ISO 27001 & BS 25999

Wenn Sie beginnen, ISO 27001 umzusetzen, suchen Sie wahrscheinlich nach einem einfachen Weg. Ich muss Sie leider enttäuschen: Es gibt keinen einfachen Weg. Allerdings werde ich versuchen, Ihre Arbeit zu erleichtern – um eine Zertifizierung nach ISO 27001 zu erreichen, müssen Sie die folgenden sechzehn Schritte absolvieren:

1. Unterstützung des Managements einholen

Dieser Punkt erscheint ziemlich offensichtlich – er wird in der Regel jedoch nicht ernst genug genommen. Nach meiner Erfahrung ist dies der Hauptgrund, warum ISO 27001-Projekte scheitern: Das Management stellt nicht genügend Mitarbeiter oder Gelder für das Projekt bereit. (Lesen Sie Vier wichtige Vorteile der ISO 27001-Umsetzung für Ideen, um dem Management den Fall zu präsentieren.)

2. Behandeln Sie es als Projekt

Wie bereits gesagt wurde, ist die Umsetzung von ISO 27001 ein komplexes Thema, das verschiedene Tätigkeiten und viele Personen umfasst und mehrere Monate (oder mehr als ein Jahr) dauert. Wenn Sie nicht eindeutig definieren, was zu tun ist, wer es tun wird und in welchem Zeitrahmen (d. h. die Durchführung eines Projektmanagements), könnten Sie genauso gut die Aufgabe nie zu Ende bringen.

3. Definieren Sie den Anwendungsbereich

Wenn Sie ein größeres Unternehmen sind, ist es wahrscheinlich sinnvoll, ISO 27001 nur in einem Teil Ihres Unternehmens zu implementieren, um damit Ihr Projektrisiko deutlich zu senken. (Probleme bei der Festlegung des Anwendungsbereichs für ISO 27001)

4. Schreiben Sie eine ISMS-Leitlinie

Die ISMS-Leitlinie ist das Dokument höchster Ebene in Ihrer ISMS – es sollte nicht sehr detailliert sein, aber einige grundlegende Fragen zur Informationssicherheit in Ihrem Unternehmen definieren. Aber was ist ihr Zweck, wenn sie nicht detailliert ist? Der Zweck besteht für das Management darin, zu definieren, was es erreichen will und wie es diesen Vorgang steuern wird. (Informationssicherheitsleitlinie – wie detailliert sollte sie sein?)

5. Festlegen der Methodik für die Risikoeinschätzung.

Die Risikoeinschätzung ist die komplizierteste Aufgabe im ISO 27001 Projekt – der entscheidende Punkt ist, die Regeln zur Ermittlung der organisationseigenen Werte, Schwachstellen, Bedrohungen, Auswirkungen und Wahrscheinlichkeiten zu bestimmen und die zulässige Höhe des Risikos zu definieren. Werden diese Regeln nicht klar definiert, so können Sie sich in einer Situation wiederfinden, in der Sie unbrauchbare Ergebnisse erhalten. (Lesen Sie Tipps zur Risikobewertung für Kleinunternehmen)

6. Durchführen der Risikoeinschätzung und Risikobehandlung

Hier müssen Sie umsetzen, was im vorherigen Schritt definiert wurde – bei großen Unternehmen kann dies mehrere Monate dauern, weshalb Sie einen solchen Aufwand sehr sorgfältig koordinieren sollten. Entscheidend ist, ein umfassendes Bild der Gefahren für die unternehmenseigenen Informationen zu erhalten.

Der Zweck der Risikobehandlung besteht darin, die nicht akzeptablen Risiken zu senken – dies erfolgt üblicherweise dadurch, dass der Einsatz der Maßnahmen aus Anhang A geplant wird.

In diesem Schritt wird Bericht zur Risikoeinschätzung verfasst, der alle Schritte der Risikoeinschätzung und der Risikobehandlung dokumentiert. Ebenso muss eine Genehmigung der Restrisiken eingeholt werden – entweder als separates Dokument oder als Teil der Erklärung zur Anwendbarkeit.

