ISO 27001 & BS 25999

Die Bedeutung der Erklärung zur Anwendbarkeit (Abk. SoA – Statement of Applicability) wird in der Regel unterschätzt. Wie das Qualitätshandbuch in ISO 9001 ist sie das zentrale Dokument, in dem festgelegt wird, wie Sie einen großen Teil Ihrer Informationssicherheit umsetzen.

Eigentlich ist die Erklärung zur Anwendbarkeit die wichtigste Verknüpfung zwischen der Risikoeinschätzung und -behandlung und Ihrer Informationssicherheit. Sie soll festlegen, welche der vorgeschlagenen 133 Maßnahmen (Sicherheitsmaßnahmen) aus Anhang A der ISO 27001 von Ihnen angewendet werden sowie die Art und Weise, wie Sie die ausgewählten Maßnahmen umsetzen werden.

Warum ist sie erforderlich

Warum ist nun ein solches Dokument notwendig, wenn Sie bereits den Bericht zur Risikoeinschätzung (der auch obligatorisch ist) erstellt haben, in dem die notwendigen Maßnahmen ebenfalls festgelegt werden? Dies sind die Gründe:

• Erstens erkennen Sie während der Risikobehandlung die notwendigen Maßnahmen, weil sie Risiken erkannt haben, die eingedämmt werden müssen. In der SoA benennen Sie außerdem die Maßnahmen, die aus anderen Gründen erforderlich sind – d. h. aus gesetzlichen Gründen, aufgrund vertraglicher Anforderungen, wegen anderer Prozesse usw.
• Zweitens könnte der Bericht zur Risikoeinschätzung recht lang werden. Einige Unternehmen könnten ein paar Tausend Risiken erkennen (manchmal sogar mehr), so dass ein solches Dokument für den alltäglichen betrieblichen Einsatz nicht wirklich nützlich ist. Andererseits ist die Erklärung zur Anwendbarkeit eher kurz – sie hat 133 Zeilen (jede Zeile steht für eine Maßnahme). Damit ist es möglich, sie dem Management vorzulegen und dieses Dokument aktuell zu halten.
• Drittens (und am wichtigsten): Die SoA muss dokumentieren, ob jede anzuwendende Maßnahme bereits umgesetzt wurde oder nicht. Gute Praxis (und die meisten Prüfer werden genau danach suchen) bedeutet auch, die Art der Umsetzung jeder anzuwendenden Maßnahme zu beschreiben – z. B. entweder durch Verweis auf ein Dokument (Richtlinie/ Verfahren/ Arbeitsanweisungen usw.) oder durch eine Kurzbeschreibung des verwendeten Verfahrens oder Geräts.

Wenn Sie sich heute um eine Zertifizierung nach ISO 27001 bemühen, wird der Prüfer Ihre Erklärung zur Anwendbarkeit verwenden und in Ihrem gesamten Unternehmen prüfen, ob Sie Ihre Maßnahmen in der Art umgesetzt haben, wie sie in Ihrer SoA beschrieben wurden. Sie ist das zentrale Dokument für deren Audit vor Ort.

Eine sehr kleine Anzahl von Unternehmen erkennt, dass man mit der Erstellung einer guten Erklärung zur Anwendbarkeit die Anzahl der anderen Dokumente verringern könnte. Wenn Sie zum Beispiel eine bestimmte Maßnahme dokumentieren möchten, aber die Beschreibung des zugehörigen Verfahrens eher kurz wäre, so können Sie diese in der SoA festhalten. Somit würden Sie es vermeiden, ein weiteres Dokument zu verfassen.

Warum ist sie nützlich

Nach meiner Erfahrung verbringen die meisten Unternehmen, die das Informationssicherheits-Managementsystem nach ISO 27001 umsetzen, viel mehr Zeit als erwartet mit der Erstellung dieses Dokuments. Der Grund dafür ist, dass sie darüber nachdenken müssen, wie sie ihre Maßnahmen umsetzen: Werden sie neue Geräte kaufen? Oder das Verfahren ändern? Oder einen neuen Mitarbeiter einstellen? Dies sind recht wichtige (und manchmal auch teure) Entscheidungen. Daher überrascht es nicht, dass für die erfolgreiche Durchführung ziemlich viel Zeit erforderlich ist. Das Gute an der SoA ist, dass Unternehmen zu einer systematischen Durchführung dieser Aufgabe gezwungen werden.

Aus diesem Grund sollten Sie dieses Dokument nicht als eines dieser „überflüssigen Dokumente“ ansehen, die im wirklichen Leben keinen Nutzen haben. Sehen Sie es als das wichtigste Dokument, in dem Sie festlegen, was Sie mit Ihrer Informationssicherheit erreichen wollen. Wenn sie richtig verfasst wird, ist die SoA ein perfekter Überblick, was, warum und wie etwas im Bereich Informationssicherheit getan werden muss.

