ISO 27001 & BS 25999

Dies ist normalerweise eine der ersten Fragen, die mir von potenziellen Kunden gestellt wird. Zu ihrer Enttäuschung kann ich ihnen die genaue Zahl nicht sofort nennen – hier ist der Grund.

In erster Linie hängen die Gesamtkosten der Umsetzung von der Größe Ihres Unternehmens ab (oder der Größe der Unternehmenseinheit(en), die in den Anwendungsbereich der ISO 27001 aufgenommen werden, der Kritikalität von Informationen (zum Beispiel werden Informationen in Banken als kritischer erachtet, so dass ein höheres Maß an Schutz erforderlich ist), der vom Unternehmen verwendeten Technologie (zum Beispiel haben Rechenzentren wegen ihrer komplexen Systeme tendenziell höhere Kosten) und den gesetzlichen Anforderungen (in der Regel sind Finanzbranche und staatliche Sektoren hinsichtlich der Informationssicherheit in höchstem Maße reguliert).

Zweitens wird es nicht möglich sein, die genauen Kosten zu berechnen, bevor Sie nicht wissen, welchen Schutz Sie brauchen – Sie müssen zuerst Risikoeinschätzungen durchführen. Eine solche Analyse sagt Ihnen, welche Sicherheitsmaßnahmen erforderlich sind.

Wenn Sie die Ergebnisse der Risikoeinschätzung kennen, müssen Sie die folgenden Kosten berücksichtigen:

1. Kosten für Fachliteratur und Schulung

Die Umsetzung der ISO 27001 erfordert Änderungen in Ihrem Unternehmen und neue Qualifikationen. Sie können Ihre Mitarbeiter durch den Kauf verschiedener Bücher zum Thema und/oder durch die Entsendung zu Kursen (Präsenz- oder Onlinekurse) vorbereiten – diese Kurse dauern zwischen 1 bis 5 Tagen (lesen Sie Lernen über ISO 27001 und BS 25999-2).

Und vergessen Sie nicht, die ISO 27001 Norm selbst zu kaufen – zu oft besuche ich Unternehmen, welche die Norm umsetzen, ohne sie wirklich zu sehen.

2. Kosten für externe Unterstützung

Leider reicht eine Schulung Ihrer Mitarbeiter nicht aus. Sollten Sie keine Projektmanager mit weitreichender Erfahrung bei der Umsetzung der ISO 27001 zur Verfügung haben, so benötigen Sie jemanden, der über solche Kenntnisse verfügt – Sie können entweder einen Berater engagieren oder alternativ Online-Hilfe in Anspruch nehmen (das machen wir bei der der Information Security & Business Continuity Academy).

Der größte Mehrwert eines Mitarbeiters, der Sie bei dieser Art von Projekten unterstützt, besteht darin, dass Sie am Ende nicht in einer Sackgasse stecken – nach monatelangen Aktivitäten, die nicht wirklich notwendig gewesen sind oder nach Unmengen an Dokumentation, die gemäß der Norm nicht erforderlich waren. Und das kostet wirklich.

Doch seien Sie diesbezüglich vorsichtig – erwarten Sie nicht, dass der Berater die gesamte Umsetzung für Sie erledigt – die ISO 27001 kann nur von Ihren Mitarbeitern umgesetzt werden.

3. Kosten für die Technologie

Es mag komisch klingen, aber die meisten Unternehmen, mit denen ich gearbeitet habe, brauchten keine großen Investitionen in Hardware, Software oder Ähnliches – alles dies war bereits vorhanden. Die größte Herausforderung bestand in der Regel darin, wie vorhandene Technologie auf eine sicherere Weise genutzt werden sollte.

Allerdings müssen Sie diese Investitionen planen, falls sie sich als notwendig erweisen.

4. Kosten für Mitarbeiterzeit

Weder setzt sich die Norm selbst um noch kann sie alleine von einem Berater umgesetzt werden (falls Sie einen engagieren). Ihre Mitarbeiter müssen einige Zeit aufwenden, um herauszufinden, wo die Risiken liegen und wie bestehende Verfahren und Leitlinien verbessert werden können. Ebenso benötigen sie Zeit, um sich für die neuen Aufgaben und die Anpassung an neue Regeln weiterzubilden.

