Beratung

ISO 27001 – Ein Einstieg in den Standard

Aktualisiert am

Mit den Novellen des IT-Sicherheitsgesetzes im Jahr 2015 wurden alle Betreiber von Kritischer Infrastruktur dazu verpflichtet Informationssicherheitsmanagementsysteme (ISMS)  nach ISO 27001 einzuführen. Der Betrieb dieser Stellte die betroffenen Betreiber meist vor recht große Probleme. Da dieser Umstieg mit der Erweiterung des IT-Sicherheitsgesetzes nun auch auf viele neue Bereiche wie die Entsorgung zu kommt wollen wir hiermit allen einen Leitfaden für den Standard zu Verfügung stellen.

 

Was ist ein ISMS?

Ein ISMS nach ISO 27001 umfasst die koordinierte Planung und Umsetzung von Maßnahmen zur Behandlung von Informationssicherheitsrisiken. Dabei sollte beachtet werden, dass diese Planung immer fortlaufend weitergeführt werden muss. Die Steuerung eines solchen Management Systems erfolgt dabei über zentral definierte Verfahren und Richtlinien. Wichtig ist dabei, dass diese Verfahren und Richtlinien Einzug in den unternehmerischen Alltag finden und von den Mitarbeitern akzeptiert werden. Das Ziel eines solchen ISMS ist ein anhaltender und kontinuierlicher Geschäftsbetrieb mit einer Minimierung der Informationssicherheitsvofälle.

 

Dabei sollte aber auch nie vergessen werden, dass ein ISMS nicht als Selbstzweck entworfen wurde. So sollte muss ein ISMS auch immer angemessen für die Art und besonders Größe des Unternehmens.

 

Aufbau der 2700er Familie

In dieser Artikelreihe wird es Vorrangig um die ISO 27001 gehen welche das Management System definiert. Dennoch gibt es rund um diesen Standard noch weitere Dokumente, welche wir in dieser Tabelle etwas genauer beleuchten:

AWR7-2024-002CVE-2024-4187
AWR7-2024-001ZAA-2024-02: Insecure Direct Object Reference
AWR7-2023-001WooCommerce Multiple Customer Addresses & Shipping < 21.7 - Arbitrary Address Creation/Deletion/Access/Update via IDOR
AWR7-2021-001Stored Cross-Site-Scripting

 

ISO 27001 – Kapitel 1

Das erste Kapitel der ISO 27001er Norm dreht sich um die Definition eines Anwendungsbereichs. Darunter versteht man den Teil eines Unternehmens welchen man Zertifizieren möchte. In den meisten Fällen wird das ganze Unternehmen mit allen Standorten Zertifiziert. Es kann je nach den Anforderungen aber auch sinnvoll sein nur bestimmte Standorte oder Teile eines Unternehmens im Rahmen des ISMS abzusichern. So könnte ein Entsorger welcher nun zur kritischen Infrastruktur gehört auch nur die Teile des Unternehmens zertifizieren welche am Entsorgungsprozess beteiligt sind. Wichtig ist, dass der Anwendungsbereich schriftlich dokumentiert werden.

 

Kapitel 2 – Referenzen

Im zweiten Kapitel der ISO 27001 finden wir keine direkten Anforderungen an das ISMS. Das bedeutet wir müssen für dieses Kapitel nichts definieren und Dokumentieren. Gerade im zweiten Kapitel finden sich viele Referenzen zu anderen Standards oder Management-Systemen und Begriffen welche im Rahmen dieses ISMS nach ISO 27001 betrachtet werden können. Von daher brauchen wir dieses kurze Kapitel erst einmal nicht weiter zu beachten.

 

ISO 27001 – Kapitel 3

Auch im dritten Kapitel der ISO 27001 finden wir keine konkreten Anforderungen an unser ISMS. Dieses Kapitel schließt an den Standard ISO/IEC 27000 an und definiert notwendige Begriffe welche im weiteren Kontext eines ISMS noch wichtig werden. Von daher ist es unserer Empfehlung die Begriffe einmal zu überfliegen. Sollten wir in den nächsten Beiträgen dieser Reihe Fachbegriffe benötigen werden wir diese dann einführen.

 

Foto des Autors

Jan Hörnemann

Ich bin Jan Hörnemann, TeleTrust Information Security Professional (T.I.S.P.) und seit 2016 leidenschaftlich in der Welt der Informationssicherheit unterwegs. Mein Master of Science in Internet-Sicherheit hat mir ein fundiertes Verständnis für verschiedene Aspekte dieser Branche vermittelt, das ich in meiner laufenden Promotion kontinuierlich ausbaue. In der AWARE7 bin ich Chief Operating Officer und Prokurist, gleichzeitig koordiniere ich die Abteilungen "Informationssicherheit" und "Offensive Services" und sorge dafür, dass alle Projekte reibungslos ablaufen.