Klicken Sie hier, um eine kostenlose Vorlage für die Erklärung zur Anwendbarkeit herunterzuladen.

Ihr Management hat Ihnen die Aufgabe übertragen, ein betriebliches Kontinuitätsmanagement umzusetzen, aber Sie sind nicht wirklich sicher, wie das geht? Obwohl es keine einfache Aufgabe ist, können Sie sich mit der BS 25999-2 Methodik das Leben einfacher machen – hier sind die wichtigsten Schritte, die für die Umsetzung dieser Norm notwendig sind:

1. Unterstützung des Managements einholen

Obwohl dies in BS 25999-2 kein verbindlicher Schritt ist, so ist dies sicherlich der entscheidende Schritt am Anfang. Sollte das Management die Vorteile des betrieblichen Qualitätsmanagements nicht verstehen und sich nicht für dieses Projekt engagieren, so ist das Projekt wahrscheinlich zum Scheitern verurteilt.

2. Behandeln Sie es als Projekt

Es wird ziemlich viel Zeit und Ressourcen kosten, Ihr betriebliches Kontinuitätsmanagement (BCMS) einzurichten – Sie müssen klar definieren, was getan werden muss, in welchem Zeitrahmen, und welche Aufgaben bei der Projektdurchführung anstehen. Mit anderen Worten müssen Sie Methoden des Projektmanagements anwenden.

3. Definieren Sie Ziele und Anwendungsbereich. Schreiben Sie eine BCM-Leitlinie

Sie müssen definieren, was Sie mit dem BCMS erreichen möchten – Compliance, Senken des Risikos, Anforderungen Ihrer Kunden/Partner usw. Darüber hinaus müssen Sie definieren, was Sie in Ihr BCMS integrieren werden – die gesamte Unternehmensorganisation oder nur einen Teil davon. So können Sie entscheiden, dass Sie nur Ihr Rechenzentrum einbeziehen, falls Sie Hosting-Dienstleistungen für Ihre Kunden anbieten. Alles dies muss in der BCMS-Leitlinie dokumentiert werden.

4. Definieren von Rollen und Verantwortlichkeiten für das BCMS

Da das BCMS in Ihrem Unternehmen zu einer dauerhaften Tätigkeit werden wird, müssen Sie klare Verantwortlichkeiten dafür definieren. Dies gilt besonders für den „Sponsor“ des BCMS (jemand, der die Verantwortung für das BCMS trägt, aber nicht in alltägliche BCMS-Tätigkeiten involviert ist) und „BCM-Koordinator“, „BCM-Manager“ oder Ähnliches – eine oder mehrere Personen mit aktiven Pflichten hinsichtlich des BCMS. Es ist am besten, diese Rollen und Verantwortlichkeiten in Ihrer BCM-Leitlinie zu dokumentieren.

5. Obligatorische Verfahren umsetzen

BS 25999-2 fordert die Umsetzung der folgenden vier obligatorischen Verfahren: Dokumenten- und Aufzeichnungsmanagement, internes Audit, Vorbeugungs- und Korrekturmaßnahmen. Diese Verfahren sind in der Tat das Fundament Ihres Managementsystems, ähnlich wie in der ISO 27001 oder ISO 9001.

6. Durchführen der Geschäftsauswirkungsanalyse und der Risikoeinschätzung

Mithilfe einer Geschäftsauswirkungsanalyse müssen Sie die kritischen Aktivitäten, ihren maximal tolerierbaren Störungszeitraum und die Abhängigkeiten dieser kritischen Aktivitäten (einschließlich Abhängigkeiten gegenüber Lieferanten und Outsourcing-Partnern) erkennen und Recovery Time Objectives festlegen.

Durch die Risikoeinschätzung finden sie tatsächlich heraus, welche Ursachen die Unterbrechung Ihrer kritischen Aktivitäten haben könnten – sie können natürliche Gründe haben oder auf Menschen zurückzuführen sein (entweder absichtlich oder versehentlich). Sie müssen auch eine Risikobehandlung durchführen. Das heißt, dass Sie entscheiden müssen, wie mögliche Fehlentwicklungen eingedämmt werden sollen. Leider werden Risikoeinschätzung und -behandlung in dieser Norm nicht sehr klar definiert. Daher sollten Sie vielleicht einen Blick auf ISO 27001 werden, in der diese Aspekte detaillierter beschrieben werden.

7. Festlegen der Strategie für betriebliches Kontinuitätsmanagement

Bevor Sie Pläne für betriebliches Kontinuitätsmanagement verfassen, müssen Sie festlegen, welche Ressourcen Sie für die Wiederaufnahme Ihrer kritischen Aktivitäten benötigen – welche Mitarbeiter, Standorte, Daten, Hardware, Software, Lieferanten, Outsourcing-Partner usw.

