Informationssicherheit: Aufbau und Betrieb eines ISMS nach ISO/IEC 27001

In Unternehmen und anderen Organisationen sollen Informationen ständig verfügbar sein. Gleichzeitig ist es wichtig, sie vor dem Zugriff unberechtigter Personen zu sichern. Am besten gelingt das mit einem Informationssicherheits-Managementsystem (ISMS). Die internationale Norm ISO/IEC 27001 beschreibt die Anforderungen.

Die Umsetzung der ISO/IEC 27001 befähigt Organisationen unabhängig von Typ, Art und Größe, die mit der Informationsverarbeitung verbundenen Sicherheitsrisiken angemessen zu steuern. Dabei gelten die Anforderungen unabhängig von der Art der Information, ihrer Verarbeitung sowie den dafür eingesetzten Technologien. Die deutschsprachige Fassung erschien unter dem Titel „Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme - Anforderungen“ (DIN EN ISO/IEC 27001:2017-06).

Die Stärke der Norm liegt in der Wahlfreiheit, wie die Anforderungen erfüllt werden. Es ist ihr ausdrückliches Ziel, dass die praktische Umsetzung in Abhängigkeit der Bedürfnisse der Organisation vollzogen wird. Ein ISMS soll bestmöglich in die bestehenden Prozesse und Strukturen integriert werden. 

Bei der Erarbeitung der Norm wurden internationale Best-Practice-Ansätze sowie vorhandene Normen zusammengeführt und weiterentwickelt. Herausgekommen sind anerkannte Anforderungen an ein ISMS, deren Einhaltung eine Organisation durch eigene Ressourcen (Interne Revision) oder eine akkreditierte Zertifizierungsstelle überprüfen lassen kann.

Unternehmen und andere Organisationen unterscheiden sich unter anderem in Zielen, Prozessen, Aufbau und Technologien voneinander. Deshalb fokussiert die ISO/IEC 27001 auf die strukturellen und prozessualen Anforderungen, die für Aufbau, Betrieb und Weiterentwicklung eines ISMS unerlässlich sind. Die Norm greift Begriffe und Definitionen der ISO/IEC 27000 auf und legt Anforderungen zu folgenden Themenfeldern fest:

• Kontext der Organisation
• Führung
• Planung
• Unterstützung
• Betrieb
• Bewertung der Leistung
• Verbesserung

Einheitlicher Aufbau erleichtert die Orientierung

Der strukturell im Vergleich zu anderen ISO-Managementsystemnormen vereinheitlichte Aufbau der Norm ermöglicht es auch Personen, die andere Managementdisziplinen anwenden, ihre Erfahrungen mit ISO-Managementsystemnormen zu nutzen, sich schnell in der Norm zurechtzufinden und Managementsysteme zu integrieren. Dieser einheitliche Aufbau ist erweitert um die Abschnitte

• Informationssicherheitsrisikobeurteilung (6.1.2)
• Informationssicherheitsrisikobehandlung (6.1.3)
• Informationssicherheitsrisikobeurteilung (8.2)
• Informationssicherheitsrisikobehandlung (8.3)

Diese Abschnitte beinhalten Anforderungen zu Planung (Abschnitte 6.1.x) und Betrieb (Abschnitte 8.x) des Prozesses oder der Prozesse zur Identifikation, Analyse, Beurteilung und Behandlung von Risiken der Informationssicherheit. Weiterhin werden Anforderungen hinsichtlich der Festlegung von Risikoakzeptanzkriterien und der Reproduzierbarkeit von Ergebnissen der Informationssicherheitsrisikobeurteilung definiert.

Anders als häufig angenommen, umfasst Informationssicherheit auch analoge Daten, also z. B. Informationen, die in Akten, Archiven oder (Fach‑) Bibliotheken, auf handschriftlichen Notizen oder Vermerken, Schallplatten oder Videobändern gesammelt sind.

Best Practices ersetzen nicht die eigene Risikobeurteilung

Eine Besonderheit der ISO/IEC 27001 sind die im normativen (und insofern verbindlichen) Anhang A der Norm aufgeführten Referenzmaßnahmenziele und -maßnahmen. Die ISO/IEC 27001 ist daher mehr als nur eine Norm für ein Managementsystem: Über den Anhang A ist sie inhaltlich eng an die ISO/IEC 27002 gekoppelt, in der die Referenzmaßnahmenziele und -maßnahmen als Best-Practice Norm detaillierter aufgeführt sind. Diese sind grundsätzlich geeignet, um typische Informationssicherheitsrisiken zu behandeln, können und müssen jedoch individuell ergänzt bzw. reduziert werden.

Die Normativität bzw. Verbindlichkeit des Anhangs A der ISO/IEC 27001 bedeutet explizit nicht, dass auch die Referenzmaßnahmen und ihre Ziele normativ und damit verbindlich umzusetzen sind. So kann es beispielsweise rechtfertigende Gründe geben, einzelne Referenzmaßnahmen und ihre Ziele nicht zu verfolgen und umzusetzen.

Normativ und verbindlich ist der Anhang A dennoch: Denn die ISO/IEC 27001 legt in Kapitel 6.1.3 fest, dass die Ergebnisse in den Prozessen zur Beurteilung und Behandlung von Informationssicherheitsrisiken erarbeiteten Ergebnisse mit den im Anhang A aufgeführten Maßnahmen und Zielen zu vergleichen sind. Die Ergebnisse dieses Vergleichs müssen in Form einer Erklärung zur Anwendbarkeit dokumentiert werden – inklusive der jeweiligen Begründung zu ihrer Berücksichtigung oder Nicht-Berücksichtigung.

Keineswegs können im Umkehrschluss einfach die Referenzmaßnahmen und -ziele des Anhang A umgesetzt oder dazu genutzt werden, die Ergebnisse eigener Risikobeurteilungen und -behandlungsentscheidungen vorwegzunehmen oder gar auf sie zu verzichten.

Die Umsetzung der ISO/IEC 27001 unterstützt die Verantwortlichen, relevante Risiken der Informationssicherheit zu identifizieren und zu steuern, indem entsprechende Handlungsbedarfe erkannt und risikoorientiert umgesetzt werden.