ISO 27001 & BS 25999

Wenn Sie auf die ISO 27001 und ISO 27002 gestoßen sind, so haben Sie wahrscheinlich bemerkt, dass ISO 27002 wesentlich detaillierter und viel genauer ist – nun, welchen Zweck hat ISO 27001 dann noch?

Zunächst einmal können Sie nicht nach ISO 27002 zertifizieren lassen, weil es sich nicht um eine Managementnorm handelt. Was ist eine Managementnorm? Managementnorm heißt, dass festgelegt wird, wie ein System funktioniert. Im Falle der Norm ISO 27001 werden die Informationssicherheits-Managementsysteme (ISMS) definiert – also ist eine Zertifizierung nach ISO 27001 möglich.

Managementsystem bedeutet, dass Informationssicherheit geplant, umgesetzt, überwacht, geprüft und verbessert werden muss. Es bedeutet, dass das Management eigene Verantwortlichkeiten hat, dass Ziele festgelegt, gemessen und geprüft werden müssen, das interne Audits durchgeführt werden müssen und so weiter. Alle diese Elemente werden in ISO 27001 definiert, aber nicht in ISO 27002.

Die Maßnahmen nach ISO 27002 tragen die gleichen Namen wie in Anhang A der ISO 27001 – zum Beispiel wird Maßnahme 6.1.6 in ISO 27002 „Kontakt zu Behörden“ genannt, während in ISO 27001 Maßnahme A.6.1.6 „Kontakt zu Behörden“ heißt. Doch der Unterschied liegt in den Einzelheiten – in ISO 27002 umfasst die Erklärung einer Maßnahme durchschnittlich eine ganze Seite, während ISO 27001 jeder Maßnahme nur einen Satz widmet.

Schließlich besteht der Unterschied darin, dass ISO 27002 keinen Unterschied zwischen Maßnahmen für ein bestimmtes Unternehmen und übergreifende Maßnahmen macht. Andererseits schreibt ISO 27001 eine zwingend durchzuführende Risikoeinschätzung vor, die für jede Maßnahme feststellt, ob sie zwecks Verringerung der Risiken erforderlich ist, und wenn ja, in welchem ​​Umfang sie angewendet werden sollte.

Die Frage lautet: Warum bestehen zwei Normen getrennt nebeneinander, warum wurden sie nicht zusammengeführt, um die positiven Seiten beider Normen zusammenzubringen? Die Antwort ist Anwenderfreundlichkeit – hätte es eine einzelne Norm gegeben, so wäre sie zu komplex und zu groß für den praktischen Einsatz geworden.

Jeder Standard der ISO 27000-Reihe wurde für einen bestimmten Schwerpunkt konzipiert – falls Sie Grundlagen der Informationssicherheit in Ihrem Unternehmen umsetzen und dafür einen Rahmen schaffen wollen, so sollten Sie ISO 27001 verwenden. Wollen Sie dagegen Kontrollen einrichten, so sollten Sie ISO 27002 verwenden. Für die Durchführung von Risikoeinschätzung und Risikobehandlung wäre ISO 27005 genau richtig usw.

Abschließend könnte man sagen, dass die in Anhang A der ISO 27001 festgelegten Maßnahmen ohne die Details in ISO 27002 nicht umgesetzt werden könnten. Ohne den Managementrahmen aus ISO 27001 jedoch bliebe ISO 27002 nur ein isoliertes Projekt einzelner Anhänger der Informationssicherheit, ohne Akzeptanz des leitenden Managements und damit ohne wirkliche Auswirkungen auf das Unternehmen.

Sie können sich auch unser Webinar ISO 27001 Foundations Part 3: Annex A overview ansehen (kommerzielles Training).

Sie haben ISO 9001 bereits umgesetzt? Sie haben gehört, dass ISO 27001 eine gute Idee ist? Aber wie kann etwas, was mit Qualität zu tun hat, Sie bei der Umsetzung von Informationssicherheit unterstützen?

Es kann das sicher mehr als Sie vielleicht denken … ISO 9001 legt fest, wie das Qualitätsmanagementsystem (QMS) aussehen muss, während ISO/IEC 27001 die Informationssicherheits-Managementsysteme (ISMS) definiert. Daher ist der Teil zu den „Managementsystemen“ der gleiche – worum geht es dabei eigentlich?