5. Kosten für die Zertifizierung

Wenn Sie einen öffentlichen Nachweis erhalten möchten, dass Sie ISO 27001 erfüllen, so muss die Zertifizierungsstelle ein Zertifizierungsaudit durchführen. Die Kosten dafür hängen von der Anzahl der Manntage für diese Aufgabe ab. Der Aufwand reicht von 10 Arbeitstagen für kleinere Unternehmen bis zu ein paar Dutzend Arbeitstage für größere Organisationen. Die Kosten für einen Manntag sind je nach den örtlichen Marktverhältnissen unterschiedlich.

Sie müssen sehr vorsichtig sein, die tatsächlichen Kosten des ISO 27001 Projekts nicht zu unterschätzen – falls doch, so wird Ihr Management beginnen, Ihr Projekt in einem negativen Licht zu sehen. Auf der anderen Seite wird eine korrekte Prognose sämtlicher Kosten Ihre Professionalität unter Beweis stellen. Vergessen Sie nicht: Sie müssen immer Kosten und Nutzen präsentieren – lesen Sie dazu Vier wichtige Vorteile der ISO 27001 Umsetzung.

Sie können sich auch unser Video Tutorial How to Set Up ISO 27001 Project – Writing the Project Plan ansehen (kommerzielles Video).

Sie wussten wahrscheinlich, dass ISO 27001 in einem ersten Schritt den Anwendungsbereich definiert. Wahrscheinlich wissen Sie nicht, dass dieser auf den ersten Blick so einfache Schritt manchmal eine ganze Menge Ärger verursachen kann. Natürlich versuchen viele Unternehmen, ihre Umsetzungskosten durch Einengung des Anwendungsbereichs zu senken. Oft genug finden sie sich aber in einer Situation wieder, in der ein solcher Anwendungsbereich Probleme bereitet.

Wo ist dann das Problem?

Falls der Anwendungsbereich der ISO 27001 nicht das gesamte Unternehmen ist, so stellt sich das Problem, dass das Informationssicherheits-Managementsystem (ISMS) Schnittstellen zur „Außenwelt“ haben muss – in diesem Zusammenhang bedeutet „Außenwelt“ nicht nur die Kunden, Partner, Lieferanten usw., sondern auch die Abteilungen des Unternehmens, die außerhalb des Anwendungsbereichs liegen. Es mag komisch klingen, aber eine Abteilung, die sich außerhalb des Anwendungsbereichs befindet, sollte auf die gleiche Weise wie ein externer Lieferant behandelt werden.

Sollten Sie beispielsweise beschließen, dass sich der Anwendungsbereich nur auf Ihre IT-Abteilung erstreckt und diese Abteilung die Dienste der Abteilung nutzt, so sollte die IT-Abteilung eine Risikoeinschätzung Ihrer Einkaufsabteilung vornehmen, ob ein Risiko für die Informationen besteht, für die Ihre IT-Abteilung verantwortlich ist. Außerdem sollten die beiden Abteilungen für die geleisteten Dienste allgemeine Geschäftsbedingungen vereinbaren.

Warum sind diese Fixkosten notwendig? Man muss sich in die Zertifizierungsstelle versetzen – sie muss bescheinigen, dass Sie innerhalb Ihres Anwendungsbereichs in der Lage sind, Informationen auf sichere Art und Weise zu handhaben. Sie kann jedoch keine Ihrer Abteilungen außerhalb dieses Anwendungsbereichs prüfen. Die einzige Möglichkeit für eine solche Situation besteht darin, diese Abteilungen so zu behandeln, als ob es sich um externe Unternehmen handelt. (Bitte beachten: Zertifizierungsauditoren mögen niemals einen engen Anwendungsbereich.)