Die Strategie für betriebliches Kontinuitätsmanagement muss nicht nur festlegen, was Sie brauchen, sondern auch, wie Sie sich diese Ressourcen beschaffen.

8. Entwicklung eines Störfallmanagements und von Plänen für betriebliches Kontinuitätsmanagement

Der Zweck von Störfallmanagementplänen besteht darin, zu beschreiben, wie Sie direkt auf einen Vorfall reagieren (z. B. Feuer, Erdbeben, Bombendrohung, Stromausfall usw.), um eine Ausweitung zu verhindern und zu versuchen, die direkten Auswirkungen einzudämmen. Andererseits besteht der Zweck der Pläne für betriebliches Kontinuitätsmanagement in der Beschreibung, wie Sie Ihre kritischen Tätigkeiten wiederherstellen – wie Sie alle vorbereiteten Ressourcen in Aktionen umsetzen. Das bedeutet, dass Sie beschreiben müssen, wer was tun soll, in welcher Zeit, mithilfe welcher Daten und Technologie, um Ihr Unternehmen wieder in Betrieb nehmen zu können.

Sämtliche dieser Pläne müssen detailliert beschrieben werden, denn sie müssen auch dann ausgeführt werden, wenn das Hauptpersonal nicht verfügbar ist – aus diesem Grund müssen so geschrieben werden, dass jeder andere in der Lage wäre, sie auszuführen.

9. Schulung und Sensibilisierung

Sie müssen die erforderliche Kompetenz definieren, um die Pläne des betrieblichen Kontinuitätsmanagements im Falle einer Unterbrechung durchführen zu dürfen und dann sämtliche Mitarbeiter schulen (Mitarbeiter und externe Partner), um diese Kompetenz zu erreichen.

Dies ist jedoch nicht genug – Sie müssen Ihren Mitarbeiter auch erklären, warum BCM notwendig ist. Seien wir ehrlich – Ihre Pläne für betriebliches Kontinuitätsmanagement werden vielleicht nur einmal im Leben genutzt. Daher werden sie von vielen Menschen als Zeitverschwendung angesehen. Daher müssen Sie erklären, warum so eine Sache eingerichtet werden muss. (Siehe auch Der Umgang mit BCM-Skeptikern)

10. BCMS-Übungen

Wenn Sie dachten, dass Sie Ihre schriftlichen Pläne perfekt verfasst haben, liegen sie möglicherweise falsch – es ist fast unmöglich, gleich am Anfang einen fehlerfreien Plan zu schreiben. Deshalb sind Übungen ein obligatorischer Teil des BCMS: Sie müssen Ihre Pläne in einer Situation testen, die der einer echten Störung mehr oder weniger ähnelt. Nur dann werden Sie herausfinden, was Sie gut geplant haben – und was nicht.

11. Pflege und Überprüfung des BCMS

Ein weiterer Weg, um Ihr BCMS aktuell zu halten, ist die Festlegung der Intervalle, in denen Sie Ihre Pläne für betriebliches Kontinuitätsmanagement sowie weitere Regelungen überprüfen (z. B. Verträge mit Lieferanten und Outsourcing-Partnern, Schulung und Sensibilisierung usw.). Es gibt alle möglichen Arten von umfeldbezogenen Veränderungen, durch die Ihre Dokumentation obsolet werden könnte: Es reicht aus, dass ein Mitarbeiter das Unternehmen verlässt, um in einem Plan eine unbrauchbare Rufnummer zu haben, falls diese Person eine Rolle im BCMS hatte.

Ebenso sind zwingend notwendig, im Ernstfall nach einem Vorfall eine Prüfung durchzuführen. Der Zweck besteht darin herauszufinden, wie das Unternehmen tatsächlich reagiert hat – wurden die Pläne befolgt oder nicht.

12. Internes Audit

Der Zweck des internen Audits besteht darin herauszufinden, ob etwas objektiv falsch ist – der interne Prüfer soll seine Person sein, die herausfinden kann, ob Ihr BCMS Fehler enthält, um diese zu korrigieren. Wird es richtig durchgeführt, so kann das interne Audit eine der besten Möglichkeiten sein, um Ihr BCMS zu verbessern. (Lesen Sie Probleme bei internen Auditoren nach ISO 27001 und BS 25999-2)

13. Managementprüfung

Wie bereits gesagt ist es sehr wichtig, Ihr Management in das Projekt einzubinden – Überprüfung des Managements wurde genau dafür verfasst. Gemäß der Norm muss das Management alle relevanten Fakten über BCM prüfen und entscheiden, ob es seinen Zweck erfüllt hat. Nachdem dies abgeschlossen ist, muss das Management entscheiden, welche Verbesserungen vorgenommen werden müssen.

