Andrea Giesler | 3. Juni 2019

Die Norm ISO 27001 bietet Anforderungen und a Struktur, die Anleitungen zur Implementierung eines Informationssicherheits-Managementsystems (ISMS) bietet. Als Managementsystem basiert ISO 27001 auf kontinuierlicher Verbesserung. In diesem Artikel erfahren Sie mehr darüber, wie sich dies in den Anforderungen und der Struktur von ISO 27001 widerspiegelt.

Zwei Hauptteile der Norm

Der Standard ist in zwei Teile unterteilt. Der erste Hauptteil besteht aus 11 Sätzen (0 bis 10). Der zweite Teil, Anhang A genannt, enthält eine Richtlinie für 114 Kontrollziele und -kontrollen. Die Abschnitte 0 bis 3 (Einführung, Geltungsbereich, normative Verweise, Begriffe und Definitionen) legen die Einführung der Norm ISO 27001 fest. Die folgenden Abschnitte 4 bis 10, die Anforderungen nach ISO 27001 enthalten, die obligatorisch sind, wenn das Unternehmen die Norm einhalten möchte, werden in diesem Artikel ausführlicher untersucht.

Anhang A der Norm unterstützt die Klauseln und ihre Anforderungen mit einer Liste von Kontrollen, die nicht obligatorisch sind, aber im Rahmen des Risikomanagementprozesses ausgewählt werden. Weitere Informationen finden Sie im Artikel Die grundlegende Logik von ISO 27001: Wie funktioniert Informationssicherheit?

Klausel 4: Kontext der Organisation

Eine Voraussetzung für die erfolgreiche Implementierung eines Informationssicherheits-Managementsystems ist das Verständnis des Kontextes der Organisation. Externe und interne Probleme sowie interessierte Parteien müssen identifiziert und berücksichtigt werden. Zu den Anforderungen können regulatorische Probleme gehören, sie können jedoch auch weit darüber hinausgehen.

Vor diesem Hintergrund muss die Organisation den Umfang des ISMS definieren. Wie umfassend wird ISO 27001 auf das Unternehmen angewendet?

Weitere Informationen zum Kontext der Organisation finden Sie in den Artikeln Definieren des Kontexts der Organisation gemäß ISO 27001, Identifizieren von Interessenten gemäß ISO 27001 und ISO 22301 sowie Definieren des ISMS-Bereichs.

Abschnitt 5: Führung

Die Anforderungen von ISO 27001 an eine angemessene Führung sind vielfältig. Das Engagement des Top-Managements ist für ein Managementsystem obligatorisch. Die Ziele müssen gemäß den strategischen Zielen einer Organisation festgelegt werden. Die Bereitstellung der für das ISMS erforderlichen Ressourcen sowie die Unterstützung von Personen, die zum ISMS beitragen möchten, sind weitere Beispiele für die zu erfüllenden Verpflichtungen.

Darüber hinaus muss das Top-Management eine Richtlinie gemäß der Informationssicherheit festlegen. Diese Richtlinie sollte dokumentiert und innerhalb der Organisation und an interessierte Parteien kommuniziert werden.

Rollen und Verantwortlichkeiten müssen ebenfalls zugewiesen werden, um die Anforderungen der Norm ISO 27001 zu erfüllen und darüber Bericht zu erstatten die Leistung des ISMS.

Weitere Informationen zum Top-Management in ISO 27001 finden Sie in diesen Artikeln: Top-Management-Perspektive der Implementierung der Informationssicherheit, Rollen und Verantwortlichkeiten des Top-Managements in ISO 27001 und ISO 22301 sowie Was sollten Sie tun? Schreiben Sie in Ihre Informationssicherheitsrichtlinie gemäß ISO 27001?

Abschnitt 6: Planung

Bei der Planung in einer ISMS-Umgebung sollten Risiken und Chancen immer berücksichtigt werden. Eine Bewertung des Informationssicherheitsrisikos bietet eine solide Grundlage, auf die Sie sich verlassen können. Dementsprechend sollten Informationssicherheitsziele auf der Risikobewertung basieren. Diese Ziele müssen an den Gesamtzielen des Unternehmens ausgerichtet werden. Darüber hinaus müssen die Ziele innerhalb des Unternehmens gefördert werden. Sie bieten die Sicherheitsziele, auf die alle im Unternehmen hinarbeiten und die auf das Unternehmen abgestimmt sind. Aus der Risikobewertung und den Sicherheitszielen wird ein Risikobehandlungsplan abgeleitet, der auf den in Anhang A aufgeführten Kontrollen basiert.

Lesen Sie zum besseren Verständnis von Risiken und Chancen den Artikel ISO 27001 Risikobewertung & Behandlung – 6 grundlegende Schritte. Weitere Informationen zu Kontrollzielen finden Sie im Artikel ISO 27001 Kontrollziele – Warum sind sie wichtig? Weitere Informationen zur Ausrichtung eines Unternehmens finden Sie im Artikel Ausrichten der Informationssicherheit an der strategischen Ausrichtung eines Unternehmens gemäß ISO 27001.

