Schlagwort: Managementsystem

Am 25.10.2022 wurde die neue neue Version der ISO/IEC 27001:2022 in Englisch veröffentlicht. Ich möchte hier einen kurzen Überblick über die wesentlichsten Änderungen und deren Auswirkungen geben. (HINWEIS: Die Übersetzung ist von mir. Der Wortlaut der offiziellen Übersetzung wird sicher ein anderer sein.)

Anhang A: Die prominenteste Änderung ist sicher die Anpassung des Anhang A an die neue Version der ISO/IEC 27002:2022. Da diese Änderungen sehr umfangreich sind und auch von anderen Autoren zur Genüge beleuchtet wurden, will ich darauf nicht ausführlich eingehen.

Kontext der Organisation (4.2): Die neue Version lässt hier Spielraum in Bezug auf die Bewertung der Relevanz der Anforderungen interessierter Parteien und fügt explizit einen Punkt 4.2.c ein: “welche dieser Anforderungen durch das ISMS adressiert werden.” Es sollten also die relevanten Anforderungen identifiziert werden und dann muss ermittelt werden, welche dieser Anforderungen tatsächlich in das ISMS einfließen. Auch wenn hier keine explizite Dokumentationsanforderung formuliert ist, empfehle ich diese Aussagen zu dokumentieren und auch festzuhalten, welche Begründung zur Auswahl der Anforderungen geführt hat.

Ziele und Zielerreichung 6.2: Informationssicherheitsziele müssen jetzt “überwacht” (6.2.d be monitored) werden und die Ziele müssen als dokumentierte Information vorliegen (6.2.g).

Planung von Veränderungen 6.3: Dieser Punkt ist neu. Wenn die Organisation den Bedarf feststellt, das ISMS anzupassen, dann müssen diese Änderungen entsprechend gesteuert werden (“the changes shall be carried out in a planned manner.”)

Kommunikation 7.4: Endlich. Punkt e) “(einschließlich) der Prozesse, mit welchen die Kommunikation bewerkstelligt wird.” ist weggefallen. Hand aufs Herz, es wusste sowieso niemand so wirklich, was damit gemeint war.

Betriebliche Planung und Steuerung 8.1: Der Absatz wurde deutlich weiter gefasst. Wo sich der alte Absatz noch explizit auf 6.1 bezog, wird jetzt in der Planung der gesamte Normpunkt 6 erfasst. Auch müssen sich die Prozess nicht mehr nur auf die Erfüllung der Informationssicherheitsanforderungen beziehen, sondern allgemein auf Anforderungen. Das können dann z.B. auch kaufmännische oder operative Anforderungen sein. Zusätzlich wurde eine stärkere Prozessorientierung aufgenommen, heißt es doch, dass zur Erfüllung der Anforderung

• Prozesskriterien und;
• Prozesssteuerung im Einklang mit diesen Kritierien

etabliert werden muss.

Außerdem müssen nicht mehr nur ausgegliederte Prozesse, sondern auch Produkte und Dienstleistungen die relevant für das ISMS sind, gesteuert werden.

Internes Audit 9.2: Das Kapitel wurde leicht umstrukturiert. Die allgemeinen Anforderungen sind jetzt in 9.2.1 zu finden, das interne Auditprogramm (heißt jetzt tatsächlich als Kapitel so) hat ein eigenes Kapitel 9.2.2 bekommen. Inhaltliche Änderungen sind mir keine aufgefallen.

Managementbewertung 9.3: Auch das Kapitel ist jetzt in Unterkapitel aufgeteilt.

• Die alte Einleitung ist wortgleich zum Kapitel 9.3.1 geworden.
• Die Inhalte der Managementbewertung sind in Kapitel 9.3.2 “Management review inputs” aufgeführt und ergänzt worden um einen neuen Punkt c, sinngemäß “Änderungen der Bedürfnisse und Erwartungen interessierter Parteien, die relevant für das ISMS sind”. Hier kann ich mir durchaus vorstellen, dass z.B. gesetzliche Anforderungen denen interessierte Parteien unterworfen sind, o.ä. aufzuführen sind.

Verbesserung 10: Der Inhalt hat sich nicht geändert, aber die beiden Unterkapitel sind vertauscht worden.

Auch wenn einige der Änderungen auf den ersten Blick marginal erscheinen, müssen wir doch überlegen, wie diese Änderungen umzusetzen sind. Ich sehe hier nicht, dass es mit einem Satz in irgendeiner Leitlinie getan ist. Gerade die Änderungen in 6) und 8) können einiges an Aufwand bedeuten. Dazu kommen natürlich auch noch die Änderungen im Anhang A, die ja nicht nur inhaltlicher Natur sind, sondern auch eine komplett neue Struktur und Herangehensweise an die Definition des Sicherheitsniveaus darstellen. Also: viel zu tun.

Einleitungsvideo von David Gabel zum Thema “Was ist Informationssicherheit?” Der 1. Teil der Videoreihe beschäftigt sich genau mit dieser Frage.

Informationssicherheit ist die Aufrechterhaltung von

• Vertraulichkeit
• Integrität
• Verfügbarkeit

von Information.

Nebenaspekte der Informationssicherheit sind

• Authentizität
• Nicht-Abstreitbarkeit
• Verantwortlichkeit
• Verlässlichkeit

Das im vorangegangenen Beitrag beschriebene Assetmanagement ist eine grundlegende Voraussetzung für ein funktionierendes Risikomanagement. Wer seine Assets nicht kennt, kann auch kaum Risiken mit Bezug zu diesen Assets identifizieren. Die ISO 27001 ist in diesem Zusammenhang nicht sonderlich hilfreich. In Kapitel 6.1.2 wird nur gefordert einen Prozess zur Informationssicherheitsrisikobeurteilung festzulegen und anzuwenden, der c) die Informationssicherheitsrisiken identifiziert. Dazu muss der Prozess Risiken im Zusammenhang mit dem Verlust der Vertraulichkeit, Integrität und Verfügbarkeit innerhalb des Anwendungsbereichs des ISMS und die Risikoeigentümer identifizieren. Wie das gehen soll, steht da aber nicht.

