Ein auf den ersten Blick verwirrendes Normengeflecht begleitet die Informationssicherheit. Was ist wirklich wichtig?
ISO/IEC 27001 ist die einzig direkt zertifizierbare Norm aus der Familie. Voraussetzung dazu ist, dass ein Informationssicherheits-Managementsystem (ISMS) etabliert wird, das nachweislich gelebt wird und sich an den Normforderungen der ISO/IEC 27001 orientiert.
Im Annex A zur ISO/IEC 27001 werden Anforderungen gestellt, die in der ISO/IEC 27002-Norm genau spezifiziert sind.
ISO/IEC 27005 enthält Empfehlungen zur Durchführung des notwendigen Risikomanagements.
Mit Anwendung der Norm ISO/IEC 27701 kann man ein Zusatzzertifikat erwerben (setzt ein zertifiziertes ISMS nach ISO/IEC 27001 voraus), das sich speziell mit dem Schutz personenbezogener Daten beschäftigt.
Darum brauchen Sie ein ISO/IEC 27001 Zertifikat
An erster Stelle sind Wettbewerbsvorteile der Grund, wenn ein ISO/IEC 27001 Zertifikat für das Informationssicherheits-Managementsystem angestrebt wird, aber auch ein enormer Sicherheitsgewinn und eine höhere rechtliche Absicherung bei Streitfragen spielen zunehmend eine Rolle bei der Entscheidung zur Zertifizierung.
Das ISO/IEC 27001 Zertifizierungsprojekt
Nur ein, nach den Regeln der ISO/IEC 27001 etabliertes und in Betrieb gehaltenes Informationssicherheits-Managementsystem (ISMS) ist zertifizierbar. Um dieses Ziel zu erreichen, sind Voraussetzungen zu erfüllen.
Ein Informationssicherheits-Zertifizierungsprojekt erfordert sorgfältige Planung und interdisziplinäre Mitarbeit im Unternehmen. Es ist kein typisches "IT-Projekt", sondern ein Projekt unter der aktiven Beteiligung der Unternehmensleitung und der betroffenen Fachabteilungen: so fordert das auch die Norm.
Zu Projektbeginn muss der Unternehmens-Bereich spezifiziert werden, für den die Zertifizierung angestrebt wird. Das kann natürlich das ganze Unternehmen sein oder nur ein Teilbereich, zum Beispiel das Rechenzentrum. In Abhängigkeit davon wird man ein Projektteam zusammenstellen, das sich in der Folge intensiv mit allen notwendigen Projektschritten auseinander setzt, Milestones festlegt, das Management aktiv einbindet und viel Koordination benötigt.
Wie bei vielen anderen Projekten ist auch hier die Gefahr des Scheiterns in der ersten Phase gegeben, wenn das nötige Projektmarketing fehlt. Die notwendigen Maßnahmen zur Etablierung und zur Verbesserung eines Informationssicherheits-Managementsystems (ISMS) setzen ganzen Einsatz voraus, bringen dafür aber ein völlig neues Sicherheitsdenken in Ihren Betrieb. Die Mühe lohnt sich.
ISO/IEC 27001 ist die zertifizierbare internationale Norm für Etablierung, Betrieb, Überwachung und kontinuierliche Verbesserung eines dokumentierten Informationssicherheits-Management-Systems, kurz ISMS.
Basierend auf einer IT-Risikoanalyse, die aufgrund der Kritikalität der Geschäftsanforderungen alle dafür notwendigen Assets umfasst, die innerhalb des definierten Scopes sicherheitsrelevant sind, wird im Rahmen des vorgegebenen Normen-Frameworks ein individuelles Managementsystem schrittweise aufgebaut und dokumentiert. Dazu müssen ca. 130 Controls der assoziierten ISO/IEC 27002-Norm berücksichtigt werden, bevor nach vorgegebenem Ablauf eine Zertifizierung durch eine unabhängige akkreditierte Organisation stattfinden kann. Die Bestätigung, dass neben technischer IT-Sicherheit auch organisatorische, personelle und physische Aspekte der Infrastruktur durch eine unabhängige Stelle überprüft und für in Ordnung befunden wurden bringt veritable Wettbewerbsvorteile und eine höhere Rechtssicherheit bei Streitfragen.
Ein etabliertes Informationssicherheits-Managementsystem (ISMS) muss "leben", also ständig angewandt, evaluiert, verbessert und wieder neu geplant werden.
Man spricht dabei von einem so genannten PDCA-Zyklus (plan - do - check - act), ein ständig wiederkehrender Kreislauf, in dem die einzelnen Sicherheitsprozesse, -richtlinien (Policies) und Verfahren konsequent ständig an das erforderliche Sicherheitsniveau angepasst werden.
Das klingt sehr theoretisch, lässt sich aber in die Praxis des täglichen Ablaufs gut integrieren.
ISMS – der sichere IT-Betrieb
Ein Informationssicherheits-Managementsystem, kurz ISMS, gibt Richtlinien und Anleitungen vor, wie Daten und Informationen bestmöglich bearbeitet und geschützt werden können. Ein zu durchlaufender Prozess wird festgelegt, Verantwortlichkeiten geregelt, Risiken analysiert und schließlich minimiert. Ein nach den Regeln der ISO/IEC 27001/27002 etabliertes ISMS ist nach ISO/IEC 27001 zertifizierbar.
