Ihren Ursprung hat die ISO/IEC 27000 Familie bereits im Jahr 1989, als das britische Handels- und Industrieministerium (englisch: Department of Trade and Industry, DTI) eine Arbeitsgruppe zur Erstellung einer Übersicht über aktuelle Sicherheitspraktiken einrichtete. Erste Ergebnisse wurden im „User Code of Practice Standard 4″ (deutsch: Benutzerleitfaden) als Entwurf veröffentlicht, was im Wesentlichen eine Liste von aktuell anerkannten Sicherheitsmaßnahmen war. Im Jahr 1992 wurde eine zuvor beauftragte Sicherheitsstudie des DTI zur anerkannten „Best Practices“ der Informationssicherheit veröffentlicht, welche 1995 zum britischen Standard (englisch: British Standard, BS) mit dem Namen BS 7799:1995 adaptiert wurde und eine Reihe von Sicherheitsmaßnahmen enthielt. Herausgeber dieses Standards war das „British Standards Institute“. Durch die stetige Veränderung im Bereich der Informations- und Kommunikationstechnik (IKT) sowie der kontinuierlichen Weiterentwicklung wurde der Standard im Jahr 1998 überarbeitet und als zweite Version mit dem Namen BS 7799:1998 herausgegeben. Ziel war es den bisherigen Standard, um Instrumente zur Überwachung und Messung der Sicherheitsmaßnahmen zu erweitern und Grundlagen für eine Zertifizierung zu schaffen. Wenig später, im Jahr 1999, wurde der Teil mit den Best Practices der Informationssicherheit aus dem BS 7799:1998 ausgegliedert und in den neuen Standard BS 7799-1:1999 (Teil 1) überführt. Der Teil mit den Überarbeitungen aus dem Jahr 1998 wurde in den BS 77992:1999 (Teil 2) überführt und um Anforderungen an die Aufbau- und Ablauforganisation erweitert, welche wiederum zu einem Managementsystem für die Informationssicherheit verknüpft wurde. Im Jahr 2000 übernahm die International Organization for Standardization (ISO) und die International Electrotechnical Commision (IEC) den BS 7799-1:1999 und veröffentlichte ihn unter dem Namen ISO/IEC 17799:2000. Eine Überarbeitung vom BS 7799-2:1999 erfolgte im Jahr 2002 und wurde so zum BS 7799-2:2002. Neuerungen waren u.a. die Einführung des Plan-Do-Check-Act (PDCA)-Zyklus und die Anpassung der Struktur an die ISO/IEC 17799:2000. Im Jahr 2005 erfolgte dann die Übernahme des BS 7799-2:2002 der ISO/IEC zur ISO/IEC 27001:2005. Um die Namenskonvention beizubehalten, wurde im Jahr 2007 die überarbeitete ISO/IEC 17799:2005 zur ISO/IEC 27002:2005 umbenannt. Fortan arbeiteten die ISO und die IEC gemeinsam an einem internationalen Standard für den Bereich Informationssicherheit im Joint Technical Committee 1 (JTC1) und dem Subcommittee 27 (SC27), einem internationalen Gremium. Als Nummernserie wurde die 27000 beschlossen, um alle internationalen Informationssicherheitsnormen zu bündeln.
