ISO 27000, ISO 27001 und Annex A
Berichte über Sicherheitsverletzungen bei großen Unternehmen und sogar Regierungen machen seit mehren Jahren regelmäßig Schlagzeilen. Die Bandbreite der verwendeten Schwachstellen reicht von gestohlenen Laptops, infiltrierter IT-Systeme durch Schadcode, professionell organisierter Technologiespionage und Social-Engineering bis hin zu groß angelegten Cyber Security-Angriffen. Oftmals auch eine geschickte Kombination aus all diesen Varianten.
Die meisten Organisationen haben irgendeine Form von IT-Lösung, die ihnen hilft, ihre Ziele effizienter zu erreichen. Die in solchen Systemen gespeicherten Informationen sind in der Regel von höchster strategischer Bedeutung. Die meisten dieser Lösungen, egal ob On-Premise, Outsourced-Services in Datencentern oder vollständig in der Cloud, verfügen jedoch nicht über angemessene integrierte Sicherheitsfunktionen, denn der gesamtheitliche Ansatz zum Schutz des geistigen Eigentums fehlt.
Es ist Aufgabe des Managements, dafür zu sorgen, dass Prozesse und Verfahren die Sicherheit der Systeme und der darin enthaltenen Informationen ermöglichen.
Die ISO/IEC 27000-Serie ist ein international anerkannter Standard für Informationssicherheits-Managementsysteme (ISMS). Diese Normenreihe stellt einen strukturierten Ansatz zur Verwaltung von Informationssicherheit dar, der Unternehmen hilft, ihre sensiblen Daten zu schützen und Risiken im Zusammenhang mit Informationssicherheit systematisch zu bewältigen. ISO 27000 bietet den Rahmen, während die spezifischen Anforderungen und Kontrollen in den nachfolgenden Normen wie ISO/IEC 27001 beschrieben werden.
Annex A der ISO/IEC 27001 enthält eine Liste von Sicherheitskontrollen, die Unternehmen zur Erreichung der in der Norm festgelegten Informationssicherheitsziele umsetzen müssen. Diese Kontrollen decken eine breite Palette von Aspekten ab, von organisatorischen Maßnahmen über technische Sicherheitslösungen bis hin zu physischen Sicherheitsvorkehrungen.
Anforderungen an das Unternehmen
Um den Anforderungen der ISO 27000 gerecht zu werden, müssen Unternehmen ein Informationssicherheits-Managementsystem (ISMS) implementieren, das auf den folgenden Grundsätzen basiert:
- Risikobewertung und -behandlung: Unternehmen müssen eine systematische Risikobewertung durchführen, um potenzielle Bedrohungen für ihre Informationswerte zu identifizieren, zu bewerten und geeignete Maßnahmen zu deren Minimierung zu ergreifen.
- Sicherheitsrichtlinien und -verfahren: Unternehmen müssen klare Richtlinien und Verfahren festlegen, die sicherstellen, dass Informationssicherheit auf allen Ebenen der Organisation berücksichtigt wird.
- Schulung und Bewusstsein: Mitarbeitende müssen regelmäßig geschult und über die Bedeutung von Informationssicherheit sowie die spezifischen Anforderungen informiert werden.
- Überwachung und Verbesserung: Unternehmen müssen Mechanismen zur Überwachung der Effektivität ihres ISMS einrichten und kontinuierlich verbessern.
Umsetzungsschritte zur Erfüllung der Anforderungen
Die Umsetzung der ISO 27000 und Annex A erfordert einen strukturierten Ansatz, der typischerweise in den folgenden Schritten erfolgt:
- Initialisierung des ISMS-Projekts: Hierbei wird die Unterstützung der Unternehmensleitung gesichert und ein Projektteam zusammengestellt.
- Durchführung einer Risikoanalyse: Identifizierung und Bewertung von Risiken in Bezug auf Informationssicherheit, gefolgt von der Auswahl geeigneter Maßnahmen zur Risikominderung.
- Definition und Implementierung von Kontrollen: Basierend auf den Ergebnissen der Risikoanalyse werden die im Annex A beschriebenen Sicherheitskontrollen ausgewählt und implementiert.
- Erstellung der notwendigen Dokumentation: Dokumentation aller Prozesse, Richtlinien und Kontrollen, die im Rahmen des ISMS eingerichtet wurden.
- Schulung und Sensibilisierung: Durchführung von Schulungen für Mitarbeiter, um das Bewusstsein für Informationssicherheit zu erhöhen.
- Interne Audits und Managementbewertungen: Regelmäßige Überprüfungen und Bewertungen des ISMS, um sicherzustellen, dass es wirksam ist und den Anforderungen entspricht.
- Zertifizierung: Optional können Unternehmen eine Zertifizierung ihres ISMS durch eine akkreditierte Zertifizierungsstelle anstreben.
Welche Unternehmen müssen die Anforderungen umsetzen und wann?
Die ISO 27000 ist für Unternehmen aller Branchen und Größen relevant, die sensible Informationen verwalten und schützen müssen. Besonders wichtig ist die Umsetzung der Norm für Unternehmen, die in regulierten Branchen wie dem Finanzwesen, der Gesundheitsversorgung oder der Energieversorgung tätig sind, da sie strenge gesetzliche Anforderungen in Bezug auf Datenschutz und Informationssicherheit einhalten müssen.
Darüber hinaus sind Unternehmen, die mit sensiblen Daten arbeiten oder Teil von Lieferketten großer Organisationen sind, häufig verpflichtet, die Anforderungen der ISO 27000 zu erfüllen, um Geschäftspartnern und Kunden nachweisen zu können, dass sie Informationssicherheit ernst nehmen.
Zeitpunkt der Umsetzung:
- Externe Anforderungen: Wenn die Erfüllung gesetzlicher Vorschriften oder Vertragsanforderungen geboten ist, müssen Unternehmen die Norm entsprechend der vorgegebenen Fristen umsetzen.
- Interne Anforderungen: Unternehmen, die proaktiv ihre Informationssicherheitsmaßnahmen verbessern möchten, setzen die Anforderungen typischerweise im Rahmen einer strategischen Initiative um, deren Zeitrahmen von der Unternehmensgröße und den vorhandenen Ressourcen abhängt.
Zusammenfassend lässt sich sagen, dass die ISO 27000 und der Annex A eine systematische und umfassende Grundlage für den Schutz von Informationen in Unternehmen bieten. Die Umsetzung erfordert ein methodisches Vorgehen, bei dem alle Aspekte der Informationssicherheit berücksichtigt und kontinuierlich verbessert werden.