Die Größe eines Unternehmens macht keinen Unterschied bezüglich der Bedeutung eines ISMS. Lediglich die Ausführung unterscheidet sich und richtet sich nach den ökonomischen und personellen Möglichkeiten. Die Anforderungen sind vielfältig und individuell. Damit der Aufwand realistisch bleibt und Projekte erfolgreich abgeschlossen werden, empfiehlt es sich, einen Spezialisten hinzuzuziehen.
Wir helfen Ihnen, ein zertifizierbares Informationssicherheits-Managementsystem (ISMS) aufzubauen und begleiten Ihr Unternehmen so lange, bis Ihre dafür vorgesehenen Mitarbeiter*innen in der Lage sind, den PDCA-Zyklus selbst zu betreiben.
Ist ein ISMS erfolgreich etabliert, ist der Weg zum Zertifikat nach ISO/IEC 27001 geebnet - ein klarer Wettbewerbsvorteil für Ihren Betrieb!
ISMS light – ist eine Zertifizierung immer notwendig?
Nicht alle Betriebe müssen, um Sicherheitsgewinne zu erzielen, den ganzen Weg zur ISO/IEC 27001-Zertifizierung zurücklegen. Gar nichts zu verändern hieße aber, mit bestehenden Sicherheitsdefiziten weiter zu leben. Ein "no go" in Zeiten steigender Bedrohungen.
Die richtige Mischung aus Notwendigkeit und wirtschaftlicher Machbarkeit zu finden, ist nicht leicht. Dazu bedarf es professioneller Unterstützung, die wir Ihnen bieten.
Das Ergebnis ist eine betriebsindividuelle Light-Version eines Informationssicherheits-Management-Systems, in dem die als die wichtigsten Sicherheitsziele erkannten Bereiche thematisiert und ihrem Risiko entsprechend priorisiert, umgesetzt werden.
Risikomanagement bedeutet organisiertes, proaktives Beschäftigen mit Risiken. Dabei werden Risiken identifiziert, bewertet und priorisiert. Gegen hoch priorisierte Risiken müssen Maßnahmen bestimmt werden, um Schäden abzuwenden.
IT-Risiken werden in Abhängigkeit der Kritikalität der betroffenen Assets für den Geschäftsablauf (nach einer Business Impact Analyse) anhand einer definierten Risikostrategie bewertet.
Sorgfaltspflicht: Risiken eliminieren oder damit leben?
Vorhandene Tools zur Risikobewertung aus anderen Unternehmensbereichen können meistens auch für Informationssicherheits-Risiken eingesetzt werden. Wichtig ist, dass erkennbar wird, welche Gefährdungen für die vorhandenen Assets bestehen, welche Prioritäten zugeordnet werden und schließlich auch, welche Maßnahmen getroffen werden können. Dabei gibt es vor allem drei große Maßnahmengruppen:
Reduzieren/Eliminieren,
auf Dritte abwälzen (also z.B. Versichern)
oder das jeweilige Risiko weiterhin bewusst selbst zu tragen.
Risikomanagement
1. Risiken systematisch identifizieren
2. Priorisieren
3. Einzelmaßnahmen überlegen
Reduzieren od. eliminieren
Risiko auf Dritte abwälzen
Risiko bewusst weiterhin tragen
... benötigt Budget u. Zeit
... erfordert Budget
... bedeutet Verantwortung
& benötigen Sorgfalt: Folgen sind bekannt
4. Laufend Evaluieren und ggf. Anpassen
Ohne Risikomanagement ist Ihre IT im Blindflug unterwegs
Es gibt verschiedene Ansätze, Risiken der Informationssicherheit zu identifizieren und sie zu bewerten. Wir unterstützen dabei einen ganzheitlichen Ansatz, der sich mit Hauptthemen befasst, die sich – ganz nach individueller Situation – beliebig granulieren lassen: Man geht in die Tiefe, wenn es nötig ist und fasst zusammen, was sinnvoll erscheint.
Folgende Risiken sind nicht versicherbar und können sich zur Existenzgefährdung für Ihr Unternehmen entwickeln:
Imageschaden
Know-how Verlust
Stärkung des Mitbewerbs
Gefährdung oder Verlust von Aufträgen
Datenschutzverletzungen
Opfer von Internet-Straftaten zu werden
Mit notwendigen Maßnahmen Risiken minimieren
Ein sicherer IT-Betrieb ist angesichts der Abhängigkeiten von der IT ein „must have“. Wie sicher ist Ihr IT-Betrieb wirklich? Wir analysieren transparent den IST-Zustand, zeigen Ihnen die dabei gefundenen Sicherheitslücken auf und erarbeiten mit Ihnen fundierte Vorschläge, wie diese am wirtschaftlichsten geschlossen werden können.
