ISO 27000: Worauf kommt es an?

Organisationen und Unternehmen müssen sich zunehmend aufgrund verschiedener Anforderungen ihres Umfelds und der Stakeholder mit dem Thema Informationssicherheit befassen. Oftmals werden Projekte zur Einführung eines solchen Systems nach ISO 27000 definiert und die entsprechenden internen Projektleiter oder direkt ein Information Security Officer benannt. Aber worauf kommt es bei der Einführung eines ISMS nach ISO 27000 an? Dieser Blogartikel soll Ihnen als ein erster Leitfaden dienen. Die nachfolgenden Ausführungen bieten auch dann eine gute Orientierung, wenn die Organisation erstmal keine Zertifizierung anstrebt und sich nur an anerkannten Normen orientieren und dadurch Strukturen verbessern möchte.

Wesentliche Elemente eines Informationssicherheitsmanagementsystems nach ISO 27000

Es herrscht Zeit- und Erwartungsdruck, wenn das Management eine Zertifizierung bis zu einem gewünschten Termin umgesetzt sehen möchte. Der Projektleiter steht nun vor der Herausforderung, das Thema Informationssicherheit bzw. ein Informationssicherheitsmanagementsystem (ISMS) in seinen wesentlichen Punkten zu erfassen, den Projektumfang (Scope) zu definieren und das ISMS nach erfolgreicher Implementierung kontinuierlich zu verbessern. Hinweise zur Implementierung finden sich in der Schrift ISO/IEC 27000:2018, die kostenlos im Internet abrufbar ist. Demnach werden drei große Aufgabenschwerpunkte für ein Projekt zur Implementierung eines ISMS wie folgt definiert.

1 Identifikation der Informationssicherheitswerte

Zur Identifikation der Informationssicherheitswerte ( Assets) nach ISO 27000 gibt es zwei mögliche Herangehensweisen. Die Identifikation der Assets einer Organisation kann anhand verschiedener Kategorien oder Fragen vorgenommen werden. Als Kategorien empfehlen sich Hardware, Software, Dokumente, Dienstleistungen, Netzwerke, Gebäude und Räume sowie Prozesse. Ebenso können Mitarbeiter, vor allem deren Knowhow und Spezialwissen, als Asset identifiziert werden. Offener gestaltet sich die Analyse, wenn über spezifische Fragen wie was ist in der Organisation besonders schützenswert, welche Assets sind Bedrohungen durch Zugriff unbefugter Personen ausgesetzt herangegangen wird. Während die Abfrage von Assets in vordefinierten Kategorien erstmal einen Mindeststandard sichert, lassen offene Fragen mehr Raum für die Beteiligten (bspw. im Sinne eines Brainstorming), in dem sich die wesentlichen Aspekte aus Sicht der Fachabteilung unter Berücksichtigung der betrieblichen Abläufe entwickeln können. In einer Mischform aus einer Abfrage von Assets in vordefinierten Kategorien und offenen Fragen können sich die Mindestanforderungen aus normativer Sicht sehr gut mit den betrieblichen Gegebenheiten aus Sicht einer Fachabteilung ergänzen und so zu einem Mehrwert für die weitere Implementierung führen. In einem weiteren Schritt müssen die erforderlichen Regelungen zur Handhabung, Transport, Entsorgung und Kennzeichnung von Assets definiert und kommuniziert werden, die letztendlich zum Schutz der identifizierten Assets notwendig sind.

2 Informationssicherheitsrisiken

Im besten Fall ist in der Organisation bereits ein Risikomanagementprozess definiert. Dieser kann dann mit Anforderungen aus den Normkapiteln 6 und 8 der ISO 27001 überarbeitet werden. Eine Gefährdungsanalyse eignet sich zur Identifikation von Bedrohungen, die jedoch nur bei Vorliegen einer tatsächlichen Schwachstelle als Risiko weiterführend zu betrachten sind. Das BSI stellt kostenlos im Internet Informationen zum Thema Gefährdungsanalyse bereit. Die Dokumentation eines Risikomanagements wie es die ISO 27001 fordert, ist umfangreich, erfordert Spezialwissen und bei der Einarbeitung sollten Sie ausreichend Zeit einplanen. Je nach Risikolevel, das sich aus der Eintrittswahrscheinlichkeit und der Schadenshöhe ergibt, müssen Behandlungsmaßnahmen für Risiken definiert werden. Dem umfangreichen Thema Risikomanagement widmet sich ein weiterführender Blogartikel (Link folgt).

3 Auswahl relevanter Maßnahmen

Im Anhang der Norm sind Maßnahmenziele und Maßnahmen beschrieben, deren Relevanz für das ISMS der Organisation beurteilt werden muss. Hilfreich ist es, wenn den Anforderungen Fachbereiche wie Verwaltung, Personalwesen, Vertrieb, Marketing, Projektmanagement etc. zugeordnet werden. Dadurch lässt sich der Scope in verschiedene überschaubare Arbeitspakete aufteilen. Die erforderliche Dokumentation hierzu kann in der sogenannten Anwendbarkeitserklärung (Statement of Applicability, SOA) erbracht werden. Es ist teilweise möglich Maßnahmen aus dem Anhang auszuschließen, um so den Scope überschaubar zu halten. Weiterhin ist zu berücksichtigen, dass die Themen Risikomanagement und Maßnahmen in der SOA unmittelbar zusammenhängen.

Begleitendes Projekt und Change Management

Im Rahmen der Definition des Scopes sollten informationssicherheitstechnische Aspekte mit Auswirkungen auf die bestehende Organisation, d. h.  auf alle Prozesse und Mitarbeiter der Fachbereiche, berücksichtigt werden. Je nach Scope können alle Prozesse, aber vor allem auch die Mitarbeiter, die hinsichtlich neuer Abläufe geschult werden müssen, von einem solchen Projekt betroffen sein. Damit wird deutlich, dass die Einführung eines ISMS große Veränderungen in der Organisation mit sich bringt. Der Projektleiter steht hier vor der Herausforderung mit den Menschen/Mitarbeitern in der Organisation zu arbeiten, ihr Vertrauen und vor allem deren Bereitschaft zu gewinnen, die Veränderungen mitzutragen. Ein professionelles Projekt- und Stakeholdermanagement und natürlich die Unterstützung aus dem Top Management sind wesentliche Erfolgsfaktoren. Es empfiehlt sich, dem Projektleiter ein Team aus der IT, dem Personalwesen und Marketing beiseite zu stellen. Da sich Synergien mit Anforderungen aus der DS-GVO ergeben können, könnte auch der Datenschutzbeauftragte in das Projektteam einbezogen werden. Ebenso sollte das Management dieses Projekt auf verschiedenen Kanälen im Unternehmen bekannt machen.

Fazit

Die Implementierung eines ISMS nach ISO 27000 bringt verschiedene methodische und soziale Herausforderungen mit sich. Planen Sie genügend personelle, finanzielle und zeitliche Ressourcen ein! Mit einem gut gesetzten Fokus auf die wesentliche Elemente eines ISMS ist die Implementierung gut zu managen. Ebenso sollte der menschliche Faktor im Rahmen eines durchdachten, begleitenden Change Managements berücksichtigt werden. Die nach erfolgreicher Umsetzung der Implementierung bzw. Zertifizierung notwendige Aufrechterhaltung eines ISMS wird durch das wiederholte Durchlaufen der Punkte 1 bis 3 gewährleistet. Die genannten Punkte sind somit nicht nur bei der Implementierung, sondern auch bei der kontinuierlichen Verbesserung eines ISMS relevant.

Autor: Christian Zepp