Spricht man mit jemand Neuen über ISO 27001 stelle ich oft das gleiche Problem fest: diese Person glaubt, dass die Norm detailliert alles beschreibt, was man zu tun hat – zum Beispiel, wie oft eine Datensicherung durchzuführen ist, wie weit entfernt der Notfallwiederherstellungsort sein sollte, oder noch schlimmer, welche Art der Technologie man für den Netzwerkschutz einsetzen muss oder wie der Router zu konfigurieren ist.
Hier sind die schlechten Nachrichten: ISO 27001 schreibt diese Dinge nicht vor, es funktioniert auf komplett andere Weise. Hier sehen Sie, warum…
Warum ist ISO 27001 nicht vorschreibend?
Stellen wir uns vor, die Norm schreibt vor, dass Sie alle 24 Stunden eine Datensicherung machen müssen – ist das für Sie die richtige Maßnahme? Sie könnte es sein, doch glauben Sie mir, viele Unternehmen finden das heutzutage unzureichend – die Veränderung ihrer Daten geschieht so schnell, dass sie – wenn nicht in Echtzeit – zumindest jede Stunde eine Datensicherung durchführen müssen. Andererseits gibt es Unternehmen, die eine Datensicherung einmal pro Tag als zu oft empfinden – deren Datenveränderungen passieren immer noch so langsam, dass es ein Overkill wäre, so oft eine Datensicherung durchzuführen.
Die Sache ist die – wenn diese Norm für alle Arten von Unternehmen passen soll, dann ist dieser vorschreibende Ansatz nicht möglich. Es ist daher einfach unmöglich, nicht nur, dass die Frequenz der Datensicherung definiert wird, sondern auch, welche Technologie zu verwenden ist, wie jedes Gerät zu konfigurieren ist, usw.
Übrigens ist die Auffassung, dass ISO 27001 alles vorschreibt, der größte Erzeuger von Mythen über ISO 27001 – siehe auch Die 5 größten Mythen über ISO 27001.
Risikomanagement ist die zentrale Idee von ISO 27001
Sie könnten sich also fragen: „Warum sollte ich eine Norm brauchen, die mir nicht alles konkret sagt?“
Weil ISO 27001 Ihnen ein Rahmenwerk bereitstellt, um über den geeigneten Schutz zu entscheiden. Ebenso wie Sie zum Beispiel nicht eine Marketingkampagne eines anderen Unternehmens für Ihr eigenes Unternehmen kopieren können, gilt das gleiche Prinzip für die Informationssicherheit – Sie müssen diese ihren spezifischen Bedürfnissen anpassen.
Und die Art und Weise, auf die ISO 27001 Ihnen sagt, diese maßgeschneiderte Lösung zu erreichen, ist die Durchführung einer Risikobewertung und Risikobehandlung. Dies ist nichts anderes, als ein systematischer Überblick über die schlimmen Dinge, die Ihnen passieren können (Bewertung der Risiken) und danach die Entscheidung, welche Absicherungen zu implementieren sind, um zu verhindern, dass diese schlimmen Dinge passieren (Behandlung des Risikos).
Abbildung: Methode der Auswahl von Absicherungen in ISO 27001
Die ganze Idee hier ist, dass Sie nur jene Absicherungen (Kontrollen) implementieren sollten, die aufgrund der Risiken erforderlich sind, nicht jene, mit denen jemand liebäugelt, doch bedeutet diese Logik auch, dass Sie alle Kontrollen, die aufgrund der Risiken erforderlich sind, implementieren sollten und nicht einige davon einfach weglassen können, weil sie Ihnen nicht gefallen.
Siehe auch: ISO 27001 Risikobewertung & Behandlung – 6 grundlegende Schritte.
IT alleine ist nicht genug
Wenn Sie in der IT-Abteilung arbeiten, ist Ihnen wahrscheinlich bewusst, dass die meisten Vorfälle nicht wegen Computerausfällen passieren, sondern weil die Anwender der geschäftlichen Seite der Organisation die Informationssysteme falsch anwenden.
Und solches Fehlverhalten kann allein mit technischen Absicherungen nicht verhindert werden – was daher benötigt wird, sind klare Richtlinien und Verfahren, Schulung und Sensibilisierung, rechtlicher Schutz, Disziplinarmaßnahmen, etc. Die praktische Erfahrung hat gezeigt, dass, je mehr verschiedene Absicherungen angewendet werden, desto höher ist der erreichte Grad an Sicherheit.
