IT-Sicherheit nach ISO 27001

Informations-Sicherheits-Management-System nach ISO 27001

Seit einigen Jahren haben sich im Bereich der IT-Sicherheit verschiedene Standards und Zertifizierungen für Informations-Sicherheits-Management-Systeme (ISMS) etabliert. Die verbreiteste ist die internationale Norm ISO 27001, welche aus der britischen Norm BS 7799-2 entwickelt wurde. Die Norm beinhaltet viele Best-Practices-Ansätze aus dem gesamten Bereich der Informationssicherheit und ist der internationale Standard für die Bewertung eines ISMS.

Prozessorientierung

Im Gegensatz zum IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) stellt die ISO 27001 den prozessorientierten Ansatz in den Vordergrund. Die Norm sieht die IT-Sicherheit als Prozess an, welcher nach dem PDCA-Modell (Plan-Do-Check-Act) organisiert ist:

  • PLAN - Planung und Konzeptionierung des ISMS

  • DO - Umsetzung der Planungen des ISMS

  • CHECK - regelmäßige Erfolgskontrolle und Überwachung der Zielsetzungen

  • ACT - stetige Optimierung und Verbesserung des Prozesses

Da es sich bei PDCA um ein Zyklus-Modell handelt, beginnt dieses nach Abschluss des letzten Schrittes ("ACT") wieder von vorne.

Einführung eines ISMS

Bei der Einführung eines ISMS muss zunächst die Sicherheitspolitik des Unternehmens festgelegt werden. Daraus leiten sich die Sicherheitsziele, -prozesse und -verfahren ab und können eintsprechend abgebildet werden. Im Rahmen der Einführung eines ISMS sind insbesondere folgende Schritte relevant:

  • Umsetzung und Dokumentation der festgelegten Sicherheitspolitik und der daraus abgeleiteten Sicherheitsziele, -prozesse und -verfahren.
  • Überprüfung der durchgeführten Maßnahmen anhand der definierten Vorgaben und Information des Managements über den Erfüllungsgrad.
  • Auf Basis der bei der Überprüfung erkannten Defizite werden konkrete Verbesserungsmaßnahmen definiert und priorisiert. Die regelmäßige Definition von Verbesserungen und Ihre Umsetzung führt zu einer kontinuierlichen Verbesserung des ISMS.
  • Umfassende Dokumentation des ISMS.
In vielen Unternehmen sind bereits rudimentäre Strukturen eines ISMS etabliert, der größte Schwachpunkt stellt oftmals die Dokumentation dar. Diese umfasst unter anderem:
  • IT-Sicherheitsleitlinie
  • Vorgaben des Managements
  • Risikoanalyse einschließlich Analyse von Schutzbedarf und Bedrohung sowie Bewertung der Risiken
  • Sicherheitsrichtlinien unter technisch-organisatorischen Aspekten (u.a. Allgemeines Betriebskonzept, Richtlinie zur physischen Sicherheit, Konzeptionierung des Netzwerks, Backup-Richtlinie, Virenschutz-Richtlinie, E-Mail-Richtlinie, Archivierungskonzept, Notfall-Konzept)

IT-Sicherheitsbeauftragter

Zur Verabschiedung der Informationsschutz- und Sicherheitsaufgaben sowie zur Überwachung Ihrer Einhaltung innerhalb der Organisation wird in vielen Unternehmen neben dem Datenschutzbeauftragten (DSB) auch ein IT-Sicherheitsbeauftragter (ITSB) eingesetzt.

Der ITSB ist Ansprechpartner für sämtliche Fragen der IT-Sicherheit und sollte auch bei Entscheidungsfindungs- und Auswahlprozessen in Sachen Software, IT-Struktur, Neubau und vergleichbarem hinzugezogen werden.

Analog zum Datenschutzbeauftragten kann die Bestellung zum IT-Sicherheitsbeauftragten sowohl intern (eigener Mitarbeiter) als auch extern (Dienstleister) erfolgen. Insbesondere bei Teilzeit-Aufgabe ist der externe ITSB oftmals günstiger als der interne, da keine Kosten für Aus- und Weiterbildung entstehen, eine höhere Effizienz aufgrund umfangreicher Erfahrungen sichergestellt ist und sich die eigenen Mitarbeiter auf Ihre Kernkompetenzen konzentrieren können.

Auditierung

Sobald auf Basis der vorausgegangenen Schritte ein angemessenes und dokumentiertes Sicherheitsniveau erreicht werden konnte, kann eine Auditierung der IT-Sicherheit gemäß ISO 27001 erfolgen. Das Audit wird durch lizenzierte Auditoren durchgeführt und der Auditbericht anschließend zertifiziert

Unterstützung durch die Nemesis Consulting GmbH

Sie möchten Ihre IT-Sicherheit durch ein Informations-Sicherheits-Management-System (ISMS) nach ISO 27001 umsetzen? Gerne unterstützen wir Sie durch Schulungen, Beratungen, Übernahme von Teilaufgaben oder der vollständigen Umsetzung der oben aufgeführten Realisierungsschritte.

Gerne stellen wir auch den externern Sicherheitsbeauftragten (ITSB) für Ihr Unternehmen.