Vorgehensweise und praktische Umsetzung der Informationssicherheit nach ISO 27001

isms umsetzung 8phasen315x200

Der folgende Beitrag erläutert Schritt für Schritt, wie eine Umsetzung der ISO/ IEC 27001 für das Management von Informationssicherheit umgesetzt werden sollte. Er zeigt auf, welche Rahmenbedingungen dabei zu beachten sind und liefert praktische Hinweise für einen nachhaltigen und effizienten Projekterfolg.

Sie müssen das Rad bei der Umsetzung von ISO 27001 nicht neu erfinden! Beschleunigen Sie die Umsetzung von Cyber-Sicherheit und Informationssicherheit nach ISO 27001 mit einem Tool und Fachdokumenten, die von Fachkräften weltweit akzeptiert werden.

Für Unternehmen gibt es zahlreiche Motive, sich mit einer Ausrichtung oder sogar Zertifizierung nach der ISO/ IEC 27001 auseinanderzusetzen. Die Gesetzgebung sendet die notwendigen Signale, welchen Stellenwert derzeit das Thema Informationssicherheit und Cyber Security einnimmt. Die Industrie beispielsweise ist auf den Schutz ihres Know-hows und damit ihrer Wettbewerbsvorteile aber auch infolge der hohen Automatisierungsgrade auf die hohe Verfügbarkeit der IT Services angewiesen. Es empfiehlt sich daher, die bestehenden Umsetzungsgesetze aufmerksam zu verfolgen und bei sich frühzeitig die notwendigen Vorbereitungen für eine ISMS-Implementierung einzuleiten.

 

1. Rückhalt im Management

Ein Management Committment ist von grosser Bedeutung, damit die ISMS Umsetzung hinsichtlich Qualität, Zeit, Budget möglichst reibungslos erfolgt. Der Projektantrag soll neben den Zielen die Zeitplanung und die personellen sowie finanziellen Ressourcen unter Berücksichtigung des Projektrahmens (Scope) definieren, in dem das ISMS künftig betrieben werden soll. Gegebenenfalls ist auch der Einsatz externer Experten mitzuberücksichtigen. Das Management muss zudem mit potentiell betroffenen Fachbereichen die Planungen abstimmen.

 

2. Self-Assessment mit Standardfragebogen und GAP-Analyse

informationssicherheit, isms, gap analyseUm die Parameter des Projektrahmens für die Informationssicherheit sowie den Projektumfang bestmöglichst einschätzen zu können, hat sich die Ermittlung des Status Quo, einer sogenannten „Gap-Analyse“ (Lückenanalyse) als „Best-Practice“ besonders bewährt. Innerhalb eines Vorprojektes wird dafür der personelle, prozessorientierte und organisatorische Reifegrad des Unternehmens möglichst objektiv identifiziert und beurteilt. Dies geschieht anhand standardisierter Fragebögen, basierend auf ISO-Standards, Best-Practices, rechtlich und regulatorischen sowie technisch-organisatorischen Anforderungen.

Der ermittelte Status Quo (Ergebnis des Self-Assessments bzw. der GAP-Analyse) hilft die Detailplanungen für das ISMS-Projekt auszuarbeiten. Die dazu notwendigen Arbeitsschritte werden anhand des Phasenmodells zur ISMS Umsetzung Schritt für Schritt dargestellt. Es wird in acht aufeinander aufbauende Projektphasen dargestellt. Dieses Phasenmodells zur ISMS Umsetzung dienen dazu, die notwendigen Arbeitspakete und eine Detailplanung sowie die Projektsteuerung zu definieren.

 

3. Organisation und ISMS Geltungsbereich (Scope) definieren

In diesem Arbeitsschritt wird die Organisation analysiert, in der das ISMS betrieben werden soll. Dies geschieht zielführend auch anhand einer Checkliste. Die zu untersuchenden Punkte werden mittels Interviews oder Workshops zusammengetragen.

Dabei sollen folgende Fragestellungen geklärt werden:

  • Welche Organisationseinheiten im Unternehmen sollen vom ISMS künftig abgedeckt werden und welche nicht (Grenzen)?
  • Welches sind die informationsverarbeitenden Prozesse und die dazu gehörigen Datenflüsse? Wo liegen diese?
  • Welche externen Parteien (Drittunternehmen) sind zu berücksichtigen (Kunden, Mitarbeiter, Dienstleister, Lieferanten, Behörden, ...)
  • Welche expliziten und impliziten Anforderungen und Erwartungen stellen diese Drittfirmen an die Organisation bzw. das ISMS?
  • Welche externen Einflussfaktoren (u. a. rechtlich-regulatorische Vorgaben, Wettbewerbssituation, Marktstellung, Branchenspezifika) sind zu berücksichtigen?

