2021

ISO 27001 – Alle Kapitel im Überblick!

Aktualisiert am

Mit den Novellen des IT-Sicherheitsgesetzes im Jahr 2015 wurden alle Betreiber von Kritischer Infrastruktur dazu verpflichtet Informationssicherheitsmanagementsysteme (ISMS)  nach ISO 27001 einzuführen. Der Betrieb dieser Stellte die betroffenen Betreiber meist vor recht große Probleme. Da dieser Umstieg mit der Erweiterung des IT-Sicherheitsgesetzes nun auch auf viele neue Bereiche wie die Entsorgung zu kommt wollen wir hiermit allen einen Leitfaden für den Standard zu Verfügung stellen.

Was ist ein ISMS?

Ein ISMS nach ISO 27001 umfasst die koordinierte Planung und Umsetzung von Maßnahmen zur Behandlung von Informationssicherheitsrisiken. Dabei sollte beachtet werden, dass diese Planung immer fortlaufend weitergeführt werden muss. Die Steuerung eines solchen Management Systems erfolgt dabei über zentral definierte Verfahren und Richtlinien. Wichtig ist dabei, dass diese Verfahren und Richtlinien Einzug in den unternehmerischen Alltag finden und von den Mitarbeitern akzeptiert werden. Das Ziel eines solchen ISMS ist ein anhaltender und kontinuierlicher Geschäftsbetrieb mit einer Minimierung der Informationssicherheitsvofälle.

Dabei sollte aber auch nie vergessen werden, dass ein ISMS nicht als Selbstzweck entworfen wurde. So sollte muss ein ISMS auch immer angemessen für die Art und besonders Größe des Unternehmens.

Aufbau der 2700er Familie

In dieser Artikelreihe wird es Vorrangig um die ISO 27001 gehen welche das Management System definiert. Dennoch gibt es rund um diesen Standard noch weitere Dokumente, welche wir in dieser Tabelle etwas genauer beleuchten:

NormBeschreibung
ISO/IEC 27000Definition der Begirffe
ISO/IEC 27001Anforderungen an ein ISMS
ISO/IEC 27002Leitfaden für die Maßnahmen
ISO/IEC 27003Leitfaden für eine erfolgreiche Umsetzung eines ISMS
ISO/IEC 27004Leitfade zur Evaluation der Wirksamkeit eines ISMS
ISO/IEC 27005Leitfaden für das Risikomanagement
ISO/IEC 27006Anforderungen an Zertifizierungsstellen
ISO/IEC 27007Leitfaden für ISMS-Audits
ISO/IEC 27008Richtlinien für Auditoren
ISO/IEC 27009Branchenspezifische Normen

ISO 27001 – Kapitel 1

Das erste Kapitel der ISO 27001er Norm dreht sich um die Definition eines Anwendungsbereichs. Darunter versteht man den Teil eines Unternehmens welchen man Zertifizieren möchte. In den meisten Fällen wird das ganze Unternehmen mit allen Standorten Zertifiziert. Es kann je nach den Anforderungen aber auch sinnvoll sein nur bestimmte Standorte oder Teile eines Unternehmens im Rahmen des ISMS abzusichern. So könnte ein Entsorger welcher nun zur kritischen Infrastruktur gehört auch nur die Teile des Unternehmens zertifizieren welche am Entsorgungsprozess beteiligt sind. Wichtig ist, dass der Anwendungsbereich schriftlich dokumentiert werden.

Kapitel 2 – Referenzen

Im zweiten Kapitel der ISO 27001 finden wir keine Direkten Anforderungen an das ISMS. Das bedeutet wir müssen für dieses Kapitel nichts definieren und Dokumentieren. Gerade im zweiten Kapitel finden sich viele Referenzen zu anderen Standards oder Management-Systemen und Begriffen welche im Rahmen dieses ISMS nach ISO 27001 betrachtet werden können. Von daher brauchen wir dieses kurze Kapitel erst einmal nicht weiter beachten.

