Anhang A von ISO 27001 ist wohl der bekannteste Anhang aller ISO-Normen – das deshalb, weil er ein wesentliches Werkzeug für das Sicherheitsmanagement darstellt: eine Liste von Sicherheitskontrollen (oder Sicherheitsabschnitte), die zu verwenden sind, um die Sicherheit von Informationen zu verbessern.
Wie viele Kontrollen gibt es in ISO 27001?
In ISO 27001 sind 114 Kontrollen aufgeführt – es wäre ein Verstoß gegen die Rechte geistigen Eigentums, würde ich alle diese Kontrollen hier auflisten, doch lassen Sie mich einfach erklären, wie die Kontrollen strukturiert sind und was der Zweck von jedem der 14 Abschnitte im Anhang A ist:
- A.5 Informationssicherheitspolitik – Kontrollen, wie die Politik geschrieben und überprüft ist.
- A.6 Organisation der Informationssicherheit – Kontrollen, wie die Verantwortlichkeiten zugewiesen sind, enthält auch die Kontrollen für Mobilgeräte und Telearbeit
- A.7 Personalsicherheit – Kontrollen vor der Anstellung, während und nach der Anstellung
- A.8 Asset Management – Kontrollen in Bezug auf das Assets-Verzeichnis und akzeptable Nutzung, sowie auch für Informationsklassifizierung und Medien-Handhabung
- A.9 Zugriffskontrolle – Kontrollen für die Zugriffskontrollen-Richtlinie, die Benutzerzugriffsverwaltung, System- und Applikations-Zugriffskontrolle, sowie Anwenderverantwortlichkeiten
- A.10 Kryptografie – Kontrollen in Bezug auf Verschlüsselung und Schlüsselverwaltung
- A.11 Physische und Umgebungssicherheit – Kontrollen, die Sicherheitsbereiche, Zutrittskontrollen, Schutz gegen Bedrohungen, Gerätesicherheit, sichere Entsorgung, Clear Desk- und Clear Screen-Richtlinie usw. definieren
- A.12 Betriebssicherheit – eine Menge an Kontrollen im Zusammenhang mit dem Management der IT-Produktion:Change Management, Capacity Management, Malware, Backup, Protokollierung, Überwachung, Installation, Schwachstellen usw.
- A.13 Kommunikationssicherheit – Kontrollen in Bezug auf Netzwerksicherheit, Segregation, Netzwerk-Services, Informationstransfer, Nachrichtenübermittlung etc.
- A.14 Systemerwerb, Entwicklung und Wartung – Kontrollen, die Sicherheitsanforderungen und die Sicherheit in Entwicklungs- und Support-Prozessen definieren
- A.15 Lieferantenbeziehungen – Kontrollen, was in Vereinbarungen zu inkludieren ist und wie die Lieferanten zu überwachen sind
- A.16 Informationssicherheits-Störfallmanagement – Kontrollen für die Meldung von Vorfällen und Gebrechen, welche die Verantwortlichkeiten, Sofortmaßnahmen und Sammlung von Beweisen definieren
- A.17 Informationssicherheitsaspekte des betrieblichen Kontinuitätsmanagement – Kontrollen, welche die Planung von Betriebskontinuität, Verfahren, Verifizierung und Überprüfung, sowie der IT-Redundanz verlangen
- A.18 Compliance/Konformität – Kontrollen, welche die Identifizierung anwendbarer Gesetze und Bestimmungen, des Schutzes geistigen Eigentums, des Schutzes persönlicher Daten und die Überprüfung der Informationssicherheit verlangen
Eine der größten Mythen über ISO 27001 ist, dass er auf IT fokussiert ist – wie Sie aus den Abschnitten oben ersehen können, stimmt dies nicht ganz: obwohl die IT sicherlich wichtig ist, kann die IT alleine nicht Informationen schützen. Physische Sicherheit, Rechtsschutz, Personalmanagement, organisatorische Belange – all diese zusammen sind erforderlich, um Informationen zu sichern.
