Logo der activeMind AG

ISO 27002Kapitel 5.35 Unabhängige Überprüfung der Informationssicherheit

Besonders zentral für ein funktionierendes Informationssicherheitsmanagement ist die unabhängige Überprüfung der Informationssicherheit. Die ISO 27002 behandelt diesen Aspekt unter dem Abschnitt 5.35.
Die unabhängige Überprüfung der Informationssicherheit hat das Ziel, sicherzustellen, dass die implementierten Sicherheitsmaßnahmen und -kontrollen geeignet sind sowie effektiv und angemessen funktionieren. Es handelt sich um eine systematische Bewertung der Sicherheitsmaßnahmen, um mögliche Schwachstellen zu identifizieren und Verbesserungen vorzuschlagen. Diese Überprüfung kann intern durchgeführt werden, indem eigene Ressourcen oder Experten der Organisation eingesetzt werden. Es besteht jedoch auch die Möglichkeit, externe Auditoren oder Prüfer hinzuzuziehen. Im Folgenden sind einige Maßnahmen aufgeführt, die zur unabhängigen Überprüfung der Informationssicherheit gemäß ISO 27002 eingesetzt werden können.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Technische und organisatorische Maßnahmen zur Überprüfung der Informationssicherheit

Regelmäßige und anlassbezogene Überprüfungen

Eine einmalige Überprüfung ist niemals ausreichend, um die Informationssicherheit dauerhaft zu gewährleisten. Es ist vielmehr notwendig, regelmäßige Überprüfungen geplant Zeitplans durchzuführen. Dadurch können potenzielle Sicherheitslücken rechtzeitig erkannt und behoben werden. Daneben sollten aber auch anlassbezogene Kontrollen durchgeführt werden, beispielsweise bei relevanten Vorfällen oder bei Änderungen der Gesetzeslage, der Unternehmensstruktur bzw. dem Produkt- und Dienstleistungsangebot.

Einsatz eines unabhängigen Prüfungsteams

Eine Organisation kann auch ein internes Team von unabhängigen Prüfern zusammenstellen, das über die erforderlichen Fähigkeiten und Kenntnisse im Bereich der Informationssicherheit verfügt. Entscheidend ist, dass die mit der Prüfung beauftragten Personen nicht in die betrieblichen Aktivitäten involviert sind, die es zu prüfen gilt und eine objektive Überprüfung sicherzustellen.  In allen Fällen muss sichergestellt sein, dass die Prüfung unabhängig und mit der erforderlichen Fachkunde durchgeführt wird.

Festlegung klarer Überprüfungskriterien

Es ist wichtig, klare Kriterien für die Überprüfung der Informationssicherheit festzulegen. Diese Kriterien sollten sich an bewährten Praktiken und den Anforderungen von ISO 27002 orientieren. Dadurch wird sichergestellt, dass die Überprüfung objektiv und nachvollziehbar ist.

Dokumentation und Berichterstattung

Die Prüfung und deren Ergebnisse sollten systematisch dokumentiert werden. Dies ermöglicht eine auch für Dritte nachvollziehbare Rückverfolgbarkeit von Maßnahmen und Verbesserungen. Die Berichterstattung über die Überprüfungsergebnisse sollte an die relevanten Stakeholder, einschließlich des Managements, erfolgen.

Kontinuierliche Verbesserung

Die unabhängige Überprüfung der Informationssicherheit sollte als Teil eines kontinuierlichen Verbesserungsprozesses betrachtet werden. Folglich sollten Ergebnisse der Kontrollen immer ausschlaggebend für etwaige Korrekturmaßnahmen sein.

 

Diese Maßnahmen können zur Gewährleistung der Angemessenheit, Eignung und Wirksamkeit der Informationssicherheit innerhalb einer Organisation beitragen. Es ist jedoch anzumerken, dass die organisatorischen Lösungen zur unabhängigen Überprüfung der Informationssicherheit je nach den spezifischen Anforderungen und Ressourcen eines Unternehmens variieren können.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die activeMind AG stellen Ihren Mandanten ein Auditprogramm, Auditpläne, Checklisten für Audits, Auditberichte und Maßnahmenlisten zur Verfügung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.