Kapitel 4: Kontext der Organisation
4.1 – Verstehen der Organisation und ihres Kontextes
Dieses Kapitel ist die Grundlage oder der erste Schritt der ISO 27001-Implementierung in einer Organisation. Hier geht es darum, den Kontext der Organisation und relevante Aspekte für Ihre Organisation zu definieren.
4.2 – Verstehen der Erfordernisse und Erwartungen interessierter Parteien
Diese Anforderung kann erfüllt werden, nachdem der Kontext der Organisation definiert wurde. Denn erst, nachdem Kapitel 4.1 erfüllt und die Ziele der Organisation verstanden wurden, können wir deren potenzielle Interessenvertreter verstehen.
4.3 – Festlegen des Anwendungsbereichs des Informationssicherheits-Managementsystems
In diesem Schritt bestimmen Sie den Anwendungsbereich (Scope) des ISMS, das genau auf Ihre Organisation zugeschnitten ist. Dieser Schritt ist wichtig, da Interessenvertreter so verstehen können, welche Bereiche durch das ISMS geschützt sind und welche nicht.
4.4 – Informationssicherheits-Managementsystem
Hier führt Ihre Organisation, das ISMS ein. Nach der Einführung sind eine fortlaufende Aktualisierung und Verbesserung des Systems sowie angemessene Schulungen für Ihre Mitarbeiter/Ihr Personal erforderlich.
Kapitel 5: Führung
5.1 – Führung und Verpflichtung
In diesem Kapitel wird die Anforderung an die Führungsebene bzw. den Vorstand der Organisation gestellt, die Informationssicherheit in den Mittelpunkt zu rücken und ein ernsthaftes Interesse dafür zu zeigen. So soll sichergestellt werden, dass sie ihren Beschäftigten mit gutem Beispiel vorangehen.
5.2 – Politik
An Mitglieder der Führungsebene bzw. des Vorstands wird die Anforderung gestellt, eine Informationssicherheitsrichtlinie aufzustellen. Die Erstellung dieses Grundsatzdokuments ist vielleicht nicht besonders schwierig, aber der Inhalt des Dokuments spielt hinsichtlich des ISMS eine wichtige Rolle, da es Vertrauen gegenüber der Organisation vonseiten der Interessenvertreter schaffen soll.
5.3 – Rollen, Verantwortlichkeiten und Befugnisse in der Organisation
Bei der Einführung des ISMS ist es die Aufgabe der Führungsebene bzw. des Vorstands, die Rollen, Verantwortlichkeiten und Befugnisse angemessen auf die Mitarbeiter zu verteilen. In der Regel bietet sich auch die Benennung eines Informationssicherheitsbeauftragten (CISO) an.
Kapitel 6: Planung
6.1 – Maßnahmen zum Umgang mit Risiken und Chancen
In der ISO 27001 kommt der Risikobehandlung eine zentrale Rolle zu. Die Risikobehandlung und Risikobeurteilung innerhalb eines ISMS ermöglichen Organisationen, Risiken und Chancen zu erkennen und die Anforderungen der Organisation zu beurteilen.
6.2 – Informationssicherheitsziele und Planung zu deren Erreichung
Für den Erfolg einer Organisation spielt Informationssicherheit eine zentrale Rolle, da sie als Wettbewerbsvorteil genutzt werden kann. Aus diesem Grund muss sich eine Organisation darüber im Klaren sein, warum sie ein ISMS einführt. So können Prozesse schneller und transparenter – und im Einklang mit den Zielen der Organisation – durchgeführt werden.
Kapitel 7: Unterstützung
7.1 – Ressourcen
Eine Organisation muss angemessene Ressourcen zur Verfügung stellen, um die Anforderungen der ISO 27001 zu erfüllen. Ergänzend zu Kapitel 5.3 ist es zwar nicht obligatorisch, dauerhaft Personal bereitzustellen, um das ISMS zu aktualisieren, zu warten und zu verbessern, doch Ressourcen müssen nach Bedarf zur Verfügung gestellt werden.
7.2 – Kompetenz
Die ISO 27001 fordert dazu auf, dass die Beschäftigten, die für Prozesse bezüglich des ISMS und der ISO 27001 verantwortlich sind, über relevante Kenntnisse verfügen und fortlaufend aktuelle Schulungen durchlaufen, um ihre Kompetenzen über die Norm und über Informationssicherheit im Allgemeinen aufrechtzuerhalten.
7.3 – Bewusstsein
Die Beschäftigten, die für Prozesse bezüglich des ISMS und der ISO 27001 verantwortlich sind, müssen die Informationssicherheitsrichtlinie der Organisation kennen und fortlaufend Aktualisierungen dazu erhalten. Dazu gehören: die Vorteile des ISMS, Methoden zur Feststellung von Risiken und Chancen durch Risikobeurteilungen und Risikobehandlung sowie die Gefahr von Fehlern, sollte das ISMS nicht die Anforderungen der Sicherheitsrichtlinie der Organisation erfüllen.