⟩
Vorher:
Risiko-Management nur fragmental realisiert
vor allem technische Maßnahmen umgesetzt
organisatorische Schwachstellen kaum miteinbezogen
keine regelmäßige Risiko-Überwachung
Nachher:
durchdachte Maßnahmen-Strategie
technische und organisatorische Maßnahmen
alle Maßnahmen greifen sinnvoll ineinander
Schwachstellen werden erkannt und systematisch reduziert
im PDCA-Zyklus werden hi-level-Risiken regelmäßig überwacht
Strategisches Vorgehen löst reaktives ab
Nur ein sorgfältig geplantes, koordiniertes Vorgehen verhindert 'halbe Sachen', unnötige Ausgaben und organisatorisches Durcheinander. Wir unterstützen Sie dabei gerne. Mit unserer Erfahrung kommen Sie viel schneller ans Ziel.
IT-Security-Richtlinien werden in einem ISMS in einer Dokumentenhierarchie dargestellt und umgesetzt. Die oberste Führung entscheidet über die Top Level Themen (Sicherheitspolitik, -strategie, über die Dokumentenlenkung sowie über den Umsetzungsumfang (Scope). Die mittlere Führungsebene erlässt IT-Richtlinien, die hauptsächlich die Umsetzungsthemen adressieren.
Verfahrensanweisungen und andere Hilfsdokumente bestimmen die detaillierte Umsetzung der IT-Richtlinien, immer aber unter der Prämisse der Top level Richtlinien. Nachweisdokumente belegen schließlich die erfolgte Umsetzung von Richtlinien bzw. Verfahrensanweisungen.
Unternehmensweite Sicherheitsstandards
Nur in einem geordneten Freigabeprozess in Kraft gesetzte und "gelebte" Policies bestimmen die Qualität des laufenden Betriebs eines Informationssicherheits-Managementsystems ISMS.
Es ist also wichtig, entsprechende Weichenstellungen vom Management zu erhalten und umzusetzen.
Policies sind interne "Gesetze"
Nicht nur, wer ein ISO/IEC 27001-Zertifikat anstrebt bzw. auf Dauer behalten will, muss sicherstellen, dass im Unternehmen gesetzliche und vertragliche Regelungen eingehalten werden.
Um alle nicht oder nicht ausreichend gesetzlich vorgegebenen Anweisungen zu erlassen, müssen interne Richtlinien erlassen, eingeführt, umgesetzt, kontrolliert bzw. intern auditert und gegebenenfalls bei Zuwiderhandlung auch sanktioniert werden.
Mit großem Erfahrungsschatz ausgestattet, können wir Ihnen viel Zeit sparen, wenn wir Sie bei der Formulierung bzw. oft auch nur bei der nötigen Anpassung einschlägiger Richtlinien unterstützen dürfen. Unsere Expertise hilft Ihnen, realistisch erfüllbare Anforderungen zu stellen und dennoch – wenn Sie das anstreben – alle für eine Zertifizierung erforderlichen Regelungen zu erfüllen. Kontaktieren Sie uns einfach, wir finden die wirtschaftlichste Lösung für Sie und mit Ihnen.
Interne Audits sind sinnvolle (und wenn man ein ISO/IEC 27001-Zertifikat erwerben oder behalten will, verpflichtende regelmäßig zu wiederholende) Maßnahmen, um die Qualität des Informationssicherheits-Managementsystems zu sichern, zu erhalten und wenn nötig, verbessern.
Interne Audits müssen sorgfältig geplant und können sowohl von entsprechend befähigten Dritten durchgeführt werden, wie von einschlägig geschulten internen Kräften. Die wichtigste Regel dabei lautet, dass man nie den eigenen Wirkungsbereich auditieren darf.
Audits zeigen Potenziale auf
Von Dritten durchgeführte interne Audits enthüllen ungenutzte Potenziale und mitunter auch grobe Sicherheitslücken, die oftmals in der Betriebsblindheit leicht untergehen und sind deshalb so wertvoll für Sie.
Interne versus externe Audits
Ein internes Audit bedeutet nicht zwingend, dass es von betriebsinternen Mitarbeiter*innen durchgeführt wird. Viele Gründe sprechen für den Einsatz eines externen, unabhängigen und qualifizierten Dienstleistungsunternehmens.
Nicht verwechselt werden darf das interne Audit mit dem externen, das z. B. ein ISO 27001-Zertifizierungsaudit sein kann oder eine von einem datenschutzrechtlich Verantwortlichen veranlasste Überprüfung der Einhaltung der TOMs, die man als Auftragsverarbeiter gem. Art. 28 DSGVO vertraglich zugesichert hat.
Eine essenzielle Forderung der ISO/IEC 27001 wie vieler allgemeiner Compliance-Regelungen in Betrieben ist es, dass ein internes Evaluierungssystem errichtet und betrieben wird. Dieses Instrument ist vielseitig nutzbar:
im Rahmen eines Informationssicherheits-Managementsystems nach ISO/IEC 27001
als Mittel der Wahl, um die Einhaltung von Gesetzen, Vereinbarungen und Richtlinien zu gewährleisten
für die Wirtschaftsprüfung
Wir bieten Ihnen die externe Expertise zur Durchführung von internen Audits.