ISO 27001 – Kapitel 3

Auch im dritten Kapitel der ISO 27001 finden wir keine konkreten Anforderungen an unser ISMS. Dieses Kapitel schließt an den Standard ISO/IEC 27000 an und definiert notwendige Begriffe welche im weiteren Kontext eines ISMS noch wichtig werden. Von daher ist es unserer Empfehlung die Begriffe einmal zu überfliegen. Sollten wir in den nächsten Beiträgen dieser Reihe Fachbegriffe benötigen werden wir diese dann einführen.

So nun haben wir uns mit den ersten drei Kapiteln der ISO 27001 genauer beschäftigt. Diese sind noch relativ einfach nachzuvollziehen und sind insgesamt nur wenige Seiten lang. Im nächsten Teil dieser Serie wollen wir und dann mit dem Kontext der Organisation, also Kapitel 4, beschäftigen.

Kapitel 4 – Kontext der Organisation

Das vierte Kapitel der ISO 27001er Norm dreht sich um den Kontext der Organisation. Als Kontext der Organisation werden sowohl interne als auch externe Themen interpretiert, die eine Relevanz für das Unternehmen darstellen. Die Relevanz muss vor allem in Bezug auf Informationssicherheits-Ziele vorhanden sein. Dieser allgemeine Kontext wird unter dem Kapitel 4.1 aufgeführt und durch Kapitel 4.2 weiter konkretisiert.

In Kapitel 4.2 der ISO 27001 sollen Erfordernisse und Erwartungen interessierter Parteien zusammen gefasst werden. Zunächst sollen im Rahmen des ISMS alle relevanten Parteien ermittelt werden. Diese können bspw. aus Mitbewerbern, der Stadt, oder den eigenen Mitarbeitern bestehen. Im nächsten Schritt sollen zu den relevanten Parteien die Anforderungen in Bezug zur Informationssicherheit aufgeführt werden.

Solche Anforderungen können vertragliche Verpflichtungen sein sowie gesetzliche oder regulatorische Vorgaben. In dem letzten Punkt des Kapitel 4 der ISO 27001 muss der Anwendungsbereich des ISMS bestimmt werden. Zu diesem Punkt 4.3 sind dokumentierte Informationen erforderlich, um die Zertifizierung zu bekommen. Alle vorherigen Kapitel bzw. Unterpunkte sind Empfehlungen, aber keine Verplichtung im Rahmen der Zertifizierung.

Kapitel 4.3 muss Grenzen des Anwendungsbereiches bestimmen, in denen das ISMS eingesetzt werden soll. Dazu können Standorte, Verbundteile, aber auch allgemein Verfahren zählen. Zu diesen Einsatzzielen müssen Kontext, Parteien und Anforderungen berücksichtigt werden, die in den vorherigen Kapiteln bestimmt worden sind. Ein sehr wichtiger Bestandteil des Kapitel 4.3 ist die Schnittstelle zu Externen. Diese Schnittstelle muss im Rahmen einer ISO 27001 Zertifizierung beschrieben und dokumentiert sein.

ISO 27001 – Kapitel 5

Das fünfte Kapitel der ISO 27001er Norm dreht sich um die Führung. In dem Unterkapitel 5.1 sind mehrere Aspekte aufgeführt, die zu der Kategorie Führung und Verpflichtung der Leitung gehören. Neben der Festlegung von IS-Politik und IS-Zielen sollen vor allem Ressourcen bereitgestellt werden und die Bedeutung des ISMS vermittelt werden. Die weiteren Aspekte, die in diesem Unterpunkt spielen im weitesten Sinne darauf an, dass die Führung häufig die Geschäftsführung bzw. der Vorstand das Team rund um den ISB unterstützen.