Gliederung der ISO/IEC 27000 Familie
Die ISO/IEC 27000 Familie umfasst mittlerweile mehr als 30 Dokumente, die normative und informative Standards sowie sektor-, branchen- und maßnahmenspezifische Standards umfassen und alle drei bis fünf Jahre überprüft werden. Unter normativ versteht man die verbindliche Umsetzung (englisch: shall) von Vorgaben und Anforderungen, während informativ nur Empfehlungen (englisch: should) enthält. Normative Standards sind in der ISO/IEC 27000 Familie i.d.R. um einen oder mehrere Informative Standards ergänzt, welche Empfehlungen zur Umsetzung umfassen, da normative Standards oftmals kurz und prägnant gehalten sind. Als Beispiel hierfür ist die ISO/IEC 27000 informativ und befasst sich als übergeordnetes Dokument mit Begrifflichkeiten, Grundlagen und erläutert fundamentale Zusammenhänge. Die ISO/IEC 27001 wiederum ist ein normativer Standard, der um die informativen Standards ISO/IEC 27002 bis 27008, mit Ausnahme der ISO/IEC 27006, ergänz wird. Die ISO/IEC 27006 und ISO/IEC 27009 sind neben der ISO/IEC 27001 weitere normative Standards und bilden die einzigen drei normativen Standards der ISO/IEC 27000 Familie. Eine Zertifizierung ist nur für normative Standards aufgrund der zuvor aufgeführten Unterschiede möglich. Einige Standards enthalten zusätzlich die Abkürzung Technical Report (TR) oder Technical Specification (TS) im Namen. Ein Technical Report enthält Informationen, die sich von den zwei vorangegangenen Veröffentlichungen unterscheiden und Daten aus einer Umfrage oder Informationen über den wahrgenommenen Stand der Technik enthalten. Eine Technical Specification befindet sich entweder noch in der technischen Entwicklung oder es wird davon ausgegangen, dass eine zukünftige, aber nicht unmittelbare Einigung über die internationale Norm als nicht gegeben angesehen wird. Die maßnahmenspezifischen Standards der Reihe ISO/IEC 2703x sowie 2704x beinhalten bspw. einen Leitfaden für Managementsysteme zur Erkennung und Behandlung von Sicherheitsvorfällen und Sicherheitsschwachstellen (ISO/IEC 27035) oder eine Anleitung für die Auswahl von Untersuchungsmethoden für Informationssicherheitsvorfälle (ISO/IEC 27041). Sie sind jedoch nicht im Wirkungsbereich eines ISMS anzusehen. Jeder einzelne Standard der ISO 27000 Familie ist gegen Entgelt bei der ISO in den Sprachen Englisch, Russisch und Französisch erhältlich. Übersetzungen in anderen Sprachen sind bei nationalen Komitees, wie dem Deutschen Institut für Normung (DIN), ebenso gegen Entgelt erhältlich. Einzige Ausnahme bildet die ISO/IEC 27000 selbst, welche auf der Webseite der ISO frei erhältlich ist. Die folgende Abbildung 1 gibt einen Überblick über die ISO/IEC 27000 Standardfamilie mit den wichtigsten Standards und ihren Zusammenhängen. Die Titel sind hierbei verkürzt dargestellt und die Namen enthalten keine Jahreszahlen der Veröffentlichung.
Die in Abbildung 1 dargestellten blauen Rechtecke beinhalten informative Standards, die orangenen Rechtecke normative Standards. Die Pfeile zwischen den Rechtecken deuten die Unterstützung bzw. Ergänzung einer Norm an. Des Weiteren ist am linken Bildrand die Bezeichnung der Kategorien zu sehen, zu der ein Standard gehört. Im rechten Bildrand der Wirkungsbereich eines ISMS.
