Wichtige Firmendaten mit System schützen

Risikobehandlungsplan

von - 09.05.2019
Cyberangriffe auf Unternehmen
Angriffsarten: Wenn Industrieunternehmen Schaden durch digitale Angriffe erleiden, stecken meist Infektionen mit Schadsoftware dahinter.
(Quelle: Bitkom "Wirtschaftsschutzstudie 2018" (n=503) )
Im Risikobehandlungsplan legen die ISMS-Verantwort­lichen fest, wie ihr Unternehmen mit diesen Informations­sicherheitsrisiken umgeht und mit welchen Maßnahmen es seine Assets vor Missbrauch schützt. Zentrales Instrument dafür ist der eingangs erwähnte Anhang A der ISO/IEC 27001, der Maßnahmenziele und konkrete Maßnahmen beschreibt, mit denen Firmen die Informationssicherheit verbessern.
Am Ende steht die Erklärung zur Anwendbarkeit, das Statement of Applicability (SoA). „Das SoA beschreibt, welche Maßnahmen wa­rum getroffen oder ausgeschlossen wurden, um die erkannten Risiken zu minimieren“, erklärt Bettina König. Das SoA gibt zudem Auskunft zum Status der Maßnahmen.

Audit: Grünes Licht für das ISMS

Anschließend folgen das interne Audit, die Bewertung und Freigabe des ISMS durch die Geschäftsführung und die ISO-27001-Zertifizierung. Beispiel Stadtwerke Fürstenfeldbruck: Das Unternehmen benötigte für den ISMS-Aufbau knapp eineinhalb Jahre. Im September 2017 folgte vor der Zertifizierung das interne Audit, um zu prüfen, ob das ISMS die Vorgaben der ISO 27001 erfüllt. Diese Prüfung soll grundsätzlich Verbesserungspotenziale aufzeigen. Das Zertifizierungs-Audit bestanden die Stadtwerke ohne Probleme. Es läuft meist in zwei Schritten ab: Der Auditor überprüft zunächst, ob alle von der ISO/IEC 27001 geforderten Dokumente vorhanden sind und den Anforderungen genügen. Im zweiten Schritt spricht der Auditor mit den Mitarbeitern und prüft vor allem das SoA-Dokument genauer. Die Zertifizierung gilt für drei Jahre. In diesem Zeitraum erfolgt bis zum nächsten Zertifizierungs-Audit jedes Jahr ein abgespecktes externes Überprüfungs-Audit, dem wiederum ein internes Audit vorausgeht.
Bettina König
Bettina König
Geschäftsführerin König Consult
www.koenig-consult-gmbh.de
Foto: Bettina König
„Ein ISMS mit Zertifizierung nach ISO/IEC 27001 sorgt nicht für 100-prozentige Sicherheit.“

PDCA-Zyklus zur Verbesserung

Die regelmäßigen internen und externen Audits stehen für die stetige Verbesserung des ISMS, einer wesentlichen Forderung der ISO/IEC 27001. Eine Methode zur kontinuierlichen Verbesserung ist der Plan-Do-Check-Act-Ansatz (PDCA):
Plan: Definition des Soll-Zustands
Do: Umsetzung des Soll-Zustands in den Ist-Zustand
Check: Vergleich des umgesetzten Ist-Zustands mit dem vorher definierten Soll-Zustand
Act: Anpassung des Ist-Zustands aufgrund festgestellter Probleme.
In den älteren Versionen der ISO 27001 ist die Vorgehensweise nach PDCA obligatorisch. In der neuen Normfassung ist jedoch nur noch die kontinuierliche Verbesserung das Ziel. Diese Verbesserung kann auch mit anderen Vorgehensweisen erreicht werden. PDCA ist aber nach wie vor der Best-Practice-Ansatz.
„Das ISMS ist kein Papiertiger oder einmaliger Akt, sondern muss in einem permanenten Prozess gelebt werden. Hier sind die Verantwortlichen gefordert, sprich die Geschäftsführung, der CISO, die Security- oder Datenschutzbeauftragten oder auch die Personalabteilung“, erklärt Michael Will. „Organisationen müssen Metriken und Kennzahlen festlegen und regelmäßig prüfen, ob ihre Maßnahmen greifen beziehungsweise effektiv sind. Sie müssen ihr ISMS zudem bei neuen Anforderungen wie einem Umzug oder der Gründung neuer Standorte anpassen und bei neuen Bedrohungsszenarien ihre Sicherheitsmaßnahmen aktualisieren.“
Die Wirksamkeit eines ISMS ist immer abhängig von den Sicherheitszielen der Organisation und den internen und externen Vorgaben zur Informationssicherheit. Wenn das ISMS nach einer gewissen Anlaufzeit diese Vorgaben erfüllt, die Sicherheitsziele erreicht und diese kontinuierlich verbessert, ist es als wirksam zu betrachten.
Natürlich müssen auch die Mitarbeiter eines Unternehmens das ISMS akzeptieren und in ihrem Berufsalltag leben, selbst wenn sie im Vergleich zu vorher mehr Sicherheitsregeln einhalten müssen oder ihr berufliches Mobiltelefon nicht mehr privat nutzen dürfen. Die ISO/IEC 27001 schreibt auch Security-Awareness-Trainings vor, um die Mitarbeiter für potenzielle Gefahren zu sensibilisieren. „Ein ISMS mit Zertifizierung nach ISO/IEC 27001 sorgt nicht für 100-prozentige Sicherheit“, resümiert Bettina König. „Es reduziert aber die Risiken und schafft mit Richtlinien, Prozessen und Maßnahmen den Rahmen für eine höhere Informationssicherheit in Organisationen."
Anbieter für ISMS-Software (Auswahl)