Das nächste Unterkapitel 5.2 steht unter dem Aspekt der Politik. Hier sind dokumentierte Informationen erforderlich, die Ziele aufnehmen und die Selbstverpflichtung der Leitung festzuhalten. Ein wichtiger Punkt ist ebenfalls, dass die Politik bzw. die hier festgehaltenen Aspekte intern und ggf. extern verfügbar gemacht werden.

Das letzte Unterkapitel in dem Kapitel der Führung ist Kapitel 5.3 mit der Überschrift Rollen, Verantwortlichkeiten und Befugnisse in der Organisation (ISMS). Diese unterschiedlichen Aspekte müssen auf die verschiedenen Teilnehmer verteilt und bekannt gemacht werden. Neben dieser Verteilung ist ein Berichtswesen wichtig und dementsprechend ist eine feste Struktur im Bereich von Berichterstattungen und Abläufen sinnvoll.

Kapitel 6 – Planung

Das sechste Kapitel der ISO 27001er Norm behandelt die gesamte Planung. Die Planung, solch ein ISMS einzupflegen und verschiedene Risiken abzuwägen, ist sehr aufwendig und daher eines der größeren Kapitel der ISO 27001. Das erste Unterkapitel 6.1 beschreibt die Maßnahmen zum Umgang mit Risiken und Chancen. Diese Maßnahmen werden wiederum in 2 weitere Unterkapitel aufgeteilt, die in 6.1.2 die Risikobeurteilung und in 6.1.3 die Risikobehandlung beschreiben.

ISO 27001 – Kapitel 6.1

Sowohl das Kapitel 6.1.2 als auch das Kapitel 6.1.3 muss in Dokumenten festgehalten werden, damit das Unternehmen zertifiziert werden kann. In der Risikobeurteilung (6.1.2) müssen Risikoeigentümer festgelegt werden und die festgestellten Risiken hinsichtlich der Auftrittswahrscheinlichkeit, sowie dem Risikoniveau beurteilt werden. Darüber hinaus müssen alle aufgelisteten Risiken priorisiert werden, um Behandlungen gegen diese Risiken durchzuführen.

Die Risikobehandlung baut auf der Risikobeurteilung auf, da hier Prozesse definiert und festgelegt werden, die die festgestellten Risiken behandeln können. Die hier festgelegten Maßnahmen müssen gegen den Anhang A der ISO 27001er Norm auf Vollständigkeit geprüft werden. Neben dieser Prüfung müssen für alle Maßnahmen eine Erklärung zur Anwendbarkeit (SOA) erstellt werden.

ISO 27001 – Kapitel 6.2

Das Unterkapitel 6.2 beschreibt die Informationssicherheits-Ziele und Planung zu deren Erreichung. In diesem Unterkapitel sind ebenfalls dokumentierte Informationen erforderlich, die messbare Ziele für relevante Funktionen und Ebenen im Einklang mit der IS-Politik festlegen. Diese messbaren Ziele sollten sofern möglich mit Kennzahlen aufgeführt werden.

Die Planung muss immer die vorangegangenen Risikobeurteilung und Risikobehandlung berücksichtigen und gegebenenfalls die genannten Ziele und Kennzahlen aktualisieren, falls sich diese durch andere Gegebenheiten verändert haben. Die einzelnen Maßnahmen, die in dem Kapitel 6.2 der ISO 27001 beschrieben werden müssen, beinhalten folgende Daten:

  • Was getan werden muss
  • Welche Ressourcen erforderlich sind
  • Wer verantwortlich ist
  • Endtermin der Maßnahme
  • Kriterien zur Ergebnisbewertung

ISO 27001 – Kapitel 7

In dem siebten Kapitel der ISO 27001er Norm wird die Unterstützung beschrieben. Diese Unterstützung ist auf mehrere Bereiche aufgeteilt bzw. beschrieben, wodurch insgesamt 5 Unterkapitel in diesem Kapitel 7 aufgeführt werden:

  1. Ressourcen
  2. Kompetenz
  3. Bewusstsein
  4. Kommunikation
  5. Dokumentierte Informationen

ISO 27001 – Kapitel 7.1

In diesem Unterkapitel sollen Ressourcen bestimmt und beschrieben werden, die für das Informationssicherheitsmanagementsystem (ISMS) notwendig sind. Es ist keine Pflicht dokumentierte Informationen zu diesem Punkt bereitzustellen, um sich nach der ISO 27001er Norm zertifizieren zu lassen.