14. Vorbeugungs- und Korrekturmaßnahmen

Am besten wäre es, Fehler (oder „Nichtübereinstimmungen“, um es mit BS 25999 auszudrücken) bereits zu vermeiden, bevor sie geschehen – dafür werden Vorbeugungsmaßnahmen verwendet – sie korrigieren Dinge auf systematische Weise, bevor ein Problem auftritt. Ähnlich wie bei Vorbeugungsmaßnahmen gibt es auch Korrekturmaßnahmen, die das bereits aufgetretene Problem beheben.

Nun lautet die Frage: Warum sollte man BS 25999-2 verwenden? Obwohl es (noch) keine internationale Norm ist, so ist es doch die weltweit beliebteste Norm für betriebliches Kontinuitätsmanagement. Die oben genannten Schritte wurden von den besten Fachleuten für betriebliches Kontinuitätsmanagement erstellt. Wenn Sie also besten anerkannten Umsetzungsverfahren für betriebliches Kontinuitätsmanagement einsetzen wollen, brauchen Sie nicht weiterzusuchen.

Hier können Sie das Diagramm der BS 25999-2 Umsetzung herunterladen. Es zeigt alle diese Schritte zusammen mit den erforderlichen Unterlagen (Registrierung erforderlich).

Anhang A der ISO 27001 ist der wohl am häufigsten genannte Anhang einer Managementnorm. Warum gibt es so viel darüber zu reden? Warum geschieht dies manchmal so kontrovers?

Falls Sie den Anhang A gelesen haben, so haben Sie gesehen, dass dort 133 Sicherheitsmaßnahmen aufgeführt sind. Falls dies so ist, wozu wird der größte Teil der Norm verwendet?

Zweck

Anhang A enthält die folgenden Klauseln (manchmal auch als ISO 27001 Anhang A Bereiche genannt):

• A.5 Sicherheitsrichtlinien
• A.6 Organisation der Informationssicherheit
• A.7 Management von organisationseigenen Werten
• A.8 Personelle Sicherheit
• A.9 Physikalische und ökologische Sicherheit
• A.10 Betriebs- und Kommunikationsmanagement
• A.11 Zugangskontrolle
• A.12 Beschaffung, Entwicklung und Wartung von Informationssystemen
• A.13 Umgang mit Informationssicherheitsvorfällen
• A.14 Betriebliches Kontinuitätsmanagement
• A.15 Einhaltung

Wie bereits erwähnt enthält Anhang A 133 Maßnahmen, die – wie man den Namen der Abschnitte entnehmen kann – nicht allein auf IT ausgerichtet sind. Sie decken ebenso physische Sicherheit, Rechtsschutz, Personalmanagement, organisatorische Fragen usw. ab.

Aus diesem Grund sollten Sie Anhang A als eine Art Katalog von einzusetzenden Maßnahmen betrachten, den Sie während ihres Behandlungsprozesses einsetzen. Sobald Sie unzulässige Risiken bei der Risikoeinschätzung erkennen, hilft Anhang A Ihnen dabei, die richtige Maßnahme(n) zu wählen, um diese Risiken zu senken. Und stellen Sie sicher, dass Sie keine wichtige Maßnahme vergessen.

Im Anhang A kommen ISO 27001 und ISO 27002 zusammen – die Maßnahmen in ISO 27002 sind die gleichen wie in Anhang A der ISO 27001. Der Unterschied liegt in den Details – ISO 27001 nennt für jede Maßnahme nur eine kurze Definition, während ISO 27002 detaillierte Leitlinien nennt, wie die Maßnahme umzusetzen ist.

Nachteile

Wenn Sie jetzt denken, dass Anhang A das perfekte Umsetzungswerkzeug für Ihr Informationssicherheitsprojekt ist, so sollten Sie nicht zu optimistisch sein – er umfasst auch einige Dinge, die keinen Sinn machen. So definieren einige Maßnahmen beinahe die gleichen Fragen, was manchmal für Verwirrung sorgt – wie A.9.2.6 (Sichere Entsorgung oder Wiederverwendung von Betriebsmitteln) und A.10.7.2 (Entsorgung von Medien). Auf der anderen Seite werden einige Probleme wie die Beziehungen zu Dritten auf verschiedene Abschnitte des Anhangs A verstreut. Sie finden sie in Abschnitt A.6.2 (Externe Beziehungen), A.8 (Personelle Sicherheit) und A.10.2 (Management der Dienstleistungs-Erbringung von Dritten) sowie in der Maßnahme A.12.5.5 (Ausgelagerte Softwareentwicklung). Deswegen ist es manchmal schwierig, Anhang A als Umsetzungswerkzeug zu verwenden.

