Die Informationssicherheitspolitik

Vorab ein Wort unter uns: Ich finde den Begriff Politik in diesem Zusammenhang nicht besonders gut gewählt. Er ist eine Übersetzung des englischen Begriffs „Policy“, der in der Norm häufig verwendet wird und überwiegend als „Richtlinie“ oder „Leitlinie“ übersetzt wird. Diese Begriffe finde ich besser als Politik und ich habe bislang in meiner Arbeit auch überwiegend den Begriff „Leitlinie“ an dieser Stelle verwendet und darum bleibe ich auch in diesem Blogeintrag dabei.

Die Leitlinie zur Informationssicherheit oder Informationssicherheitsleitlinie (im Folgenden einfach Leitlinie genannt) definiert die Grundlage, die Ziele und die Rahmenbedingungen des Managementsystems. Sie enthält die Absichten und die Motivation des Top Managements zur Etablierung des Managementsystems. Die Veröffentlichung der Leitlinie gilt auch als Startschuss des Managementsystems. Inhaltlich sind die Anforderungen an die Leitlinie schnell erfüllt. Es gibt aber gute Gründe etwas mehr in die Leitlinie zu packen, als nur die Mindestanforderungen.

Read More

Führung und Verpflichtung – Teil 2

Mit Bezug zur Informationssicherheit und dem Informationssicherheits-Managementsystem muss die oberste Leitung, das Top Management, Führung und Verpflichtung zeigen. Die Norm teilt diese Anforderung in 8 Teilaufgaben. Die ersten 4 habe ich im letzten Teil bereits besprochen:

  • Politik und Ziele
  • Integration
  • Ressourcen
  • Bedeutung des ISMS

Aus diesen Teilaufgaben wird bereits deutlich an welcher Stelle und zu welchem Zweck sich das Top Management engagieren muss. Die weiteren Teilaufgaben erfordern ein noch deutlich gesteigertes Engagement des Top Managements.

Read More

Führung und Verpflichtung

Die Norm ISO/IEC 27001 beschreibt ein auf die Erfüllung von Zielen und Anforderungen sowie auf kontinuierliche Verbesserung ausgerichtetes Managementsystem. Die Anforderungen werden von den sogenannten interessierten Parteien bestimmt. Die Ziele werden vom Top Management vorgegeben. Bereits durch diese Vorgehensweise wird klar dass das Managementsystem einen Top-Down Ansatz verfolgt.

Führung und Verpflichtung

Auch die Bezeichnung Managementsystem lässt darauf schließen, denn Management hat die Bedeutung von steuern und lenken. Es muss also dann auch einen Steuerer und Lenker geben. Das kann eine Einzelperson (z.B. Geschäftsführer) oder ein Gremium (z.B. Vorstand) sein.

Read More

Schnittstellen und Abhängigkeiten

Niemand ist eine Insel. Diese Erkenntnis begleitete uns bereits in den vergangen Beiträgen zum Thema Kontext und Geltungsbereich. Bei der Definition des Geltungsbereichs sind neben den internen und externen Themen und den interessierten Parteien auch die Schnittstellen und Abhängigkeiten zu berücksichtigen. In diesem Beitrag geht es ebendiese Schnittstellen und Anhängigkeiten.

Read More

Geltungsbereich

Niemand ist eine Insel. Wie im vorherigen Beitrag beschrieben, ist es wichtig zu Beginn der ISMS Implementierung den Kontext zu analysieren. In diesem Beitrag geht es um die Frage, wie sich aus dem Kontext der Geltungsbereich ableitet, welche Optionen es dabei gibt und welche Auswirkungen die verschiedenen Optionen haben.

Read More

Kontext der Organisation

Niemand ist eine Insel. Auch ein Unternehmen oder eine Organisation ist keine Insel. Es gibt immer einen Kontext, ein Umfeld, Schnittstellen und Abhängigkeiten.Eine Organisation die ein Informationssicherheits-Managementsystem aufbauen möchte muss diese Themen berücksichtigen.

Die Norm ISO/IEC 27001 greift diese Themen richtigerweise gleich zu Beginn der Implementierung auf. In Kapitel 4.1 „Verstehen der Organisation und ihres Kontextes“ wird dazu gesagt: „Die Organisation muss externe und interne Themen bestimmten, die für ihren Zweck relevant sind und sich auf ihre Fähigkeiten auswirken, die beabsichtigten Ergebnisse ihres Informationssicherheits-Managementsystems zu erreichen“

Read More

Was macht ein gutes internes Audit aus?

Jedes Managementsystem sollte auf kontinuierliche Verbesserung ausgelegt sein. Ein Managementsystem, dass nur den Status Quo aufrechterhält ist kaum erstrebenswert. So ist kontinuierliche Verbesserung auch eine Kernanforderung eines Informationssicherheits-Managementsystems nach ISO/IEC 27001.
Ein Werkzeug zur Identifikation von Verbesserungspotential kann das interne Audit sein. Per Definition ist ein Audit ein systematischer, unabhängiger und dokumentierter Prozess zur Erlangung von Auditnachweisen und zu deren objektiven Auswertung, um zu ermitteln, inwieweit Auditkriterien erfüllt sind.

Read More

Was bedeutet eine Zertifizierung nach ISO 27001?

Die internationale Norm ISO/IEC 27001 beschreibt ein Informationssicherheits-Managementsystem (ISMS). Ein Managementsystem besteht aus Leit- und Richtlinien, Prozessen und Verfahren, Dokumenten und Aufzeichnungen, Kontrollmechanismen und Leistungsbewertungen sowie aus Maßnahmenzielen und Maßnahmen. Das ISMS orientiert sich dabei am PDCA-Zyklus um eine kontinuierliche Verbesserung der Informationssicherheit und des Managements der Informationssicherheit zu erreichen.

Read More

DSGVO

Die DSGVO verfolgt zwei Ziele:

  1. Den Menschen davor zu schützen, dass ihm durch die Verarbeitung seiner Daten Schaden entsteht.
  2. Den freien Fluss personenbezogener Daten in der EU sicherstellen.

Um dieses Ziel zu gewährleisten definiert die DSGVO ein Gerüst aus Grundsätzen der Datenverarbeitung. Diese Grundsätze werden konkretisiert als Rechte betroffener Personen und Anforderungen, die derjenige zu erfüllen hat, der die Daten verarbeitet. Diese Anforderungen können inhaltlich, organisatorisch und technisch sein.

Read More