Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

ISO 27001 – Kapitel 10: Verbesserung

M.Sc. Jan Hörnemann (CeHv10, ISB nach ISO 27001 (TÜV)

Mit den Novellen des IT-Sicherheitsgesetzes im Jahr 2015 wurden alle Betreiber von Kritischer Infrastruktur dazu verpflichtet Informationssicherheitsmanagementsysteme (ISMS)  nach ISO 27001 einzuführen. Der Betrieb dieser Stellte die betroffenen Betreiber meist vor recht große Probleme. Da dieser Umstieg mit der Erweiterung des IT-Sicherheitsgesetzes nun auch auf viele neue Bereiche wie die Entsorgung zu kommt wollen wir hiermit allen einen Leitfaden für den Standard zu Verfügung stellen.

Was ist ein ISMS?

Ein ISMS nach ISO 27001 umfasst die koordinierte Planung und Umsetzung von Maßnahmen zur Behandlung von Informationssicherheitsrisiken. Dabei sollte beachtet werden, dass diese Planung immer fortlaufend weitergeführt werden muss. Die Steuerung eines solchen Management Systems erfolgt dabei über zentral definierte Verfahren und Richtlinien. Wichtig ist dabei, dass diese Verfahren und Richtlinien Einzug in den unternehmerischen Alltag finden und von den Mitarbeitern akzeptiert werden. Das Ziel eines solchen ISMS ist ein anhaltender und kontinuierlicher Geschäftsbetrieb mit einer Minimierung der Informationssicherheitsvofälle.

Dabei sollte aber auch nie vergessen werden, dass ein ISMS nicht als Selbstzweck entworfen wurde. So sollte muss ein ISMS auch immer angemessen für die Art und besonders Größe des Unternehmens.

Aufbau der 2700er Familie

In dieser Artikelreihe wird es Vorrangig um die ISO 27001 gehen welche das Management System definiert. Dennoch gibt es rund um diesen Standard noch weitere Dokumente, welche wir in dieser Tabelle etwas genauer beleuchten:

AWR7-2021-001Pi-hole/ Stored Cross-Site-Scripting

Keinen Beitrag mehr verpassen – jetzt eintragen

Jetzt E-Mail eintragen, bestätigen und keinen Beitrag verpassen!



ISO 27001 – Kapitel 10

Das zehnte und damit letzte Kapitel der ISO 27001 fordert dokumentierte Informationen rund zu Thema Verbesserung. Dieses Thema ist in zwei Unterkapitel aufgeteilt, wovon lediglich der erste dokumentierte Informationen von der Organisation als Nachweis fordert.

ISO 27001 – Kapitel 10.1

Nichtkonformität und Korrekturmaßnahmen, so lautet das erste Unterkapitel des 10. Kapitels. Wenn eine Nichtkonformität auftritt, muss die Organisation darauf reagieren und angemessene Maßnahmen ergreifen. Darüber hinaus muss die Organisation die Ursachen klären und die Wirksamkeit der Korrekturmaßnahmen überprüfen. Sofern erforderlich muss das gesamte Informationssicherheitsmanagementsysteme (ISMS) angepasst werden.

Die Organisation muss, um eine Zertifizierung erhalten zu können, dokumentierte Informationen aufbewahren, die die Art der Nichtkonformität samt der getroffenen Maßnahmen, sowie die Ergebnisse der Korrekturmaßnahmen vorweist.

ISO 27001 – Kapitel 10.2

Das allerletzte Unterkapitel der ISO 27001 verlangt keine dokumentierten Informationen, sondern ist lediglich eine Empfehlung und zwar die fortlaufende Verbesserung. In diesem Unterkapitel wird der Organisation dazu geraten, Eignung, Angemessenheit und Wirksamkeit des ISMS fortlaufend zu verbessern.

Foto des Autors

M.Sc. Jan Hörnemann (CeHv10, ISB nach ISO 27001 (TÜV)

Hallo liebe/r Leser/in, mein Name ist Jan Hörnemann. Bereits seit Beginn meines Studiums im Oktober 2016 beschäftige ich mich tagtäglich mit der IT-Sicherheit. Durch den Abschluss Master of Science in dem Fach Internet-Sicherheit habe ich viele verschiedene Aspekte der IT-Sicherheit kennengelernt und versuche diese sowohl in Live Hacking Shows als auch in unserem Blog zu vermitteln.