Aber dies sind nicht die einzigen Unklarheiten – bei einigen der Maßnahmen erwähnt Anhang A Richtlinien und Verfahren, fordert aber nicht deren Dokumentation. Es erscheint komisch, aber nur dort, wo das Wort „dokumentiert“ erscheint, verlangt die Normen schriftliche Richtlinien/Verfahren. Wenn Sie die gesamte Anlage A analysieren, so wird der Begriff „dokumentiert“ in nur 6 Maßnahmen genannt (A.5.1.1, A.7.1.3, A.8.1.1, A.10.1.1, A.11.1.1, A.15.1.1). Das heißt, dass Sie alle anderen Maßnahmen ohne Dokumentation umsetzen können.

Allerdings sollte man diese Flexibilität der Anlage A nicht missbrauchen. Je größer das Unternehmen ist, desto mehr Dokumente sollten Sie erstellen, um zu gewährleisten, dass sich jeder Ihrer Sicherheitsverfahren bewusst ist (und diese erfüllt). Auf der anderen Seite sollten Sie darauf achten, die Dokumentation nicht zu übertreiben – falls sie übertrieben groß ist, wird sie von niemandem mehr beachtet werden.

Verbindung zum wichtigsten Teil der ISO 27001

Der Hauptteil der Norm, oder genauer gesagt die verbindlichen Abschnitte 4 bis 8 enthalten den Managementteil der Norm – sie schreiben den PDCA-Zyklus (Planen – Durchführen – Überprüfen – Handeln) vor, einschließlich Risikoeinschätzung und -behandlung, Dokumentations- und Aufzeichnungsmanagement, Bereitstellung von Ressourcen, internes Audit, Managementprüfung, Korrektur- und Vorbeugungsmaßnahmen usw.

Wie bereits erwähnt sind Risikoeinschätzung und Risikobehandlung die wichtigste Verbindung der Abschnitte 4 bis 8 und der Maßnahmen in Anhang A. Sie werden Ihnen bei der Entscheidung helfen, ob einzelne Maßnahmen aus Anhang A sind das Senken der Risiken notwendig sind oder nicht.

Das bedeutet, dass die Abschnitte 4 bis 8 und Anhang A nur gemeinsam existieren können. Die Risikoeinschätzung macht keinen Sinn, wenn es keine Maßnahmen gibt, um die Risiken zu verringern, und der einzige Weg, um die Anwendbarkeit der Maßnahmen zu bestimmen, ist eine Risikoeinschätzung.

Meiner Meinung nach gehören dieser Schwerpunkt auf Risiken sowie die Flexibilität bei der Anwendung der Sicherheitsmaßnahmen gemäß der eigenen Einschätzung zu den größten Vorteilen der ISO 27001 – Sie müssen nur darauf achten, den vollen Nutzen daraus zu ziehen.

Sie können sich auch unser Webinar ISO 27001 Foundations Part 3: Annex A overview ansehen (kommerzielles Training).

Wenn Sie beginnen, ISO 27001 umzusetzen, suchen Sie wahrscheinlich nach einem einfachen Weg. Ich muss Sie leider enttäuschen: Es gibt keinen einfachen Weg. Allerdings werde ich versuchen, Ihre Arbeit zu erleichtern – um eine Zertifizierung nach ISO 27001 zu erreichen, müssen Sie die folgenden sechzehn Schritte absolvieren:

1. Unterstützung des Managements einholen

Dieser Punkt erscheint ziemlich offensichtlich – er wird in der Regel jedoch nicht ernst genug genommen. Nach meiner Erfahrung ist dies der Hauptgrund, warum ISO 27001-Projekte scheitern: Das Management stellt nicht genügend Mitarbeiter oder Gelder für das Projekt bereit. (Lesen Sie Vier wichtige Vorteile der ISO 27001-Umsetzung für Ideen, um dem Management den Fall zu präsentieren.)

2. Behandeln Sie es als Projekt

Wie bereits gesagt wurde, ist die Umsetzung von ISO 27001 ein komplexes Thema, das verschiedene Tätigkeiten und viele Personen umfasst und mehrere Monate (oder mehr als ein Jahr) dauert. Wenn Sie nicht eindeutig definieren, was zu tun ist, wer es tun wird und in welchem Zeitrahmen (d. h. die Durchführung eines Projektmanagements), könnten Sie genauso gut die Aufgabe nie zu Ende bringen.

