Dr. Georg Bayer

Dipl.Physiker
Auditor TÜV ISO 19011:2011
Persönliches Mitglied der DGQ
QM-Beauftragter TÜV

+49-2407 908990-12

Georg.Bayer(at)team-babel.de

Informationssicherheit mit System

Dieser Norm-Entwurf (DIS = Draft International Standard) legt die Anforderungen an Aufstellen, Umsetzen, Betrieb, Überwachung, Bewertung, Wartung und Verbesserung von dokumentierten Informationssicherheit-Managementsystemen in Bezug auf die allgemeinen Geschäftsrisiken einer Organisation fest.

Er legt außerdem die Anforderungen an die Einführung von auf die Bedürfnisse einer Organisation oder Teilen davon zugeschnittenen Sicherheitskontrollen fest. Das Informationssicherheits-Managementsystem ist dafür entwickelt worden, die Auswahl ausreichender und angemessener Sicherheitskontrollen zu gewährleisten, die den Informationsbestand sichern und interessierten Partnern Vertrauenswürdigkeit vermitteln.

Wir beraten und unterstützen Sie gerne bei

  • Klärung der Frage: „Was bedeutet Informationssicherheit und warum kann Informationssicherheit für ihr Unternehmen notwendig sein?
  • Planung und Konzeption eines wirkungsvollen, schlanken Informationssicherheit-Management-Systems
  • Prüfen und Festlegen des Anwendungsbereich
  • Festlegung der Sicherheitsanforderungen
  • Einschätzung der Sicherheitsrisiken
  • Auswahl von Maßnahmen
  • Entwicklung eigener Richtlinien
  • Risikoeinschätzung und Risikobehandlung
  • Umgang mit Sicherheitsrisiken
  • Planung und Erstellung von Informationssicherheitsleitlinie
  • Erstellung und Implementierung der elektronischen Dokumentation mit wiki babel
  • Durchführung oder Unterstützung bei internen Audits
  • Hilfe bei der Auswahl der Zertifizierungsgesellschaft
  • Vorbereitung der Zertifizierung
  • Begleitung bei der Zertifizierung

Jedes Unternehmen ist einzigartig und braucht eine individuelle, angepasste Beratung.

Wir beraten Sie gerne!

Sie haben Fragen?

1 + 3 = ?

Informationssicherheitsmanagementsystem

Der Standard ISO/IEC 27001 definiert auf knapp 30 Seiten Anforderungen für ein Informationssicherheits-Managementsystem (ISMS). Diese beschreiben einen prozessorientierten Ansatz, der die Planung, Umsetzung und Durchführung, die Überwachung und Überprüfung sowie die Wartung und Verbesserung des ISMS beinhaltet. (Entstanden ist die ISO/IEC 27001 aus dem British Standard (BS) 7799-2.

Für die Verträglichkeit mit anderen Managementsystemen wurde die Norm ISO/IEC 27001 mit anderen Normen abgestimmt. Dies ermöglicht die konsistente und integrierte Umsetzung und Durchführung mit anderen Managementsystemen. Dazu zählen die beiden internationalen Normen ISO 9001 (Quality management systems – Requirements) und ISO 14001 (Environmental Management systems – Requirements with guidance for use).

Nach der Norm ISO/IEC 27001 können Institutionen ihr ISMS zertifizieren lassen. Die Anforderungen richten sich dabei nicht an eine spezielle Organisationsform, sondern lediglich an ein Informationssicherheitsmanagementsystem. Institutionen können z. B. kommerzielle Unternehmen oder Behörden sein.

Die Reihenfolge der an ein ISMS gestellten Anforderungen verdeutlicht bereits den in der ISO/IEC 27001 verwendeten prozessorientierten Ansatz. Der gesamte Prozess des ISMS ist den vier Phasen des PDCA-Modells zugeordnet, so dass es auf die sich stetig ändernden Einflüsse angepasst werden und schrittweise verbessert werden kann.

