2021

ISO 27001 – Kapitel 6: Planung

Veröffentlicht am

Mit den Novellen des IT-Sicherheitsgesetzes im Jahr 2015 wurden alle Betreiber von Kritischer Infrastruktur dazu verpflichtet Informationssicherheitsmanagementsysteme (ISMS)  nach ISO 27001 einzuführen. Der Betrieb dieser Stellte die betroffenen Betreiber meist vor recht große Probleme. Da dieser Umstieg mit der Erweiterung des IT-Sicherheitsgesetzes nun auch auf viele neue Bereiche wie die Entsorgung zu kommt wollen wir hiermit allen einen Leitfaden für den Standard zu Verfügung stellen.

Was ist ein ISMS?

Ein ISMS nach ISO 27001 umfasst die koordinierte Planung und Umsetzung von Maßnahmen zur Behandlung von Informationssicherheitsrisiken. Dabei sollte beachtet werden, dass diese Planung immer fortlaufend weitergeführt werden muss. Die Steuerung eines solchen Management Systems erfolgt dabei über zentral definierte Verfahren und Richtlinien. Wichtig ist dabei, dass diese Verfahren und Richtlinien Einzug in den unternehmerischen Alltag finden und von den Mitarbeitern akzeptiert werden. Das Ziel eines solchen ISMS ist ein anhaltender und kontinuierlicher Geschäftsbetrieb mit einer Minimierung der Informationssicherheitsvofälle.

Dabei sollte aber auch nie vergessen werden, dass ein ISMS nicht als Selbstzweck entworfen wurde. So sollte muss ein ISMS auch immer angemessen für die Art und besonders Größe des Unternehmens.

Aufbau der 2700er Familie

In dieser Artikelreihe wird es Vorrangig um die ISO 27001 gehen welche das Management System definiert. Dennoch gibt es rund um diesen Standard noch weitere Dokumente, welche wir in dieser Tabelle etwas genauer beleuchten:

AWR7-2021-001Pi-hole/ Stored Cross-Site-Scripting
AWR7-2023-001WooCommerce Multiple Customer Addresses & Shipping < 21.7 - Arbitrary Address Creation/Deletion/Access/Update via IDOR
AWR7-2024-001ZAA-2024-02: Insecure Direct Object Reference

ISO 27001 – Kapitel 6

Das sechste Kapitel der ISO 27001er Norm behandelt die gesamte Planung. Die Planung, solch ein ISMS einzupflegen und verschiedene Risiken abzuwägen, ist sehr aufwendig und daher eines der größeren Kapitel der ISO 27001. Das erste Unterkapitel 6.1 beschreibt die Maßnahmen zum Umgang mit Risiken und Chancen. Diese Maßnahmen werden wiederum in 2 weitere Unterkapitel aufgeteilt, die in 6.1.2 die Risikobeurteilung und in 6.1.3 die Risikobehandlung beschreiben.

ISO 27001 – Kapitel 6.1

Sowohl das Kapitel 6.1.2 als auch das Kapitel 6.1.3 muss in Dokumenten festgehalten werden, damit das Unternehmen zertifiziert werden kann. In der Risikobeurteilung (6.1.2) müssen Risikoeigentümer festgelegt werden und die festgestellten Risiken hinsichtlich der Auftrittswahrscheinlichkeit, sowie dem Risikoniveau beurteilt werden. Darüber hinaus müssen alle aufgelisteten Risiken priorisiert werden, um Behandlungen gegen diese Risiken durchzuführen.

Die Risikobehandlung baut auf der Risikobeurteilung auf, da hier Prozesse definiert und festgelegt werden, die die festgestellten Risiken behandeln können. Die hier festgelegten Maßnahmen müssen gegen den Anhang A der ISO 27001er Norm auf Vollständigkeit geprüft werden. Neben dieser Prüfung müssen für alle Maßnahmen eine Erklärung zur Anwendbarkeit (SOA) erstellt werden.

ISO 27001 – Kapitel 6.2

Das Unterkapitel 6.2 beschreibt die Informationssicherheits-Ziele und Planung zu deren Erreichung. In diesem Unterkapitel sind ebenfalls dokumentierte Informationen erforderlich, die messbare Ziele für relevante Funktionen und Ebenen im Einklang mit der IS-Politik festlegen. Diese messbaren Ziele sollten sofern möglich mit Kennzahlen aufgeführt werden.

Die Planung muss immer die vorangegangenen Risikobeurteilung und Risikobehandlung berücksichtigen und gegebenenfalls die genannten Ziele und Kennzahlen aktualisieren, falls sich diese durch andere Gegebenheiten verändert haben. Die einzelnen Maßnahmen, die in dem Kapitel 6.2 der ISO 27001 beschrieben werden müssen, beinhalten folgende Daten:

  • Was getan werden muss
  • Welche Ressourcen erforderlich sind
  • Wer verantwortlich ist
  • Endtermin der Maßnahme
  • Kriterien zur Ergebnisbewertung
Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.