3. Definieren Sie den Anwendungsbereich

Wenn Sie ein größeres Unternehmen sind, ist es wahrscheinlich sinnvoll, ISO 27001 nur in einem Teil Ihres Unternehmens zu implementieren, um damit Ihr Projektrisiko deutlich zu senken. (Probleme bei der Festlegung des Anwendungsbereichs für ISO 27001)

4. Schreiben Sie eine ISMS-Leitlinie

Die ISMS-Leitlinie ist das Dokument höchster Ebene in Ihrer ISMS – es sollte nicht sehr detailliert sein, aber einige grundlegende Fragen zur Informationssicherheit in Ihrem Unternehmen definieren. Aber was ist ihr Zweck, wenn sie nicht detailliert ist? Der Zweck besteht für das Management darin, zu definieren, was es erreichen will und wie es diesen Vorgang steuern wird. (Informationssicherheitsleitlinie – wie detailliert sollte sie sein?)

5. Festlegen der Methodik für die Risikoeinschätzung.

Die Risikoeinschätzung ist die komplizierteste Aufgabe im ISO 27001 Projekt – der entscheidende Punkt ist, die Regeln zur Ermittlung der organisationseigenen Werte, Schwachstellen, Bedrohungen, Auswirkungen und Wahrscheinlichkeiten zu bestimmen und die zulässige Höhe des Risikos zu definieren. Werden diese Regeln nicht klar definiert, so können Sie sich in einer Situation wiederfinden, in der Sie unbrauchbare Ergebnisse erhalten. (Lesen Sie Tipps zur Risikobewertung für Kleinunternehmen)

6. Durchführen der Risikoeinschätzung und Risikobehandlung

Hier müssen Sie umsetzen, was im vorherigen Schritt definiert wurde – bei großen Unternehmen kann dies mehrere Monate dauern, weshalb Sie einen solchen Aufwand sehr sorgfältig koordinieren sollten. Entscheidend ist, ein umfassendes Bild der Gefahren für die unternehmenseigenen Informationen zu erhalten.

Der Zweck der Risikobehandlung besteht darin, die nicht akzeptablen Risiken zu senken – dies erfolgt üblicherweise dadurch, dass der Einsatz der Maßnahmen aus Anhang A geplant wird.

In diesem Schritt wird Bericht zur Risikoeinschätzung verfasst, der alle Schritte der Risikoeinschätzung und der Risikobehandlung dokumentiert. Ebenso muss eine Genehmigung der Restrisiken eingeholt werden – entweder als separates Dokument oder als Teil der Erklärung zur Anwendbarkeit.

7. Erstellung einer Erklärung zur Anwendbarkeit

Sobald Sie Ihre Risikoeinschätzung abgeschlossen haben, werden Sie genau wissen, welche Maßnahmen aus Anhang A benötigt werden (insgesamt gibt es 133 Maßnahmen, aber sie werden wahrscheinlich nicht alle brauchen). Mit diesem Dokument (häufig „SoA“ genannt) sollen alle Maßnahmen aufgelistet und festgelegt werden, welche Maßnahmen anwendbar sind und welche nicht, die Gründe für diese Entscheidung, die mit den Maßnahmen zu erreichenden Ziele sowie eine Beschreibung, wie die Maßnahmen umgesetzt werden.

Die Erklärung zur Anwendbarkeit ist auch das am besten geeignete Dokument, um die Genehmigung des Managements für die Durchführung des ISMS einzuholen.

8. Plan zur Risikobehandlung erstellen

Gerade als Sie dachten, Sie hätten alle risikobezogenen Dokumente gelöst, kommt das nächste – der Zweck des Risikobehandlungsplans besteht darin, genau zu definieren, wie die Maßnahmen aus dem SoA umgesetzt werden sollen – wer führt sie durch, wann, mit welchem Budget usw. Dieses Dokument ist eigentlich ein Umsetzungsplan, der sich auf Ihre Maßnahmen konzentriert. Ohne ihn wären Sie nicht in der Lage, weitere Schritte im Projekt durchzuführen.

9. Definieren Sie, wie Sie die Wirksamkeit der Maßnahmen messen werden

Eine weitere Aufgabe, die in der Regel unterschätzt wird. Der wichtige Aspekt dabei ist – wenn Sie nicht messen können, was Sie getan haben, wie können Sie dann sicher sein, dass Sie den Zweck erfüllt haben? Aus diesem Grund müssen Sie festlegen, wie Sie die Erfüllung der von Ihnen gesetzten Ziele sowohl für das gesamte ISMS als auch für jede anwendbare Maßnahme in der Erklärung zur Anwendbarkeit messen wollen.

10. Umsetzung der Maßnahmen und verbindliche Verfahren

Leichter gesagt als getan. Hier müssen Sie die vier obligatorischen Verfahren und die anwendbaren Maßnahmen aus Anhang A umsetzen.