Damit hört der Ärger jedoch nicht auf. Manchmal ist ein enger Anwendungsbereich einfach nicht möglich, weil es keine Schnittstelle nach außen gibt. Wenn zum Beispiel Mitarbeiter aus beiden Abteilungen innerhalb und außerhalb des Anwendungsbereichs im gleichen Raum sitzen, so ist ein solcher Anwendungsbereich schwerlich umzusetzen. Wenn beide Mitarbeiter außerhalb und innerhalb des Anwendungsbereichs das gleiche lokale Netzwerk nutzen (ohne Segregation) und Zugriff auf verschiedene Netzwerkdienste haben, so ist ein solcher Anwendungsbereich definitiv unmöglich – es gibt keine Möglichkeit, den Informationsfluss innerhalb des Anwendungsbereichs zu kontrollieren.

Der entscheidende Punkt ist: eine Verengung Ihres ISMS-Anwendungsbereichs ist manchmal unmöglich und führt in den meisten Fällen zu unnötigem Aufwand. Was ursprünglich nicht wie eine gute Lösung erschienen, kann am Ende optimal sein – versuchen Sie, den Anwendungsbereich auf das gesamte Unternehmen auszudehnen. Die Faustregel lautet: Wenn es in Ihrem Unternehmen nicht mehr als ein paar hundert Mitarbeiter und einen oder wenige Standorte gibt, so deckt das ISMS optimalerweise das ganze Unternehmen ab.

Sollten Sie jedoch andererseits nicht das gesamte Unternehmen mit Ihrem ISMS-Anwendungsbereich abdecken können, so versuchen Sie zumindest, diesen in einer ausreichend unabhängigen Unternehmenseinheit umzusetzen. Versuchen Sie, die Beziehungen zu anderen Unternehmenseinheiten außerhalb des Anwendungsbereichs durch Definition ihrer Dienste mithilfe interner Dokumente zu lösen (Leitlinien, Verfahren usw.), die als „Vereinbarungen“ dienen – so könnten Sie die Pflichten diese Unternehmenseinheiten auf eine im täglichen Geschäftsbetrieb einsetzbaren Weise dokumentieren.

Na also – Sie haben den ersten Schritt Ihrer ISO 27001 Umsetzung erfolgreich absolviert.

Sie können sich auch unser Video Tutorial How to Define and Document the ISMS Scope According to ISO 27001 ansehen (kommerzielles Video).

Sie haben bereits recht lang die Norm ISO 27001 umgesetzt, sehr viel in Fortbildung, Beratung und Umsetzung der verschiedenen Maßnahmen investiert. Jetzt kommt der Auditor von einer Zertifizierungsstelle – schaffen Sie die Zertifizierung?

Diese Art von Angst ist normal – man kann nie wissen, ob Ihr ISMS (Managementsystem für Informationssicherheit) alles aufweist, wonach die Zertifizierungsstelle fragt. Aber wonach genau wird der Prüfer suchen?

Zuerst wird der Prüfer ein Audit der Stufe 1 durchführen, das auch als „Dokumentenprüfung“ bezeichnet wird. In diesem Audit wird der Prüfer den dokumentierten Umfang, ISMS-Leitlinie und -Ziele, die Beschreibung der Methodik für die Risikoeinschätzung, den Bericht zur Risikoeinschätzung, die Erklärung zur Anwendbarkeit, den Plan zur Risikobehandlung, die Verfahren zur Dokumentenprüfung, Korrektur- und Vorbeugungsmaßnahmen sowie für das interne Audit einsehen. Sie müssen auch einige der Maßnahmen aus Anhang A (nur, falls Sie sie gemäß Erklärung zur Anwendbarkeit als anwendbar angesehen haben), das Inventar der organisationseigenen Werte (Assets) (A.7.1.3), der zulässige Gebrauch von organisationseigenen Werten (A.7.1.3), Aufgaben und Verantwortlichkeiten der Mitarbeiter, Auftragnehmer und Drittbenutzer (A.8.1.1), die Arbeitsvertragsklauseln (A.8.1.3), Verfahren für den Betrieb der informationsverarbeitenden Einrichtungen (A.10.1.1), das Regelwerk zur Zutrittkontrolle (A.11.1.1) sowie die Identifikation der anwendbaren Gesetze (A.15.1.1) dokumentieren. Ebenso benötigen Sie Aufzeichnungen über mindestens ein internes Audit und eine Überprüfung des Managements.

