Security · 19. Januar 2020 0

Informationssicherheitsmanagementsystem nach ISO/IEC 27001 Part IV – Konzeption und Betrieb eines ISMS nach ISO/IEC 27001

Der folgende Artikel gibt einen Einblick in die Mindestanforderungen und Spezifikationen der ISO/IEC 27001 und zeigt auf, welche Veränderungen oder Maßnahmen für die Einführung vorzunehmen sind. Der Aufbau stimmt mit der Struktur der deutschen Fassung der Norm DIN EN ISO/IEC 27001:2017 ab Normkapitel (NK) 4 überein. Kein Bestandteil dieses Artikels sind hingegen die NK 0 bis 3, da diese nur allgemeine Informationen enthalten. Da die vorgenommenen Änderungen gegenüber der ursprünglichen ISO/IEC 27001:2013 sowie der Übersetzung ins Deutsche keine Änderungen an der Struktur vorweisen, entspricht der Aufbau ebenso den der englischen Fassung der ISO/IEC 27001:2013. Lediglich die Namen der Abschnitte stammen aus der deutschen Übersetzung der Norm. In allen Teilabschnitten des Artikels erfolgt im Namen am Ende in Klammern die Referenz zum NK innerhalb der ISO/IEC 27001. Als Unterstützung kann die ISO/IEC 27003 dienen, da sie ausführlichere Informationen zu den NK 4 bis 10 der ISO/IEC 27001 enthält. Der Anhang A der ISO/IEC 27001 hingegen wird in der ISO/IEC 27002 ausführlich behandelt.

Spezifikation nach PDCA-Zyklus

Kontext der Organisation (NK 4)

Die ISO/IEC 27001 als internationaler Standard verfolgt zwar das Ziel, für alle Größen und Arten von Organisationen gültig zu sein und demzufolge Anwendung zu finden, was im Umkehrschluss jedoch nicht bedeutet, dass individuelle und organisatorische Anpassungen zur Umsetzung erfolgen müssen. Daher setzt sich das NK 4 der ISO/IEC 27001 mit dem Kontext der Organisation auseinander mit dem Ziel, die Anforderungen zu ermitteln und zu bewerten, ehe die exakte Zielsetzung für das ISMS festgelegt wird und deren Umsetzung erfolgt. Das NK 4 der ISO/IEC 27001 setzt sich aus vier Unterkapiteln zusammen, die im Folgenden näher betrachtet werden und leitet zugleich die Phase Plan des PDCA-Zyklus ein.

Verstehen der Organisation und ihres Kontextes (NK 4.1)

Unter Kontext der Organisation ist der Geschäftszweck bzw. die Geschäftstätigkeit oder die Aufgaben einer nicht-gewinnorientierten Organisation gemeint (englisch: Non-Profit-Organisation, NPO), wie bspw. Behörden oder Vereine. Hierbei geht es um die Bestimmung der Themen, die relevant für den Zweck, die Aufgaben und die Tätigkeiten der Organisation sind und Auswirkungen auf die Informationssicherheit haben können. Als integrale Funktion des ISMS analysiert die Organisation kontinuierlich sich selbst (internen Themen) und ihre Umwelt (externen Themen) und verfolgt dabei drei wesentliche Ziele. Durch ein besseres Verständnis des Kontextes der Organisation lässt sich der Geltungsbereich (englisch: scope) des ISMS bestimmen. Dabei erfolgt eine detaillierte Analyse des Kontextes, um Risiken und Chancen zu ermitteln und es wird sichergestellt, dass das ISMS an ändernde interne und externe Themen sowie Ziele der Organisation angepasst wird.

Interne Themen betreffen die Organisation im inneren, wie die Aufbau- und Ablauforganisation, vorhandene Organisationskultur, existierende Standards, Vorgaben und Managementsysteme, gegenwärtige Aktivitäten und Erkenntnisse zur Informationssicherheit, Umfang und Verwendungszweck der verwendeten Hard- und Software sowie die physikalische Infrastruktur und Umfeld. Zugehörig ist die Analyse von Ressourcen und deren Fähigkeiten, die für das einzurichtende ISMS zur Verfügung stehen. Dazu gehören ebenso die finanziellen Mittel und die für den PDCA-Zyklus zur Verfügung stehende Zeit. Sollte in der Vergangenheit eine Risikoanalyse durchgeführt worden sein, sind die Vorgehensweise und deren dokumentierten Ergebnisse wichtig und hilfreich.

Externe Themen beinhalten das Umfeld der Organisation, wie finanzielle Aspekte und Makroökonomie, politische, gesetzliche oder regulatorische Rahmenbedingungen, verwendete Technologien und eventuelle Abhängigkeiten, beauftragte Dienstleister und Lieferanten sowie soziale und kulturelle Gegebenheiten. Zum Umfeld gehören zugleich Marktbegleiter und Wettbewerbsmerkmale, d.h. Wettbewerbsvorteile und Unterscheidungsmerkmale zum Wettbewerb, Anforderungen oder Beziehungen von Kunden, Partnern, Lieferanten, Providern und Dienstleistern, Art und Umfang vertraglicher Beziehungen, welches Image besitzt die Organisation und in welchen Märkten bzw. Regionen ist die Organisation tätig. Hinzu kommen Umwelteinflüsse wie Erdbeben, Feuer oder Überschwemmungen.

Neben der ISO/IEC 27001 und ISO/IEC 27003 beinhaltet die ISO 31000 weitere ausführliche Aspekte als Leitfaden für das Risikomanagement. Dies umfasst Grundsätze, Rahmenbedingungen und einen Prozess für die Risikobehandlung. Für eine Zertifizierung ist die ISO 31000 nicht vorgesehen, bietet aber einen allgemeinen Ansatz eines international anerkannten Benchmarks an und kann so zu einem effektiveren Risikomanagement beitragen. Die Bestimmung der Themen in der ISO/IEC 27001 bzw. ISO/IEC 27003 beziehen sich auf die Festlegung des internen und externen Kontexts der Organisation in der ISO 31000.

Verstehen der Erfordernisse und Erwartungen interessierter Parteien (NK 4.2)

Zu den internen und externen Themen kommen interne und externe interessierte Parteien hinzu, was Personen oder Organisationen sind, die von einer Entscheidung oder Aktivität betroffen sein können, betroffen sind oder sich als betroffen wahrnehmen. Die Organisation muss hierzu die interessierten Parteien aus Sicht des ISMS und deren Anforderungen an ein ISMS bestimmen. Unter Anforderungen sind gesetzliche und regulatorische Vorgaben sowie vertragliche Pflichten gemeint. Dies bedeutet die Ermittlung und Berücksichtigung branchenspezifischen Regelungen und gesetzlichen Anforderungen, wie bspw. das IT-Sicherheitsgesetz oder die DSGVO. Einfluss nehmen können Gesetzgeber, übergeordnete Konzerne, vorgesetzte Behörden, eigene Organisation, Investoren, Kunden, Partner, Dienstleister, Provider oder Lieferanten. In international tätigen Organisationen oder dergleichen mit Kunden in verschiedenen Ländern oder Regionen kann sich hierdurch die Komplexität steigern und Konflikte ergeben, die es zu bewältigen gibt. Doch nicht nur Kunden, sondern auch Partner, Dienstleister, Provider oder Lieferanten können Anforderungen aufweisen, die den Anwendungsbereich des ISMS beeinflussen. Dies bedeutet, dass die interessierten Parteien in die Anforderungsermittlung einbezogen werden müssen, da auch diese im Anwendungsbereich des ISMS tätig sind. Dazu zählen bspw. die Organisationsleitung, das mittlere Management, Geschäftsprozessverantwortliche, Mitarbeiter aus den Fachabteilungen und interne IT bzw. interne IT-Dienstleister. Der Interessenskreis beinhaltet jedoch nicht nur Personen oder Personengruppen, die sich während ihrer täglichen Arbeit mit der Informationssicherheit befassen. Doch gerade solche können genauso einen wertvollen Beitrag zur Informationssicherheit erzielen und dadurch die Akzeptanz des ISMS erhöhen. Betroffen sind jedoch nur jene Parteien, die Anforderungen zur Informationssicherheit definieren, nicht aber durch die Organisation Vorgaben erhalten. Die Aktivitäten und deren Ergebnisse müssen so dokumentiert werden, wie sie für die Effektivität des Managementsystems nötig sind. Da sich diese über die Zeit verändern, bedarf es einer regelmäßigen Überprüfung.

Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems (NK 4.3)

Unter Anwendungsbereich wird der Bereich verstanden, über dem das ISMS liegt und zuständig ist. Um diesen festzulegen muss die Organisation die Grenzen und die Anwendbarkeit des ISMS bestimmen. Bei der Festlegung werden die ermittelten internen und externen Themen und Anforderungen sowie das Zusammenwirken mit anderen Organisationen berücksichtigt. Hinzu kommen die Schnittstellen und Abhängigkeiten zwischen Tätigkeiten, die entweder von der Organisation selbst oder durch andere Organisation, durch bspw. Outsourcing, durchgeführt werden. Der Anwendungsbereich muss als dokumentierte Information vorliegen.

Die Zertifizierung nach ISO/IEC 27001 wirkt sich nur auf den Anwendungsbereich aus, der entweder die gesamte Organisation betrifft oder nur Teile der Organisation, die bestimmte Standorte, einzelne Geschäftsprozesse oder definierte Services umfasst. Bei der Festlegung ist zu beachten, dass Bereiche aus dem NK 4.2 mit Sicherheitsanforderungen von interessierten Parteien oder Komponenten, die die Sicherheit des ISMS beeinflussen, nicht auszulassen sind. Hingegen können Komponenten, die die Sicherheit des ISMS nicht beeinflussen, ausgelassen werden. Bei der Ausgrenzung solcher Komponenten ist es von Vorteil, diese zu benennen und eine nachvollziehbare Begründung in der Dokumentation zu fixieren. Ferner macht es keinen Sinn, den Anwendungsbereich möglichst gering zu halten, um zeitnah eine Zertifizierung zu erhalten. Durch den Anwendungsbereich des ISMS ergeben sich eindeutige Verantwortlichkeiten und Maßnahmenziele, wie auch die damit einhergehenden Maßnahmen. Ändern sich interne oder externe Themen, die Anforderungen der interessierten Parteien oder Schnittstellen und Abhängigkeiten innerhalb oder zwischen anderen Organisationen, kann dies Auswirkungen auf den Anwendungsbereich des ISMS nach sich ziehen. Der Anwendungsbereich kann sich auch dann ändern, wenn er sukzessive ausgebaut wird oder der bisherige zu groß gewählt wurde. Der vorläufige Anwendungsbereich sollte durch eine kleine, aber repräsentative Gruppe von Vertreter der Organisationsleitung erfolgen, welcher im Weiteren durch eine Überprüfung und der Hinzunahme der Verantwortlichen innerhalb des Anwendungsbereichs verifiziert wird. Die formelle Freigabe erfolgt letztlich durch die Organisationsleitung.

Informationssicherheitsmanagementsystem (NK 4.4)

Die aus den drei NK 4.1, NK 4.2 und NK 4.3 erarbeiteten Erkenntnisse, die primär den Anwendungsbereich des ISMS, Chancen und Risiken sowie Anforderungen hervorbrachten, gilt es nun umzusetzen. Die ISO/IEC 27001 definiert hierzu im NK 4.4, dass die Organisation entsprechend der Anforderungen der internationalen Norm ein ISMS aufbauen, verwirklichen, aufrechterhalten und fortlaufend verbessern muss. Diese Schritte werden durch die Verwendung des PDCA-Zyklus eingehalten, was in älteren Fassungen der Norm auch erwähnt wurde, jedoch in der aktuellen Fassung nicht mehr als explizite Vorgabe existiert. Stattdessen können andere Vorgehensweisen, die den Anforderungen der Norm gerecht werden, zum Einsatz kommen. Für den weiteren Ablauf bedeutet dies, für die vier Phasen des PDCA, eine passende Terminplanung mit Arbeitsschritten vorzunehmen, diese umzusetzen und entsprechend zu dokumentieren. Die Einführung des ISMS ist im Allgemeinen kein Projekt, das nach erfolgter Zertifizierung abgeschlossen ist. Im Weiteren muss es dem PDCA-Zyklus entsprechend nach erfolgter Einführung kontinuierlich verbessert werden.

Führung (NK 5)

Die Implementierung und der Betrieb eines ISMS benötigt die Unterstützung der Organisationsleitung, damit es seine Wirkung vollkommen entfalten kann. Dies wird insbesondere dann notwendig, wenn Anpassungen von organisationsweiten Prozessen nötig sind. Ohne Zustimmung und Mitwirkung der Organisationsleitung bei der Umsetzung bekommen diese ggf. keine Beachtung oder Akzeptanz. Die ISO/IEC 27000 Familie definiert die Organisationsleitung als obersten Leitung bzw. Top-Management und meint damit die erste Führungsebene einer Organisation, wie bspw. C-Level-Führungskräfte (CEO, CFO, CIO etc.), Geschäftsführer, Dienststellen- oder Behördenleiter sowie deren Stellvertreter. Das NK 5 der ISO/IEC 27001 fordert explizit, dass die Organisationsleitung die Gesamtverantwortung für die Informationssicherheit innerhalb der Organisation übernimmt sowie die Bedeutung und die Einhaltung der Anforderungen des ISMS an die betroffenen Stellen kommuniziert.

Führung und Verpflichtung (NK 5.1)

Die ISO/IEC 27001 definiert im NK 5.1, dass die Organisationsleitung in Bezug auf das ISMS Führung und Verpflichtung zeigen muss, indem sie die folgenden acht Aspekte mit der Buchstabenkennzeichnung a bis h einhält:

a. Sie sollte sicherstellen, dass die Informationssicherheitspolitik und die Informationssicherheitsziele festgelegt sind und mit der strategischen Ausrichtung der Organisation übereinstimmen.

b. Sie sollte sicherstellen, dass die Anforderungen und die Maßnahmen des ISMS in die Geschäftsprozesse der Organisation integriert werden. Dies lässt sich erreichen, indem Prozesseigentümer (englisch: Process Owner) die Verantwortung für die Umsetzung der Anforderungen erhalten.

c. Sie sollte sicherstellen, dass die benötigten Ressourcen für ein effektives ISMS zur Verfügung stehen. Ressourcen bedeuten hierbei nicht nur Personal, sondern auch Geld, technische Infrastruktur und Ausstattung.

d. Sie sollte vermitteln, dass ein wirksames Informationssicherheitsmanagement sowie die Einhaltung der Anforderungen an das ISMS notwendig sind. Dies kann anhand von praktischen Beispielen erfolgen, die den tatsächlichen Bedarf im Kontext der Organisation veranschaulichen und eine aktive Kommunikation der Anforderungen an die Informationssicherheit darstellt.

e. Sie sollte sicherstellen, dass das ISMS das beabsichtigte Ergebnis bzw. die beabsichtigten Ergebnisse erzielt, indem sie die Umsetzung aller Informationssicherheitsprozesse unterstützt und Berichte über die Wirksamkeit und den Status anfordert und prüft.

f. Sie sollte Personen anweisen und unterstützen, die in der Informationssicherheit tätig und mit dem ISMS betraut sind. Die Nichteinhaltung kann sich negativ auf die Effektivität des ISMS wirken. Rückmeldung der obersten Leitung kann beinhalten wie geplante Aktivitäten auf die strategischen Bedürfnisse der Organisation ausgerichtet sind sowie die Priorisierung verschiedener Aktivitäten.

g. Sie sollte den Ressourcenbedarf während der Managementbewertung prüfen und Ziele für die kontinuierliche Verbesserung sowie zur Überwachung der Effektivität der geplanten Aktivitäten setzen.

h. Sie sollte Führungskräfte mit Rollen oder Verantwortlichkeiten in der Informationssicherheit helfen, damit diese motiviert und in der Lage sind, Aktivitäten in der Informationssicherheit in ihrem Bereich umzusetzen.