Aufbau
Die ISO/IEC 27001 definiert Anforderungen für die Einrichtung, Implementierung, Betrieb, Überwachung, Überprüfung, Wartung und Verbesserung eines ISMS. Die Festlegungen der Anforderungen für die Implementierung von Sicherheitsmaßnahmen können auf die Anforderungen einer Organisation zugeschnitten werden und lassen sich vom übergreifenden Organisationsrisiko ableiten. Die Norm besteht im Wesentlichen aus zwei Teilen. Der erste Teil ist auf das ISMS fokussiert und umfasst die Normkapitel (NK) 4 (Kontext der Organisation), NK 5 (Führung), NK 6 (Planung), NK 7 (Unterstützung), NK 8 (Betrieb), NK 9 (Bewertung der Leistung) und NK 10 (Verbesserung). Der zweite Teil besteht aus dem Anhang A, welcher einen Überblick über die Maßnahmenziele (englisch: control objectives) und Maßnahmen (englisch: controls) aus der ISO/IEC 27002 darstellt. Insgesamt umfasst der Anhang A 114 Maßnahmen, welche entsprechend der Risikoeinschätzung, der zu schützenden Werte und den Sicherheitsanforderungen innerhalb des Anwendungsbereichs umzusetzen sind. Ziel hierbei ist es, angemessene Maßnahmen zu definieren und zu implementieren, statt ein vollkommenes Sicherheitsniveau zu erreichen. Nicht jedes der Maßnahmenziele und Maßnahmen ist umzusetzen, wenn es hierfür keine Verwendung gibt. Dies muss allerdings begründet werden, da der Anhang A ebenfalls normativ ist. Weitere Maßnahmenkataloge, wie die BSI IT-Grundschutzkataloge oder andere Standards, können bei der Auswahl geeigneter Maßnahmen helfen. Ferner ist es möglich eigene Maßnahmen zu entwickeln. Die NK 0 bis 3 sind allgemein gehalten und beinhalten eine Einleitung (NK 0), beschreiben kurz und knapp den Anwendungsbereich der Norm (NK 1) und verweisen auf die Normativität (NK 2) sowie auf die ISO/IEC 27000 für Definitionen zu den verwendeten Begriffen (NK 3). Abgesehen vom Anhang A spiegelt der Aufbau der Norm den generellen Aufbau der ISO zur Vereinheitlichung von Managementsystemen wieder. So beinhalten bspw. die ISO 9001 (Qualitätsmanagementsysteme – Anforderungen), die ISO 14001 (Umweltmanagementsysteme Anforderungen mit Anleitung zur Anwendung) oder die ISO/IEC 20000-1 (Servicemanagementsystem – Anforderungen) dieselbe Grundstruktur (englisch: high level structure), Textbausteine und Begriffe, um Gefahren beim simultanen Betrieb mehrerer Managementsysteme zu reduzieren. Die ISO/IEC 27001 wurde mit der zweiten Veröffentlichung aus dem Jahr 2013 dahingehend angepasst und enthält die Grundstruktur sowie in weiten Teilen auch die Textbausteine. Die aktuelle Fassung der ISO/IEC 27001 stammt aus dem Jahr 2013 und ist die zweite Veröffentlichung seit der Überführung zur ISO/IEC. Sie wurde im Jahr 2014 sowie 2015 korrigiert. Daraus ergibt sich der vollständige Name ISO/IEC 27001:2013/Cor. 2:2015. Die beiden Korrekturen beinhalten lediglich Änderungen, nicht jedoch die gesamte Norm und ersetzen nicht die weiterhin gültige ISO/IEC 27001:2013. In der deutschen Fassung des DIN wird diese als DIN EN ISO/IEC 27001:2017-06 geführt und ist die Übersetzung der ISO/IEC 27001:2013 inklusive eingearbeiteter zweiter Korrektur der englischen Fassung aus dem Jahr 2015. EN steht hierbei für „Europäische Norm“.
