Was ist die ISO 27001?
In der internationalen Norm ISO/IEC 27001 sind die Anforderungen an die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheits-Managementsystems (ISMS) beschrieben. Bereits diese knappe Aussage lässt erkennen, dass sich auch hier die vielen Managementsystemen zugrundeliegende und bewährte Vorgehensweise nach Plan, Do, Check, Act wiederfindet. Dahinter versteckt sich einfach ausgedrückt folgendes:
- Planung: Was muss/soll erreicht werden und wie machen wir das?
- Umsetzung: Umsetzung der Planung
- Überprüfung: Wurden die Ziele auf dem vorgesehenen Weg erreicht?
- Korrektur: Falls die Ziele nicht wie vorgesehen erreicht wurden – warum nicht und wie kann man die Fehler vermeiden?
Aufbau der ISO 27001
In der Norm werden nach den einleitenden Kapiteln ab Kapitel 4 alle relevanten Einzelbereiche der Informationssicherheit angesprochen:
Kapitel 4: Kontext der Organisation
Welche Ziele und Verpflichtungen bestehen für die Organisation – und zwar aus interner und externer Sicht? Neben der Bestimmung der eigenen Pflichten und Ziele sind also auch klar die Erwartungen fremder Kreise, etwa von Aufsichtsbehörden oder Kunden bzw. des relevanten Markts zu erörtern.
Kapitel 5: Führung
Hier verpflichtet die ISO 27001 das Management selbst dazu, aktiv Verantwortung zu übernehmen und insbesondere die Gesamtverantwortung zu behalten. Im Wesentlichen wird der Aufbau einer geeigneten Organisation und die Bereitstellung angemessener Ressourcen und der benötigten Unterstützung gefordert.
Aber auch die Überprüfung der Zielerreichung und das aktive Vorleben der eigenen Vorgaben gehören dazu. Als ureigene Pflicht wird dem Management aufgegeben, die Sicherheitspolitik der Organisation dokumentiert festzulegen, was regelmäßig in Form einer Informationssicherheits-Leitlinie erfolgt.
Kapitel 6: Planung
Die Norm behandelt sodann die für ein angemessenes Managementsystem wichtigsten Ausgangsfragen. Welche Risiken bestehen denn überhaupt? Wie sind diese Risken einzuschätzen und zu gewichten? Wie kann den identifizierten Risiken angemessen begegnet werden?
Kapitel 7: Unterstützung
In diesem Bereich listet die ISO 27001 die Grundvoraussetzungen auf, die notwendig sind, um ein Managementsystemen am Leben und Laufen zu halten: Ressourcen allgemein, Fachkunde, Bewusstsein und Kommunikation.
Kapitel 8: Betrieb
Hier wird beschrieben, was bei der Planung der notwendigen Prozesse notwendig ist und wie diese Prozesse dann gesteuert, also der Planung entsprechend umgesetzt werden. Dazu gehört auch, dass die Identifizierung und Bewertung der Risiken regelmäßig wiederholt wird.
Kapitel 9: Bewertung der Leistung
In diesem Kapitel enthält die ISO 27001 Vorgaben, wie eine geeignete Selbstkontrolle erfolgen kann. Wesentlich hierfür ist die Durchführung interner Audits basierend auf einen Auditprogramm und die Bewertung der Auditergebnisse durch das Management, welches hierdurch in die Lage versetzt wird, der eigenen Verantwortung gerecht zu werden.
Kapitel 10: Verbesserung
Die Norm zählt schließlich auf, was bei festgestellten Abweichungen getan werden sollte sowie welche Überlegungen angestellt werden können, um eine fortlaufende Verbesserung zu erzielen. Für die Praxis wichtig ist hier das Verständnis, dass eine Verbesserung nicht notwendig mehr Ergebnis bedeutet, sondern auch in verringertem Aufwand bestehen kann.
Anhang A
Nach diesen Kapiteln geht die ISO 27001 weiter mit dem Anhang A, der verbindliche Ziele und Maßnahmen enthält; wiederum nicht im Detail, sondern allgemein beschrieben. Ausführungen zu diesen Anforderungen enthält wiederum die eigene Norm ISO 27002.
Für eine anstehende (Re-)Zertifizierung müssen die anwendbaren Normforderungen der ISO 27001:2022, Anlage A spätestens ab 1. November 2024 umgesetzt sein.