Ein Dokumentationsrahmenwerk sollte schon frühzeitig geplant und erstellt werden. Die Dokumentationsregeln müssen Anforderungen an die Prozesse zur Erstellung, Veröffentlichung, Speicherung, Änderung, Versionierung und Entsorgung erfüllen (Revisionssicherheit).

Es können dafür Content Management Systeme wie WIKIs oder strukturierte Dateiablagen genutzt werden. Auch das Tool verinice. (Open Source Lösung als Einzelplatz oder Web Server Lösung) sind für die Dokumentation sehr gut geeignet.

 

informationssicherheit, isms, umsetzungAn der Spitze der Dokumentation steht die Leitlinie der Informationssicherheit mit folgenden Inhalten:

» Benennung der Sicherheitsziele bzw. der Methodik, um diese zu definieren
» Definition, Festschreibung, Messung und Planung von Sicherheitszielen
» Die Verpflichtung zur Herstellung / Betrieb von Informationssicherheit
» Die Verpflichtung zur kontinuierlichen Verbesserung des ISMS (KVP)


Ein Richtlinienrahmenwerk wird idealerweise schon von Anfang an mit aufgebaut. Im Rahmen der weiteren Projektpasen wird der Richtlinienrahmenwerk stetig konkretisiert. Ein Beispiel könnte wie nebenan aussehen. 

 

 

4. Schutzbedürftige Informationen und Assets identifizieren

informationssicherheit, umsetzung, iso27001, isms
In diesem Arbeitsschritt werden die schutzbedürftigen Geschäftsinformationen (primäre Assets) und die zugehörigen sekundären Assets identifiziert und erfasst. Zu den sekundären Assets zählen die informationsverarbeitenden IT-Anwendungen, Server- und Speichersysteme, Netzwerke und infrastrukturelle Einrichtungen sowie Arbeitsmittel oder auch Mitarbeiterrollen. Zum Beispiel mittels dem Tool verinice. können für jedes Asset die Wirkungsketten zusammengestellt und dokumentiert werden. Welche Geschäftsinformationen im definiertem Projektrahmen (Scope) der Organisation von Bedeutung sind, ergibt sich durch Interviews mit den verantwortlichen Führungskräften.

 

 

 

 

 

5. Durchführung Schutzbedarfs- und Risikoanalyse

informationssicherheit, isms, umsetzung, iso27001Prozesse und Assets müssen zunächst bewertet werden, damit man bestimmen kann, welches Schutzniveau für einen bestimmten Geschäftsprozess inklusive seiner zugehörigen IT-Services und sekundären Assets angemessen ist. Damit dieses Ziel erreicht werden kann, wird eine Business Impact Analyse (BIA) (vgl. BSI-Standard 100-4: Notfallmanagement) durchgeführt. Die Zielsetzung der Business Impact Analyse ist, die maximale Schadenshöhe durch Verletzungen der Schutzziele der Informationssicherheit innerhalb der einzelnen Geschäftsprozesse zu identifizieren. Die Schadenspotentiale müssen für jedes der Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) konkretisiert werden.

Die Schadenausmasse werden in den folgenden vier Kategorien ausgewiesen: (1) Finanzielle Auswirkungen, (2) Compliance-Auswirkungen, (3) Operative Auswirkungen, (4) Aussen- und Innenwirkung. Gleichzeitig wird auch die allgemeine Risikotoleranz ermittelt , um darauf basierend die Anforderungen an den Schutzbedarf ableiten zu können.

 

 

informationssicherheit, isms, gefährdungsanalyseDie Gefährdungsanalyse (Bedrohungen und Schwachstellen)

Die systematische Gefährdungsanalyse ermöglicht eine umfassende Sicht auf Bedrohungen und Schwachstellen von Assets und deren Eintrittswahrscheinlichkeit. Ausgewählte Bedrohungen und Schwachstellen werden zu Gefährdungen zusammengeführt, um eine vereinfachte Bewertungsmöglichkeit zu schaffen. Eine umfangreiche Gefährdungsliste liefert zum Beispiel das BSI (vgl. BSI-Gefährdungskataloge) oder die ISO 27005.

Zur Gefährdungsbeurteilung hinsichtlich ihrer Eintrittswahrscheinlichkeit sollen bereits vorhandene oder geplante Sicherheitsmassnahmen miteinbezogen werden. Für die fundierte Gefährdungsanalyse empfiehlt es sich, diese zusammen mit Experten durchzuführen, um schwierige Fragestellung durch auskunftsfähige Sicherheitsspezialisten klären zu können. Aus den ermittelten Werten für Schadenausmass und Eintrittswahrscheinlichkeit ergibt sich eine Einordnung in der Risikomatrix. Wenn dies für jede relevante Gefährdung durchgeführt wird, ist die Risikoanalyse abgeschlossen. Anhand der Liste können die bewerteten Risiken priorisiert werden und ein Risikoeigner (Risk-Owner) bestimmt werden, der sich dem Risiko verantwortlich zeichnte und sich um die Risikoentwicklung kümmert.