PDCA:

In der Planungsphase(„Plan“) werden die Ziele, Strategien und relevanten Prozesse in Bezug auf die entsprechenden Bedürfnisse einer Institution geplant. In der Phase Umsetzung und Durchführung(„Do“) wird das ISMS entsprechend der Planung umgesetzt. Diese beinhaltet unter anderem die Erstellung eines Plans zur Risikobehandlung, die Umsetzung von risikomindernden

Maßnahmen (Controls) sowie das Management von Operationen und Ressourcenteam-babel_Beratung_V2 (2)_Seite_1 für das ISMS. Die dritte Phase, Überwachung und Überprüfung(„Check“) des ISMS, dient der Messung und Prüfung des ISMS im Hinblick auf die Erreichung der in der Planungsphase festgelegten Ziele und Strategien. Aus den gewonnenen Informationen werden Berichte für das Management erstellt. Mit der Wartung und Verbesserung wird die letzte Phase („Act“) des Zyklus abgeschlossen. Hier werden korrektive und vorbeugende Maßnahmen vorgenommen, um eine kontinuierliche Verbesserung des ISMS sicherzustellen. Die Maßnahmen werden aus den Ergebnissen der Vorphase definiert.

Der Aufbau und die Erstellung des ISMS einer Institution wird durch ihre Bedürfnisse und Ziele, ihre Sicherheitsanforderungen, die Prozesse sowie ihrer Größe und Struktur geprägt. Sie definiert Best Practices bezüglich der Ziele und Kontrollen zur Behandlung von Risiken als generische Implementierungshilfe. Für die Zertifizierung müssen diese definierten Ziele und Kontrollen in der Planungsphase des ISMS berücksichtigt werden, es müssen jedoch nicht alle Ziele und Kontrollen der ISO/IEC 27002 notwendigerweise umgesetzt werden. Bei entsprechender Begründung können Ziele und Kontrollen auch weggelassen werden. Darüber hinaus kann eine Institution zusätzlich zu den vorhandenen Zielen und Kontrollen, eigene, individuelle Ziele und Kontrollen definieren.

Die Norm ISO/IEC 27005:2008 enthält Spezifikationen für das Risikomanagement, die bei der Umsetzung des in der ISO/IEC 27001 enthaltenen Risikomanagementansatzes helfen.

Der Standard basiert auf der DIN EN ISO/IEC 17021 und ergänzt diesen um die ISMS-spezifischen Anforderungen. Grundsätzlich ist dieser Standard dort anzuwenden, wo die Anforderungen an Zertifizierungs- und Auditierungsstellen für ISMS gemäß DIN ISO/IEC 27001 definiert werden. In erster Linie dient er somit der Akkreditierung von Zertifizierungsstellen, kann aber auch im Rahmen von „Peer Assessments“ oder zur Etablierung von Auditprozessen herangezogen werden. Ziel des Dokuments ist es, die Arbeit von Zertifizierungsstellen zu harmonisieren und diesen einen Leitfaden zur Umsetzung bereitzustellen.

Inhaltsverzeichnis: ISO/IEC DIS 27001:2013

Dokumentart: Normentwurf
E DIN ISO/IEC 27001:2014-02 (D) Erscheinungsdatum: 2014-01-10

Inhalt Seite
Nationales Vorwort 3
Nationaler Anhang NA (informativ) Literaturhinweise 4
0 Einleitung 5
0.1 Allgemeines 5
0.2 Kompatibilität mit anderen Normen für Managementsysteme 5
1 Anwendungsbereich 6
2 Normative Verweisungen 6
3 Begriffe 6
4 Kontext der Organisation 6
4.1 Verständnis der Organisation und ihres Kontexts 6
4.2 Verständnis der Bedürfnisse und Erwartungen interessierter Parteien 6
4.3 Festlegung des Geltungsbereichs des Informationssicherheitsmanagementsystems 7
4.4 Informationssicherheitsmanagementsystem 7
5 Führung 7
5.1 Führung und Engagement 7
5.2 Leitlinie 8
5.3 Organisatorische Aufgaben, Zuständigkeiten und Befugnisse 8
6 Planung 8
6.1 Maßnahmen zum Umgang mit Risiken und Chancen 8
6.2 Informationssicherheitsziele und Pläne für deren Erreichung 10
7 Unterstützung 11
7.1 Ressourcen 11
7.2 Kompetenz 11
7.3 Bewusstsein 11
7.4 Kommunikation 12
7.5 Dokumentierte Informationen 12
8 Einsatz 13
8.1 Einsatzplanung und -kontrolle 13
8.2 Informationssicherheitsrisikoeinschätzung 13
8.3 Informationssicherheitsrisikobehandlung 13
9 Leistungsauswertung 14
9.1 Überwachung, Messung, Analyse und Auswertung 14
9.2 Internes Audit 14
9.3 Prüfung durch die Leitung 15
10 Verbesserung 15
10.1 Fehler und Korrekturmaßnahmen 15
10.2 Laufende Verbesserung 16
Anhang A (normativ) Referenz-Maßnahmenziele und Maßnahmen 17
Literaturhinweise 32