Politik (NK 5.2)

Eine weitere Aufgabe der Organisationsleitung besteht darin, die Informationssicherheitsleitlinie (englisch: information security policy) vorzugeben, die den Zweck der Organisation angemessen ist und die angestrebten Prinzipien und Ziele des ISMS sowie die Informationssicherheitsziele der Organisation umfasst. Dazu gehört die strategische Entscheidung der Organisation zur Einführung eines ISMS, die Verpflichtung zur Einhaltung der Anforderungen in Bezug auf die Informationssicherheit und die Selbstverpflichtung zur kontinuierlichen Verbesserung des ISMS. Die Übersetzung der englischen Bezeichnung „Policy“ des NK 5.2 ins Deutsche ist mit der Bezeichnung „Politik“ nicht ganz richtig. Ableiten lässt sich hier, dass die Organisationsleitung die auf oberster Ebene definierten Probleme in der Informationssicherheit anhand einer Leitlinie versucht zu lösen, indem sie Rahmen, Maßnahmen und Ziele vorgibt. Der Zweck der Organisation in der Informationssicherheitsleitlinie umfasst den zuvor festgelegten Geltungsbereich, über den sich das ISMS bzw. die ISO/IEC 27001 erstreckt. Die Informationssicherheitsleitlinie muss als dokumentierte Information vorliegen, einer Dokumentenlenkung unterliegen und allen Beteiligten zugänglich und bekannt sein. Die Bekanntgabe unterliegt keiner speziellen Form und kann demnach bspw. per E-Mail, Intranet oder gedrucktem Medium vorliegen. Wird die Informationssicherheitsleitlinie außerhalb der Organisation verteilt, so ist darauf zu achten, dass vertrauliche Information nicht in falsche Hände geraten. Zum Selbstschutz kann die Informationssicherheitsleitlinie so formuliert werden, dass eine Weitergabe möglich ist. Es ist empfehlenswert, zur Etablierung der Informationssicherheitsleitlinie eine Schulung durchzuführen oder eine Aufzeichnung zum Selbststudium anzubieten. Weitere Informationen sind im NK 5 der ISO/IEC 27002 enthalten.

Rollen, Verantwortlichkeiten und Befugnisse in der Organisation (NK 5.3)

Nach erfolgter Vorgabe der Informationssicherheitsleitlinie sollte die Organisationsleitung Rollen, Aufgaben und Befugnisse in der Informationssicherheit festlegen und bekannt machen. Dies sorgt für die Sicherstellung, dass die Anforderungen der ISO/IEC 27001 an das ISMS eingehalten werden und die Organisationsleitung regelmäßig Berichte über die Leistung des ISMS erhält. Dazu darf die Organisationsleitung ebenso Verantwortlichkeiten und Befugnisse für das Berichten der Leistung innerhalb der Organisation zuweisen. Anhand der Berichte wird die Organisationsleitung in die Lage versetzt, sich der Kenntnisnahme und Eskalation von möglichen Problemen nicht zu entziehen oder gar abzustreiten. Durch das Festlegen von Rollen und Verantwortlichkeiten wird zudem die Möglichkeit geschaffen, organisationsinterne Audits durchzuführen, die ein wichtiges Element der kontinuierlichen Verbesserung des ISMS sind. Laut ISO/IEC 27003 kann die Organisationsleitung die Zuweisung einzelner Rollen und Verantwortlichkeiten angemessen delegieren. Jedoch sollte dies keine wichtigen Rollen, Verantwortlichkeiten und Befugnisse des ISMS enthalten bzw. nur der Freigabe durch die Organisationsleitung unterliegen. Grundsätzlich schreibt die ISO/IEC 27001 nicht vor, welche Rollen es geben muss, da die Norm für alle Arten von Organisationen gültig und von deren Eigenschaften, Größe, Anzahl an Standorten und Grad an eingesetzter Informationstechnologie abhängig ist.

Der Betrieb eines ISMS erfolgt häufig als Cost-Center mit festgelegtem Budget zur Zielerreichung. Bei der Bereitstellung von Rollen und Verantwortlichkeiten kommt es nicht nur auf die personelle Anzahl oder Arbeitszeit an, die Qualifikation, die Fähigkeit sowie die Ausstattung spielen ebenso eine wichtige Rolle. Ein weiterer Faktor ist der Integrations- bzw. Reifegrad des ISMS, der die benötigten Ressourcen beeinflussen kann. Hinzu kommen externe Berater und Prüfer, die Teilaufgaben vor, während und nach der Einführung übernehmen. Die ISO/IEC 27003 nennt als mögliche Rollen neben denen, die sich direkt auf die Informationssicherheit beziehen, die des Informationseigentümers, Prozessverantwortlichen, Asset-Eigentümer, wie bspw. Applikations- oder Infrastruktureigentümer, Risikoeigentümer, Informationssicherheitskoordinator, Projektmanager, Linienmanager und Informationsnutzer. Für den Erfolg eines ISMS sollte die Rolle des Informationssicherheitsbeauftragten (ISB) oder Chief Information Security Officer (CISO) etabliert werden, welcher über die nötige Erfahrung, Ausbildung und Sozialkompetenz zur Ausübung der Rolle verfügt. Die Rolle des ISB bzw. CISO ist für die Planung und Umsetzung eines angerissenen ISMS zur Gewährleistung des notwendigen Sicherheitsniveau verantwortlich und kann durch örtliche Vertreter an Organisationsstandorten in Form von Information Security Officers (ISO) vertreten werden. Ein Nachweis über die erforderlichen Kompetenzen aller Beteiligten anhand von Schulungen oder Ausbildungen muss von der Organisation erbracht werden. Bei der Besetzung bietet es sich an, Mitarbeiter mit einer Neigung zur Informationssicherheit oder entsprechender intrinsischer Motivation zu wählen. Die Bekanntmachung und Dokumentation von Rollen und Verantwortlichkeiten kann innerhalb der Informationssicherheitsleitlinie erfolgen.

Planung (NK 6)

Nachdem die Informationssicherheitsrichtlinie sowie Rollen und Verantwortlichkeiten festgelegt und zugewiesen wurden, befasst sich das NK 6 der ISO/IEC 27001 mit den nötigen Schritten zur Planung der Implementierung. Voraussetzung für dieses NK sind vorhandene Pläne oder dokumentierte Verfahren zur Risikobeurteilung, Risikobehandlung sowie Umsetzung von Maßnahmen. Dies beinhaltet jedoch nicht die Umsetzung dieser Pläne oder Verfahren innerhalb der Organisation, welche erst mit dem NK 8 der ISO/IEC 27001 erfolgt.

Maßnahmen zum Umgang mit Risiken und Chancen (NK 6.1)

Das NK 6.1 setzt sich aus drei Unterkapitel zusammen, die sich mit der Risikobewertung und der Planung zur Risikobehandlung unter der Berücksichtigung des Kontextes der Organisation sowie den Anforderungen und Erwartungen interessierter Parteien im Zusammenhang mit der Etablierung des ISMS auseinandersetzen. Die ISO/IEC 27001 unterteilt Risiken während der Planungsphase in zwei Kategorien. Zum einen in Risiken und Chancen (NK 6.1.1), die für die beabsichtigten Ergebnisse des ISMS relevant sind und zum anderen in Informationssicherheitsrisiken (NK 6.1.2 und 6.1.3), die sich auf den Verlust der Attribute der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) von Informationen im Rahmen des ISMS beziehen.

