2021

ISO 27001 – Kapitel 7: Unterstützung

Mit den Novellen des IT-Sicherheitsgesetzes im Jahr 2015 wurden alle Betreiber von Kritischer Infrastruktur dazu verpflichtet Informationssicherheitsmanagementsysteme (ISMS)  nach ISO 27001 einzuführen. Der Betrieb dieser Stellte die betroffenen Betreiber meist vor recht große Probleme. Da dieser Umstieg mit der Erweiterung des IT-Sicherheitsgesetzes nun auch auf viele neue Bereiche wie die Entsorgung zu kommt wollen wir hiermit allen einen Leitfaden für den Standard zu Verfügung stellen.

Was ist ein ISMS?

Ein ISMS nach ISO 27001 umfasst die koordinierte Planung und Umsetzung von Maßnahmen zur Behandlung von Informationssicherheitsrisiken. Dabei sollte beachtet werden, dass diese Planung immer fortlaufend weitergeführt werden muss. Die Steuerung eines solchen Management Systems erfolgt dabei über zentral definierte Verfahren und Richtlinien. Wichtig ist dabei, dass diese Verfahren und Richtlinien Einzug in den unternehmerischen Alltag finden und von den Mitarbeitern akzeptiert werden. Das Ziel eines solchen ISMS ist ein anhaltender und kontinuierlicher Geschäftsbetrieb mit einer Minimierung der Informationssicherheitsvofälle.

Dabei sollte aber auch nie vergessen werden, dass ein ISMS nicht als Selbstzweck entworfen wurde. So sollte muss ein ISMS auch immer angemessen für die Art und besonders Größe des Unternehmens.

Aufbau der 2700er Familie

In dieser Artikelreihe wird es Vorrangig um die ISO 27001 gehen welche das Management System definiert. Dennoch gibt es rund um diesen Standard noch weitere Dokumente, welche wir in dieser Tabelle etwas genauer beleuchten:

AWR7-2021-001Pi-hole/ Stored Cross-Site-Scripting
AWR7-2023-001WooCommerce Multiple Customer Addresses & Shipping < 21.7 - Arbitrary Address Creation/Deletion/Access/Update via IDOR

ISO 27001 – Kapitel 7

In dem siebten Kapitel der ISO 27001er Norm wird die Unterstützung beschrieben. Diese Unterstützung ist auf mehrere Bereiche aufgeteilt bzw. beschrieben, wodurch insgesamt 5 Unterkapitel in diesem Kapitel 7 aufgeführt werden:

  1. Ressourcen
  2. Kompetenz
  3. Bewusstsein
  4. Kommunikation
  5. Dokumentierte Informationen

ISO 27001 – Kapitel 7.1

In diesem Unterkapitel sollen Ressourcen bestimmt und beschrieben werden, die für das Informationssicherheitsmanagementsystem (ISMS) notwendig sind. Es ist keine Pflicht dokumentierte Informationen zu diesem Punkt bereitzustellen, um sich nach der ISO 27001er Norm zertifizieren zu lassen.

ISO 27001 – Kapitel 7.2

Das zweite Unterkapitel dagegen fordert dokumentierte Informationen zum Nachweis der Kompetenz. Die erforderlichen Kompetenzen sollen auf Mitarbeiter verteilt werden. Dauerhaft sollte sichergestellt werden bzw. Maßnahmen ergriffen werden, die die Wirksamkeit prüfen können.

ISO 27001 – Kapitel 7.3

In dem dritten Unterkapitel des Kapitels 7 wird der Themenkomplex des Bewusstseins angesprochen. Alle Beschäftigten soll ein Bewusstsein geschafft werden für die Informationssicherheits-Politik. Insbesondere die Folgen bei einer Nichterfüllung der Anforderungen an das ISMS sollten innerhalb dieses Unterkapitels besprochen werden.

ISO 27001 – Kapitel 7.4

Die Kommunikation sowohl intern als auch extern sollte in diesem Unterkapitel festgelegt werden. Wer, Wann, Mit wem, und worüber Kommunikation bezüglich des ISMS stattfindet, wird festgelegt. Darüber hinaus sollten Prozesse, Routinen oder Verfahren festgehalten werden, nachdem die Kommunikation stattfindet.

ISO 27001 – Kapitel 7.5

Das mit Abstand größte Unterkapitel der ISO 27001er Norm im Kapitel 7 ist der Abschnitt 7.5. Hier sollen dokumentierte Informationen enthalten sein, die sowohl Allgemeines (7.5.1), Erstellen und Aktualisieren (7.5.2) und Lenkung von dokumentierten Informationen (7.5.3) beinhaltet.

Jegliche Aspekt einer strukturierten und organisierten Dokumentation sind Bestandteil des Kapitels 7.5. Vor allem der Schutz dieser Dokumente wird in 7.5.3 gefordert, da unter anderem die Verfügbarkeit sichergestellt sein muss, als auch der Schutz vor Missbrauch, Verlust und Integrität oder Vertraulichkeit.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.