Read More

Diese Frage wird oft diskutiert. Viele finden die Antwort recht schnell in ihrem Inventar oder ihrer CMDB. Tatsache ist, dass die Norm in den Kapiteln 4 – 10, also den Kapiteln, die das Managementsystem beschreiben, keinen direkten Bezug auf Assets liefert. Asset kann frei als „Wert“ übersetzt werden. Also, alles was für eine Organisation von Wert ist, ist ein Asset. Die Norm ISO/IEC 27000, also das Mutterschiff, sagt in Kapitel 3.2.2 ganz klar, dass Information ein Wert ist, der, ebenso wie andere wichtige Unternehmenswerte, zu schützen ist. Dabei muss berücksichtigt werden, dass Information in unterschiedlicher Form vorliegt und auf verschiedenen Medien gespeichert wird. Information kann auf Papier geschrieben werden, auf Magnetbändern archiviert werden oder einfach in den Köpfen der Mitarbeiter vorhanden sein. Information wird häufig auf verschiedenste Weise verarbeitet und hier spielen IT-Systeme eine wichtige Rolle.

Read More

Vorab ein Wort unter uns: Ich finde den Begriff Politik in diesem Zusammenhang nicht besonders gut gewählt. Er ist eine Übersetzung des englischen Begriffs „Policy“, der in der Norm häufig verwendet wird und überwiegend als „Richtlinie“ oder „Leitlinie“ übersetzt wird. Diese Begriffe finde ich besser als Politik und ich habe bislang in meiner Arbeit auch überwiegend den Begriff „Leitlinie“ an dieser Stelle verwendet und darum bleibe ich auch in diesem Blogeintrag dabei.

Die Leitlinie zur Informationssicherheit oder Informationssicherheitsleitlinie (im Folgenden einfach Leitlinie genannt) definiert die Grundlage, die Ziele und die Rahmenbedingungen des Managementsystems. Sie enthält die Absichten und die Motivation des Top Managements zur Etablierung des Managementsystems. Die Veröffentlichung der Leitlinie gilt auch als Startschuss des Managementsystems. Inhaltlich sind die Anforderungen an die Leitlinie schnell erfüllt. Es gibt aber gute Gründe etwas mehr in die Leitlinie zu packen, als nur die Mindestanforderungen.

Read More

Mit Bezug zur Informationssicherheit und dem Informationssicherheits-Managementsystem muss die oberste Leitung, das Top Management, Führung und Verpflichtung zeigen. Die Norm teilt diese Anforderung in 8 Teilaufgaben. Die ersten 4 habe ich im letzten Teil bereits besprochen:

• Politik und Ziele
• Integration
• Ressourcen
• Bedeutung des ISMS

Aus diesen Teilaufgaben wird bereits deutlich an welcher Stelle und zu welchem Zweck sich das Top Management engagieren muss. Die weiteren Teilaufgaben erfordern ein noch deutlich gesteigertes Engagement des Top Managements.

Read More

Die Norm ISO/IEC 27001 beschreibt ein auf die Erfüllung von Zielen und Anforderungen sowie auf kontinuierliche Verbesserung ausgerichtetes Managementsystem. Die Anforderungen werden von den sogenannten interessierten Parteien bestimmt. Die Ziele werden vom Top Management vorgegeben. Bereits durch diese Vorgehensweise wird klar dass das Managementsystem einen Top-Down Ansatz verfolgt.

Auch die Bezeichnung Managementsystem lässt darauf schließen, denn Management hat die Bedeutung von steuern und lenken. Es muss also dann auch einen Steuerer und Lenker geben. Das kann eine Einzelperson (z.B. Geschäftsführer) oder ein Gremium (z.B. Vorstand) sein.

Read More

Niemand ist eine Insel. Diese Erkenntnis begleitete uns bereits in den vergangen Beiträgen zum Thema Kontext und Geltungsbereich. Bei der Definition des Geltungsbereichs sind neben den internen und externen Themen und den interessierten Parteien auch die Schnittstellen und Abhängigkeiten zu berücksichtigen. In diesem Beitrag geht es ebendiese Schnittstellen und Anhängigkeiten.

Read More

Niemand ist eine Insel. Wie im vorherigen Beitrag beschrieben, ist es wichtig zu Beginn der ISMS Implementierung den Kontext zu analysieren. In diesem Beitrag geht es um die Frage, wie sich aus dem Kontext der Geltungsbereich ableitet, welche Optionen es dabei gibt und welche Auswirkungen die verschiedenen Optionen haben.

Read More

Niemand ist eine Insel. Auch ein Unternehmen oder eine Organisation ist keine Insel. Es gibt immer einen Kontext, ein Umfeld, Schnittstellen und Abhängigkeiten.Eine Organisation die ein Informationssicherheits-Managementsystem aufbauen möchte muss diese Themen berücksichtigen.

Die Norm ISO/IEC 27001 greift diese Themen richtigerweise gleich zu Beginn der Implementierung auf. In Kapitel 4.1 „Verstehen der Organisation und ihres Kontextes“ wird dazu gesagt: „Die Organisation muss externe und interne Themen bestimmten, die für ihren Zweck relevant sind und sich auf ihre Fähigkeiten auswirken, die beabsichtigten Ergebnisse ihres Informationssicherheits-Managementsystems zu erreichen“

Read More