Artikel Inhalt
01. März 2022 Helena Loos
Cloud-Software für Credit Manager 8 Min.Dass IT- und Datensicherheit zu den Grundsätzen eines jeden Unternehmens gehört, sollte ein ganz selbstverständlicher Standard sein. Corona und Meldungen über Datenpannen zeigen jedoch, dass dies häufig nicht der Fall ist oder Sicherheit von Informationen, Daten und IT nur in abgeschotteten Abteilungen gedacht und gelebt wird. Gekapseltes Wissen in Abteilungen und Köpfen gewährleistet IT- und Datensicherheit im Allgemeinen, aber eben nicht unternehmensweit. Genau hier setzt die ISO Zertifizierung 27001 an - unternehmensweites IT- und Informationssicherheitsdenken.
Dabei bedeutet IT- und Informationssicherheit nicht nur, dass die IT-Infrastruktur vor Fremdzugriffen geschützt ist, sondern vor allem, dass das Unternehmen und die Mitarbeiter operativ und strategisch Sicherheit denken. Kurz gesagt, besteht die ISO zum einen aus dem Thema IT-Sicherheit der Daten innerhalb der IT-Infrastruktur, aber zum anderen aus der Informationssicherheit. Und das betrifft das komplette Unternehmen.
Dabei bildet das aufgebaute Informationssicherheits-Managementsystem, kurz ISMS, das Herz der ISO Zertifizierung 27001. Das ISMS erfasst alle Richtlinien, Prozesse sowie Verfahren und bildet die Grundlage für ein lebbares Sicherheits- und Risikoverständnis im Unternehmen. Es umfasst dabei nicht nur organisatorische Einheiten, sondern ermittelt, welche Risiken für Informationen bestehen und mit welchen Schutzmaßnahmen oder anderen Methoden Informationsrisiken kontrolliert werden können. Im ISMS werden demnach die Schutzmaßnahmen für die Risikominderung und -behandlung dokumentiert.
Das ISMS ist kein abgeschlossener Prozess, sondern muss fortlaufend auf die Wirksamkeit kontrolliert und verbessert werden. Neben dem Maßnahmenkatalog werden im ISMS somit auch das kontinuierliche Monitoring und die kontinuierliche Verbesserung festgehalten.
Ziel all dieser Maßnahmen, Vorschriften und Richtlinien ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Werten und Informationen im Unternehmen zu gewährleisten. Auf diese drei Eckpfeiler lassen sich alle Überlegungen, Umsetzungen und Maßnahmen zurückführen, insbesondere hinsichtlich der Risikobewertung.
Dabei versteht man unter Vertraulichkeit, dass nur befugte Personen das Recht haben, auf Informationen zuzugreifen. Von Integrität spricht man, wenn nur befugte Personen diese Informationen ändern können. Zuletzt definiert die Verfügbarkeit, dass die Informationen den befugten Personen jederzeit zugänglich sein müssen, wenn diese benötigt werden.
Die ISO Zertifizierung 27001 wirkt im ersten Moment wie ein Bürokratiemonster, gerade für ein FinTech-Startup. Mit der richtigen Herangehensweise kann aus dem Monster aber ein hilfreiches Heinzelmännchen werden. Gerade bei der Implementierung sollte man darauf achten, dass die ISO wirksam, aber pragmatisch umgesetzt wird. Dies bedeutet, dass der Maßnahmenkatalog und die Richtlinien zur Kultur des Unternehmens passen und realitätsnah am Anwender umgesetzt werden. Daraus lassen sich zwei wichtige Punkte ableiten: Zum einen sollte die Dokumentation einfach, verständlich und kurz sein. Zum anderen funktioniert das ISMS nur mit der Einsicht und dem Verständnis der Mitarbeiter.
Sisyphus lässt grüßen: Zertifizierung nach ISO 27001
Die Vorgaben der ISO Zertifizierung 27001 sind in zwei Teile aufgeteilt. Hierbei unterscheidet man zwischen dem Hauptteil, welcher aus 11 Klauseln (0 bis 10) besteht und dem Anhang A.
Der obligatorische Teil für die Umsetzung der ISO befindet sich in den Klauseln vier bis zehn, in denen die Anforderungen festgelegt werden, die ein Unternehmen erfüllen muss, um die Wirksamkeit des ISMS nachzuweisen.
Obligatorische Klauseln
In der Klausel 4 wird der Kontext des Unternehmens und der Wirkungskreis des ISMS festgelegt. Darauf folgt in der Klausel 5 die Benennung der Verantwortlichen und die Verankerung des ISMS im Management. Die Klauseln 6, 7 und 8 fassen die Themen Planung, Unterstützung und Betrieb zusammen und können als Kern der Risikobewertung der Informationen verstanden werden.
Hierbei geht es um die Zusammenfassung aller Werte und Informationen des Unternehmens, um eine Risikobewertung hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit durchzuführen. Daraus werden die Risikobehandlungen und -minderungen abgeleitet, welche vor allem im Anhang A zu finden sind.
Abgeschlossen wird der Hauptteil mit den Bereichen Monitoring (Klausel 9) und kontinuierliche Verbesserung (Klausel 10).