7. Erstellung einer Erklärung zur Anwendbarkeit

Sobald Sie Ihre Risikoeinschätzung abgeschlossen haben, werden Sie genau wissen, welche Maßnahmen aus Anhang A benötigt werden (insgesamt gibt es 133 Maßnahmen, aber sie werden wahrscheinlich nicht alle brauchen). Mit diesem Dokument (häufig „SoA“ genannt) sollen alle Maßnahmen aufgelistet und festgelegt werden, welche Maßnahmen anwendbar sind und welche nicht, die Gründe für diese Entscheidung, die mit den Maßnahmen zu erreichenden Ziele sowie eine Beschreibung, wie die Maßnahmen umgesetzt werden.

Die Erklärung zur Anwendbarkeit ist auch das am besten geeignete Dokument, um die Genehmigung des Managements für die Durchführung des ISMS einzuholen.

8. Plan zur Risikobehandlung erstellen

Gerade als Sie dachten, Sie hätten alle risikobezogenen Dokumente gelöst, kommt das nächste – der Zweck des Risikobehandlungsplans besteht darin, genau zu definieren, wie die Maßnahmen aus dem SoA umgesetzt werden sollen – wer führt sie durch, wann, mit welchem Budget usw. Dieses Dokument ist eigentlich ein Umsetzungsplan, der sich auf Ihre Maßnahmen konzentriert. Ohne ihn wären Sie nicht in der Lage, weitere Schritte im Projekt durchzuführen.

9. Definieren Sie, wie Sie die Wirksamkeit der Maßnahmen messen werden

Eine weitere Aufgabe, die in der Regel unterschätzt wird. Der wichtige Aspekt dabei ist – wenn Sie nicht messen können, was Sie getan haben, wie können Sie dann sicher sein, dass Sie den Zweck erfüllt haben? Aus diesem Grund müssen Sie festlegen, wie Sie die Erfüllung der von Ihnen gesetzten Ziele sowohl für das gesamte ISMS als auch für jede anwendbare Maßnahme in der Erklärung zur Anwendbarkeit messen wollen.

10. Umsetzung der Maßnahmen und verbindliche Verfahren

Leichter gesagt als getan. Hier müssen Sie die vier obligatorischen Verfahren und die anwendbaren Maßnahmen aus Anhang A umsetzen.

Dies ist meist die riskanteste Aufgabe im Projekt. Sie bedeutet normalerweise die Anwendung neuer Technologien, vor allem aber die Umsetzung neuer Verhaltensweisen in Ihrem Unternehmen. Oft werden neue Strategien und Verfahren benötigt (was bedeutet, dass Änderungen erforderlich sind). Menschen stehen Veränderungen üblicherweise ablehnend gegenüber – darum ist die nächste Aufgabe (Schulung und Sensibilisierung) entscheidend für die Vermeidung dieses Risikos.

11. Durchführung der Schulungs- und Sensibilisierungsprogramme

Wenn Sie wollen, dass Ihr Personal alle neuen Richtlinien und Verfahren umsetzt, müssen Sie ihnen zunächst erklären, warum sie notwendig sind, und sie müssen Ihre Mitarbeiter schulen, ihre Aufgaben wie erwartet wahrzunehmen. Das Ausbleiben dieser Tätigkeiten ist die zweithäufigste Ursache für das Scheitern von ISO 27001 Projekten.

12. Betreiben des ISMS

Dies ist der Teil, in dem ISO 27001 zur alltäglichen Routine in Ihrem Unternehmen wird. Das entscheidende Wort hier lautet: „Aufzeichnungen“. Prüfer lieben Aufzeichnungen – ohne Aufzeichnungen wird es sehr schwer für Sie, die Durchführung von Aktivitäten wirklich nachzuweisen. Aber Aufzeichnungen sollten Ihnen in erster Linie helfen. Mit ihrer Hilfe können Sie beobachten, was geschieht. Sie werden tatsächlich mit Sicherheit wissen, ob Ihre Mitarbeiter (und Lieferanten) ihren Aufgaben wie gefordert nachkommen.