7.4 – Kommunikation
Die Beschäftigten, die für Prozesse bezüglich des ISMS und der ISO 27001 verantwortlich sind, müssen in der Lage sein, Begriffe zum Thema Informationssicherheit, wie sie in der DSGVO, im ISMS, in der ISO 27001 und in anderen Sicherheitsnormen verwendet werden, zu verstehen. Außerdem müssen die Beschäftigten wissen, mit wem und wie sie zu kommunizieren haben.
7.5 – Dokumentierte Information
Die ISO 27001 und andere ISO-Normen stellen strenge Anforderungen an die Richtigkeit und Genauigkeit der von der Organisation bereitgestellten Dokumentation. Hier empfiehlt es sich, dass Sie sich in Ruhe überlegen, wie das ISMS Ihrer Organisation aufgebaut ist, damit Sie dessen Ziele und Begrenzungen dokumentieren können.
Kapitel 8: Betrieb
8.1 – Betriebliche Planung und Steuerung
Es ist wichtig, dass eine Organisation vor und während der Einführung eines ISMS und der ISO 27001 über strukturelle Prozesse verfügt, wie jene, die oben in den Artikeln 6.1, 6.2 und 7.5 genannt sind. Dies ermöglicht effektive Prozesse und führt langfristig zum Erfolg.
8.2 – Informationssicherheitsrisikobeurteilung
Im Rahmen einer Sicherheitsrisikobeurteilung findet die Erkennung, Bewertung und Umsetzung wichtiger Informationssicherheitsmaßnahmen statt. Ein weiterer Schwerpunkt liegt auf der Vermeidung von Sicherheitsschwachstellen in Anwendungen. Diese Beurteilungen müssen regelmäßig durchgeführt werden, da Veränderungen am ISMS und der Informationssicherheitsrichtlinie vorgenommen werden können.
8.3 – Informationssicherheitsrisikobehandlung
Die Möglichkeiten einer Risikobehandlung umfassen die Vermeidung, Optimierung, Überwälzung und Beibehaltung von Risiken. Diese Optionen können aus einer Liste über die Sicherheitsmaßnahmen, welche das ISMS der Organisation verwendet, ausgewählt werden.
Kapitel 9: Bewertung der Leistung
9.1 – Überwachung, Messung, Analyse und Bewertung
Wenn Ihre Organisation nach ISO 27001 zertifiziert werden möchte, kann ein durch die DAkkS (Deutsche Akkreditierungsstelle) akkreditierter Auditor für Informationssicherheit Ihre Informationssicherheitsprozesse und -maßnahmen, Ihre ISMS-Instandhaltung sowie Ihre Erfüllung der ISO 27001 im Allgemeinen prüfen. Hierzu ist eine fortlaufende Überwachung, Messung, Analyse und Bewertung Ihres ISMS durch Ihre Organisation erforderlich.
9.2 – Internes Audit
Für eine Zertifizierung muss Ihre Organisation regelmäßig interne Audits durchlaufen, um sicherzustellen, dass Ihr ISMS Ihre Informationssicherheitsrichtlinie einhält und die Anforderungen der ISO 27001-Norm erfüllt.
9.3 – Managementbewertung
Die Führungsebene bzw. der Vorstand muss in regelmäßigen Abständen das ganze Jahr über Managementbewertungen durchführen. Diese Managementbewertungen helfen bei der Erkennung von Bereichen, die im ISMS Ihrer Organisation und allgemein hinsichtlich der ISO 27001-Norm verbessert werden können.
Zwar werden diese Bewertungen üblicherweise ein- oder zweimal jährlich gefordert, eine häufigere Durchführung ist jedoch empfehlenswert, da sich die Technologie heutzutage schneller entwickelt und das Risiko, Bedrohungen ausgesetzt zu sein, viel höher ist als früher.
Kapitel 10: Verbesserung
10.1 – Nichtkonformität und Korrekturmaßnahmen
Wenn eine Nichtkonformität im ISMS erkannt wird, stellt die daraufhin ergriffene Maßnahme einen wesentlichen Bestandteil der ISMS-Verbesserung in der Organisation dar. Sowohl die Nichtkonformität als auch die daraufhin ergriffene Korrekturmaßnahme sind zu dokumentieren.
10.2 – Fortlaufende Verbesserung
Zur Erreichung und Aufrechterhaltung der Eignung, Angemessenheit und Wirksamkeit der Informationssicherheit im Hinblick auf die Ziele der Organisation ist das ISMS auf eine fortlaufende Verbesserung angewiesen.
Die Erfüllung der in den oben genannten Kapiteln beschriebenen Anforderungen durch die Organisation und die Behandlung von Informationssicherheit als Schwerpunktthema spielen für die Zertifizierung nach ISO 27001 eine wesentliche Rolle.
Die Einhaltung sämtlicher oben aufgelisteter Anforderungen ist für eine Zertifizierung unerlässlich. Dahingegen müssen nicht alle ISO 27001-Maßnahmen erfüllt werden. Neben der Erfüllung der Anforderungen ist vor allem die Auswahl der Maßnahmen, die für Ihre Organisation relevant sind, ein zentraler Aspekt der ISO 27001. Diese Maßnahmen listen wir unten auf. Werfen Sie einen Blick darauf und überlegen Sie sich, was sie für Ihre Organisation bedeuten.