menschen stehen Veränderungen üblicherweise ablehnend gegenüber – darum ist die nächste Aufgabe (Schulung und Sensibilisierung) entscheidend für die Vermeidung dieses Risikos.

11. Durchführung der Schulungs- und Sensibilisierungsprogramme

Wenn Sie wollen, dass Ihr Personal alle neuen Richtlinien und Verfahren umsetzt, müssen Sie ihnen zunächst erklären, warum sie notwendig sind, und sie müssen Ihre Mitarbeiter schulen, ihre Aufgaben wie erwartet wahrzunehmen. Das Ausbleiben dieser Tätigkeiten ist die zweithäufigste Ursache für das Scheitern von ISO 27001 Projekten.

12. Betreiben des ISMS

Dies ist der Teil, in dem ISO 27001 zur alltäglichen Routine in Ihrem Unternehmen wird. Das entscheidende Wort hier lautet: „Aufzeichnungen“. Prüfer lieben Aufzeichnungen – ohne Aufzeichnungen wird es sehr schwer für Sie, die Durchführung von Aktivitäten wirklich nachzuweisen. Aber Aufzeichnungen sollten Ihnen in erster Linie helfen. Mit ihrer Hilfe können Sie beobachten, was geschieht. Sie werden tatsächlich mit Sicherheit wissen, ob Ihre Mitarbeiter (und Lieferanten) ihren Aufgaben wie gefordert nachkommen.

13. Überwachen des ISMS

Was passiert in Ihrem ISMS? Wie viele Vorfälle welcher Art gab es bei Ihnen? Werden alle Verfahren richtig ausgeführt?

Hier kommen die Ziele für Ihre Maßnahmen und Messmethodik zusammen – Sie müssen prüfen, ob ihre Ergebnisse den von Ihnen gesteckten Zielen entsprechen. Falls nicht, dann wissen Sie, dass etwas falsch läuft – Sie müssen Korrektur- und/oder Vorbeugungsmaßnahmen ergreifen.

14. Internes Audit

Sehr oft ist Menschen nicht bewusst, dass sie etwas falsch machen (auf der anderen Seite ist es das manchmal schon, aber sie wollen nicht, dass jemand davon erfährt). Aber die Unkenntnis vorhandener oder potenzieller Probleme kann Ihrer Organisation schaden – man muss interne Audits durchführen, um solche Dinge herauszufinden. Der springende Punkt ist nicht, disziplinarische Maßnahmen einzuleiten, sondern Korrektur- und/oder Vorbeugungsmaßnahmen zu ergreifen. (Lesen Sie Probleme bei internen Auditoren nach ISO 27001 und BS 25999-2)

15. Managementprüfung

Das Management muss nicht Ihre Firewall konfigurieren, aber es muss wissen, was im ISMS vor sich geht, d. h. ob jeder seine Aufgaben erfüllt, ob das ISMS die gewünschten Ergebnisse erzielt usw. Auf dieser Grundlage muss das Management einige entscheidende Entscheidungen treffen.

16. Korrektur- und Vorbeugungsmaßnahmen

Der Zweck des Managementsystems besteht darin, dass alle Fehler (sogenannte „Nichtübereinstimmungen“) behoben oder hoffentlich verhindert werden. Daher ist es nach ISO 27001 erforderlich, dass systematisch Korrektur- und Vorbeugungsmaßnahmen durchgeführt werden. Das bedeutet, dass die Ursache einer Nichtübereinstimmung festgestellt sowie anschließend aufgelöst und verifiziert werden muss.

Hoffentlich konnte dieser Artikel klären, was getan werden muss – obwohl ISO 27001 keine leichte Aufgabe darstellt, ist sie nicht unbedingt kompliziert. Sie müssen nur jeden Schritt sorgfältig planen und keine Angst haben – Sie werden Ihr Zertifikat erhalten.

Hier können Sie das Diagramm der ISO 27001 Umsetzung herunterladen. Es zeigt alle diese Schritte zusammen mit den erforderlichen Unterlagen.

Sie haben ISO 9001 bereits umgesetzt? Sie haben gehört, dass ISO 27001 eine gute Idee ist? Aber wie kann etwas, was mit Qualität zu tun hat, Sie bei der Umsetzung von Informationssicherheit unterstützen?

Es kann das sicher mehr als Sie vielleicht denken … ISO 9001 legt fest, wie das Qualitätsmanagementsystem (QMS) aussehen muss, während ISO/IEC 27001 die Informationssicherheits-Managementsysteme (ISMS) definiert. Daher ist der Teil zu den „Managementsystemen“ der gleiche – worum geht es dabei eigentlich?