Anbieter

Programm

Funktionen

Antares Informations-Systeme

Antares RiMIS ISMS

Zielgruppenbezogene Dokumentation, Identifizieren von Schwachstellen, rollenbasierte Anweisungen, Integration von Schulungen et cetera zum Aufbau eines ISMS

Contechnet

INDITOR ISO

Vielfältige Funktionen leiten durch die Implementierung eines ISMS: Dokumentation, zentral gesteuertes Risikomanagement; Assets lassen sich in Gruppen zusammenfassen; Aufgabenmanagement; gemeinsame Datenbasis für Informationssicherheit, IT-Notfall-planung und Datenschutz

Fuentis

Fuentis ISMS Modul zur ISO 27001

Identifizierung der Unternehmenswerte, Risiken und Bedrohungen; Risikoanalyse und Risikobewertung; Erstellen eines Risikobehandlungsplans, fortlaufende Dokumentation

GRC Partner

DocSetMinder; Modul „ISMS-ISO/IEC 27001“

Bildet die Anforderungen der Norm ISO/IEC 27001 vollständig und detailliert ab; Risikoanalyse; Reporting Services zur Überwachung der Umsetzung der festgelegten Maßnahmen; Maßnahmenziele und Maßnahmen aus dem Anhang A der Norm integriert

HiScout

HiScout ISM

Basis für den Regelkreis des ISMS, Dokumentation, schutzzielbezogenes IT-Risikomanagement, bildet Audit-Prozess ab, zentrale Verfolgung und Erfolgskontrolle der Maßnahmen, ISM-Cockpit zum schnellen Überblick über den aktuellen Status des Managementsystems

Ibi Systems

Ibi systems iris

Verwaltung von Dokumenten (Richtlinien, Protokolle et cetera); Gap-Analysen und Planung von Audits; Erfassung, Bewertung, Behandlung und Überwachung der IT-Risiken inklusive Verwaltung und Tracking von Maßnahmen; Notfall-Management nach gängigen Standards

Schleupen

R2C_SECURITY

Organisation und Dokumentation des ISMS; Zertifizierungen nach ISO 27001 und BSI-IT-Grundschutz; hilft auch bei der Umsetzung der EU-Datenschutz-Grundverordnung; Reporting

SerNet

Verinice (vom BSI lizenziert)

Open-Source-Tool; Aufbau und Betrieb eines ISMS nach ISO 27001; Implementierung von BSI-IT-Grundschutz; Asset-Register; Dokumente und Aufzeichnungen; Risikoanalyse; Reporting, Fragenkataloge für Audits
Seite
  1. Teil: Wichtige Firmendaten mit System schützen
  2. Teil: ISMS ist Chefsache
  3. Teil: Schrittweises Vorgehen
  4. Teil: Risikobehandlungsplan
  5. Teil: Im Gespräch mit Sven Kurzberg von EDAG Engineering
Verwandte Themen

Mehr zum Thema