Meine Masterarbeit behandelt die Themen ISO 27001 und Datenschutz-Grundverordnung und wie eine Prozessumstellungen nach diesen beiden Regelwerken ausschauen könnte. Ich werde in der nächsten Zeit ausgewählte Kapitel daraus hier vorstellen.

Die ISO 27001 gehört zur Reihe der 27000er Normen und hat den Zweck, Unternehmen im Bereich des Managements der Informationssicherheit eine Zertifizierungsmöglichkeit zu geben, die in der Branche als allgemein gültiger Standard anerkannt wird. Herausgegeben und regelmäßig aktualisiert wird die Normenreihe von der International Organization for Standardization, kurz ISO, einer weltweiten und unabhängigen Vereinigung der offiziellen Normungsinstitute aus insgesamt 162 Ländern mit dem Hauptsitz in Genf.
Die Normen der 27000er Gruppe enthält neben der eingangs erwähnten ISO 27001 noch weitere Standards, die sich mit speziellen Ausprägungen der Informationssicherheit beschäftigen. Exemplarisch sind hier Vorgaben für die Abwicklung von Finanzdienstleistungen und Richtlinien für Informationsverarbeitung im Energiesektor genannt, eine Übersicht bietet nachfolgende Abbildung:

Unternehmen, die in diesen Bereichen tätig sind, können mit den Anforderungen aus diesen Erweiterungen ihr ISMS (Informationssicherheitsmanagementsystem) ergänzen um länderspezifischen oder branchenüblichen Anforderungen zu entsprechen. Wichtig in diesem Zusammenhang ist der Hinweis, dass ein Unternehmen nur nach der ISO 27001 zertifiziert werden kann, nicht aber nach anderen Ablegern der Normenreihe.

Der Fokus dieser Arbeit liegt auf den Normen 27001 und 27002, die derzeit in der Fassung 2013 aktuell vorliegen. Den Ursprung haben diese beiden Normen in dem älteren, zweiteiligen British Standard BS 7799, welcher von dem British Standard Institute (bsi) herausgegeben wurde und 2005 als IOS/IEC 27001 international genormt wurde.

ISO Norm 27001 und 27002 im Detail

Die ISO 27001[2] besteht aus einem Anforderungsteil und einem Anhang (Annex) A. Den Anforderungsteil bilden die Abschnitte 0 bis 10 (siehe nächste Tabelle), wobei nur
gegen die Abschnitte 4 bis 10 zertifiziert wird.

Abschnitt Name Inhalt
Abschnitt 0 Einleitung Allgemeines und Kompatibilität mit anderen Normen für Managementsysteme
Abschnitt 1 Anwendungsbereich Definition des Anwendungsbereichs
Abschnitt 2 Normative Verweise Referenzierungen zu anderen Publikationen, die in der Norm genannt werden
Abschnitt 3 Begriffe Begriffsdefinitionen
Abschnitt 4 Kontext der Organisation Verständnis der Organisation sowie der Bedürfnisse und Erwartungen von interessierten Parteien
Abschnitt 5 Führung Führung und Engagement hinsichtlich des ISMS durch die Unternehmensleitung
Abschnitt 6 Planung Maßnahmen zum Umgang mit Risiken und Chancen
Abschnitt 7 Unterstützung Ermittlung und Bereitstellung der erforderlichen Ressourcen für das ISMS
Abschnitt 8 Betrieb Planung, Implementierung und Kontrolle der erforderlichen Prozesse für die Einhaltung der Informationssicherheit
Abschnitt 9 Bewertung der Leistung Überwachung, Messung und Analyse der Leistung und Wirksamkeit des ISMS innerhalb der Organisation
Abschnitt 10 Verbesserung Umgang mit Fehlern sowie Ermittlung und Umsetzung entsprechender Maßnahmen

Die Abschnitte 0 bis 3 behandeln die formale Einführung sowie erklärende Beschreibungen zur Norm allgemein. Mit Abschnitt 4 beginnen dann die eigentlichen Anforderungen an das Management der Informationssicherheit, die mit Absicht recht abstrakt gehalten wurden, damit die Norm einerseits für jede Art von Organisation (sei es Behörde, Unternehmen oder Verein) verwendet werden kann und andererseits die Skalierbarkeit in Bezug auf die Größe der Organisation erhalten bleibt[2].

Erst Anhang A enthält technische, organisatorische und personelle Kontrollziele und Kontrollen, die ein Unternehmen als maßgebend angeben kann. In der nächsten Tabelle [2, S. 16ff] ist die Struktur mit allen Abschnitten ersichtlich. Es steht jeder Organisation aber frei, weitere Ziele und Kontrollen zu definieren; dabei ist aber zu beachten, dass diese auch in den Anforderungen aufgehen und dadurch an Zertifizierungsrelevanz gewinnen.

