Wir sind telefonisch für Sie erreichbar!

Montag bis Donnerstag von 08:00 bis 16:00 Uhr

Freitag von 08:00 bis 15:00 Uhr

Kundenservice National
Telefon +49 30 2601-1331
Fax +49 30 2601-1260

Informationssicherheit: Aufbau und Betrieb eines ISMS nach ISO/IEC 27001

In Unternehmen und anderen Organisationen sollen Informationen ständig verfügbar sein. Gleichzeitig ist es wichtig, sie vor dem Zugriff unberechtigter Personen zu sichern. Am besten gelingt das mit einem Informationssicherheits-Managementsystem (ISMS). Die internationale Norm ISO/IEC 27001 beschreibt die Anforderungen.

Die Umsetzung der ISO/IEC 27001 befähigt Organisationen unabhängig von Typ, Art und Größe, die mit der Informationsverarbeitung verbundenen Sicherheitsrisiken angemessen zu steuern. Dabei gelten die Anforderungen unabhängig von der Art der Information, ihrer Verarbeitung sowie den dafür eingesetzten Technologien. Die deutschsprachige Fassung erschien unter dem Titel „Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme - Anforderungen“ (DIN EN ISO/IEC 27001:2017-06).

Die Stärke der Norm liegt in der Wahlfreiheit, wie die Anforderungen erfüllt werden. Es ist ihr ausdrückliches Ziel, dass die praktische Umsetzung in Abhängigkeit der Bedürfnisse der Organisation vollzogen wird. Ein ISMS soll bestmöglich in die bestehenden Prozesse und Strukturen integriert werden. 

Bei der Erarbeitung der Norm wurden internationale Best-Practice-Ansätze sowie vorhandene Normen zusammengeführt und weiterentwickelt. Herausgekommen sind anerkannte Anforderungen an ein ISMS, deren Einhaltung eine Organisation durch eigene Ressourcen (Interne Revision) oder eine akkreditierte Zertifizierungsstelle überprüfen lassen kann.

Ein Informationssicherheits-Managementsystem (ISMS) schützt Unternehmensdaten.

Unternehmen und andere Organisationen unterscheiden sich unter anderem in Zielen, Prozessen, Aufbau und Technologien voneinander. Deshalb fokussiert die ISO/IEC 27001 auf die strukturellen und prozessualen Anforderungen, die für Aufbau, Betrieb und Weiterentwicklung eines ISMS unerlässlich sind. Die Norm greift Begriffe und Definitionen der ISO/IEC 27000 auf und legt Anforderungen zu folgenden Themenfeldern fest:

  • Kontext der Organisation
  • Führung
  • Planung
  • Unterstützung
  • Betrieb
  • Bewertung der Leistung
  • Verbesserung

Einheitlicher Aufbau erleichtert die Orientierung

Der strukturell im Vergleich zu anderen ISO-Managementsystemnormen vereinheitlichte Aufbau der Norm ermöglicht es auch Personen, die andere Managementdisziplinen anwenden, ihre Erfahrungen mit ISO-Managementsystemnormen zu nutzen, sich schnell in der Norm zurechtzufinden und Managementsysteme zu integrieren. Dieser einheitliche Aufbau ist erweitert um die Abschnitte

  • Informationssicherheitsrisikobeurteilung (6.1.2)
  • Informationssicherheitsrisikobehandlung (6.1.3)
  • Informationssicherheitsrisikobeurteilung (8.2)
  • Informationssicherheitsrisikobehandlung (8.3)

Diese Abschnitte beinhalten Anforderungen zu Planung (Abschnitte 6.1.x) und Betrieb (Abschnitte 8.x) des Prozesses oder der Prozesse zur Identifikation, Analyse, Beurteilung und Behandlung von Risiken der Informationssicherheit. Weiterhin werden Anforderungen hinsichtlich der Festlegung von Risikoakzeptanzkriterien und der Reproduzierbarkeit von Ergebnissen der Informationssicherheitsrisikobeurteilung definiert.

Informationssicherheit umfasst – anders als häufig angenommen – auch analoge Datenträger.

Anders als häufig angenommen, umfasst Informationssicherheit auch analoge Daten, also z. B. Informationen, die in Akten, Archiven oder (Fach‑) Bibliotheken, auf handschriftlichen Notizen oder Vermerken, Schallplatten oder Videobändern gesammelt sind.

Best Practices ersetzen nicht die eigene Risikobeurteilung

Eine Besonderheit der ISO/IEC 27001 sind die im normativen (und insofern verbindlichen) Anhang A der Norm aufgeführten Referenzmaßnahmenziele und -maßnahmen. Die ISO/IEC 27001 ist daher mehr als nur eine Norm für ein Managementsystem: Über den Anhang A ist sie inhaltlich eng an die ISO/IEC 27002 gekoppelt, in der die Referenzmaßnahmenziele und -maßnahmen als Best-Practice Norm detaillierter aufgeführt sind. Diese sind grundsätzlich geeignet, um typische Informationssicherheitsrisiken zu behandeln, können und müssen jedoch individuell ergänzt bzw. reduziert werden.

