Beratung

ISO 27001 – Kapitel 5: Führung

Aktualisiert am

Mit den Novellen des IT-Sicherheitsgesetzes im Jahr 2015 wurden alle Betreiber von Kritischer Infrastruktur dazu verpflichtet Informationssicherheitsmanagementsysteme (ISMS)  nach ISO 27001 einzuführen. Der Betrieb dieser Stellte die betroffenen Betreiber meist vor recht große Probleme. Da dieser Umstieg mit der Erweiterung des IT-Sicherheitsgesetzes nun auch auf viele neue Bereiche wie die Entsorgung zu kommt wollen wir hiermit allen einen Leitfaden für den Standard zu Verfügung stellen.

Was ist ein ISMS?

Ein ISMS nach ISO 27001 umfasst die koordinierte Planung und Umsetzung von Maßnahmen zur Behandlung von Informationssicherheitsrisiken. Dabei sollte beachtet werden, dass diese Planung immer fortlaufend weitergeführt werden muss. Die Steuerung eines solchen Management Systems erfolgt dabei über zentral definierte Verfahren und Richtlinien. Wichtig ist dabei, dass diese Verfahren und Richtlinien Einzug in den unternehmerischen Alltag finden und von den Mitarbeitern akzeptiert werden. Das Ziel eines solchen ISMS ist ein anhaltender und kontinuierlicher Geschäftsbetrieb mit einer Minimierung der Informationssicherheitsvofälle.

Dabei sollte aber auch nie vergessen werden, dass ein ISMS nicht als Selbstzweck entworfen wurde. So sollte muss ein ISMS auch immer angemessen für die Art und besonders Größe des Unternehmens.

Aufbau der 2700er Familie

In dieser Artikelreihe wird es Vorrangig um die ISO 27001 gehen welche das Management System definiert. Dennoch gibt es rund um diesen Standard noch weitere Dokumente, welche wir in dieser Tabelle etwas genauer beleuchten:

AWR7-2024-002CVE-2024-4187
AWR7-2024-001ZAA-2024-02: Insecure Direct Object Reference
AWR7-2023-001WooCommerce Multiple Customer Addresses & Shipping < 21.7 - Arbitrary Address Creation/Deletion/Access/Update via IDOR
AWR7-2021-001Stored Cross-Site-Scripting

ISO 27001 – Kapitel 5

Das fünfte Kapitel der ISO 27001er Norm dreht sich um die Führung. In dem Unterkapitel 5.1 sind mehrere Aspekte aufgeführt, die zu der Kategorie Führung und Verpflichtung der Leitung gehören. Neben der Festlegung von IS-Politik und IS-Zielen sollen vor allem Ressourcen bereitgestellt werden und die Bedeutung des ISMS vermittelt werden. Die weiteren Aspekte, die in diesem Unterpunkt spielen im weitesten Sinne darauf an, dass die Führung häufig die Geschäftsführung bzw. der Vorstand das Team rund um den ISB unterstützen.

Das nächste Unterkapitel 5.2 steht unter dem Aspekt der Politik. Hier sind dokumentierte Informationen erforderlich, die Ziele aufnehmen und die Selbstverpflichtung der Leitung festzuhalten. Ein wichtiger Punkt ist ebenfalls, dass die Politik bzw. die hier festgehaltenen Aspekte intern und ggf. extern verfügbar gemacht werden.

Das letzte Unterkapitel in dem Kapitel der Führung ist Kapitel 5.3 mit der Überschrift Rollen, Verantwortlichkeiten und Befugnisse in der Organisation (ISMS). Diese unterschiedlichen Aspekte müssen auf die verschiedenen Teilnehmer verteilt und bekannt gemacht werden. Neben dieser Verteilung ist ein Berichtswesen wichtig und dementsprechend ist eine feste Struktur im Bereich von Berichterstattungen und Abläufen sinnvoll.

Foto des Autors

Maik Hagelüken

Ich bin Maik Hagelüken und arbeite in der Informationssicherheitsberatung. Dank meiner umfassenden Erfahrung im Bereich TISAX und meiner Tätigkeit als Auditor verfüge ich über ein breites Spektrum an Fähigkeiten und Fachwissen. Zudem habe ich ein Bachelorstudium in IT-Sicherheit und Informationstechnik absolviert. Mein Ziel ist es, unsere Leser stets über die neuesten Entwicklungen und bewährten Praktiken in der Branche auf dem Laufenden zu halten. Besonders wichtig ist mir dabei der menschliche Faktor, da ein effektives ISMS ohne die aktive Einbeziehung der Mitarbeiterinnen und Mitarbeiter nicht funktionieren kann.