Die Philosophie der Managementsysteme hat sich aus der Theorie von W. Edwards Deming in der zweiten Hälfte des 20. Jahrhunderts entwickelt und basiert auf dem ‚Planen – Durchführen – Überprüfen – Handeln‘-Zyklus. Grundsätzlich besteht dieser Zyklus aus folgenden Elementen: In der Planungsphase müssen Sie planen, was Sie mit dem Managementsystem erreichen wollen. In der Durchführungsphase setzen Sie es um. In der Überprüfungsphase überwachen Sie permanent, ob Sie erreicht haben, was geplant war. In der Handlungsweise wiederum machen Sie Verbesserungen, d. h. Sie schließen die Lücke zwischen dem, was Sie geplant haben und dem, was Sie erreicht haben.

Obwohl dieser Zyklus mit Qualitätsmanagement im Hinterkopf erfunden wurde, hat es sich als Grundlage für alle anderen Managementsysteme etabliert – Informationssicherheit (ISO/IEC 27001), Umwelt (ISO 14001), Betriebliches Kontinuitätsmanagement (BS 25999-2) usw. Das bedeutet, dass einige der Elemente, die Sie für das Qualitätsmanagement nach ISO 9001 umgesetzt haben, von Ihnen ebenso für das Informationssicherheits-Managementsystem verwendet werden – hier ist die Liste:

• Dokumentenmanagement – das für die Dokumentenmanagement im QMS eingesetzte Verfahren kann für den gleichen Zweck im ISMS verwendet werden, mit nur geringfügigen Anpassungen
• Internes Audit – das gleiche Verfahren kann für QMS und ISMS verwendet werden, obwohl das interne Audit selbst in der Regel von verschiedenen Personen durchgeführt werden würde, da es sehr unwahrscheinlich ist, dass eine Person ausreichend tiefe Kenntnisse sowohl in der Informationssicherheit als auch im Bereich Qualität hat
• Korrektur- und Vorbeugungsmaßnahmen – das im QMS eingesetzte Verfahren kann für den gleichen Zweck im ISMS verwendet werden, obwohl es wahrscheinlich ist, dass verschiedene Personen die Probleme für QMS oder ISMS lösen
• Personalmanagement – der gleiche Zyklus von Personalplanung, Schulung und Bewertung wird für beide Managementsysteme verwendet. Der Unterschied liegt natürlich im Profil der benötigten Fähigkeiten und Kenntnisse
• Managementprüfung – die Grundsätze der Managementprüfung sind bei beiden Managementsystemen gleich. Obwohl es nicht empfehlenswert wäre, beide Prüfungen parallel durchzuführen, wird das Management bereits Erfahrung mit Entscheidungen im QMS haben. Daher wird es besser verstehen, wie im Rahmen des ISMS Entscheidungen getroffen werden
• Festlegen der Unternehmensziele und Nachverfolgung, ob diese erreicht wurden – in beiden Normen wird der gleiche Mechanismus dargestellt, so dass das Management an diese systematische Planung gewöhnt sein wird

Sollten Sie ISO 9001 bereits umgesetzt haben, wird es Ihnen aus diesem Grund leichter fallen, die Norm ISO 27001 umzusetzen (und umgekehrt) – Sie könnten bis zu 30 % der notwendigen Zeit einsparen. Außerdem werden die Zertifizierungsaudits preiswerter sein, da die Zertifizierungsstellen sogenannte „integrierte Audits“ anbieten. Dies bedeutet, dass in einem Audit ISO 9001 und ISO 27001 geprüft werden, wodurch die Gebühren im Vergleich zu separaten Audits niedriger ausfallen.

Sollte Ihr QMS gut funktionieren, so wird Ihr ISMS-Projekt eher reibungslos umgesetzt werden können – das Management hat ein besseres Verständnis der möglichen wirtschaftlichen Vorteile, während alle Unternehmenseinheiten an die Notwendigkeit gewöhnt sind, präzise Verfahren, Verantwortlichkeiten und Dokumentationen festzulegen.

Ein vorhandenes QMS ist in der Tat eine sehr gute Grundlage für Informationssicherheit – sind Sie bereits nach ISO 9001 zertifiziert, so sollten Sie ernsthaft über ISO 27001 nachdenken.

Sie können sich auch unser kostenloses Webinar ISO 27001 implementation: How to make it easier using ISO 9001 ansehen.