Und wenn man berücksichtigt, dass nicht alle sensiblen Daten in digitaler Form sind (Sie haben vermutlich noch immer Papiere mit vertraulichen Informationen), ist die Schlussfolgerung, dass IT-Absicherungen nicht genug sind und dass die IT-Abteilung, so wichtig sie in einem Projekt für Informationssicherheit auch ist, diese Art von Projekt nicht alleine durchführen kann.
Nochmals, dieser Umstand, dass IT-Sicherheit nur 50% der Informationssicherheit ist, wird von ISO 27001 erkannt – dieser Standard sagt Ihnen, wie die Implementierung der Informationssicherheit als ein unternehmensweites Projekt durchzuführen ist, an dem nicht nur die IT, sondern auch die geschäftliche Seite der Organisation teilzunehmen hat.
Das Top-Management an Bord holen
Doch hört ISO 27001 nicht mit der Implementierung unterschiedlicher Absicherungen auf – seine Autoren verstanden sehr gut, dass die Leute aus der IT-Abteilung, oder von anderen Positionen der unteren oder mittleren Ebene in der Organisation, nicht viel erreichen können, wenn die Führungskräfte an der Spitze nichts dafür tun.
Sie können beispielsweise eine neue Richtlinie zum Schutz vertraulicher Dokumente vorschlagen, wenn jedoch Ihr Top-Management eine solche Richtlinie nicht bei allen Mitarbeitern durchsetzt (und wenn es selbst diese nicht einhält), wird eine solche Richtlinie niemals in Ihrem Unternehmen festen Fuß fassen.
ISO 27001 gibt Ihnen daher eine systematische Checkliste dafür, was das Top-Management tun muss:
- Setzen seiner Geschäftserwartungen (Ziele) für die Informationssicherheit
- Veröffentlichung einer Politik, wie kontrolliert wird, ob diese Erwartungen erfüllt wurden
- Bestimmung der Hauptverantwortlichkeiten für die Informationssicherheit
- Bereitstellung ausreichender Finanzmittel und Personalressourcen
- Regelmäßige Überprüfung, ob alle diese Erwartungen erfüllt wurden
Nicht zulassen, dass sich Ihr System verschlechtert
Wenn Sie in einem Unternehmen mehrere Jahre oder länger arbeiten, wissen Sie wahrscheinlich, wie neue Initiativen/Projekte funktionieren – am Beginn sehen sie gut und glänzend aus und jeder (oder zumindest der Großteil der Leute) versucht, sein Bestes zu tun, damit alles funktioniert. Doch mit der Zeit lassen das Interesse und der Eifer nach und damit verschlechtert sich auch alles im Zusammenhang mit solch einem Projekt.
Sie hatten vielleicht, zum Beispiel, eine Klassifizierungsrichtlinie, die ursprünglich gut funktionierte, doch mit der Zeit änderte sich die Technologie, die Organisation und die Mitarbeiter änderten sich und wenn sich niemand darum gekümmert hat, die Richtlinie zu aktualisieren, wird sie obsolet. Und, wie Ihnen sehr bewusst ist, wird sich niemand an ein obsoletes Dokument halten wollen, was bedeutet, dass Ihre Sicherheit zunehmend schlechter wird.
Um das zu verhindern, hat ISO 27001 eine Reihe von Methoden beschrieben, die verhindern, dass eine solche Verschlechterung Platz greift, und darüber hinaus werden diese Methoden eingesetzt, um die Sicherheit mit der Zeit zu verbessern und sie sogar noch besser zu machen, als sie am Höhepunkt des Projekts war. Zu diesen Methoden gehören die Überwachung und Messung, interne Audits, Korrekturmaßnahmen, usw.
Sie sollten daher gegenüber ISO 27001 nicht negativ eingestellt sein – es mag vielleicht beim ersten Lesen vage erscheinen, kann sich jedoch als extrem nützliches Rahmenwerk zur Lösung vieler Sicherheitsprobleme in Ihrem Unternehmen herausstellen. Mehr noch, es kann Ihnen helfen, Ihren Job leichter zu erledigen und mehr Anerkennung von oben zu bekommen. (Siehe auch: 4 reasons why ISO 27001 is useful for techies.)
Klicken Sie hier für die Anmeldung zu einem kostenlosen Webinar ISO 27001: An overview of ISMS implementation process.