Dokumente
Es existieren in der ISO/IEC 27001 keine Vorgaben oder Best Practices bzgl. der Art und Weise einer Dokumentation, dies spielt jedoch beim Betrieb eines ISMS eine zentrale Rolle. Wichtig hierbei ist es zu wissen, was dokumentiert werden muss, wie dies passieren soll, wie Informationen zu aktualisieren sind und in welcher Form etwas zu dokumentieren ist, damit andere bei Bedarf darauf zugreifen können. Ziel der Dokumentation ist es, Regelungen zu erarbeiten und diese schriftlich zu erfassen, damit Entscheidungen nachvollziehbar und transparent sind sowie innerhalb des Anwendungsbereichs entsprechend Anwendung finden und somit einen Mehrwert bieten. Die Anforderungen und damit zusammenhängend die Tiefe einer Dokumentation ist einer Organisation selbst überlassen und hängt von verschiedenen Faktoren, wie bspw. dem Risikoniveau, der Eintrittswahrscheinlichkeit, der Komplexität, der Personalfluktuation oder dem zugrundeliegenden Organisationswert, ab. Als Hilfestellung kann ein Regelwerk dienen, in dem definiert ist, was zu dokumentieren ist und wer welches Dokument wann einsehen, verändern oder löschen darf. Anhand der Struktur der Dokumentation muss es möglich sein, Maßnahmen, die aufgrund von Anforderungen oder der Risikobewältigung umgesetzt werden, auf dessen Entscheidungsprozess zurückzuführen. Existiert in einer Organisation bereits eine Umsetzung von Prozessen zur Dokumentation nach dem Standard ISO 9001, so ist es hilfreich, die aufgestellten Prozesse und Regeln auch auf die Dokumentation des ISMS anzuwenden. Die Dokumentation von Richtlinien, Prozessen, Verfahren und Aufzeichnungen von erfolgten Aktivitäten oder erzielten Ergebnissen sind in Reifegradmodellen ein Indikator für hohe organisatorische Stabilität und Reife. Der Unterschied zwischen Dokumenten und Aufzeichnungen besteht darin, dass Dokumente veränderbar sind, hingegen Aufzeichnungen einen Nachweis von Ereignissen sind und der Nachweispflicht dienen. Aufzeichnungen besitzen demzufolge keine Revision, da sie nach Erstellung nicht verändert werden dürfen. Zu den Aufzeichnungen zählen z.B. Systemprotokolle oder der Zugriff und die Aktivitäten eines Mitarbeiters auf einem System.
PDCA-Zyklus
Ein ISMS nach ISO/IEC 27001 stellt ganzheitlich ein Dokumenten- und Prozessmanagementsystem dar, was dem Prinzip eines PDCA-Zyklus, auch als Deming-Kreislauf bekannt, folgt. Die vier Phasen des PDCA finden sich in der „high level structure“ der ISO zur Vereinheitlichung von Managementsystemen wieder, wie bspw. in der ISO/IEC 27001. Die NK 4 (Kontext der Organisation), NK 5 (Führung) und NK 6 (Planung) sind der Phase „Plan“ zuzuordnen, NK 7 (Unterstützung) und NK 8 (Betrieb) der Phase „Do“, NK 9 (Bewertung der Leistung) der Phase „Check“ und NK 10 (Verbesserung) der Phase „Act“. Weitere Informationen sind in den Normen ISO/IEC 27003 bis ISO/IEC 27005 enthalten, die den PDCA-Zyklus unterstützen. Mit der Einführung der ISO/IEC 27001:2013 ist die Anwendung des PDCA-Zyklus kein Muss mehr, allerdings ist die kontinuierliche Verbesserung weiterhin Bestandteil der Norm. Ein funktionierendes ISMS ist neben dem prozessorientierten Ansatz ein komplexes System, welches der Norm entsprechend kontinuierlich überwacht, angepasst und verbessertet werden muss. Die vier Phasen des PDCA-Zyklus sind als Regelkreis zu verstehen und beginnen nach einem Durchlauf wieder von vorn. Dabei kann der PDCA-Zyklus nicht nur auf das ISMS allgemein angewendet werden, sondern ebenso auf Prozesse, Verfahren oder Maßnahmen. Die folgende Abbildung 2 zeigt den PDCA-Zyklus und seinen kontinuierlichen Durchlauf.
Abbildung 2 zeigt die vier Phasen des PDCA-Zyklus als Regelkreis, der sich in regelmäßiger Vorwärtsbewegung befindet und auf der Achse nach oben bewegt. Nach jedem Durchlauf erhöht sich der Reifegrad (vertikale Achse) des ISMS in Abhängigkeit zu Zeit (horizontale Achse) und ergibt einen neuen Standpunkt. Im Folgenden werden die vier Phasen des PDCA-Zyklus erläutert.