Allgemeines (NK 6.1.1)

Für die Planung des ISMS muss die Organisation, die aus dem NK 4.1 analysierten Themen und die aus dem NK 4.2 ermittelten Anforderungen berücksichtigen sowie die Risiken und Chancen aufzeigen, die näher betrachtet werden müssen. Dies dient der Sicherstellung, dass das ISMS die beabsichtigten Ergebnisse erzielt, unerwünschte Auswirkungen auf den Geschäftszweck verhindert oder begrenzt und sich fortlaufend verbessert, unter der Berücksichtigung der organisatorischen und rechtlichen bzw. regulatorischen Rahmenbedingungen.

Um den Anforderungen und Erwartungen gerecht zu werden, ist es hilfreich entsprechende Maßnahmen mittels einer dokumentierten Information gegenüberzustellen. Anhand dessen lässt sich die Einhaltung und Wirksamkeit überprüfen. Für die Risiken und deren negative Auswirkungen auf den Geschäftszweck gilt dies ebenso. Die Risikobehandlung ist mithilfe geeigneter Maßnahmen zu definieren und umzusetzen, wodurch deren Wirksamkeit überprüft werden kann. Dabei können die drei Schritte Risikobeurteilung, -behandlung und -bewertung des Risikomanagements mehrfach durchlaufen werden, bis ein akzeptables Sicherheitsniveau erreicht ist. Um dies zu erreichen ist es wichtig, dass die Informationssicherheitsrisiken den Risikoeigentümern bekannt sind. Risiken entstehen dann, wenn unklare Prozesse oder Verantwortlichkeiten, mangelndes Bewusstsein der Beteiligten oder wenig Engagement der Organisationsleitung vorliegen, ein schlechtes Risikomanagement oder -bewusstsein besteht und mangelnde ISMS-Prozesse sowie -Dokumentation existieren. Als Beispiel hierfür können Prozesse durch übermäßige Aufwände verlangsamt oder die Leistungsbereitschaft bzw. Motivation von Beteiligten verringert werden, wenn diese Rollen oder Verantwortlichkeiten übernehmen, welche sich nachteilig auf das persönliche Arbeitsumfeld auswirken oder als solches wahrgenommen werden.

Wenn die Organisation mit ihren Aktivitäten ebenso die Entwicklung von Chancen verfolgt, wirkt sich dies auf den Kontext der Organisation und die Anforderungen und Erwartungen interessierter Parteien aus und können die Risiken der Organisation verändern. Dies kann bspw. die Fokussierung des Geschäftszweckes auf bestimmte Bereiche von Produkten oder Dienstleistungen oder der Ausbau von Partnerschaften mit anderen Organisationen sein. Ebenso bestehen Chancen in der kontinuierlichen Verbesserung der ISMS-Prozesse und -Dokumentation sowie der Bewertung der angestrebten Ergebnisse des ISMS. Gerade ein neu implementiertes ISMS kann dazu führen, dass vorhandene Prozesse und Dokumentationen verfeinert, Schnittstellen geklärt, der Verwaltungsaufwand reduziert, ineffiziente Teile eines Prozesses eliminiert und neue Informationstechnologien eingeführt werden.

Informationssicherheitsrisikobeurteilung (NK 6.1.2)

Nachdem die Risiken und Chancen sowie deren Maßnahmen vorliegen erfolgt der nächste Schritt im Risikomanagement anhand des Verfahrens der Risikobeurteilung. Für die Festlegung und Anwendung eines solchen Prozesses benötigt es Kriterien für die Risikoakzeptanz und der Durchführung von Risikobeurteilungen, die gleichzeitig sicherstellen, dass wiederholte Risikobeurteilungen zu konsistenten, gültigen und vergleichbaren Ergebnissen führen. Die Risikobeurteilung benötigt Kriterien für die Klassifizierung von Risiken, die sich entweder anhand von hierarchische Klassen geordnet nach der Risikohöhe oder anhand von nicht-hierarchische Klassen mit einer Unterscheidung nach finanziellen oder Image-Schäden einordnen lassen. Dies ermöglicht die Gruppierung von Risiken und schafft Transparenz innerhalb der Organisation über die bestehende Sachlage. Die Klassifizierung der nun vorliegenden Risiken wird im weiteren Verlauf um die Auswirkung auf die Organisation erweitert, welche bspw. die Akzeptanzstufen (Bewertungsstufen) unbedeutend, gering, signifikant, erheblich oder kritisch erhalten kann. Die Auswirkung kann sich hierbei entweder auf ein einzelnes Risiko oder auf eine Risikogruppe beziehen und so die Priorität zur Behandlung von Risiken beeinflussen. Es empfiehlt sich Verfahrensregeln für den Umgang mit Akzeptanzstufen festzulegen. Als Beispiel hierfür können Risiken in der Bewertungsstufe gering akzeptiert werden, hingegen Risiken in der Bewertungsstufe kritisch die Reduzierung min. eine Stufe voraussetzen. Des Weiteren unterteilt die ISO/IEC 27001 im NK 6.1.2 die Phasen der Risikobeurteilung in die Risikoidentifikation, -analyse und -bewertung. Die Risikoidentifikation erkennt und beschreibt Risiken und weist bspw. Assets auftretende Schwachstellen oder Bedrohungen zu. Die Identifizierung kann mithilfe von Audits, Risikoanalysen, im operativen Betrieb wie auch durch Sicherheitsvorfälle erfolgen. Zu jedem Risiko muss es einen Risikoeigentümer geben, der für die Bewertung und Behandlung des Risikos verantwortlich ist. Mit der Risikoanalyse werden Eintrittswahrscheinlichkeit und mögliche Auswirkung bei Risikoeintritt identifiziert. Hierfür können qualitative Merkmale wie Akzeptanzstufen oder auch quantitative Merkmale wie Prozentangaben oder monetäre Kosten stehen. Aus den beiden Faktoren Eintrittswahrscheinlichkeit und Auswirkung lässt sich das Risikoniveau ermitteln. Die Risikobewertung prüft, ob die Akzeptanzstufen entsprechend den Risikobehandlungsstrategien akzeptiert werden oder eine Behandlung nach sich zieht. Die Entscheidung hierüber obliegt dem Risikoeigentümer und unterstreicht, wie wichtig die Identifikation und Festlegung eines solchen ist.

Informationssicherheitsrisikobehandlung (NK 6.1.3)

Die Behandlung von Risiken in der Informationssicherheit ist der Gesamtprozess der Auswahl von Risikobehandlungsoptionen, der Festlegung geeigneter Maßnahmen zur Umsetzung der Optionen, der Erstellung eines Risikobehandlungsplan und der Genehmigung des Risikobehandlungsplan durch die Risikoeigentümer. Der Risikobehandlungsplan ist eine zusammenfassende, chronologische Darstellung aller geplanten Maßnahmen zur Risikobehandlung. Die ISO/IEC 27003 gibt folgende Optionen mit der Buchstabenkennzeichnung a bis e zur Risikobehandlung vor:

a) Vermeidung des Risikos durch die Entscheidung, die Tätigkeit, welche das Risiko verursacht, nicht wieder aufzunehmen oder fortzusetzen oder die Risikoquelle zu beseitigen.

b) Zusätzliches Risiko eingehen oder das bestehende Risiko erhöhen, um eine Geschäftsmöglichkeit zu nutzen.

c) Veränderung des Risikos durch die Abänderung der Eintrittswahrscheinlichkeit, der Auswirkung oder beides.

d) Teilung des Risikos mit anderen Parteien durch Versicherungen, Subunternehmern oder einer Risikofinanzierung.

e) Aufrechterhaltung des Risikos anhand der Risikoakzeptanzkriterien oder begründete Entscheidungen.