Die Normativität bzw. Verbindlichkeit des Anhangs A der ISO/IEC 27001 bedeutet explizit nicht, dass auch die Referenzmaßnahmen und ihre Ziele normativ und damit verbindlich umzusetzen sind. So kann es beispielsweise rechtfertigende Gründe geben, einzelne Referenzmaßnahmen und ihre Ziele nicht zu verfolgen und umzusetzen.

Normativ und verbindlich ist der Anhang A dennoch: Denn die ISO/IEC 27001 legt in Kapitel 6.1.3 fest, dass die Ergebnisse in den Prozessen zur Beurteilung und Behandlung von Informationssicherheitsrisiken erarbeiteten Ergebnisse mit den im Anhang A aufgeführten Maßnahmen und Zielen zu vergleichen sind. Die Ergebnisse dieses Vergleichs müssen in Form einer Erklärung zur Anwendbarkeit dokumentiert werden – inklusive der jeweiligen Begründung zu ihrer Berücksichtigung oder Nicht-Berücksichtigung.

Keineswegs können im Umkehrschluss einfach die Referenzmaßnahmen und -ziele des Anhang A umgesetzt oder dazu genutzt werden, die Ergebnisse eigener Risikobeurteilungen und -behandlungsentscheidungen vorwegzunehmen oder gar auf sie zu verzichten.

Die Umsetzung der ISO/IEC 27001 unterstützt die Verantwortlichen, relevante Risiken der Informationssicherheit zu identifizieren und zu steuern, indem entsprechende Handlungsbedarfe erkannt und risikoorientiert umgesetzt werden.


Der Autor

  • Prof. Dr. Knut Haufe ist Professor für Wirtschaftsinformatik mit dem Schwerpunkt Cyber Security Governance an der SRH Berlin University of Applied Sciences. Er führt Projekte zur Planung und Etablierung von Informationssicherheits-Managementsystemen (ISMS) gemäß ISO/IEC 27001 und auf der Basis von BSI-IT-Grundschutz durch. Er berät führende Organisationen der öffentlichen Verwaltung des Bundes und der Länder sowie im Bereich kritischer Infrastrukturen.

    Als Mitglied in den Normenausschüssen Informationstechnik und Anwendungen (NIA) 043-01-27-01 Arbeitskreis Anforderungen, Dienste und Richtlinien für IT Sicherheitssysteme sowie NA 175-00-05 GA Sicherheit und Business Continuity ist er auch Editor der Norm ISO/IEC TS 27022 „Guidance on ISMS processes“.



Normen

Norm [AKTUELL] 2017-06

DIN EN ISO/IEC 27001:2017-06
Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme - Anforderungen (ISO/IEC 27001:2013 einschließlich Cor 1:2014 und Cor 2:2015); Deutsche Fassung EN ISO/IEC 27001:2017

ab 96,40 EUR inkl. MwSt.

ab 90,09 EUR exkl. MwSt.

Norm [AKTUELL] 2020-06

DIN EN ISO 22301:2020-06
Sicherheit und Resilienz - Business Continuity Management System - Anforderungen (ISO 22301:2019); Deutsche Fassung EN ISO 22301:2019

ab 101,80 EUR inkl. MwSt.

ab 95,14 EUR exkl. MwSt.

Norm [AKTUELL] 2018-10

DIN EN ISO 19011:2018-10
Leitfaden zur Auditierung von Managementsystemen (ISO 19011:2018); Deutsche und Englische Fassung EN ISO 19011:2018

ab 179,00 EUR inkl. MwSt.

ab 167,29 EUR exkl. MwSt.

Publikationen

ab 58,00 EUR inkl. MwSt.

ab 54,21 EUR exkl. MwSt.

Publikation DIN-Taschenbuch 408 2018-08

Informationssicherheitsmanagement

ab 179,20 EUR inkl. MwSt.

ab 167,48 EUR exkl. MwSt.

Publikation Beuth Kommentar 2021-05

Paket Geschäftsrelevante Informationen und Records Management
"Geschäftsrelevante Informationen - Eine Handlungsanleitung zur risikoorientierten Bewertung von Aufzeichnungen nach ISO/TR 21946 Appraisal for managing records" sowie "Records Management nach ISO 15489 - Einführung und Anleitung"

ab 72,00 EUR inkl. MwSt.

ab 67,29 EUR exkl. MwSt.

Managementsysteme – Erfolg durch Qualität

Kostenlose White Paper zum Thema Qualitätsmanagement und anderen relevanten Managementsystemen. Wir haben QM-Experten zu Ihren Meinungen rund um Managementsysteme befragt. Finden Sie Ihre interessanten Antworten hier heraus.

Managementnormen online

Managementsysteme helfen Unternehmen, effizienter und transparenter zu arbeiten. Mit unserem Online-Dienst behalten Sie die Übersicht über die führenden, weltweit anerkannten Managementsystemnormen, zum Beispiel DIN EN ISO 9001 (Qualitätsmanagement) und DIN ISO 45001 (Arbeitssicherheits- und Gesundheitsmanagement).

Beuth Kundenservice
   Beuth Kundenservice National

Saatwinkler Damm 42/43
13627 Berlin