Wichtige Firmendaten mit System schützen
Risikobehandlungsplan
von Jürgen Mauerer - 09.05.2019
Im Risikobehandlungsplan legen die ISMS-Verantwortlichen fest, wie ihr Unternehmen mit diesen Informationssicherheitsrisiken umgeht und mit welchen Maßnahmen es seine Assets vor Missbrauch schützt. Zentrales Instrument dafür ist der eingangs erwähnte Anhang A der ISO/IEC 27001, der Maßnahmenziele und konkrete Maßnahmen beschreibt, mit denen Firmen die Informationssicherheit verbessern.
Am Ende steht die Erklärung zur Anwendbarkeit, das Statement of Applicability (SoA). „Das SoA beschreibt, welche Maßnahmen warum getroffen oder ausgeschlossen wurden, um die erkannten Risiken zu minimieren“, erklärt Bettina König. Das SoA gibt zudem Auskunft zum Status der Maßnahmen.
Audit: Grünes Licht für das ISMS
Anschließend folgen das interne Audit, die Bewertung und Freigabe des ISMS durch die Geschäftsführung und die ISO-27001-Zertifizierung. Beispiel Stadtwerke Fürstenfeldbruck: Das Unternehmen benötigte für den ISMS-Aufbau knapp eineinhalb Jahre. Im September 2017 folgte vor der Zertifizierung das interne Audit, um zu prüfen, ob das ISMS die Vorgaben der ISO 27001 erfüllt. Diese Prüfung soll grundsätzlich Verbesserungspotenziale aufzeigen. Das Zertifizierungs-Audit bestanden die Stadtwerke ohne Probleme. Es läuft meist in zwei Schritten ab: Der Auditor überprüft zunächst, ob alle von der ISO/IEC 27001 geforderten Dokumente vorhanden sind und den Anforderungen genügen. Im zweiten Schritt spricht der Auditor mit den Mitarbeitern und prüft vor allem das SoA-Dokument genauer. Die Zertifizierung gilt für drei Jahre. In diesem Zeitraum erfolgt bis zum nächsten Zertifizierungs-Audit jedes Jahr ein abgespecktes externes Überprüfungs-Audit, dem wiederum ein internes Audit vorausgeht.
PDCA-Zyklus zur Verbesserung
Die regelmäßigen internen und externen Audits stehen für die stetige Verbesserung des ISMS, einer wesentlichen Forderung der ISO/IEC 27001. Eine Methode zur kontinuierlichen Verbesserung ist der Plan-Do-Check-Act-Ansatz (PDCA):
Plan: Definition des Soll-Zustands
Do: Umsetzung des Soll-Zustands in den Ist-Zustand
Check: Vergleich des umgesetzten Ist-Zustands mit dem vorher definierten Soll-Zustand
Act: Anpassung des Ist-Zustands aufgrund festgestellter Probleme.
In den älteren Versionen der ISO 27001 ist die Vorgehensweise nach PDCA obligatorisch. In der neuen Normfassung ist jedoch nur noch die kontinuierliche Verbesserung das Ziel. Diese Verbesserung kann auch mit anderen Vorgehensweisen erreicht werden. PDCA ist aber nach wie vor der Best-Practice-Ansatz.
„Das ISMS ist kein Papiertiger oder einmaliger Akt, sondern muss in einem permanenten Prozess gelebt werden. Hier sind die Verantwortlichen gefordert, sprich die Geschäftsführung, der CISO, die Security- oder Datenschutzbeauftragten oder auch die Personalabteilung“, erklärt Michael Will. „Organisationen müssen Metriken und Kennzahlen festlegen und regelmäßig prüfen, ob ihre Maßnahmen greifen beziehungsweise effektiv sind. Sie müssen ihr ISMS zudem bei neuen Anforderungen wie einem Umzug oder der Gründung neuer Standorte anpassen und bei neuen Bedrohungsszenarien ihre Sicherheitsmaßnahmen aktualisieren.“
Die Wirksamkeit eines ISMS ist immer abhängig von den Sicherheitszielen der Organisation und den internen und externen Vorgaben zur Informationssicherheit. Wenn das ISMS nach einer gewissen Anlaufzeit diese Vorgaben erfüllt, die Sicherheitsziele erreicht und diese kontinuierlich verbessert, ist es als wirksam zu betrachten.
Natürlich müssen auch die Mitarbeiter eines Unternehmens das ISMS akzeptieren und in ihrem Berufsalltag leben, selbst wenn sie im Vergleich zu vorher mehr Sicherheitsregeln einhalten müssen oder ihr berufliches Mobiltelefon nicht mehr privat nutzen dürfen. Die ISO/IEC 27001 schreibt auch Security-Awareness-Trainings vor, um die Mitarbeiter für potenzielle Gefahren zu sensibilisieren. „Ein ISMS mit Zertifizierung nach ISO/IEC 27001 sorgt nicht für 100-prozentige Sicherheit“, resümiert Bettina König. „Es reduziert aber die Risiken und schafft mit Richtlinien, Prozessen und Maßnahmen den Rahmen für eine höhere Informationssicherheit in Organisationen."