Jedes einzelne Risiko sollte mit den Zielen der Informationssicherheit übereinstimmen und durch eine oder mehrere der zuvor genannten Optionen behandelt werden, um die Risikoakzeptanzkriterien zu erfüllen. Jede Organisation kann die zur Risikobehandlung definierten Maßnahmen selbst bestimmen oder aus einer beliebigen Quelle auswählen. Quellen wären bspw. die ISO/IEC 27002, das BSI IT-Grundschutz-Kompendium oder branchenspezifische Sicherheitsstandards. Das NK 6.1.3 der ISO/IEC 27001 verlangt zudem ein Abgleich der festgelegten Maßnahmen mit den Maßnahmen im Anhang A der ISO/IEC 27001 bzw. der ISO/IEC 27002 als weiterführende Norm. Dies hat zum Ziel, keine wesentlichen Themen innerhalb der Risikobehandlung auszulassen. Die daraus entstehende dokumentierte Information, in der alle 114 Maßnahmen aus dem Anhang A aufgelistet sind, muss für jede einzelne Maßnahme eine Begründung enthalten, ob diese im Rahmen des ISMS angewendet wurde oder nicht. Die Anwendung einer Maßnahme kann zur Risikobehandlung beitragen, sich aus der Informationssicherheitsleitlinie ergeben oder aus anderen gesetzlichen, regulatorischen oder vertraglichen Anforderungen begründet sein. Die Nichteihaltung einer Maßnahme kann gerechtfertigt werden, wenn keine Assets oder Risiken vorhanden sind, auf die die Maßnahme zutrifft. Die entstandene dokumentierte Information wird als Erklärung zur Anwendbarkeit (englisch: Statement of Applicability, SoA) definiert und ist mit den Risiko- und Asset-Eigentümer abzustimmen. Sie ist ebenso wie der Risikobehandlungsplan essentiell für die Zertifizierung des ISMS.

Informationssicherheitsziele und Planung zu deren Erreichung (NK 6.2)

Im letzten Unterkapitel des NK 6 geht es um die Festlegung von Informationssicherheitszielen und der Planung diese auf relevanten Funktionen und Ebenen zu erreichen. Mit Funktionen und Ebenen sind hier Rollen, Beauftragte oder Organisationseinheiten gemeint. Laut ISO/IEC 27001 müssen die Informationssicherheitsziele im Einklang mit der Informationssicherheitsleitlinie stehen, wenn möglich messbar sein, anwendbare Informationssicherheitsanforderungen und Ergebnisse der Risikobeurteilung und Risikobehandlung berücksichtigen, vermittelt und soweit erforderlich, aktualisiert werden. Dabei sind die Informationssicherheitsziele als dokumentierte Information aufzubewahren. Zur Zielerreichung muss die Organisation bei der Planung bestimmen, was getan werden muss, welche Ressourcen hierfür erforderlich sind, wer für die Umsetzung verantwortlich und wann diese abgeschlossen ist sowie die Ergebnisse zu bewerten sind. Bei der Definition von Zielen kann zwischen übergeordneten und spezifischen Zielen unterschieden werden. Übergeordnete Ziele sind bspw. die Einhaltung von Anforderungen aus gesetzlichen und vertraglichen Anforderungen oder die Einhaltung der drei Schutzziele. Spezifische Ziele hingegen enthalten konkrete Details der übergeordneten Ziele bezogen auf bspw. IT-Systeme oder Services zu deren Verfügbarkeit, welche Ressourcen zum Schutz zur Verfügung stehen und wie die Zielerreichung zu messen ist.

Unterstützung (NK 7)

Das NK 7 der ISO/IEC 27001 befasst sich mit allgemeinen Vorgaben für den Betrieb eines wirksamen ISMS und leitet somit die Phase Do ein. Es setzt sich aus fünf Unterkapiteln zusammen. Gemäß dem PDCA-Zyklus erfolgt an dieser Stelle der Norm die Umsetzung des ISMS nach den zuvor definierten Vorgaben.

Ressourcen (NK 7.1)

Die Anforderung der ISO/IEC 27001 an die Organisation bestehet darin, die erforderlichen Ressourcen für den Aufbau, die Verwirklichung, die Aufrechterhaltung sowie der kontinuierlichen Verbesserung des ISMS zu bestimmen und bereitzustellen. Ressourcen sind aus Sicht der ISO/IEC 27003 Personen, Zeit, finanzielle Mittel, Wissen, Infrastruktur oder weitere Mittel, die erworben oder erschaffen werden können, wie Werkzeuge, Technologien oder Gegenstände, unabhängig davon, ob es sich um Produkte der Informationstechnologie handelt oder nicht. Die Organisation muss hierzu den Ressourcenbedarf für alle Tätigkeiten im Zusammenhang mit dem ISMS in Bezug auf Qualität und Quantität schätzen, die Ressourcen bei Bedarf beschaffen, über die gesamten ISMSProzesse und Aktivitäten hinweg erhalten und die bereitgestellten Ressourcen anhand der Bedürfnisse des ISMS regelmäßig überprüfen und bei Bedarf anpassen. Der Ressourcenbedarf kann in der Planungsphase abgeschätzt werden. Hinzu kommen die benötigten Ressourcen aus dem Risikobehandlungsplans, die für die Umsetzung der Maßnahmen erforderlich sind.

Kompetenz (NK 7.2)

Für Personen, welche in der Informationssicherheit tätig sind und Aufgaben oder Rollen aus Sicht des ISMS übernehmen, muss die Organisation die benötigten Kompetenzen bestimmen und sicherstellen, dass diese Personen auf Grundlage einer angemessenen Ausbildung, Schulung oder Expertise kompetent sind. Wenn die Personen die erforderlichen Kompetenzen nicht aufweisen, muss die Organisation dafür Sorge tragen, dass entsprechende Maßnahmen getroffen werden, um diese zu erwerben. Der Nachweis über die vorhandenen Kompetenzen ist als dokumentierte Information vorzuhalten. Sind Schulungen, Lehrgänge oder andere Maßnahmen zur Kompetenzerhöhung einer Person nicht wirksam, muss möglicherweise anderes Personal eingesetzt oder extern bezogen werden. Dies kann durch eine Überprüfung vor und nach einer Maßnahme auf ihre Wirksamkeit hin erfolgen. Zudem muss die Organisation sicherstellen, dass sich Kompetenzen im Laufe der Zeit bei Bedarf weiterentwickeln und nicht zurück entwickeln.

Bewusstsein (NK 7.3)

Neben Kompetenzen spielt das Bewusstsein eine weitere wichtige Rolle. Personen, die Aufgaben und Rollen in der Informationssicherheit ausüben, müssen sich der Informationssicherheitsleitlinie, ihrem Beitrag zur Wirksamkeit des ISMS und den Folgen bei Nichtbeachtung der Anforderungen des ISMS bewusst sein. Ebenso müssen die Personen entsprechendes Verständnis und Motivation über die Vorteile und den Beitrag zur verbesserten Informationssicherheit aufweisen. Es ist hilfreich sich darüber im Klaren zu sein, wo es weitere Informationen über die Informationssicherheitsleitlinie gibt. Es ist nicht für jede Person wichtig, jedes inhaltliche Detail der Leitlinie zu kennen. Stattdessen sollten Personen die Ziele und Anforderungen an die Informationssicherheit kennen, verstehen, akzeptieren und umsetzen. Die Organisation sollte ein Programm mit spezifischen Botschaften für alle Beteiligte vorbereiten, um das Bewusstsein zu schärfen. Berichte über Vorkommnisse, Informationsveranstaltungen, Berichte aus vergangenen Audits oder Schulungs- und Trainingsangebote können ebenso einen wichtigen Beitrag zur Steigerung des Bewusstseins leisten.

