Schrittweises Vorgehen

Für den Aufbau und den Betrieb eines ISMS gibt es keine festgelegte Standardmethode, da jedes Unternehmen oder jede Organisation individuelle Anforderungen und Herausforderungen hat.

Es gibt aber bewährte Best Practices. Bettina König von König Consult empfiehlt ihren Kunden ganz pragmatisch, die Forderungen der ISO/IEC 27001 Kapitel für Kapitel zu betrachten und umzusetzen, beginnend mit der Defini­tion des Anwendungsbereichs der ISO 27001. Wesentlicher Bestandteil eines ISMS ist die Dokumentation und Beschreibung der Richtlinien, Prozesse, Verfahren und Maßnahmen, mit denen Firmen die Informationssicherheit erhöhen.

„So entsteht ein Dokumentenset mit einer pyramidalen Struktur mit der Leitlinie an der Spitze, gefolgt von Richtlinien, Prozessen und Verfahren sowie den Aufzeichnungen. Der Auditor prüft dann bei der Zertifizierung des ISMS, ob diese Dokumente mit der Norm übereinstimmen“, erläutert König. Die Leitlinie ist ein Dokument, das die Politik, Ziele und Verantwortlichkeiten der Organisation rund um Informa­tions­­sicherheit beschreibt. Meist ist ein Chief Information Security Officer (CISO) für den Aufbau des ISMS zuständig.

Die Richtlinien sind konkreter und beschreiben einzelne Themen wie Datensicherung oder den Einsatz mobiler Geräte. „Diese Dokumente sind relativ zahlreich und enthalten auch konkrete Anweisungen wie ‚USB-Sticks sind grundsätzlich verboten‘ oder klare Regeln zur privaten Internetnutzung“, so Bettina König. Die Dokumente zu Prozessen und Verfahren beschreiben die Prozesse, beim Change-Management etwa das Vorgehen zum Einspielen von Patches oder den Offboarding-Prozess beim Personal, sowie die Verfahren, also den vorgegebenen Weg beim Umsetzen des Prozesses (etwa Eröffnung eines Tickets). Dazu Bettina König: „Bei den Richtlinien wie einem Backup- oder Notfall-Plan sowie den Prozessbeschreibungen handelt es sich um Vorgabedokumente. Sie sind in die Zukunft gerichtet und lassen sich ändern. Die Aufzeichnungen als letztes Glied der Dokumenten-Pyramide sind Nachweis­dokumente wie Protokolle oder Audit-Berichte, die einen Status anzeigen. Sie sind in die Vergangenheit gerichtet und nicht mehr änderbar.“

Ein wichtiger Schritt auf dem Weg zum ISMS ist die Inventarisierung der Assets, also der Werte im Unternehmen wie Informationen, Anlagen, Hardware, Software, Mitarbeiter oder Reputation. Bei den Stadtwerken Fürstenfeldbruck gehört dazu neben Servern oder PCs auch der Strukturplan des IT-gesteuerten Strom-Fernwirknetzes, der etwa zeigt, mit welchen Switches ein Umspannwerk verbunden ist. Eine Übersicht der Assets bildet die Grundlage für die Identifikation und Bewertung der damit verbundenen Risiken.

„Meist sind der Einkauf oder die Buchhaltung am besten über das Inventar informiert, weil diese Abteilungen tagtäglich mit der Verwaltung von Assets zu tun haben. In der IT-Abteilung liegt der Fokus mehr auf der Erhaltung der Produktivsysteme als auf einzelnen Assets. Die Information, wer welches Notebook nutzt oder wie Zugänge verteilt sind, ist dann oft nicht präsent. Allerdings müssen auch diese Informationen auf Knopfdruck verfügbar sein“, betont Michael Will von DOS Software-Systeme.

Er rät den Firmen, eine Hierarchie für die Assets festzulegen. Dabei werden alle Geschäftsprozesse als Top-Level-Assets gesehen, denen alles als Ressource zugeordnet wird, was für den Betrieb des Geschäftsprozesses notwendig ist. Mit diesem Vorgehen lässt sich die Inventarisierung von Personal, IT, Anlagen oder Standorten übersichtlich gestalten. Gleichzeitig können die Geschäftsprozesse in Verbindung mit einer Priorisierung abgearbeitet werden.

Steht das Asset-Inventar, folgen die Analyse und Bewertung der Risiken für die Werte und den Geschäftsbetrieb. „Die Bewertung der Risiken erfolgt in der Regel nach Eintrittswahrscheinlichkeit und Schadenshöhe Stufen 1- 4 sowie nach Kriterien wie ‚Tolerabel‘ oder ‚Katastrophal‘“, erläutert Michael Will. Orientierung bieten hier der BSI-Standard 200-3 zur Risikoanalyse auf Basis des IT-Grundschutzes oder die ISO 27005 „Risikomanagement“.