Unterstützende Kontrollen in Anhang A
Die Liste an Kontrollen im Anhang A kann als unterstützendes Beiwerk für die Erreichung der obligatorischen Maßnahmen verstanden werden. Wenngleich diese Kontrollen nicht vorgeschrieben sind, werden die meisten Richtlinien im Rahmen des Risikomanagementprozesses ausgewählt und implementiert. Hierbei werden vor allem die Anhänge A.5 bis A.18 umgesetzt.
Anhang A5. Informationssicherheitsrichtlinie
Unterstützt die Klausel 5 und gibt den allgemeinen Rahmen, indem Informationssicherheit im Unternehmen umgesetzt werden soll unter der Berücksichtigung von organisatorischen Anforderungen und gesetzlichen Regularien.
Anhang A6. Organisation der Informationssicherheit
Diese Kontrolle bildet das Rahmenwerk für die Umsetzung und Steuerung der Informationssicherheit im Unternehmen und allen betroffenen Parteien. Zusätzlich wird der operativen Umgang und die Arbeit mit mobilen Endgeräten vorgeschrieben.
Anhang A7. Personalsicherheit
In dieser Richtlinie wird der komplette Prozess vom potentiellen Mitarbeiter, aktuellen Mitarbeiter bis zum ausscheidenden Mitarbeiter dokumentiert sowie die Themen Informationssicherheitsschulungen und Disziplinarverfahren.
Anhang A8. Verwaltung der Werte
Durch diese Kontrolle sollen einerseits die Werte des Unternehmens identifiziert und andererseits ein dezidierter Verantwortlicher für jeden Wert festgelegt werden. Darüber hinaus wird an dieser Stelle die Informationsklassifizierung hinsichtlich Verfügbarkeit, Vertraulichkeit und Integrität für die Risikobewertung festgelegt. Diese Norm ist maßgeblich für die Klauseln 6, 7 und 8.
Anhang A9. Zugangssteuerung
Diese Norm behandelt die Identitäts- und Zugangskontrolle und legt die Zugangskontrollpolitik fest.
Anhang A.10 Kryptographie
Mit der Kontrolle der Kryptographie soll sichergestellt werden, dass es einen wirksamen Schutz für die Vertraulichkeit, Authentizität und Integrität der Informationen durch kryptographische Algorithmen oder Verschlüsselungen gibt.
Anhang A.11 Physische und umgebungsbezogene Sicherheit
Über diese Norm soll realisiert werden, dass es zu keinem unbefugten Zutritt in informationsverarbeitenden Einrichtungen kommt. Dies gilt gleichermaßen für die Informationen an sich.
Anhang A.12 Betriebssicherheit
Die Betriebssicherheit beinhaltet eine breit gefächertes Sortiment an Kontrollen für die Sicherstellung dieser Norm. Darunter finden sich Punkte wie betriebliche Verfahren und Zuständigkeiten, Malware-Nutzung, Backup-Prozesse, Monitoring und Kontrolle der Systeme oder technisches Problem Management.
Anhang A13. Kommunikationssicherheit
Über diese Norm soll die Sicherheit der Netzwerke sowie der Kommunikationswege und Informationsübertragung gewährleistet werden.
Anhang A14. Anschaffung, Entwicklung und Instandhaltung von Systemen
Die Grundsätze der sicheren Verwaltung von Systemen sowie definierte Kontrollen für die Beschaffung, Entwicklung und Wartung von Informationssystemen während des gesamten Lebenszyklus sind Kerninhalte dieser Norm.
Anhang A15. Lieferantenbeziehungen
Durch die Richtlinie und Norm zur Lieferantenbeziehungen soll eine Minimierung von Risiken im Zusammenhang mit Drittanbietern erzielt werden.
Anhang A16. Handhabung von Informationssicherheitsvorfällen
Ziel dieser Kontrolle ist die konsistente und wirksame Handhabung von Informationssicherheitsvorfällen. Dazu gehört beispielsweise die Benennung von Verantwortlichkeiten, die Berichterstattungen, ein Reaktionsplan oder das Post Mortem.
Anhang A17. Business Continuity Plan
Die spezifische Einbettung der Kontinuität der Informationssicherheit in die Managementsysteme für die Geschäftskontinuität der Organisation kann über die Norm des Kontinuitätsmanagement abgebildet werden.
Anhang A18. Compliance
Mit der Norm zum Compliance soll sichergestellt werden, dass es zu keinen gesetzlichen, regulatorischen, selbst auferlegten oder vertraglichen Verstoß im Bezug auf die Informationssicherheit kommt.
***
Vorschriftsmäßig werden die obligatorischen Maßnahmen unterstützt durch Kontrollen in das ISMS und in die Unternehmensprozesse überführt. Dabei wird durch die externe Auditierung vor allem das ISMS und die damit etablierten Prozesse auf dessen Wirksamkeit geprüft. Ohne einen Einklang mit der Unternehmenskultur und der Zustimmung der Mitarbeiter wird ein langfristiger Erfolg und (Wieder-)Zertifizierung allerdings schwer erreichbar sein.
Die ISO Zertifizierung 27001 sollte also immer aus dem Zusammenspiel eines wirksamen ISMS und gelebter Kultur der Informationssicherheit in den Köpfen der Mitarbeiter bestehen.
Mehr zum Thema Datensicherheit und wie wir bei Bilendo damit umgehen, finden Sie in unserem Whitepaper.
KOSTENFREIER GUIDE
✓ Wie Sie an den entscheidenden Stellschrauben drehen und Ihre Zahlen verbessern.