Mit den Novellen des IT-Sicherheitsgesetzes im Jahr 2015 wurden alle Betreiber von Kritischer Infrastruktur dazu verpflichtet Informationssicherheitsmanagementsysteme (ISMS) nach ISO 27001 einzuführen. Der Betrieb dieser Stellte die betroffenen Betreiber meist vor recht große Probleme. Da dieser Umstieg mit der Erweiterung des IT-Sicherheitsgesetzes nun auch auf viele neue Bereiche wie die Entsorgung zu kommt wollen wir hiermit allen einen Leitfaden für den Standard zu Verfügung stellen.
Was ist ein ISMS?
Ein ISMS nach ISO 27001 umfasst die koordinierte Planung und Umsetzung von Maßnahmen zur Behandlung von Informationssicherheitsrisiken. Dabei sollte beachtet werden, dass diese Planung immer fortlaufend weitergeführt werden muss. Die Steuerung eines solchen Management Systems erfolgt dabei über zentral definierte Verfahren und Richtlinien. Wichtig ist dabei, dass diese Verfahren und Richtlinien Einzug in den unternehmerischen Alltag finden und von den Mitarbeitern akzeptiert werden. Das Ziel eines solchen ISMS ist ein anhaltender und kontinuierlicher Geschäftsbetrieb mit einer Minimierung der Informationssicherheitsvofälle.
Dabei sollte aber auch nie vergessen werden, dass ein ISMS nicht als Selbstzweck entworfen wurde. So sollte muss ein ISMS auch immer angemessen für die Art und besonders Größe des Unternehmens.
Aufbau der 2700er Familie
In dieser Artikelreihe wird es Vorrangig um die ISO 27001 gehen welche das Management System definiert. Dennoch gibt es rund um diesen Standard noch weitere Dokumente, welche wir in dieser Tabelle etwas genauer beleuchten:
Norm | Beschreibung |
ISO/IEC 27000 | Definition der Begirffe |
ISO/IEC 27001 | Anforderungen an ein ISMS |
ISO/IEC 27002 | Leitfaden für die Maßnahmen |
ISO/IEC 27003 | Leitfaden für eine erfolgreiche Umsetzung eines ISMS |
ISO/IEC 27004 | Leitfade zur Evaluation der Wirksamkeit eines ISMS |
ISO/IEC 27005 | Leitfaden für das Risikomanagement |
ISO/IEC 27006 | Anforderungen an Zertifizierungsstellen |
ISO/IEC 27007 | Leitfaden für ISMS-Audits |
ISO/IEC 27008 | Richtlinien für Auditoren |
ISO/IEC 27009 | Branchenspezifische Normen |
Erkennen Sie zuverlässig Phishing E-Mails?
Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!
ISO 27001 – Kapitel 8
Das achte Kapitel der ISO 27001 beschreibt den Betrieb in drei Unterkapiteln. Jedes dieser Unterkapitel muss dokumentierte Informationen zum Nachweis der Umsetzung und Zielerreichung vorweisen, um die Zertifizierung erlangen zu können:
ISO 27001 – Kapitel 8.1
Im Wesentlichen ist die Forderung des Kapitels 8.1 die betriebliche Planung und Steuerung. Dazu zählt unter anderem, die verschiedenen Informationssicherheits-Prozesse zu planen. Maßnahmen zur Behandlung von Risiken planen, verwirklichen und steuern. Neben der Umsetzung und Steuerung müssen vor allem Änderungen überwacht werden und somit negative Auswirkungen vermieden werden.
ISO 27001 – Kapitel 8.2
Das zweite Unterkapitel befasst sich mit der Informationssicherheits-Risikobeurteilung. Hier zählt zu der Anforderung, dass die Risikobeurteilungen regelmäßig neu durchgeführt werden. Dabei ist es wichtig, dass Kriterien zur Risikoakzeptanz einbezogen werden. Wie bereits erwähnt, ist es im Rahmen einer Zertifizierung notwendig, über diese Schritte dokumentierte Informationen anzufertigen.
ISO 27001 – Kapitel 8.3
Das letzte Unterkapitel des 8. Kapitels der ISO 27001 verlangt, dass die Informationssicherheits-Risikobehandlung durchgeführt werden muss. In dem Kapitel 6, der Planung wurden zu diesem Schritt feste Pläne definiert. Nun müssen diese umgesetzt und die Umsetzung dokumentiert werden.
Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.