13. Überwachen des ISMS

Was passiert in Ihrem ISMS? Wie viele Vorfälle welcher Art gab es bei Ihnen? Werden alle Verfahren richtig ausgeführt?

Hier kommen die Ziele für Ihre Maßnahmen und Messmethodik zusammen – Sie müssen prüfen, ob ihre Ergebnisse den von Ihnen gesteckten Zielen entsprechen. Falls nicht, dann wissen Sie, dass etwas falsch läuft – Sie müssen Korrektur- und/oder Vorbeugungsmaßnahmen ergreifen.

14. Internes Audit

Sehr oft ist Menschen nicht bewusst, dass sie etwas falsch machen (auf der anderen Seite ist es das manchmal schon, aber sie wollen nicht, dass jemand davon erfährt). Aber die Unkenntnis vorhandener oder potenzieller Probleme kann Ihrer Organisation schaden – man muss interne Audits durchführen, um solche Dinge herauszufinden. Der springende Punkt ist nicht, disziplinarische Maßnahmen einzuleiten, sondern Korrektur- und/oder Vorbeugungsmaßnahmen zu ergreifen. (Lesen Sie Probleme bei internen Auditoren nach ISO 27001 und BS 25999-2)

15. Managementprüfung

Das Management muss nicht Ihre Firewall konfigurieren, aber es muss wissen, was im ISMS vor sich geht, d. h. ob jeder seine Aufgaben erfüllt, ob das ISMS die gewünschten Ergebnisse erzielt usw. Auf dieser Grundlage muss das Management einige entscheidende Entscheidungen treffen.

16. Korrektur- und Vorbeugungsmaßnahmen

Der Zweck des Managementsystems besteht darin, dass alle Fehler (sogenannte „Nichtübereinstimmungen“) behoben oder hoffentlich verhindert werden. Daher ist es nach ISO 27001 erforderlich, dass systematisch Korrektur- und Vorbeugungsmaßnahmen durchgeführt werden. Das bedeutet, dass die Ursache einer Nichtübereinstimmung festgestellt sowie anschließend aufgelöst und verifiziert werden muss.

Hoffentlich konnte dieser Artikel klären, was getan werden muss – obwohl ISO 27001 keine leichte Aufgabe darstellt, ist sie nicht unbedingt kompliziert. Sie müssen nur jeden Schritt sorgfältig planen und keine Angst haben – Sie werden Ihr Zertifikat erhalten.

Hier können Sie das Diagramm der ISO 27001 Umsetzung herunterladen. Es zeigt alle diese Schritte zusammen mit den erforderlichen Unterlagen.

Ich habe eine ganze Reihe von Kleinunternehmen (bis zu 50 Mitarbeiter) beobachtet, die versucht haben, Werkzeuge zur Risikoeinschätzung als Teil ihrer Umsetzung der ISO 27001 einzusetzen. Das Ergebnis besteht darin, dass der Zeit- und Kostenaufwand üblicherweise zu groß ist und die Auswirkungen zu gering bleiben.

Zunächst einmal – was ist Risikobewertung eigentlich, und welchen Zweck verfolgt sie? Risikobewertung ist ein Prozess, in dem ein Unternehmen Informationen über Sicherheitsrisiken erfasst, um deren Wahrscheinlichkeit und Auswirkungen zu bestimmen. Einfacher ausgedrückt sollte das Unternehmen alle potenziellen Probleme und deren zugehörige Informationen erfassen, wie wahrscheinlich deren Eintreten ist und welche Folgen sie nach sich ziehen könnten. Der Sinn der Risikobewertung besteht darin, welche Maßnahmen notwendig sind, um das Risiko zu senken. Die Auswahl der Maßnahmen, die als Risikobehandlung bezeichnet wird, erfolgt aus Anhang A der ISO 27001, in dem 133 Maßnahmen festgelegt sind.

