ISO 27002 - Kapitel 5.35 Unabhängige Überprüfung der Informationssicherheit
Besonders zentral für ein funktionierendes Informationssicherheitsmanagement ist die unabhängige Überprüfung der Informationssicherheit. Die ISO 27002 behandelt diesen Aspekt unter dem Abschnitt 5.35.
Die unabhängige Überprüfung der Informationssicherheit hat das Ziel, sicherzustellen, dass die implementierten Sicherheitsmaßnahmen und -kontrollen geeignet sind sowie effektiv und angemessen funktionieren. Es handelt sich um eine systematische Bewertung der Sicherheitsmaßnahmen, um mögliche Schwachstellen zu identifizieren und Verbesserungen vorzuschlagen. Diese Überprüfung kann intern durchgeführt werden, indem eigene Ressourcen oder Experten der Organisation eingesetzt werden. Es besteht jedoch auch die Möglichkeit, externe Auditoren oder Prüfer hinzuzuziehen. Im Folgenden sind einige Maßnahmen aufgeführt, die zur unabhängigen Überprüfung der Informationssicherheit gemäß ISO 27002 eingesetzt werden können.
Technische und organisatorische Maßnahmen zur Überprüfung der Informationssicherheit
Regelmäßige und anlassbezogene Überprüfungen
Eine einmalige Überprüfung ist niemals ausreichend, um die Informationssicherheit dauerhaft zu gewährleisten. Es ist vielmehr notwendig, regelmäßige Überprüfungen geplant Zeitplans durchzuführen. Dadurch können potenzielle Sicherheitslücken rechtzeitig erkannt und behoben werden. Daneben sollten aber auch anlassbezogene Kontrollen durchgeführt werden, beispielsweise bei relevanten Vorfällen oder bei Änderungen der Gesetzeslage, der Unternehmensstruktur bzw. dem Produkt- und Dienstleistungsangebot.
Einsatz eines unabhängigen Prüfungsteams
Eine Organisation kann auch ein internes Team von unabhängigen Prüfern zusammenstellen, das über die erforderlichen Fähigkeiten und Kenntnisse im Bereich der Informationssicherheit verfügt. Entscheidend ist, dass die mit der Prüfung beauftragten Personen nicht in die betrieblichen Aktivitäten involviert sind, die es zu prüfen gilt und eine objektive Überprüfung sicherzustellen. In allen Fällen muss sichergestellt sein, dass die Prüfung unabhängig und mit der erforderlichen Fachkunde durchgeführt wird.
Festlegung klarer Überprüfungskriterien
Es ist wichtig, klare Kriterien für die Überprüfung der Informationssicherheit festzulegen. Diese Kriterien sollten sich an bewährten Praktiken und den Anforderungen von ISO 27002 orientieren. Dadurch wird sichergestellt, dass die Überprüfung objektiv und nachvollziehbar ist.
Dokumentation und Berichterstattung
Die Prüfung und deren Ergebnisse sollten systematisch dokumentiert werden. Dies ermöglicht eine auch für Dritte nachvollziehbare Rückverfolgbarkeit von Maßnahmen und Verbesserungen. Die Berichterstattung über die Überprüfungsergebnisse sollte an die relevanten Stakeholder, einschließlich des Managements, erfolgen.
Kontinuierliche Verbesserung
Die unabhängige Überprüfung der Informationssicherheit sollte als Teil eines kontinuierlichen Verbesserungsprozesses betrachtet werden. Folglich sollten Ergebnisse der Kontrollen immer ausschlaggebend für etwaige Korrekturmaßnahmen sein.
Diese Maßnahmen können zur Gewährleistung der Angemessenheit, Eignung und Wirksamkeit der Informationssicherheit innerhalb einer Organisation beitragen. Es ist jedoch anzumerken, dass die organisatorischen Lösungen zur unabhängigen Überprüfung der Informationssicherheit je nach den spezifischen Anforderungen und Ressourcen eines Unternehmens variieren können.