Plan
Die Phase Plan (deutsch. Planung) wird aufgrund des Regelkreises zu zwei verschiedenen Zwecken durchlaufen. Der erste Durchlauf dient der Planung zur Einführung eines ISMS, ab dem zweiten Durchlauf werden nur noch Planungen zur Anpassung am eingeführten ISMS vorgenommen. Wichtig hierbei ist die klare Zielsetzung und Zielvorgaben. Aspekte sind bspw. die Anpassung von Ressourcen, wie Personal und Budget, die Reduzierung der Eintrittswahrscheinlichkeit von Risiken und ein Umsetzungsplan mit Arbeitsschritten, Zeitangaben und benötigten Ressourcen für die grundsätzlichen Einführung oder festgelegten Änderungen, die in der Phase Do umzusetzen sind. Des Weiteren enthält die ISO/IEC 27005 Richtlinien für das Risikomanagement im Bereich der Informationssicherheit. Die Mindestanforderungen an die Phase Plan sind im NK 6 (Planung) der ISO/IEC 27001 aufgeführt.
Do
Nach erfolgreicher Planung folgt mit der Phase Do (deutsch: Umsetzung) die Einführung bzw. Umsetzung der zuvor festgelegten Maßnahmen. Dies bedeuten ebenso die Bereitstellung und Einhaltung von Budgets, die Befolgung des Umsetzungsplan sowie der Zuweisung von Arbeitsschritten zu Personen, die diese ausführen und im angemessenen Umfang aufzeichnen. In der ISO/IEC 27001 sind alle Mindestanforderungen hierzu in NK 7 (Unterstützung) und NK 8 (Betrieb) spezifiziert.
Check
Ist die Einführung fertiggestellt bzw. wurden alle Änderungen umgesetzt, reiht sich die Phase Check (deutsch: Überprüfung) ein. In dieser Phase erfolgen die Überwachung, Messung und Überprüfung der zuvor umgesetzten Aktivitäten der Phase Do. Als Grundlage hierfür dienen die in der Phase Plan vereinbarten Ziele, welche auf die Aspekte Konformität, Effektivität und Effizienz hin überprüft werden. Konformität bedeutet die Einhaltung von Vorgaben, Effektivität die tatsächliche Erreichung von Zielen und Effizienz die optimale Nutzung von Ressourcen. Die ISO/IEC 27001spezifiziert die Mindestanforderungen in NK 9 (Bewertung der Leistung).
Act
In der letzten Phase Act (deutsch: Verbesserung) des PDCA-Zyklus erfolgt die Auswertung der Information aus der vorhergehenden Phase Check, anhand deren Maßnahmen zur Verbesserung des ISMS getroffen werden. Im Wesentlichen unterscheidet man hier zwischen korrigierenden und vorbeugenden Maßnahmen, die entweder reaktiv oder proaktiv wirken. Nach erfolgter Act Phase beginnt der Regelkreis erneut mit der Phase Plan. In der ISO/IEC 27001 sind die Mindestanforderungen hierzu in NK 10 (Verbesserung) aufgeführt. Zudem enthält die ISO/IEC 27004 Richtlinien, die Organisationen bei der Bewertung der Leistung der Informationssicherheit und der Wirksamkeit eines ISMS unterstützen.
