ISO 27002 - Kapitel 5.31 Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen

Im Kapitel 5.31 geht die ISO 27002 darauf ein, wie die für eine Organisation beachtlichen Anforderungen erfüllt werden können. Dabei wird berücksichtigt, dass diese Anforderungen aus den verschiedensten Richtungen entstehen können. Neben den rechtlichen Vorgaben werden daher auch etwa vertragliche Anforderungen betrachtet.

Durch Umsetzung der von der Norm vorgeschlagenen Maßnahmen soll sichergestellt werden, dass die relevanten Vorgaben bekannt sind und eingehalten werden. Im Folgenden werden einige dieser Maßnahmen vorgestellt.

Ermittlung der Gesetze und Vorschriften und anderer Pflichten

Um Vorgaben überhaupt beachten zu können, müssen diese der Organisation zuerst einmal bekannt sein. Die Zusammenstellung aller relevanten Gesetze und Vorschriften ist damit unverzichtbar. Besonderes Augenmerk verdienen hierbei beispielsweise auch Vorgaben, die den Einsatz von Informationstechnologie betreffen, etwa Einschränkungen hinsichtlich der Verwendung oder der Ein- und Ausfuhr von bestimmten Hardware- bzw. Softwareprodukten.

Aber nicht nur Gesetze stellen verbindliche Anforderungen auf. Entsprechende Notwendigkeiten können sich beispielsweise auch aus den vertraglichen Beziehungen mit Kunden, Dienstleistern und Lieferanten ergeben oder sich in Versicherungsbedingungen verstecken.

Organisationen sollten daher mit Sorgfalt daran gehen, alle bestehenden Verpflichtungen in allen relevanten Regionen zusammenzustellen und diese Aufstellung dann auch aktuell zu halten. Anforderungen können sich von Land zu Land unterscheiden und Anforderungen ändern sich gelegentlich auch von Zeit zu Zeit. Ein Rechtskataster per einfacher Tabelle zu führen, wird sehr häufig nicht mehr ausreichen.

Ermittlung der Risiken

Die mit den Anforderungen bzw. der Nichterfüllung verbundenen Risiken sind zu analysieren und zu dokumentieren.

Anpassung der betroffenen Prozesse

Soweit notwendig, sind die für die risikoangemessene Erfüllung bestehender Anforderungen relevanten Prozesse zu regeln bzw. anzupassen. Hierbei ist wiederum darauf zu achten, dass die Rollen und Verantwortlichkeiten klar verteilt werden. Mit externen Stellen, etwa Lieferanten, müssen ggf. die notwendigen Vereinbarungen geschlossen oder angepasst werden.

Fazit

Hinter der sehr kurz beschriebenen Maßnahme aus Kapitel 5.31 der ISO 27002 versteckt sich ein teilweise ganz erheblicher Aufwand. Die Auseinandersetzung mit der Frage, welche Anforderungen die Organisation treffen und wie diese angemessen erfüllt werden können, ist aber im Rahmen des Aufbaus und Betriebs eines Managementsystems ganz zentral. Leider ist bereits die Zusammenstellung der relevanten Vorgaben keine triviale Aufgabe. Sie zu erfüllen, bedarf meist erhöhte Fachkunde und Sorgfalt.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

activeMind stellt Mandanten individuelle Hilfsmittel zur Verfügung, die jede Organisation bei der Erfüllung dieser sehr anspruchsvollen Aufgabe konkret unterstützen.