ISO / IEC 27001
Die ISO/IEC 27001 "Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Anforderungen" spezifiziert die normativen Anforderungen an einen systematischen Aufbau eines risiko- und prozessorientierten Managementsystems zur Informationssicherheit sowie den Aufbau eines Informationssicherheitsmanagementsystems (ISMS). Eine Zertifizierung von Institutionen, Teilen einer Institution oder einzelnen Verfahren (in aller Regel werden vorrangig sicherheitskritisch zu betrachtenden Bereiche der Zertifizierung unterzogen) gemäß ISO/IEC 27001 weist die Erfüllung der normativen Anforderungen zum Betrieb eines ISMS nach.
Die ISO/IEC 27000-Reihe bildet eine Normfamilie zu den Themen IT-Sicherheit und Informationssicherheit. Aus dieser Normfamilie ist die Norm ISO/IEC 27002 "Informationstechnik - IT-Sicherheitsverfahren - Leitfaden für das Informationssicherheits-Management" gesondert zu nennen. Die ISO/IEC 27002, auch als "Code of Practice" bezeichnet, ergänzt insbesondere den Appendix A der ISO/IEC 27001 und unterstützt die Umsetzung der geforderten Security Controls.
Weitere Standards dieser Normfamilie wie die ISO/IEC 27005 "Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Risikomanagement" unterstützen den Aufbau eines ISMS gemäß der Norm. Spezifische Standards der Normfamilie wie die DIN ISO/IEC TR 27019 "Informationstechnik - Sicherheitsverfahren - Leitfaden für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung auf Grundlage der ISO/IEC 27002" sind in gesonderten Branchen zu betrachten. Die DIN ISO/IEC TR 27019 gewinnt momentan stark an Bedeutung, da die Stromnetz- und Gasnetzbetreiber aus den Anforderungen des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (sog. IT-Sicherheitsgesetz) zu einer Ausrichtung und Einbeziehung der Norm beim Betrieb des ISMS der eigenen Institution gefordert wird.
Der Aufbau eines ISMS gemäß ISO/IEC 27001 verfolgt das Ziel einer strukturierten und systematischen Vorgehensweise für die Initiierung, den Betrieb, die Kontrolle sowie die Aufrechterhaltung und Verbesserung von Informationssicherheit. Die explizit geforderte Bestimmung von Risikoeinwirkungen auf den Geschäftsbetrieb oder die Aufgabenerfüllung einer Institution ist unter Einbeziehung der DIN ISO 31000 "Risikomanagement - Allgemeine Anleitung zu den Grundsätzen und zur Implementierung eines Risikomanagements" umzusetzen. Neben der Bestimmung von Risikobeurteilungs- und Risikoakzeptanzkriterien sind insbesondere Informationssicherheitsrisiken zu identifizieren, zu analysieren und abschließend zu bewerten sowie durch die Umsetzung angemessener Maßnahmen zur Risikobewältigung abzusichern.
Eine spezifische Zertifizierung gemäß ISO/IEC 27001 bietet das Bundesamt für Sicherheit in der Informationstechnik mit dem IT-Grundschutz, die u. a. für alle deutschen Behörden als obligatorisch anzusehen ist.
Elementare Schritte einer Zertifizierung gemäß ISO/IEC 27001 sind
- Die Erstellung einer Informationssicherheitsleitlinie mit Nennung der Sicherheitsziele sowie Genehmigung und Freigabe der Leitlinie durch die Leitung
- Die Initiierung und der Aufbau einer Informationssicherheitsorganisation
- Die Bestimmung des Informationsverbunds (Scope) unter Berücksichtigung der schützenswerten Assets der Institution
- Die Bewertung des Schutzbedarfs von Anwendungen, der IT- und TK-Komponenten, der Räume sowie der Kommunikationsverbindungen
- Die Einführung und den Betrieb notwendiger Prozesse wie die "Aufrechterhaltung und Verbesserung des ISMS"
- Den Aufbau eines normkonformen Managementsystems
- Eine Risikobeurteilung unter Nennung der Gefährdungen, Risiken sowie der Bewertung von Eintrittswahrscheinlichkeiten und Schadenshöhen der Bedrohungen
- Die Entwicklung eines angemessenen Maßnahmenplans unter Berücksichtigung von Kosten-Nutzen-Effekten
Haben Sie Fragen zum Thema oder benötigen Sie Unterstützung bei der Umsetzung eines Projekts? Dann freuen wir uns auf Ihren Kontakt.