Die Philosophie der Managementsysteme hat sich aus der Theorie von W. Edwards Deming in der zweiten Hälfte des 20. Jahrhunderts entwickelt und basiert auf dem ‚Planen – Durchführen – Überprüfen – Handeln‘-Zyklus. Grundsätzlich besteht dieser Zyklus aus folgenden Elementen: In der Planungsphase müssen Sie planen, was Sie mit dem Managementsystem erreichen wollen. In der Durchführungsphase setzen Sie es um. In der Überprüfungsphase überwachen Sie permanent, ob Sie erreicht haben, was geplant war. In der Handlungsweise wiederum machen Sie Verbesserungen, d. h. Sie schließen die Lücke zwischen dem, was Sie geplant haben und dem, was Sie erreicht haben.

Obwohl dieser Zyklus mit Qualitätsmanagement im Hinterkopf erfunden wurde, hat es sich als Grundlage für alle anderen Managementsysteme etabliert – Informationssicherheit (ISO/IEC 27001), Umwelt (ISO 14001), Betriebliches Kontinuitätsmanagement (BS 25999-2) usw. Das bedeutet, dass einige der Elemente, die Sie für das Qualitätsmanagement nach ISO 9001 umgesetzt haben, von Ihnen ebenso für das Informationssicherheits-Managementsystem verwendet werden – hier ist die Liste:

• Dokumentenmanagement – das für die Dokumentenmanagement im QMS eingesetzte Verfahren kann für den gleichen Zweck im ISMS verwendet werden, mit nur geringfügigen Anpassungen
• Internes Audit – das gleiche Verfahren kann für QMS und ISMS verwendet werden, obwohl das interne Audit selbst in der Regel von verschiedenen Personen durchgeführt werden würde, da es sehr unwahrscheinlich ist, dass eine Person ausreichend tiefe Kenntnisse sowohl in der Informationssicherheit als auch im Bereich Qualität hat
• Korrektur- und Vorbeugungsmaßnahmen – das im QMS eingesetzte Verfahren kann für den gleichen Zweck im ISMS verwendet werden, obwohl es wahrscheinlich ist, dass verschiedene Personen die Probleme für QMS oder ISMS lösen
• Personalmanagement – der gleiche Zyklus von Personalplanung, Schulung und Bewertung wird für beide Managementsysteme verwendet. Der Unterschied liegt natürlich im Profil der benötigten Fähigkeiten und Kenntnisse
• Managementprüfung – die Grundsätze der Managementprüfung sind bei beiden Managementsystemen gleich. Obwohl es nicht empfehlenswert wäre, beide Prüfungen parallel durchzuführen, wird das Management bereits Erfahrung mit Entscheidungen im QMS haben. Daher wird es besser verstehen, wie im Rahmen des ISMS Entscheidungen getroffen werden
• Festlegen der Unternehmensziele und Nachverfolgung, ob diese erreicht wurden – in beiden Normen wird der gleiche Mechanismus dargestellt, so dass das Management an diese systematische Planung gewöhnt sein wird

Sollten Sie ISO 9001 bereits umgesetzt haben, wird es Ihnen aus diesem Grund leichter fallen, die Norm ISO 27001 umzusetzen (und umgekehrt) – Sie könnten bis zu 30 % der notwendigen Zeit einsparen. Außerdem werden die Zertifizierungsaudits preiswerter sein, da die Zertifizierungsstellen sogenannte „integrierte Audits“ anbieten. Dies bedeutet, dass in einem Audit ISO 9001 und ISO 27001 geprüft werden, wodurch die Gebühren im Vergleich zu separaten Audits niedriger ausfallen.

Sollte Ihr QMS gut funktionieren, so wird Ihr ISMS-Projekt eher reibungslos umgesetzt werden können – das Management hat ein besseres Verständnis der möglichen wirtschaftlichen Vorteile, während alle Unternehmenseinheiten an die Notwendigkeit gewöhnt sind, präzise Verfahren, Verantwortlichkeiten und Dokumentationen festzulegen.

Ein vorhandenes QMS ist in der Tat eine sehr gute Grundlage für Informationssicherheit – sind Sie bereits nach ISO 9001 zertifiziert, so sollten Sie ernsthaft über ISO 27001 nachdenken.

Sie können sich auch unser kostenloses Webinar ISO 27001 implementation: How to make it easier using ISO 9001 ansehen.