Dies ist meist die riskanteste Aufgabe im Projekt. Sie bedeutet normalerweise die Anwendung neuer Technologien, vor allem aber die Umsetzung neuer Verhaltensweisen in Ihrem Unternehmen. Oft werden neue Strategien und Verfahren benötigt (was bedeutet, dass Änderungen erforderlich sind). Menschen stehen Veränderungen üblicherweise ablehnend gegenüber – darum ist die nächste Aufgabe (Schulung und Sensibilisierung) entscheidend für die Vermeidung dieses Risikos.

11. Durchführung der Schulungs- und Sensibilisierungsprogramme

Wenn Sie wollen, dass Ihr Personal alle neuen Richtlinien und Verfahren umsetzt, müssen Sie ihnen zunächst erklären, warum sie notwendig sind, und sie müssen Ihre Mitarbeiter schulen, ihre Aufgaben wie erwartet wahrzunehmen. Das Ausbleiben dieser Tätigkeiten ist die zweithäufigste Ursache für das Scheitern von ISO 27001 Projekten.

12. Betreiben des ISMS

Dies ist der Teil, in dem ISO 27001 zur alltäglichen Routine in Ihrem Unternehmen wird. Das entscheidende Wort hier lautet: „Aufzeichnungen“. Prüfer lieben Aufzeichnungen – ohne Aufzeichnungen wird es sehr schwer für Sie, die Durchführung von Aktivitäten wirklich nachzuweisen. Aber Aufzeichnungen sollten Ihnen in erster Linie helfen. Mit ihrer Hilfe können Sie beobachten, was geschieht. Sie werden tatsächlich mit Sicherheit wissen, ob Ihre Mitarbeiter (und Lieferanten) ihren Aufgaben wie gefordert nachkommen.

13. Überwachen des ISMS

Was passiert in Ihrem ISMS? Wie viele Vorfälle welcher Art gab es bei Ihnen? Werden alle Verfahren richtig ausgeführt?

Hier kommen die Ziele für Ihre Maßnahmen und Messmethodik zusammen – Sie müssen prüfen, ob ihre Ergebnisse den von Ihnen gesteckten Zielen entsprechen. Falls nicht, dann wissen Sie, dass etwas falsch läuft – Sie müssen Korrektur- und/oder Vorbeugungsmaßnahmen ergreifen.

14. Internes Audit

Sehr oft ist Menschen nicht bewusst, dass sie etwas falsch machen (auf der anderen Seite ist es das manchmal schon, aber sie wollen nicht, dass jemand davon erfährt). Aber die Unkenntnis vorhandener oder potenzieller Probleme kann Ihrer Organisation schaden – man muss interne Audits durchführen, um solche Dinge herauszufinden. Der springende Punkt ist nicht, disziplinarische Maßnahmen einzuleiten, sondern Korrektur- und/oder Vorbeugungsmaßnahmen zu ergreifen. (Lesen Sie Probleme bei internen Auditoren nach ISO 27001 und BS 25999-2)

15. Managementprüfung

Das Management muss nicht Ihre Firewall konfigurieren, aber es muss wissen, was im ISMS vor sich geht, d. h. ob jeder seine Aufgaben erfüllt, ob das ISMS die gewünschten Ergebnisse erzielt usw. Auf dieser Grundlage muss das Management einige entscheidende Entscheidungen treffen.

16. Korrektur- und Vorbeugungsmaßnahmen

Der Zweck des Managementsystems besteht darin, dass alle Fehler (sogenannte „Nichtübereinstimmungen“) behoben oder hoffentlich verhindert werden. Daher ist es nach ISO 27001 erforderlich, dass systematisch Korrektur- und Vorbeugungsmaßnahmen durchgeführt werden. Das bedeutet, dass die Ursache einer Nichtübereinstimmung festgestellt sowie anschließend aufgelöst und verifiziert werden muss.

Hoffentlich konnte dieser Artikel klären, was getan werden muss – obwohl ISO 27001 keine leichte Aufgabe darstellt, ist sie nicht unbedingt kompliziert. Sie müssen nur jeden Schritt sorgfältig planen und keine Angst haben – Sie werden Ihr Zertifikat erhalten.

Hier können Sie das Diagramm der ISO 27001 Umsetzung herunterladen. Es zeigt alle diese Schritte zusammen mit den erforderlichen Unterlagen.

Ich habe eine ganze Reihe von Kleinunternehmen (bis zu 50 Mitarbeiter) beobachtet, die versucht haben, Werkzeuge zur Risikoeinschätzung als Teil ihrer Umsetzung der ISO 27001 einzusetzen. Das Ergebnis besteht darin, dass der Zeit- und Kostenaufwand üblicherweise zu groß ist und die Auswirkungen zu gering bleiben.