Abschnitt Bezeichnung
A.5 Sicherheitsleitlinien
A.6 Organisation der Informationssicherheit
A.7 Sicherheit des Personals
A.8 Wertemanagement
A.9 Zugriffskontrolle
A.10 Kryptografie
A.11 Schutz vor physischem Zugang und Umwelteinflüssen
A.12 Betriebssicherheit
A.13 Sicherheit in der Kommunikation
A.14 Anschaffung, Entwicklung und Instandhaltung von Systemen
A.15 Lieferantenbeziehungen
A.16 Management von Informationssicherheitsvorfällen
A.17 Informationssicherheitsaspekte des Business Continuity Managements
A.18 Richtlinienkonformität

Die ISO 27002[4] enthält keine Anforderungen sondern detaillierte Ratschläge, die als Anleitungen zur Umsetzung der im Anhang A genannten Maßnahmen dienen. Jedem Unternehmen steht es frei, diese Implementierungsvorschläge anzuwenden und in der Organisation zu verankern.

Zertifizierung nach ISO 27001

Zu den meistgenannten Gründen, warum ein Unternehmen den Weg einer offiziellen Zertifizierung eingeschlagen hat, zählen nach[3, S. 77-78]
Compliance: Einhaltung von gesetzlichen Auflagen bezüglich Datenschutz und Datensicherheit
Marketing: Eine Zertifizierung zeigt Kompetenz in der Informationssicherheit und kann auf einem umkämpften Markt ein Entscheidungskriterium sein
Kostenersparnis: Auch wenn Informationssicherheit eher als Kostenfaktor gesehen wird, hilft ein ISMS letztendlich beispielsweise bei Betriebsunterbrechungen oder der Verhinderung von Datenlecks, die ein Vielfaches an Kosten und Reputationsschaden verursachen würden
Organisation stärken: Organisationsabläufe werden optimiert oder überhaupt erstmalig formal festgelegt und dabei gefundene Defizite erkannt und behoben

Unternehmen, die die Anforderungen der Norm erfüllen, können bei einer akkreditierten Zertifzierungsstelle ein Audit beauftragen. Dieses Audit ist in zwei Teile gegliedert: Am Beginn steht das Stage 1 Audit. Dabei handelt es sich um eine Dokumentenprüfung um festzustellen, ob das Unternehmen bereits den Reifegrad erreicht hat, um für den nächsten Schritt gerüstet zu sein: das Stage 2 Audit, der eigentliche Zertifizierungsteil. An dessen Ende steht ein Auditbericht, in dem der Auditor oder die Auditorin der Zertifizierungsstelle erhoben hat, ob formale Mängel festgestellt wurden – die erst behoben werden müssen – bevor ein Zertifikat vergeben werden kann. Ist ein Unternehmen nach der ISO Norm 27001 zertifiziert, muss es sich jährlichen Überprüfungsaudits stellen und nach 3 Jahren um eine Re-Zertifizierung ansuchen.

Möchte man herausfinden, ob ein Unternehmen eine oben genannte Zertifzierung besitzt, ist das erstaunlicherweise nicht gerade trivial. Da für das zertifizierte Unternehmen keine Verpflichtung besteht, dies offenzulegen und es darüber hinaus auch keine offizielle Gesamtliste seitens der ISO gibt, besteht nur noch die Möglichkeit über die Zertifizierungsstelle, die das Zertifikat vergeben hat, die benötigten Informationen zu bekommen. Manche, wie die englische BSI-Group (bsi), bieten eine Online-Abfrage aller Unternehmen, die von ihnen zertifziert wurden, an, damit in dieser Richtung Gewissheit besteht. Listen, wie sie von Sicherheitsberatungsunternehmen geführt werden, die Unterstützung bei einer Zertifizierung offerien, bieten leider keine Gewähr auf Vollständigkeit6, aber einen guten Ansatz wenn es um die Überprüfung des Zertifizierungsstatus eines Unternehmens geht.


[2]: DIN Deutsches Institut für Normung e. V. DIN ISO/IEC 27001:2013. 2015, S. 31
[3]: Heinrich Kersten u. a. IT-Sicherheitsmanagement nach der neuen ISO 27001.2016
[4]: DIN Deutsches Institut für Normung e. V. DIN ISO/IEC 27002:2013. 2014, S. 103
Photo by Štefan Štefančík on Unsplash