ISO 27001 – Kapitel 7.2

Das zweite Unterkapitel dagegen fordert dokumentierte Informationen zum Nachweis der Kompetenz. Die erforderlichen Kompetenzen sollen auf Mitarbeiter verteilt werden. Dauerhaft sollte sichergestellt werden bzw. Maßnahmen ergriffen werden, die die Wirksamkeit prüfen können.

ISO 27001 – Kapitel 7.3

In dem dritten Unterkapitel des Kapitels 7 wird der Themenkomplex des Bewusstseins angesprochen. Alle Beschäftigten soll ein Bewusstsein geschafft werden für die Informationssicherheits-Politik. Insbesondere die Folgen bei einer Nichterfüllung der Anforderungen an das ISMS sollten innerhalb dieses Unterkapitels besprochen werden.

ISO 27001 – Kapitel 7.4

Die Kommunikation sowohl intern als auch extern sollte in diesem Unterkapitel festgelegt werden. Wer, Wann, Mit wem, und worüber Kommunikation bezüglich des ISMS stattfindet, wird festgelegt. Darüber hinaus sollten Prozesse, Routinen oder Verfahren festgehalten werden, nachdem die Kommunikation stattfindet.

ISO 27001 – Kapitel 7.5

Das mit Abstand größte Unterkapitel der ISO 27001er Norm im Kapitel 7 ist der Abschnitt 7.5. Hier sollen dokumentierte Informationen enthalten sein, die sowohl Allgemeines (7.5.1), Erstellen und Aktualisieren (7.5.2) und Lenkung von dokumentierten Informationen (7.5.3) beinhaltet.

Jegliche Aspekt einer strukturierten und organisierten Dokumentation sind Bestandteil des Kapitels 7.5. Vor allem der Schutz dieser Dokumente wird in 7.5.3 gefordert, da unter anderem die Verfügbarkeit sichergestellt sein muss, als auch der Schutz vor Missbrauch, Verlust und Integrität oder Vertraulichkeit.

Kapitel 8 – Betrieb

Das achte Kapitel der ISO 27001 beschreibt den Betrieb in drei Unterkapiteln. Jedes dieser Unterkapitel muss dokumentierte Informationen zum Nachweis der Umsetzung und Zielerreichung vorweisen, um die Zertifizierung erlangen zu können:

ISO 27001 – Kapitel 8.1

Im Wesentlichen ist die Forderung des Kapitels 8.1 die betriebliche Planung und Steuerung. Dazu zählt unter anderem, die verschiedenen Informationssicherheits-Prozesse zu planen. Maßnahmen zur Behandlung von Risiken planen, verwirklichen und steuern. Neben der Umsetzung und Steuerung müssen vor allem Änderungen überwacht werden und somit negative Auswirkungen vermieden werden.

ISO 27001 – Kapitel 8.2

Das zweite Unterkapitel befasst sich mit der Informationssicherheits-Risikobeurteilung. Hier zählt zu der Anforderung, dass die Risikobeurteilungen regelmäßig neu durchgeführt werden. Dabei ist es wichtig, dass Kriterien zur Risikoakzeptanz einbezogen werden. Wie bereits erwähnt, ist es im Rahmen einer Zertifizierung notwendig, über diese Schritte dokumentierte Informationen anzufertigen.