Der beste Weg, Anhang A zu verstehen ist, diesen als Katalog von Sicherheitskontrollen, aus denen Sie wählen können, zu betrachten – aus den 114 Kontrollen, die im Anhang A aufgelistet sind, können Sie jene auswählen, die für Ihr Unternehmen anwendbar sind.
Zusammenhang mit dem Hauptteil von ISO 27001
Nicht alle dieser 114 Kontrollen sind obligatorisch – ein Unternehmen kann selbst wählen, welche Kontrollen es für anwendbar hält und muss diese dann implementieren (in den meisten Fällen sind zumindest 90% der Kontrollen anwendbar), die restlichen werden als nicht anwendbar deklariert. Zum Beispiel kann Kontrolle.14.2.7 Ausgelagerte Entwicklung als nicht anwendbar markiert werden, wenn ein Unternehmen die Softwareentwicklung nicht auslagert. Das hauptsächliche Kriterium für die Auswahl der Kontrollen ist über das Risikomanagement, welches in den Abschnitten 6 und 8 des Hauptteils von ISO 27001 definiert ist. Hier erfahren Sie mehr: ISO 27001 Risikobewertung und Risikobehandlung – 6 grundlegende Schritte.
Darüber hinaus fordert Abschnitt 5 des Hauptteils von ISO 27001 von Ihnen, die Verantwortlichkeiten für das Management dieser Kontrollen zu definieren und Abschnitt 9 verlangt von Ihnen, zu messen, ob die Kontrollen ihren Zweck erfüllt haben. Zu guter Letzt verlangt Abschnitt 10 von Ihnen, alles, was falsch ist in diesen Kontrollen, zu beheben und sicherzustellen, dass Sie mit diesen Kontrollen die Informationssicherheitsziele erreichen.
Zusammenhang mit ISO 27002
Die Wahrheit ist natürlich, dass Anhang A von ISO 27001 nicht zu viele Details über jede Kontrolle anführt. Für gewöhnlich gibt es einen Satz für jede Kontrolle, was Ihnen eine Vorstellung davon gibt, was Sie erreichen müssen, jedoch nicht, wie Sie es tun müssen. Das ist der Zweck von ISO 27002 – er hat genau die gleiche Struktur wie ISO 27001 Anhang A: jede Kontrolle von Anhang A existiert auch in ISO 27002, jedoch mit einer detaillierteren Erklärung, wie diese zu implementieren ist. Doch tappen Sie nicht in die Falle, indem Sie nur ISO 27002 für das Management Ihrer Informationssicherheit verwenden – Sie erhalten hier keinerlei Hinweis, wie Sie welche Kontrollen zur Implementierung auswählen, wie Sie diese messen, wie Sie Verantwortlichkeiten zuweisen etc. Hier erfahren Sie mehr: ISO 27001 im Vergleich zu ISO 27002.
Nutzbarkeit von Anhang A
Es gibt ein paar Dinge, die mir am Anhang A gefallen – er gibt Ihnen einen perfekten Überblick darüber, welche Kontrollen Sie anwenden können, sodass Sie keine vergessen, die wichtig wären und er gibt Ihnen die Flexibilität, nur jene zu wählen, die für Ihr Geschäft anwendbar sind, so dass Sie für jene, die für Sie nicht relevant sind, keine Ressourcen verschwenden müssen.
Es stimmt, dass Anhang A nicht allzu viele Details zur Implementierung anführt, doch hier kommt ISO 27002 ins Spiel. Es stimmt auch, dass viele Unternehmen die Flexibilität von ISO 27001 falsch anwenden und nur die Mindestkontrollen anstreben, um die Zertifizierung zu bestehen, doch das ist ein Thema für einen anderen Blog-Beitrag.
Nehmen Sie an diesem kostenlosen Online-Training teil, um mehr über die Sicherheitskontrollen zu erfahren: ISO 27001 Foundations Online Course.