 

6. Risikobehandlungsplan - Massnahmen zur Risikobehandlung

Nach der Risikoanalyse wird festgelegt, wie diese Risiken zu bewältigen sind. Es erfolgt die Zuordnung der Sicherheitsmassnahmen zu Umsetzungsverantwortlichen (Risikoeigner). Es entsteht somit ein Risikobehandlungsplan. Dieser umfasst die noch zu erledigenden Sicherheitsmassnahmen, um das ISMS zu etablieren. Der Risikoeigner steuert und überwacht die Umsetzung der Sicherheitsmassnahmen bis zur Fertigstellung.

Zusammen mit der Umsetzung der Sicherheitsmassnahmen kann auch das für die Zertifizierung erforderliche Statement of Applicability (SOA) fertiggestellt werden.

 

7. ISMS messen, steuern und Verbesserungen umsetzen

Ein für den kontinuierlichen Verbesserungsprozess (KVP) im Rahmen des ISMS anerkannter und bewährter Prozess ist der PDCA-Zyklus (mit den Phasen: Plan, Do Check, Act), der seitens der ISO hier methodisch herangezogen wird. Aus der Praxiserfahrung sei angemerkt, dass ein Zertifizierer nicht erwartet, dass alle initial ermittelten Sicherheitsmassnahmen zu einer Erstzertifizierung bereits zu 100 Prozent umgesetzt worden sind. Jedoch sind ausstehende Arbeiten nachvollziehbar zu steuern, und es sollten sich darunter keine signifikanten Sicherheitsmassnahmen befinden, die Zweifel an der systemischen Funktionsfähigkeit des ISMS aufkommen lassen (beispielsweise fehlendes oder nicht angewendetes IT Risikomanagement).

 

8. Ausbildung und Information Security Awareness

Die Akzeptanz und Unterstützung von Information Security Awareness bzw. IT Sicherheit durch Mitarbeitende ist keine universelle Voraussetzung. Man muss auch damit rechnen, dass sich Mitarbeiter nicht für dieses Thema interessieren. Bei Security Awareness gehen die Meinungen über die Nützlichkeit stark auseinander. Während die einen Security Awareness als lobenswerte und nützliche Sicherheitsmassnahme einschätzen, behaupten andere, dass es schlichtweg Zeit- und Geld- Verschwendung ist. Wie schwer es ist, den Menschen zu Veränderungen im eigenen Verhalten zu bewegen kann jeder an sich selbst beurteilen. Ungeachtet dieser Tatsache, sind aber viele Unternehmen bzw. Branchen auch verpflichtet, Mitarbeitende in der sicheren und korrekten Nutzung der IT zu schulen. Die Frage ist nur, wie viel Investition in Sicherheitsausbildung ist sinnvoll und wie sollte diese gestaltet sein? Dabei sind Präsenzschulungen, E-Learnings und Security Awareness Kampagnen gut aufeinander abzustimmen. Einmalaktionen sollte man lieber lassen. Kurze Sequenzen in geplanten Abständen, welche die IT Sicherheitsthemen und Cyber Security immer wieder in den Vordergrund stellen, belasten die Mitarbeitenden weniger und helfen das Sicherheitsbewusstsein und das Verständnis für Sicherheitsmassnahmen möglichst hoch zu halten.

 

Projektdauer bis zur ISMS Zertifizierung

Eine häufig gestellte praktische Frage ist die nach der Dauer eines ISMS-Einführungsprojektes. Diese Frage ist naturgemäss nicht eindeutig zu beantworten und hängt von einer Reihe zumeist unternehmensspezifischer Rahmenbedingungen ab. Gemäss unseren Umsetzungserfahrungen kann in der Regel jedoch von einer Projektdurchlaufzeit von ca. 18 Monaten als Zielgrösse gerechnet werden.

 

Wer kann Sie bei der ISMS Umsetzung zum Beispiel als Coach oder Berater unterstützen / entlasten?
Kontaktieren Sie uns. Gerne sprechen wir mit Ihnen über die verschiedenen Möglichkeiten.

Sie müssen das Rad bei der Umsetzung der ISO 27001 nicht neu erfinden! Beschleunigen Sie die Umsetzung von Informationssicherheit und Cyber Security mit einem Tool, und Fachdokumenten die von Fachkräften weltweit akzeptiert werden.
Eugen Leibundgut, Partner RM Risk Management AG

nach oben