Sollte eines dieser Elemente fehlen, so bedeutet das, dass Sie für Stufe 2 des Audits nicht bereit sind. Natürlich könnten Sie viele weitere Dokumente vorlegen, falls Sie es für notwendig erachten – die oben stehende Liste ist die Mindestanforderung.

Stufe 2 des Audits wird auch „Hauptaudit“ genannt, die üblicherweise ein paar Wochen nach Stufe 1 des Audits folgt. In diesem Audit wird der Schwerpunkt nicht auf der Dokumentation, sondern darauf liegen, ob Ihr Unternehmen tatsächlich macht, was es laut Ihrer Dokumentation und ISO 27001 machen sollte. Anders gesagt: Der Auditor wird überprüfen, ob sich Ihr ISMS wirklich in Ihrem Unternehmen widerspiegelt oder ob es nur totes Papier ist. Der Auditor wird dies durch Beobachtungen und Gespräche mit Ihren Mitarbeitern prüfen, vor allem jedoch durch Ihre Aufzeichnungen. Zu den verbindlichen Aufzeichnungen gehören Ausbildung, Schulungen, Fähigkeiten, Erfahrungen und Qualifikationen (5.2.2), das interne Audit (6), Managementprüfung (7.1), Korrektur- (8.2) und Vorbeugungsmaßnahmen (8.3). Allerdings erwartet der Prüfer weit mehr Aufzeichnungen als Ergebnis der von Ihnen durchgeführten Verfahren.

Bitte seien Sie an diesem Punkt vorsichtig. Jeder erfahrene Prüfer wird sofort bemerken, falls irgendein Teil Ihres ISMS künstlich ist und nur zum Zwecke der Prüfung erstellt wurde.

Gut, Sie haben das alles gewusst, aber trotzdem ist es passiert – der Auditor hat schwerwiegende Nichteinhaltungen gefunden und Ihnen mitgeteilt, dass das ISO 27001-Zertifikat nicht ausgestellt werden könne. Ist dies das Ende der Welt?

Sicher nicht. Der Prozess läuft folgendermaßen ab: Der Auditor stellt die Erkenntnisse (einschließlich der größeren Nichteinhaltungen) im Prüfbericht zusammen. Er nennt Ihnen den Termin, bis zu dem die Nichteinhaltung gelöst sein muss (in der Regel 90 Tage). Ihre Aufgabe ist es, geeignete Korrekturmaßnahmen zu treffen. Sie müssen jedoch vorsichtig sein – diese Maßnahme muss die Ursache der Nichteinhaltung beseitigen, andernfalls wird der Auditor diese Maßnahme nicht akzeptieren. Sobald Sie sicher sind, die richtigen Maßnahmen getroffen werden, müssen Sie Ihren Auditor benachrichtigen und ihm/ihr den Nachweis darüber übermitteln, was Sie getan haben. In den meisten Fällen, falls sie Ihre Aufgabe sorgfältig erledigt haben, wird der Auditor Ihre Korrekturmaßnahmen akzeptieren und die Erteilung des Zertifikats einleiten.

Endlich ist es geschafft – es dauerte ein wenig, aber jetzt sind Sie stolzer Besitzer des ISO/IEC 27001-Zertifikats. (Seien Sie jedoch vorsichtig – das Zertifikat ist nur drei Jahre gültig, und kann während dieser Zeit ausgesetzt werden, falls die Zertifizierungsstelle bei Überwachungseinheiten andere größere Nichteinhaltungen feststellt.)

Sie können sich auch unsere ISO 27001 Video Tutorials ansehen, die jeden Schritt in der ISO 27001 Durchführung erklären (kommerzielle Videos).