Forstenrieder Straße 2a · D-82061 München
Telefon: +49 (0)89-170 94 170

 

 

 

 

 

 

 

 

 

Informationssicherheitsmanagement ISO 27001

Die Internationale Norm ISO 27001 wurde erarbeitet, um die technischen und IT-relevanten Anforderungen zum Schutz der Informationssicherheit in Unternehmen zu dokumentieren und Methoden für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheitsystems ISMS zu definieren.

Schutzziele

Die zentralen Schutzziele der Norm sind Vertraulichkeit, Integrität und Verfügbarkeit. Sie sollen die Gefährdung oder Manipulation von Informationen verhindern. Weitere Schutzziele sind Authenzität, Zurechenbarkeit, Nichtabstreitbarkeit und Verlässlichkeit. Durchgängige Organisationsstrukturen sind eine weitere wesentliche Forderung bei der Umsetzung der Norm ISO 27001 und werden bei der Implementierung eines ISMS Informationssicherheitsmanagementsystems erreicht.

Controls

Controls sind Maßnahmen und Maßnahmenziele, mit denen die Schutzziele erreicht werden sollen. Sie bilden organisatorische und technische Vorgaben ab. Um eine Zertifizierung zu erhalten müssen für die 114 Controls im Unternehmen Antworten gefunden werden. Im Datenschutzmanagement findet man in den technisch-organisatorische Maßnahmen (toM‘s) inhaltlich ähnliche Steuerungsinstrumente.

ISMS

Die Abkürzung ISMS steht für Information Security Management System. In ihm werden Regeln, Verfahren und Maßnahmen definiert, um Informationssicherheit in einem Unternehmen zu schaffen, zu steuern und kontinuierlich zu verbessern.

Aufbau ISMS

Der Aufbau eines ISMS folgt dem PDCA Zyklus. Innerhalb der Organisation werden Rollen, Aufgaben, Verantwortungen, Kommunikationswege und Kompetenzen eindeutig definiert und dokumentiert. Alle beteiligten Mitarbeiter sind über festgelegte Sicherheitsmaßnahmen, die im Sicherheitskonzept definiert und dokumentiert sind, informiert und auditiert.

Einführung ISMS

Das Top Management muss sämtliche Prozesse zur IT-Sicherheit initiieren, steuern und controllen. Sicherheitsstrategie, Leitlinien und Ziele legt die Unternehmensleitung fest und trägt dafür die Verantwortung. Die Einführung erfolgt über einen Top-Down Ansatz.

Ausarbeitung und Umsetzung kann auf andere Führungskräfte und Mitarbeiter übertragen werden. Sie sind mit den notwendigen Ressourcen und Kompetenzen auszustatten.

Risikomanagement und Risikobewertung

Innerhalb des ISMS sind Risiken zu identifizieren und zu kategorisieren. Anschließend ist eine Beurteilung vorzunehmen, welche Risiken vertretbar und welche in Gänze auszuschließen sind. Auswirkungen, die einen Verlust der Schutzziele nach sich ziehen, und deren Eintrittswahrscheinlichkeit sind zu ermitteln, transparent zu machen und zu dokumentieren.

Die Risikobewertung bildet die Grundlage für die Auswahl und Einführung geeigneter Maßnahmen zur Vermeidung oder Minimierung von Risiken. Sie sind in einem kontinuierlichen Verbesserungsprozess zu überprüfen und zu verbessern. Das Auftreten von Mängeln oder bisher nicht bekannten Risiken fürhen zu einem neuerlichen Duchlaufen des gesamten Risikobewertungsprozesses.

IT Sicherheitsbeauftragter im ISMS

Ein ISMS fordert die Benennung des Informationssicherheitsbeauftragten. Er wird durch die Geschäftsleitung ernannt, ist ihr direkt unterstellt, berichtet in regelmäßigen Abständen an sie und ist mit einem eigenen Budget auszustatten. Der Informationssicherheitsbeauftragter ist innerhalb des Unternehmens zentraler Ansprechpartner für alle Fragen der IT-Sicherheit. Er ist in den ISMS Prozess integriert und bei der Auswahl und Einführung neuer IT-Anwendungen und IT-Komponenten beteiligt.

ISMS und Datenschutz

Personenbezogene Daten genießen innerhalb eines ISMS keine Sonderstellung. Im ISMS werden grundsätzlich alle zu schützenden Daten so, wie alle anderen Daten auch, behandelt. Es hilft zwar durch technische und organisatorische IT-Sicherheitsmaßnahmen Daten zu schützen, die Sicherheit der Verarbeitung personenbezogener Daten garantiert es aber nicht. Auch die Einhaltung der gesetzlichen Vorgaben und Regelungen zur Verarbeitung personenbezogener Daten gewährleistet es nicht. Ein ISMS ersetzt kein Datenschutzmanagementsystem, kann aber dahingehend erweitert werden.

ISO Zertifizierung

Organisationen können sich nach ISO 27001 zertifizieren und damit bestätigen lassen, dass sie gemäß den Anforderungen der Norm arbeiten.

Um ein Unternehmen zu zertifizieren, ist ein Audit durch eine Zertifizierungsstelle nötig. Auditoren prüfen dabei, ob Dokumente und Prozesse der ISO 27001 Norm entsprechen. Voraussetzung für jede Zertifizierung nach ISO 27001 ist die Einführung des ISMS, eine Klassifizierung der Werte der Organisation und der Risikomanagementprozess.