Die Risikoeinschätzung erfolgt durch Erkennung und Bewertung von Werten, Schwachstellen und Bedrohungen. Ein Wert ist etwas von Wert für das Unternehmen – Hardware, Software, Mitarbeiter, Infrastruktur, Daten (in verschiedenen Formen und Medien), Lieferanten und Partner usw. Eine Schwachstelle ist die Schwäche eines Werts, eines Prozesses, einer Maßnahme usw., die durch eine Bedrohung ausgenutzt werden könnte. Bedrohung ist eine Sache, die einem System oder einem Unternehmen Schaden zufügen könnte. Beispiel für eine Schwachstelle ist das Fehlen einer Antivirensoftware. Eine damit verbundene Bedrohung ist der Computervirus.

Mit diesem Hintergrundwissen benötigen Sie für ein kleines Unternehmen nicht unbedingt ein ausgefeiltes Instrument für die Risikoeinschätzung. Alles was Sie benötigen, sind eine Excel-Tabelle, eine gute Übersicht der Schwachstellen und Bedrohungen sowie eine gute Methodik der Risikoeinschätzung. Die Hauptaufgabe besteht wirklich darin, Wahrscheinlichkeit und Auswirkungen einzuschätzen. Dies kann kein Werkzeug bewerkstelligen – darüber müssen die Eigentümer der Vermögenswerte mit ihren Kenntnissen der Werte nachdenken.

Wo erhalten Sie dafür die Kataloge und die Methodik? Wenn Sie auf die Dienste eines Beraters zurückgreifen, so sollte er/sie diese bereitstellen. Andernfalls gibt es im Internet ein paar kostenlose Kataloge. Suchen Sie einfach mit Google. Die Methodik ist nicht kostenlos erhältlich. Sie könnten jedoch die Norm ISO 27005 verwenden (sie beschreibt detailliert Risikoeinschätzung und -behandlung), oder Sie können auf andere Websites zurückgreifen, auf denen die Methodik verkauft wird. Alles dies sollte deutlich weniger Zeit und Geld als der Kauf eines Instruments zur Risikoeinschätzung kosten, zumal Sie noch lernen müssen, wie man dieses benutzt.

Eine gute Methodik sollte ein Verfahren zur Identifizierung von Werten, Bedrohungen und Schwachstellen umfassen sowie Tabellen zur Festlegung von Wahrscheinlichkeit und Auswirkungen, eine Methode zur Berechnung des Risikos enthalten und das akzeptable Risiko definieren. Kataloge sollten mindestens 30 Schwachstellen und 30 Bedrohungen enthalten. Einige Kataloge enthalten auch jeweils ein paar hundert, aber das ist für ein kleines Unternehmen wohl zu viel.

Der Prozess ist wirklich nicht kompliziert – dies sind die grundlegenden Schritte für Einschätzung und Behandlung:

1. Festlegen und Dokumentieren der Methodik (einschließlich der Kataloge), Weitergabe an alle Werteigentümer im Unternehmen
2. Organisieren von Gesprächen mit allen Werteigentümer, in denen diese ihre Werte und damit verbundene Schwachstellen und Bedrohungen benennen sollten. In einem zweiten Schritt bitten Sie sie, Wahrscheinlichkeit und Auswirkungen zu bewerten, falls bestimmte Risiken eintreten
3. Konsolidierung der Daten in einem einzelnen Tabellenblatt, Berechnung der Risiken und Angeben, welche Risiken nicht akzeptabel sind
4. für jedes nicht akzeptable Risiko wählen Sie eine oder mehrere Maßnahmen aus Anhang A der ISO 27001 - berechnen Sie, welche neue Risikoebene nach diesen Maßnahmen gelten würde.

Zusammengefasst: Risikoeinschätzung und -behandlung sind wirklich die Grundlage der Informationssicherheit / ISO 27001, aber das bedeutet nicht, dass sie kompliziert sein müssen. Sie können es auf einfache Weise tun, und Ihr gesunder Menschenverstand ist das, was wirklich zählt.

Sie können sich auch unser Video Tutorial How to Implement Risk Treatment According to ISO 27001 ansehen (kommerzielles Video).