Logo der activeMind AG

ISO 27002Kapitel 5.36 Einhaltung von Richtlinien, Vorschriften und Normen für die Informationssicherheit

Ein absolut unverzichtbarer Bestandteil jedes Managementsystems ist die Aufstellung von Regelungen. Mit dieser oft am Anfang übernommenen und gelegentlich sehr mühsamen Aufgabe ist die Arbeit aber noch nicht getan. Die Regelungen müssen nun auch umgesetzt und eingehalten werden.

Organisationen müssen dies überwachen und gegebenenfalls sicherstellen. Im Kapitel 5.36 der ISO 27002 gibt die Norm Empfehlungen zur Informationssicherheits-Politik, um dieses Problem zu meistern.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Worum geht es?

Papier ist geduldig und Gründe, warum bestehende Regelungen nicht befolgt werden, gibt es viele.

Ist die Regelung nicht verständlich? Überfordert die Vorgabe den adressierten Mitarbeiter, weil ihm zu viel Interpretationsspielraum überlassen wird? Gerade dieser Mangel ist in der Praxis sehr häufig anzutreffen, weil der Regelungsversuch sich auf wenige, völlig allgemeine Aussagen und einige Stichworte beschränkt, ohne den Adressaten klar an die Hand zu nehmen.

Geht die Regelung an der gelebten Praxis vorbei und wird daher nicht akzeptiert? Ist die Regelung veraltet und wegen mittlerweile veränderter Umstände nicht mehr passend? Oder ist die Regelung den Adressaten schlichtweg nicht bekannt oder für diese nicht auffindbar?

Zusammengefasst ist ein Prozess notwendig, der Abweichungen und ihre Gründe aufdeckt und es so ermöglicht, gezielt Korrekturmaßnahmen zu ergreifen.

Was schlägt die ISO 27002 vor?

Laut Kapitel 5.36 der ISO 27002 hat im Grunde ein geeignetes und regelmäßiges Audit aller relevanten Prozesse zu erfolgen. Im Rahmen einer solchen Selbstüberprüfung muss die gelebte Praxis mit der jeweils zugrundeliegenden Regelung verglichen werden. Soweit möglich, sollten hierbei automatische Werkzeuge zur Bewertung und Berichterstattung eingesetzt werden.

  • Weicht die tatsächliche Durchführung eines Prozesses von der entsprechenden Vorgabe ab, sind die Gründe für die Abweichung festzustellen. Organisationen sollten in diesem Zusammenhang auch ein Auge darauf haben, ob es tatsächlich für jeden relevanten Prozess eine Regelung gibt.
  • Danach muss die Organisation erörtern, ob eine Korrektur notwendig ist und falls, wie diese konkret aussehen soll. Dies kann bedeuten, dass die Einhaltung der Regelung erzwungen werden muss. Ist der tatsächlich gelebte Prozess aber ebenfalls möglich und rechtskonform, besteht natürlich auch die Möglichkeit, die bestehende Regelung hieran anzupassen.
  • Welche Korrekturmaßnahme ergriffen wird, wann diese umzusetzen ist und auch das sie umgesetzt wurde, ist zu dokumentieren. Selbstverständlich muss bei der Planung der Umsetzungszeit das mit dem entsprechenden Prozess verbundene Risiko berücksichtigt werden.
  • Spätestens im Rahmen der nächsten Selbstüberprüfung muss überprüft werden, ob die Korrekturmaßnahme wirksam war.

Fazit: Umsetzung der Vorgaben ist zäh

Der in Kapitel 5.36 der ISO 27002 behandelte Bereich ist für Organisationen oft schwierig. Erfahrungsgemäß tun sich Verantwortliche bereits damit extrem schwer, in eigener Regie überhaupt eine brauchbare, verständliche und zweifelsfreie Anleitung für Ihre Mitarbeiter zu erstellen.

Wie dann noch überprüft werden kann, ob die Regelung eingehalten wird und woran man eine Erfolgsmessung gegebenenfalls festmachen kann, ist ebenfalls eine häufig schwer überwindbare Hürde. Und wenn dann am Ende auch noch herauskommt, dass es aus irgendeinem Grund nicht klappt, geben viele Verantwortliche auf und ignorieren das Problem.

Der richtige Berater kann hier helfen und Frustration vorbeugen.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Bei einer angestrebten Zertifizierung nach ISO 27001 legen die Berater der activeMind AG großen Wert darauf, dass die geplanten Maßnahmen zur Informationssicherheit zugleich effektiv hinsichtlich der Schutzziele, zur Unternehmenskultur passend und in der Praxis umsetzbar sind, um eine tatsächliche Anwendung durch die Mitarbeitenden zu gewährleisten.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.