Abschnitt 7: Support

Ressourcen, Kompetenz der Mitarbeiter, Bewusstsein und Kommunikation sind Schlüsselthemen zur Unterstützung der Sache. Eine weitere Anforderung ist die Dokumentation von Informationen gemäß ISO 27001. Informationen müssen dokumentiert, erstellt und aktualisiert sowie kontrolliert werden. Ein geeigneter Dokumentationssatz muss gepflegt werden, um den Erfolg des ISMS zu unterstützen.

Weitere Informationen zu Schulung, Sensibilisierung und Kommunikation finden Sie in den Artikeln Durchführung von Schulungen & Sensibilisierung für ISO 27001 und ISO 22301 sowie Erstellen eines entsprechenden Kommunikationsplans Weitere Informationen zur Dokumentenverwaltung finden Sie im Artikel Dokumentenverwaltung in ISO 27001 & BS 25999-2.

Abschnitt 8: Operation

Prozesse sind obligatorisch, um Informationssicherheit zu implementieren. Diese Prozesse müssen geplant, implementiert und gesteuert werden. Die Risikobewertung und -behandlung, die, wie wir bereits erfahren haben, im Kopf des Top-Managements liegen muss, muss umgesetzt werden.

Weitere Informationen zur Risikobewertung und -behandlung finden Sie in den Artikeln ISO 27001 Risikobewertung: Gewusst wie Zuordnen von Assets, Bedrohungen und Schwachstellen sowie Bewertung der Folgen und Wahrscheinlichkeiten in der Risikoanalyse nach ISO 27001 und in diesem kostenlosen Diagramm des Risikobewertungs- und -behandlungsprozesses nach ISO 27001: 2013.

Abschnitt 9: Leistungsbewertung

Die Anforderungen der Norm ISO 27001 erwarten die Überwachung, Messung, Analyse und Bewertung des Informationssicherheits-Managementsystems. Die Abteilung sollte nicht nur ihre Arbeit selbst überprüfen, sondern auch interne Audits durchführen. In festgelegten Intervallen muss das Top-Management das ISMS des Unternehmens überprüfen.

Weitere Informationen zu Leistung, Überwachung und Messung finden Sie in den Artikeln Wichtige Leistungsindikatoren für ein ISO 27001-ISMS und zur Durchführung von Überwachung und Messung in ISO 27001.

Abschnitt 10: Verbesserung

Die Verbesserung folgt der Bewertung. Fehler müssen behoben werden, indem Maßnahmen ergriffen und gegebenenfalls die Ursachen beseitigt werden. Darüber hinaus sollte ein kontinuierlicher Verbesserungsprozess implementiert werden, auch wenn der PDCA-Zyklus (Plan-Do-Check-Act) nicht mehr obligatorisch ist (lesen Sie mehr dazu im Artikel Wurde der PDCA-Zyklus aus den neuen ISO-Standards entfernt? Der PDCA-Zyklus wird häufig empfohlen, da er eine solide Struktur bietet und die Anforderungen von ISO 27001 erfüllt.

Weitere Informationen zur Verbesserung von ISO 27001 finden Sie im Artikel Kontinuierliche Verbesserung durch Verwendung von Reifegradmodellen.

Anhang A (normativ) Referenzkontrollziele und -kontrollen

Anhang A ist eine hilfreiche Liste von Referenzkontrollzielen und -kontrollen. Beginnend mit A.5 Richtlinien zur Informationssicherheit bis A.18 Konformität, Die Liste bietet Kontrollen, mit denen die Anforderungen von ISO 27001 erfüllt und die Struktur eines ISMS abgeleitet werden können. Kontrollen, die durch eine Risikobewertung wie oben beschrieben identifiziert wurden, müssen berücksichtigt und implementiert werden.

Für Weitere Informationen zu Anhang A finden Sie in den Artikeln Eine Kurzanleitung zur ISO 27001-Kontrollen aus Anhang A und Strukturieren der Dokumente für ISO 27001-Anhang-A-Kontrollen.

Anforderungen an ein ISMS

Die Implementierung und der Standard selbst können auf den ersten Blick herausfordernd oder kompliziert erscheinen , weil einige Anforderungen für Sie möglicherweise nicht logisch klingen. Wenn man sich jedoch eingehender damit befasst, fallen die Dinge zusammen und man beginnt zu schätzen, wie umfassend die Implementierung von ISO 27001 für die Sicherheit ist. Bald nach der Konformität werden Sie sicher feststellen, dass der Standard Ihnen eine strukturierte Richtlinie bietet, und Sie werden mit Ihrer Entscheidung über die Implementierung zufrieden sein.

Um mehr über die Anforderungen von ISO 27001 zu erfahren, laden Sie diese kostenlose Klausel herunter -klauselerklärung zu ISO 27001.

Hier erfahren Sie, wie detailliert die ISO 27001-Dokumente sein sollten.

Für Entscheidungsträger in der Startup-Welt Es wird dringend empfohlen zu lesen, warum sie in ISO 27001 investieren sollten und wie die Implementierung das Unternehmen ankurbeln kann.

Über den Autor:

Andrea Giesler ist Interner Prüfer mit Sitz in Köln, spezialisiert auf die Bereiche ISO 27001, ISO 9001 und EU GDPR. Sie ist Certified Information Systems Auditor (CISA) und von ISACA in Risiko- und Informationssystemkontrolle (CRISC) zertifiziert.