Wenn Sie beginnen ISO 27001 zu implementieren, suchen Sie wahrscheinlich nach einem einfachen Weg der Implementierung. Ich muss Sie leider enttäuschen: es gibt keinen einfachen Weg dies zu tun. Ich möchte jedoch versuchen, Ihren Job einfacher zu machen – hier die Liste der sechzehn Schritte, die Sie durchlaufen müssen, wenn Sie eine ISO 27001-Zertifizierung erreichen wollen:
1. Gewinnen Sie die Unterstützung des Managements
Dies mag vielleicht selbstverständlich erscheinen, wird aber meist nicht ernst genug genommen. Nach meiner Erfahrung ist das aber der Hauptgrund, warum ISO 27001-Projekte fehlschlagen – das Management stellt nicht genug Leute für die Arbeit im Projekt oder nicht genug Geld bereit. (Lesen Sie bitte Vier wichtige Vorteile der ISO 27001-Umsetzung für einige Ideen, wie man die Sache dem Management präsentiert.)
2. Behandeln sie es als Projekt
Wie schon gesagt, die ISO 27001-Implementierung ist eine komplexe Angelegenheit, die unterschiedliche Aktivitäten, sowie eine Menge Leute involviert und mehrere Monate (oder länger als ein Jahr) dauert. Wenn Sie nicht klar definieren, was zu tun ist, wer es tun wird und in welchem Zeitrahmen (d.h. Projektmanagement anwenden), könnte es gut sein, dass Sie den Job niemals fertig bringen.
3. Definieren Sie den Anwendungsbereich
Wenn Sie eine größere Organisation sind, macht es wahrscheinlich Sinn, ISO 27001 nur in einem Teil Ihrer Organisation zu implementieren und damit Ihr Projektrisiko signifikant zu reduzieren. (Probleme bei der Festlegung des Anwendungsbereichs für ISO 27001)
4. Schreiben Sie eine ISMS-Politik
Die ISMS-Politik ist das Dokument höchster Stufe in Ihrem ISMS – es sollte nicht zu detailliert sein, sollte jedoch einige der grundlegenden Punkte für die Informationssicherheit in Ihrer Organisation definieren. Doch welchen Zweck erfüllt es dann, wenn es nicht detailliert ist? Der Zweck ist, dass das Management definiert, was es erreichen möchte und wie dies zu kontrollieren ist. (Informationssicherheitspolitik – wie detailliert sollte sie sein?)
5. Definieren Sie die Risikobewertungsmethode
Die Risikobewertung ist die komplexeste Aufgabe im ISO 27001-Projekt – der springende Punkt ist, die Regeln zur Identifizierung der Assets, die Schwachstellen, Bedrohungen, Einflüsse und Wahrscheinlichkeiten und den akzeptierbaren Risikolevel zu definieren. Wurden diese Regeln nicht klar definiert, könnten Sie sich in einer Situation wiederfinden, in der sie unbrauchbare Ergebnisse bekommen. (Tipps zur Risikoeinschätzung für Kleinunternehmen)
6. Führen Sie eine Risikobewertung & Risikobehandlung durch
Hier müssen Sie implementieren, was Sie im vorherigen Schritt definierten – es könnte für größere Organisationen mehrere Monate dauern, daher sollten Sie solch einen Aufwand mit großer Sorgfalt koordinieren. Es geht darum, ein umfassendes Bild der Gefahren für die Informationen Ihrer Organisation zu erhalten.
Der Zweck des Risikobehandlungsprozesses ist, die Risiken, die nicht akzeptierbar sind, zu reduzieren – dies wird üblicherweise durch Planung der Verwendung der Kontrollen aus Anhang A gemacht.
In diesem Schritt ist ein Risikobewertungsbericht zu erstellen, der alle im Risikobewertungs- und Risikobehandlungsprozess vorgenommenen Schritte dokumentiert. Außerdem muss eine Genehmigung für die Restrisiken eingeholt werden – entweder als ein separates Dokument, oder als Teil der Anwendbarkeitserklärung.
7. Schreiben Sie die Anwendbarkeitserklärung
Wenn Sie Ihren Risikobehandlungsprozess abgeschlossen haben, werden Sie genau wissen, welche Kontrollen aus Anhang A Sie benötigen (es gibt eine Gesamtzahl von 114 Kontrollen, doch wahrscheinlich werden Sie die nicht alle brauchen). Der Zweck dieses Dokuments (häufig bezeichnet als SoA/Statement of Applicability) ist, alle Kontrollen aufzulisten und zu definieren, welche anwendbar und welche nicht anwendbar sind, sowie die Gründe für solch eine Entscheidung und die mit den Kontrollen zu erreichenden Ziele festzulegen und eine Beschreibung, wie diese implementiert werden, zu erstellen.
Die Anwendbarkeitserklärung ist auch das am besten geeignete Dokument, um die Genehmigung des Managements für die Implementierung des ISMS zu erhalten.
8. Erstellen Sie den Risikobehandlungsplan
Wenn Sie dachten, Sie hätten nun alle risikobezogenen Dokumente geklärt, hier kommt ein weiteres – der Zweck des Risikobehandlungsplans ist, genau zu definieren, wie die Kontrollen aus dem SoA zu implementieren sind – wer wird dies durchführen, wann, mit welchem Budget usw. Dieses Dokument ist eigentlich ein auf Ihre Kontrollen fokussierter Implementierungsplan, ohne den es Ihnen nicht möglich wäre, weitere Schritte im Projekt zu koordinieren.