Kommunikation (NK 7.4)

Die Organisation bestimmt den Bedarf an interner und externer Kommunikation im Zusammenhang mit dem ISMS. Dies beinhaltet worüber kommuniziert wird, wann kommuniziert wird, mit wem kommuniziert wird, wer kommuniziert und den Prozess und das Verfahren, um sicherzustellen, dass Nachrichten gesendet werden und korrekt empfangen und verstanden wurden. Die interne Kommunikation umfasst das ISMS und die Organisation, d.h. die Organisationsleitung, Führungskräfte und Mitarbeiter. Die externe Kommunikation enthält alle Stakeholder und andere Organisationen, die im NK 4.1 und 4.2 ermittelt wurden, sowie Behörden, Meldestelen oder die Presse. Um die Effizienz von Prozess- und Kommunikationsschnittstellen zu verbessern bietet es sich an, diese eindeutig zu definieren und in organisatorische wie auch operative Abläufe zu integrieren. Die Anforderungen der ISO/IEC 27001 lassen sich in einem Kommunikationsplan oder einer Kommunikationsmatrix tabellarisch zusammenfassen. Diese beinhaltet bspw. den Kommunikationsgrund, den Initiator, den Empfänger, die Häufigkeit und das Medium.

Dokumentierte Information (NK 7.5)

Der Artikel “Informationssicherheitsmanagementsystem nach ISO/IEC 27001 Part III” ist auf die Dokumentation im Rahmen der ISO/IEC 27001 eingegangen, welche eine zentrale Rolle für den Betrieb eines ISMS spielt. Das NK 7.5 der ISO/IEC 27001 ist in drei Unterkapitel gegliedert, welche die Mindestanforderungen der ISMS-Dokumentation regeln, was zur Erstellung und Aktualisierung benötigt wird und wie die Dokumentenlenkung erfolgt.

Allgemeines (NK 7.5.1)

Das ISMS einer Organisation muss die von der ISO/IEC 27001 geforderten sowie dokumentierten Informationen, die aus Sicht der Organisation für die Wirksamkeit als notwendig betrachtet werden, enthalten. Der Umfang dieser dokumentierten Informationen ist nicht für jede Organisation gleich und unterscheidet sich von der Größe der Organisation und ihrem Kontext, Prozessen, Produkten und Dienstleistungen sowie der jeweiligen Komplexität von Prozessen und deren Wechselwirkungen. Weitere Faktoren bilden die Kompetenz von Personen und der Reifegrad der Organisation im Umgang mit einem ISMS sowie der Informationssicherheit. Die von der Norm geforderten dokumentierten Informationen sind bspw. der Anwendungsbereich des ISMS aus NK 4.3, der Informationssicherheitsleitlinie aus NK 5.2 und A.5.1 bzw. NK 5.1 der ISO/IEC 27002, die Prozessbeschreibung der Risikobewertung aus NK 6.1.2, der SoA und dem Risikobehandlungsplan aus NK 6.1.3, die Kompetenznachweise aus NK 7 und jegliche Aufzeichnungen, wie bspw. der durchgeführten Audits und der Managementbewertung aus NK 9, den Sicherheitsvorfällen sowie den Beschreibungen und Festlegungen zu Richtlinien, Prozessen, Verfahren und Maßnahmen des ISMS.

Erstellen und Aktualisieren (NK 7.5.2)

Für das Erstellen und Aktualisieren von dokumentierten Informationen muss die Organisation sicherstellen, dass eine angemessene Kennzeichnung und Beschreibung, wie bspw. Titel, Datum Autor oder Referenznummer, vorliegt, ein angemessenes Format, wie bspw. Grafik, Text und Audio sowie Medium, wie bspw. elektronisches oder gedrucktes Medium, gewählt wird und allgemein eine angemessene Überprüfung und Genehmigung im Hinblick auf Eignung und Angemessenheit existiert.

Lenkung dokumentierter Informationen (NK 7.5.3)

Die von der ISO/IEC 27001 geforderten dokumentierten Informationen für das ISMS müssen gelenkt werden, um sicherzustellen, dass diese verfügbar und für die Verwendung geeignet ist, wann immer sie benötigt wird sowie angemessen geschützt ist. Für die Lenkung der dokumentierten Informationen muss die Organisation, falls erforderlich, Tätigkeiten für die Verteilung, den Zugriff, die Auffindung und der Verwendung berücksichtigen. Dies gilt zugleich für die Ablage, Speicherung und Erhaltung der Informationen, Überwachung von Änderungen sowie Aufbewahrung und Verfügung über den weiteren Verbleib. Externe dokumentierte Informationen, die für die Planung und den Betrieb des ISMS bestimmt sind, unterliegen denselben Vorgaben. Der Zugriff auf dokumentierte Informationen kann einen Entscheidungsprozess voraussetzen, der die Erlaubnis und Befugnis zum Lesen oder Ändern erteilt.

Betrieb (NK 8)

Nach abgeschlossener Vorbereitung für den Betrieb befasst sich das NK 8 mit der Anwendung auf die Organisation mithilfe dessen, was im NK 4 an Anforderungen und Anwendungsbereich definiert und im NK 6 zur Implementierung geplant wurde. Dazu erfolgt im NK 8 der ISO/IEC 27001 in drei Unterkapiteln eine Betrachtung der betrieblichen Planung und Steuerung sowie die Durchführung der Risikobeurteilung und Risikobehandlung.

Betriebliche Planung und Steuerung (NK 8.1)

Die Organisation ist für die Planung, Implementierung und Steuerung der Prozesse aus den NK 6.1 und 6.2 verantwortlich, die zur Erfüllung der Anforderungen an die Informationssicherheit und deren Ziele nötig sind. Dazu sollte die Organisation bei Bedarf alle dokumentierten Informationen aufbewahren, um sicherzustellen, dass Prozesse wie geplant durchgeführt werden. Des Weiteren steuert die Organisation geplante Änderungen und überprüft die Folgen unbeabsichtigter Änderungen um, falls notwendig, Maßnahmen zur Verminderung einer negativen Auswirkung zu ergreifen. Dies umfasst neben den internen auch die externen Prozesse mit bspw. Dienstleistern. Im Falle einer Bedrohung darf die Verantwortung nicht auf den Dienstleister abgewälzt werden. Ergeben sich Abweichungen durch die Abarbeitung der Pläne, bei den benötigten Ressourcen oder der Budgetierung sowie Probleme bei der Umsetzung, sind dokumentierte Informationen anzufertigen und aufzubewahren. Dies dient einerseits als Nachweis über die Einhaltung von Plänen und andererseits als Grundlage für den Bedarf an Nachbesserung und Korrektur.

Informationssicherheitsrisikobeurteilung (NK 8.2)

Neben den Prozessen führt die Organisation eine Risikobewertung zur Informationssicherheit durch und bewahrt die dokumentierte Information über ihre Ergebnisse auf. Zur Durchführung kommt der im NK 6.1.2 definierte Prozess zum Einsatz. Die Bewertung erfolgt entweder nach einem festgelegten Zeitplan oder als Reaktion auf wesentliche Änderungen oder Vorfälle. Dabei sind die Kriterien aus NK. 6.1.2 zu berücksichtigen. Der Detaillierungsgrad der Risikoidentifizierung sollte bei weiteren Iterationen der Risikobewertung im Rahmen der kontinuierlichen Verbesserung des ISMS Schritt für Schritt verfeinert werden. Weitere Informationen zur Durchführung einer Risikobewertung beinhaltet die ISO/IEC 27005 im NK 8 sowie im Anhang E.

Informationssicherheitsrisikobehandlung (NK 8.3)

Ein weiteres fundamentales Element, neben der Risikobeurteilung, bildet die Risikobehandlung. Hierbei setzt die Organisation den Risikobehandlungsplan und den definierten Prozess zur Risikobehandlung aus NK 6.1.3 während es Betriebs des ISMS um und bewahrt dokumentierte Informationen hierüber auf. Wird die Risikobewertung gemäß NK 8.2 aktualisiert, muss ebenso der Risikobehandlungsplan aktualisiert werden. Der Prozess zur Risikobehandlung sollte nach jeder Iteration des Prozesses zur Risikobewertung oder wenn Teile des Risikobehandlungsplans fehlschlagen, durchgeführt werden.