Zunächst einmal – was ist Risikobewertung eigentlich, und welchen Zweck verfolgt sie? Risikobewertung ist ein Prozess, in dem ein Unternehmen Informationen über Sicherheitsrisiken erfasst, um deren Wahrscheinlichkeit und Auswirkungen zu bestimmen. Einfacher ausgedrückt sollte das Unternehmen alle potenziellen Probleme und deren zugehörige Informationen erfassen, wie wahrscheinlich deren Eintreten ist und welche Folgen sie nach sich ziehen könnten. Der Sinn der Risikobewertung besteht darin, welche Maßnahmen notwendig sind, um das Risiko zu senken. Die Auswahl der Maßnahmen, die als Risikobehandlung bezeichnet wird, erfolgt aus Anhang A der ISO 27001, in dem 133 Maßnahmen festgelegt sind.

Die Risikoeinschätzung erfolgt durch Erkennung und Bewertung von Werten, Schwachstellen und Bedrohungen. Ein Wert ist etwas von Wert für das Unternehmen – Hardware, Software, Mitarbeiter, Infrastruktur, Daten (in verschiedenen Formen und Medien), Lieferanten und Partner usw. Eine Schwachstelle ist die Schwäche eines Werts, eines Prozesses, einer Maßnahme usw., die durch eine Bedrohung ausgenutzt werden könnte. Bedrohung ist eine Sache, die einem System oder einem Unternehmen Schaden zufügen könnte. Beispiel für eine Schwachstelle ist das Fehlen einer Antivirensoftware. Eine damit verbundene Bedrohung ist der Computervirus.

Mit diesem Hintergrundwissen benötigen Sie für ein kleines Unternehmen nicht unbedingt ein ausgefeiltes Instrument für die Risikoeinschätzung. Alles was Sie benötigen, sind eine Excel-Tabelle, eine gute Übersicht der Schwachstellen und Bedrohungen sowie eine gute Methodik der Risikoeinschätzung. Die Hauptaufgabe besteht wirklich darin, Wahrscheinlichkeit und Auswirkungen einzuschätzen. Dies kann kein Werkzeug bewerkstelligen – darüber müssen die Eigentümer der Vermögenswerte mit ihren Kenntnissen der Werte nachdenken.

Wo erhalten Sie dafür die Kataloge und die Methodik? Wenn Sie auf die Dienste eines Beraters zurückgreifen, so sollte er/sie diese bereitstellen. Andernfalls gibt es im Internet ein paar kostenlose Kataloge. Suchen Sie einfach mit Google. Die Methodik ist nicht kostenlos erhältlich. Sie könnten jedoch die Norm ISO 27005 verwenden (sie beschreibt detailliert Risikoeinschätzung und -behandlung), oder Sie können auf andere Websites zurückgreifen, auf denen die Methodik verkauft wird. Alles dies sollte deutlich weniger Zeit und Geld als der Kauf eines Instruments zur Risikoeinschätzung kosten, zumal Sie noch lernen müssen, wie man dieses benutzt.

Eine gute Methodik sollte ein Verfahren zur Identifizierung von Werten, Bedrohungen und Schwachstellen umfassen sowie Tabellen zur Festlegung von Wahrscheinlichkeit und Auswirkungen, eine Methode zur Berechnung des Risikos enthalten und das akzeptable Risiko definieren. Kataloge sollten mindestens 30 Schwachstellen und 30 Bedrohungen enthalten. Einige Kataloge enthalten auch jeweils ein paar hundert, aber das ist für ein kleines Unternehmen wohl zu viel.

Der Prozess ist wirklich nicht kompliziert – dies sind die grundlegenden Schritte für Einschätzung und Behandlung:

1. Festlegen und Dokumentieren der Methodik (einschließlich der Kataloge), Weitergabe an alle Werteigentümer im Unternehmen
2. Organisieren von Gesprächen mit allen Werteigentümer, in denen diese ihre Werte und damit verbundene Schwachstellen und Bedrohungen benennen sollten. In einem zweiten Schritt bitten Sie sie, Wahrscheinlichkeit und Auswirkungen zu bewerten, falls bestimmte Risiken eintreten
3. Konsolidierung der Daten in einem einzelnen Tabellenblatt, Berechnung der Risiken und Angeben, welche Risiken nicht akzeptabel sind
4. für jedes nicht akzeptable Risiko wählen Sie eine oder mehrere Maßnahmen aus Anhang A der ISO 27001 - berechnen Sie, welche neue Risikoebene nach diesen Maßnahmen gelten würde.

Zusammengefasst: Risikoeinschätzung und -behandlung sind wirklich die Grundlage der Informationssicherheit / ISO 27001, aber das bedeutet nicht, dass sie kompliziert sein müssen. Sie können es auf einfache Weise tun, und Ihr gesunder Menschenverstand ist das, was wirklich zählt.

Sie können sich auch unser Video Tutorial How to Implement Risk Treatment According to ISO 27001 ansehen (kommerzielles Video).