9. Definieren Sie, wie die Effektivität der Kontrollen gemessen wird
Eine weitere Aufgabe, die für gewöhnlich unterschätzt wird. Der Punkt hier ist – wenn Sie nicht messen können, was Sie getan haben, wie können Sie sicher sein, dass Sie den Zweck erfüllt haben? Stellen Sie daher sicher, dass Sie definieren, wie Sie die Erfüllung von Zielen, die Sie sowohl für das gesamte ISMS, als auch für jede anwendbare Kontrolle in der Anwendbarkeitserklärung gesetzt haben, messen werden.
10. Implementieren Sie die Kontrollen & obligatorische Verfahren
Einfacher gesagt als getan. Hier müssen Sie die vier obligatorischen Verfahren und die anwendbaren Kontrollen aus Anhang A implementieren.
Das ist für gewöhnlich die risikoreichste Aufgabe in Ihrem Projekt – sie bedeutet üblicherweise die Anwendung neuer Technologien, aber vor allen Dingen – die Einführung eines neuen Verhaltens in Ihrer Organisation. Sehr oft werden neue Richtlinien und Verfahren benötigt (was bedeutet, dass Änderungen anstehen) und die Leute wehren sich für gewöhnlich gegen Änderungen – das ist der Grund, warum die nächste Aufgabe (Schulung und Sensibilisierung) so wichtig zur Vermeidung dieses Risikos ist.
11. Implementieren Sie ein Schulungs- und Sensibilisierungsprogramm
Wenn Sie von Ihrem Personal erwarten, dass es alle neuen Richtlinien und Verfahren implementiert, müssen Sie ihm zuerst erklären, warum diese notwendig sind und Ihre Leute so schulen, dass sie wie erwartet arbeiten. Ein Ausbleiben dieser Aktivitäten ist der zweithäufigste Grund für das Fehlschlagen eines ISO 27001-Projekts.
12. Betrieb des ISMS
Dies ist der Teil, in dem ISO 27001 zur alltäglichen Routine in Ihrer Organisation wird. Das entscheidende Wort ist hier; „Aufzeichnungen“. Auditoren lieben Aufzeichnungen – ohne Aufzeichnungen wird es Ihnen sehr schwerfallen nachzuweisen, dass manche Aktivität tatsächlich erfolgte. Doch Aufzeichnungen sollten Ihnen zuerst einmal helfen – durch Verwendung dieser können Sie überwachen was vor sich geht – Sie werden faktisch mit Sicherheit wissen, ob Ihre Mitarbeiter (und Lieferanten) Ihre Aufgaben wie gefordert erfüllen.
13. Überwachung des ISMS
Was geschieht in Ihrem ISMS? Wie viele Vorfälle haben Sie, und welcher Art? Werden alle Verfahren richtig ausgeführt?
Dies ist der Punkt, wo Ihre Ziele für Ihre Kontrollen und die Messmethoden zusammenkommen – Sie müssen überprüfen, ob die Ergebnisse, die Sie erhalten, erreichen, was Sie in Ihren Zielen festgesetzt haben. Wenn nicht, wissen Sie, dass etwas falsch läuft – Sie müssen Korrektur- und Vorbeugungsmaßnahmen ergreifen.
14. Interner Audit
Sehr oft ist es Leuten nicht bewusst, dass sie etwas falsch machen (andererseits ist es ihnen manchmal bewusst, doch sie wollen nicht, dass es jemand herausfindet). Doch bestehende oder potentielle Probleme nicht zu bemerken kann Ihrer Organisation Schaden zufügen – Sie müssen interne Audits durchführen, um derartige Dinge herauszufinden. Der springende Punkt ist hier, keine Disziplinarmaßnahmen zu setzen, sondern Korrektur- und/oder Vorbeugungsmaßnahmen zu treffen. (Probleme bei internen Auditoren nach ISO 27001 und BS 25999-2)
15. Managementbewertung
Das Management hat nicht Ihre Firewall zu konfigurieren, doch muss es wissen, was im ISMS vor sich geht, d.h. ob jeder/jede seinen oder ihren Pflichten nachkommt, ob das ISMS die gewünschten Ergebnisse erzielt usw. Basierend auf all diesem muss das Management einige grundlegende Entscheidungen treffen.
16. Korrektur- und Vorbeugungsmaßnahmen
Der Zweck des Managementsystems ist sicherzustellen, dass alles, was falsch ist (sogenannte „Nichtkonformitäten“) korrigiert oder hoffentlich vermieden wird. Daher verlangt ISO 27001, dass Korrektur- und Vorbeugungsmaßnahmen systematisch durchgeführt werden, was bedeutet, dass die Grundursache einer Nichtkonformität identifiziert und dann behoben und verifiziert wird.
Hoffentlich hat dieser Artikel geklärt, was getan werden muss – auch wenn ISO 27001 keine leichte Aufgabe ist, ist sie nicht unbedingt eine komplizierte. Sie müssen einfach nur jeden Schritt sorgfältig planen, und keine Sorge – Sie werden Ihr Zertifikat bekommen.
Eine detailliertere Liste der Implementierungsschritte finden Sie in der Conformio Compliance Software.