Bewertung der Leistung (NK 9)

Nach der Planung und Überführung des ISMS in den Regelbetrieb erfolgt die Überprüfung der Wirksamkeit und der Übergang in die Phase Check des PDCA-Zyklus. Die ISO/IEC 27001 enthält hierzu im NK 9 verschiedene Methoden zur Leistungsbewertung, die sich aus einer kontinuierlichen Überwachung, Messung, Analyse und Bewertung sowie der Planung und Durchführung interner Audits und einer Managementbewertung zusammensetzen. Das NK 9 der ISO/IEC 27001 enthält drei Unterkapitel NK 9.1 bis 9.3.

Überwachung, Messung, Analyse und Bewertung (NK 9.1)

Ziel der Überwachung und Messung ist es, die Organisation bei der Beurteilung zu unterstützen, ob die beabsichtigten Ergebnisse der Informationssicherheitsaktivitäten, einschließlich der Risikobeurteilung und -behandlung, wie geplant erreicht werden. Die Überwachung bestimmt den Zustand eines Systems, eines Prozesses oder einer Aktivität, während die Messung ein Prozess zur Ermittlung eines Wertes ist. Durch die Abfolge ähnlicher Messungen innerhalb eines bestimmten Zeitraums wird die Überwachung gewährleistet. Die Organisation legt hierzu fest, was zu überwachen und zu messen ist, durch wen dies erfolgt und welche Methoden verwendet werden, um gültige Ergebnisse zu erzielen. Es gibt zwei Arten der Messung, die durchzuführen sind. Zum einen sind das Leistungsmessungen, die die geplanten Ergebnisse in Bezug auf die Merkmale der geplanten Tätigkeit, wie bspw. das Erreichen von Meilensteinen oder den Grad der Durchführung von Informationssicherheitskontrollen, ausdrücken. Zum anderen sind das Effektivitätsmessungen, die die Auswirkungen der Realisierung der geplanten Aktivitäten auf die Ziele der Informationssicherheit der Organisation zum Ausdruck bringen. Die Ergebnisse müssen jedoch vergleichbar und reproduzierbar sein, damit die Methode als gültig betrachtet wird. Für die Analyse und Bewertung legt die Organisation fest, welche Methoden verwendet werden, um valide Ergebnisse zu erzielen und wer die Ergebnisse der Überwachung und Messung wann analysiert und auswertet. Die Bewertung beinhaltet einerseits die Bewertung der Informationssicherheitsleistung dahingehend, ob die Prozesse innerhalb des ISMS ihren Spezifikationen entsprechen und andererseits die Bewertung der Wirksamkeit des ISMS, um festzustellen, ob die Organisation die richtigen Dinge tut, einschließlich der Bestimmung, in welchen Umfang die Ziele der Informationssicherheit erreicht werden. Die Überwachung und Messung sowie Analyse und Bewertung erfolgt häufig von verschiedenen Personen, da unterschiedliche Kompetenzen nötig sind. Alle Ergebnisse sind als dokumentierte Information aufzubewahren. Die ISO/IEC 27004 enthält weitere Informationen zur Erfüllung der Anforderungen des NK 9.1.

Internes Audit (NK 9.2)

Interne Audits geben in geplanten Abständen Aufschluss darüber, ob das ISMS den Anforderungen der Organisation sowie der ISO/IEC 27001 entspricht und berichtet den Zustand des ISMS an die Organisationsleitung. Die Anforderungen der Organisation ergeben sich aus den Anforderungen, die in der Richtlinie und den Verfahren zur Informationssicherheit festgelegt sind, der Festlegung von Zielen im Rahmen der Informationssicherheit, einschließlich der Ergebnisse des Prozesses der Risikobehandlung, den gesetzlichen und vertraglichen Anforderungen und den Anforderungen an die dokumentierten Informationen. Zudem bewerten die Auditoren, ob das ISMS effektiv implementiert und gepflegt wird. Eine Auditierung erfolgt nach den Prinzipien Integrität, Vertraulichkeit, Unabhängigkeit und ist ein evidenzbasierter Ansatz der ISO 19011, der als Leitfaden zur Auditierung von Managementsystemen zur Orientierung zum Einsatz kommen kann. Die Bewertung muss als dokumentierte Information vorliegen. Als Anforderung der ISO/IEC 27001 muss die Organisation ein oder mehrere Auditprogramme planen, aufbauen, verwirklichen und aufrechterhalten, einschließlich der allgemeinen Grundsätze wie die Häufigkeit von Audits, Methoden, Verantwortlichkeiten, Anforderungen an die Planung sowie Berichterstattung. Inhaltlich müssen Auditprogramme die Bedeutung der betroffenen Prozesse wie auch die Ergebnisse vergangener Audits berücksichtigen. Für jedes Audit sind Kriterien und Umfang festzulegen und Auditoren so zu wählen bzw. Audits so durchzuführen, dass die Objektivität und Unabhängigkeit des Auditprozesses gewährleistet ist. Ein internes Audit eignet sich zudem für die Überprüfung des Umsetzungsgrades eines ISMS oder dient der Vorbereitung auf ein externes Zertifizierungsaudit. Die Anforderungen des NK 9.2 können durch die Umsetzung der Empfehlungen aus den Normen ISO 19011 sowie ISO/IEC 27007 bzw. ISO/IEC 27008 erfüllt werden, wobei die normativen Anforderungen der ISO/IEC 27001 nicht so umfangreich sind.

Managementbewertung (NK 9.3)

Ziel der Managementbewertung ist es, die fortdauernde Eignung, Angemessenheit und Wirksamkeit des ISMS mithilfe einer Bewertung durch die Organisationsleitung in geplanten Abständen sicherzustellen. Die Eignung bezieht sich auf die kontinuierliche Ausrichtung an den Organisationszielen. Angemessenheit und Effektivität beziehen sich auf eine geeignete Gestaltung und organisatorische Integration des ISMS sowie die wirksame Umsetzung von Prozessen und Kontrollen, die vom ISMS gesteuert werden. Zur Überprüfung kann die Organisationsleitung Messungen und Berichte einsehen sowie eine elektronische oder mündliche Kommunikation abhalten. Wichtige Informationen sind die Ergebnisse aus der NK 9.1 beschriebenen Maßnahmen zur Informationssicherheit, die Ergebnisse aus der NK 9.2 durchgeführten internen Audits sowie die Ergebnisse der Risikobewertung und der Status des Risikobehandlungsplans. Bei der Überprüfung der Risikobewertung und des Risikobehandlungsplans sollte die Organisationsleitung bestätigen, dass die Restrisiken die Risikoakzeptanzkriterien erfüllen und der Risikobehandlungsplan alle relevanten Risiken berücksichtigt sowie ihre Risikobehandlungsoptionen. Die Agenda sollte Inhalte wie dem Status der Maßnahmen aus vergangenen Managementbewertungen, Änderungen bei internen und externen Themen, die für das ISMS relevant sind, Rückmeldung über die Informationssicherheitsleistung und interessierten Parteien, Ergebnisse der Risikobeurteilung und Status des Risikobehandlungsplans sowie Möglichkeiten zur fortlaufenden Verbesserung umfassen. Die Rückmeldung über die Informationssicherheitsleistung beinhaltet zudem Entwicklungen von Nichtkonformitäten und Korrekturmaßnahmen, Ergebnisse von Überwachungen und Messungen, Auditergebnisse und Erreichung von Informationssicherheitszielen. Insgesamt ist die Managementbewertung ein Prozess, der auf verschiedenen Ebenen in der Organisation durchgeführt wird und mind. jährlich erfolgt. Neue oder weniger ausgereifte ISMS sollten häufiger von der Organisationsleitung überprüft werden, um eine höhere Effektivität zu erreichen. Diese Aktivitäten können von täglichen, wöchentlichen oder monatlichen Treffen der Organisationseinheiten bis hin zu einfachen Diskussionen über Berichte variieren.