Zusammenwirken mit anderen Normen
ISO 9001
Die ISO 9000 Normenreihe ist ein Standard aus dem Bereich Qualitätsmanagement und ging bereits 1987 aus einem noch älteren Standard für Qualitätsmanagementsysteme aus dem Jahr 1979 hervor. Die ISO 9001, als eine der bedeutendsten Verfahrensnorm, entstand jedoch erst durch eine Überarbeitung der Normreihe im Jahr 2000. Wichtigste Neuerungen zu dieser Zeit waren eine genauere Wortwahl, exaktere Anforderungen, eine einfachere Anwendbarkeit für Dienstleistungsorganisationen und eine striktere Prozessorientierung. Ähnlich wie die ISO/IEC 27000 Normreihe besitzt die ISO 9000 Normreihe ebenso informative sowie normative Standards und einen ähnlichen Aufbau. So ist auch hier die informative ISO 9000 ein übergeordnetes Dokument mit Begrifflichkeiten und Grundlagen, die normative ISO 9001 definiert die Mindestanforderungen eines Qualitätsmanagementsystem und besitzt in der aktuellen Ausführung den gleichen Aufbau wie die ISO/IEC 27001. Die informative ISO 9004 unterstützt die ISO 9001 und betrachtet die Wirksamkeit und Effizienz eines Qualitätsmanagementsystems. Der Standard soll grundsätzlich ein qualitätsgerechtes Handeln für Produkte und Dienstleistungen einer Organisation sicherstellen sowie dies messbar und vergleichbar machen. Die ISO 9001 betrachtet im Wesentlichen die Kern- bzw. Wertschöpfungsprozesse einer Organisation hinsichtlich ihrer Qualität, die ISO 27001 wiederum betrachtet dieselben Prozesse hinsichtlich ihrer Risiken. 88 Durch die Harmonisierung der ISO 9001 und der ISO/IEC 27001 sollen verknüpfte Audits einfacher durchzuführen sein sowie durch die Pflege und während des Betriebs Einsparungen entstehen. Gerade im Bereich der Dokumentenlenkung und -pflege ist dies nachvollziehbar, wenn beide Standards in einer Organisation Anwendung finden. Ursprünglich bezog sich der Standard auf IT-Services, was sich im Laufe der Zeit jedoch änderte.
ISO/IEC 20000
Die ISO/IEC 20000 Normenreihe ist ein Standard im Bereich IT Service Management (ITSM), welches sich auf Organisationen in der IT-Branche, IT-Abteilungen oder serviceorientierte Organisationen bezieht. Der Standard geht auf den BS 15000 aus dem Jahr 2000 zurück, an dem die Autoren der ITIL Best Practices mitwirkten und dadurch eine Kompatibilität zwischen den ITIL Best Practices und dem IT Service Management nach BS 15000 gewährleisteten. Eine Zertifizierung nach diesem britischen Standard war möglich und wurde durch deutsche Organisationen, wie der Siemens AG, wahrgenommen. Im Jahr 2005 wurde der BS 15000 mit wenigen Änderungen in die ISO/IEC 20000 überführt und so zum internationalen Standard. Die ISO/IEC 20000 setzt sich aus den Teilen 1 bis 6 und 9 bis 12 zusammen, welche eine integrierte prozessorientierte Vorgehensweise beschreiben und normative sowie informative Standards darstellen. Der wichtigste Teil aus Sicht der ISO/IEC 27001 ist die normative ISO/IEC 20000-1 (Teil 1), welche im allgemeinen die Anforderungen an ein Servicemanagementsystem (SMS) im Hinblick auf Planung, Implementierung, Betrieb, Überwachung, Überprüfung, Pflege sowie kontinuierliche Verbesserung beschreibt. Bestandteil eines SMS sind alle Service Management Strategien, Richtlinien, Ziele, Pläne, Prozesse, Dokumentationen und Ressourcen, die für die Serviceerbringung nötig sind. Ebenso legt es die Organisationsstruktur, Kompetenzen, Rollen und Verantwortlichkeiten fest, die mit Service Management Prozessen verknüpft sind. Der Aufbau der ISO/IEC 20000-1 gleicht dem der ISO/IEC 27001. Im NK 8.7.3 der ISO/IEC 200001-1:2018 wird aus Sicht des ITSM die Kernanforderungen der Informationssicherheit behandelt. Details hierzu sind wiederum in der informative ISO/IEC 20000-2 (Teil 2) in bspw. NK 6.6 spezifiziert. Ein Zusammenwirken der Normenreihe ISO/IEC 20000 und ISO/IEC 27000 wird in der ISO/IEC 27013 abgehandelt und konzentriert sich auf die integrierte Implementierung eines ISMS und SMS.