ISO 27001 – Kapitel 8.3

Das letzte Unterkapitel des 8. Kapitels der ISO 27001 verlangt, dass die Informationssicherheits-Risikobehandlung durchgeführt werden muss. In dem Kapitel 6, der Planung wurden zu diesem Schritt feste Pläne definiert. Nun müssen diese umgesetzt und die Umsetzung dokumentiert werden.

ISO 27001 – Kapitel 9

Das neunte und damit vorletzte Kapitel der ISO 27001 fordert dokumentierte Informationen rund zu Thema Bewertung der Leistung. Wie bereits in Kapitel 8 werden auch in Kapitel 9 zu allen drei Unterkapiteln dokumentierte Informationen zu den einzelnen Schritten gefordert.

ISO 27001 – Kapitel 9.1

Überwachung, Messung, Analyse, Bewertung diese Schritte werden in Kapitel 9.1 gefordert. Dadurch soll allgemein die Wirksamkeit des Informationssicherheitsmanagementsysteme (ISMS) gemessen werden können. Darüber hinaus muss festgelegt sein, was wie wann von wem gemessen, überwacht und analysiert werden muss, einschließlich der Informationssicherheits-Prozesse und Maßnahmen.

ISO 27001 – Kapitel 9.2

Ein sehr großes Gebiet der ISO 27001 sind die internen Audits. Diese werden in Kapitel 9.2 gefordert und für eine Zertifizierung müssen dokumentierte Informationen zum Nachweis des Audits vorliegen. Die Audits müssen in geplanten und regelmäßigen Abstand durchgeführt werden. Dafür müssen Audits geplant, aufgebaut und verwirklicht werden. Der Nutzen aus diesen Audits ist es zu erkennen, ob das ISMS lebt und wirksam ist.

ISO 27001 – Kapitel 9.3

Das letzte Unterkapitel des Kapitels 9 der ISO 27001 ist die Managmentbewertung. Diese muss in geplanten Abständen durch die oberste Leitung durchgeführt werden und soll die Eignung, Angemessenheit und Wirksamkeit des ISMS bewerten. Zu den Inhalten zählen Status von Maßnahmen vorheriger Managmentbewertungen, aber auch Veränderungen bei externen und internen Themen. Ergebnisse von Überwachungen und Messungen (auch Audits), sowie die Rückmeldung von interessierten Parteien sind ebenfalls Bestandteil der Managmentbewertung.

Kapitel 10 – Verbesserung

Das zehnte und damit letzte Kapitel der ISO 27001 fordert dokumentierte Informationen rund zu Thema Verbesserung. Dieses Thema ist in zwei Unterkapitel aufgeteilt, wovon lediglich der erste dokumentierte Informationen von der Organisation als Nachweis fordert.

ISO 27001 – Kapitel 10.1

Nichtkonformität und Korrekturmaßnahmen, so lautet das erste Unterkapitel des 10. Kapitels. Wenn eine Nichtkonformität auftritt, muss die Organisation darauf reagieren und angemessene Maßnahmen ergreifen. Darüber hinaus muss die Organisation die Ursachen klären und die Wirksamkeit der Korrekturmaßnahmen überprüfen. Sofern erforderlich muss das gesamte Informationssicherheitsmanagementsysteme (ISMS) angepasst werden.

Die Organisation muss, um eine Zertifizierung erhalten zu können, dokumentierte Informationen aufbewahren, die die Art der Nichtkonformität samt der getroffenen Maßnahmen, sowie die Ergebnisse der Korrekturmaßnahmen vorweist.

ISO 27001 – Kapitel 10.2

Das allerletzte Unterkapitel der ISO 27001 verlangt keine dokumentierten Informationen, sondern ist lediglich eine Empfehlung und zwar die fortlaufende Verbesserung. In diesem Unterkapitel wird der Organisation dazu geraten, Eignung, Angemessenheit und Wirksamkeit des ISMS fortlaufend zu verbessern.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.