Verbesserung (NK 10)

Die letzte Phase Act des PDCA-Zyklus umfasst die Themen der Nichtkonformität und Korrekturmaßnahmen sowie die kontinuierliche Verbesserung des ISMS. Die Anforderungen hierzu sind im NK 10 der ISO/IEC 27001 aufgeführt und basieren auf den erarbeiteten Erkenntnissen der Phase Check und dem NK 9. Das NK 10 der ISO/IEC 27001 enthält zwei Unterkapitel NK 10.1 bis 10.2.

Nichtkonformität und Korrekturmaßnahmen (NK 10.1)

Die Nichtkonformität definiert die ISO/IEC 27000 als Nichterfüllung der Anforderungen, die sich aus den NK der Phase Plan der ISO/IEC 27001 ergeben. In der ISO/IEC 27003 sind dazu im gleichen NK mehrere Arten einer Nichtkonformität erläutert, die sich bspw. neben der Nichterfüllung einer Anforderung aus dem Versäumnis ergeben, eine vom ISMS festgelegte Anforderung, Regel oder Kontrolle korrekt umzusetzen oder zu erfüllen sowie der teilweisen oder vollständigen Nichteinhaltung gesetzlicher, vertraglicher oder vereinbarter Kundenanforderungen. Nichtkonformität allgemein bedeutet, dass Personen sich nicht wie von den Verfahren und Richtlinien erwartet verhalten, Lieferanten keine vereinbarten Produkte oder Dienstleistungen anbieten, Projekte nicht zu den erwarteten Ergebnissen führen und Maßnahmen nicht ordnungsgemäß funktionieren. Erkannt werden können Nichtkonformitäten durch bspw. Audits oder Auditprogramme, welche Mängel der im Rahmen des ISMS ausgeübten Tätigkeiten belegen oder ineffektive Maßnahmen, die nicht angemessen behoben werden, aufzeigen. Des Weiteren können Analysen von Informationssicherheitsvorfällen ergeben, dass eine Anforderung des ISMS nicht erfüllt wird. Erkennt die Organisation eine Nichtkonformität, muss sie darauf reagieren und wenn zutreffend, Maßnahmen zur Überwachung und zur Korrektur ergreifen sowie mit den Folgen umgehen. Im weiteren Verlauf muss die Organisation die Notwendigkeit von Maßnahmen zur Beseitigung der Ursache bewerten, um ein erneutes Auftreten zu vermeiden. Hierzu soll zur Ursachenbestimmung eine Überprüfung der Nichtkonformität durchgeführt werden, da eine vergleichbare Abweichung an anderer Stelle auftreten kann oder möglicherweise an selber Stelle erneut auftritt. Nach erfolgter Bewertung der Maßnahmen sind diese umzusetzen, die Wirksamkeit zu überprüfen und, falls erforderlich, das ISMS und dessen Prozesse abzuändern. Alle Korrekturmaßnahmen müssen im Verhältnis zu den Auswirkungen der aufgetretenen Nichtkonformität angemessen sein.Durch Korrekturen und Korrekturmaßnahmen ist es möglich, dass neue Verbesserungsmöglichkeiten identifiziert werden, die entsprechend behandelt werden sollten. Es sind ausreichende dokumentierte Informationen aufzubewahren, um nachzuweisen, dass die Organisation zur Behebung der Nichtkonformität angemessen gehandelt hat und die damit verbundenen Folgen behandelt wurden. Alle wesentlichen Schritte zur Behandlung der Nichtkonformität und, falls begonnen, der Korrekturmaßnahmen sollten dokumentiert werden. Die dokumentierten Informationen müssen auch Nachweise darüber enthalten, ob die getroffenen Maßnahmen die beabsichtigten Wirkungen erreicht haben oder nicht.

Fortlaufende Verbesserung (NK 10.2)

Im letzten NK der ISO/IEC 27001 wird die schon mehrfach erwähnte kontinuierliche Verbesserung des ISMS und die damit einhergehenden Informationssicherheit gefordert. Kein ISMS ist perfekt, daher gibt es immer Möglichkeiten zu Verbesserung, auch wenn sich der Kontext der Organisation nicht ändert. Damit das ISMS mit den Veränderungen Schritt halten kann, wird es regelmäßig hinsichtlich seiner Eignung, Angemessenheit, Wirksamkeit und Ausrichtung auf die Ziele der Organisation unter Berücksichtigung interner und externer Themen (NK 4.1), der Anforderungen von interessierten Parteien (NK 4.2) und der Ergebnisse der Leistungsbewertung (NK 9) bewertet. Eignung bedeutet die angemessene Berücksichtigung der internen und externen Themen, der Anforderungen von interessierten Parteien, der festgelegten Ziele und der identifizierten Risiken der Informationssicherheit durch die Planung und Umsetzung des ISMS und seiner Maßnahmen. Mit Angemessenheit ist gemeint, dass die ISMS-Prozesse und Informationssicherheitsmaßnahmen mit den allgemeinen Zielen, Aktivitäten und Prozessen der Organisation vereinbar sind. Wirksamkeit steht für die Analyse, ob die beabsichtigten Ergebnisse des ISMS erreicht, die Anforderungen der interessierten Parteien erfüllt, Nichtkonformitäten verwaltet und die Informationssicherheitsrisiken gesteuert werden, unter der Berücksichtigung, dass sie den Zielen der Informationssicherheit entsprechen. Die erforderlichen Ressourcen für die Einführung, den Betrieb, die Aufrechterhaltung und kontinuierlichen Verbesserung des ISMS sollten im Verhältnis zu den Ergebnissen stehen.

Maßnahmenziele und Maßnahmen im Anhang A der ISO/IEC 27001

Im normativen Anhang A der ISO/IEC 27001 sind 14 Sicherheitsthemen, unterteilt in 35 Maßnahmenzielen und 114 Maßnahmen zur Reduzierung von Risiken in der Informationssicherheit enthalten. Diese sehr umfangreiche Liste ist nicht vollständig und wird in der informativen ISO/IEC 27002 detailliert beschrieben. Nicht alle Maßnahmen sind umzusetzen und jede Organisation muss für sich entscheiden, welche für die Umsetzung des ISMS benötigt werden. Die Benennung der Abschnitte der ISO/IEC 27001 entsprechen hierbei denen der ISO/IEC 27002. Da der Anhang A ebenfalls normativ ist, sind alle Themen zu bearbeiten, jedoch nicht zwangsläufig umzusetzen. Wird ein Thema, ein Maßnahmenziel oder eine Maßnahme nicht umgesetzt, ist dies mit einer Begründung zu vermerken. Jedes Thema wird auf ein oder mehrere Maßnahmenziele unterteilt, welche wiederum ein oder mehrere Maßnahmenziel enthalten, die die Sicherheitsanforderungen ausführlich beschreiben. Die folgende Tabelle 1 stellt eine Übersicht über die Sicherheitsthemen des Anhang A dar.

Abschnitt Sicherheitsthema
5 Informationssicherheitsrichtlinien
6 Organisation der Informationssicherheit
7 Personalsicherheit
8 Verwaltung der Werte
9 Zugangssteuerung
10 Kryptografie
11 Physische und umgebungsbezogene Sicherheit
12 Betriebssicherheit
13 Kommunikationssicherheit
14 Anschaffung, Entwicklung und Instandhaltung von Systemen
15 Lieferantenbeziehungen
16 Handhabung von Informationssicherheitsvorfällen
17 Informationssicherheitsaspekte beim Business Continuity Management
18 Compliance

Tabelle 1: Sicherheitsthemen des Anhang A der ISO/IEC 27001