ISO 27002 - Kapitel 5.5 Kontakt mit Behörden

In Kapitel 5.5 behandelt die ISO 27002 die Notwendigkeit eines angemessenen Informationsflusses zwischen Unternehmen und Behörden. Die Norm fordert Organisationen zur Kooperation mit Regierungsstellen, wie Strafverfolgungsbehörden, Aufsichtsbehörden oder weiteren Regulierungsbehörden auf. Dies ist erforderlich, um über aktuelle Entwicklungen informiert zu sein und um Sicherheitsvorfälle effektiv zu untersuchen und zu bewältigen.

Zusammenarbeit mit Behörden in der ISO 27002

Das Normkapitel 5.5 legt fest, dass Unternehmen Verfahren zur Zusammenarbeit mit Behörden entwickeln und umsetzen müssen, um entsprechend auf Bedrohungen und Vorfälle reagieren zu können. Organisatorische Lösungen, die implementiert werden können, um diesen Anforderungen gerecht zu werden, sind im Folgenden beispielhaft aufgeführt:

Erstellung von Richtlinien und Verfahren

Es sollten klare Richtlinien und Verfahren für den Kontakt mit Behörden bei Sicherheitsvorfällen erstellt werden. Diese sollten die Vorgehensweise bei der Kontaktaufnahme und die Informationen, die weitergegeben werden können, festlegen.

Schulung von Mitarbeitern

Mitarbeiter sollten entsprechend geschult werden, um sicherzustellen, dass sie wissen, wie sie bei einem Sicherheitsvorfall reagieren und wie sie die Behörden kontaktieren können. Darüber hinaus sollten sie auch darüber informiert werden, welche Auskünfte sie gegenüber den Regierungsstellen geben dürfen.

Erstellung eines Notfallkontaktplans

Unternehmen sollten einen Notfallkontakt- und Krisenreaktionsplan erstellen, der insbesondere die Kontaktdaten von den erforderlichen Regierungsstellen enthält. Dieser Plan sollte regelmäßig aktualisiert und geübt werden, um sicherzustellen, dass er im Eintrittsfall effektiv genutzt werden kann.

Entwicklung eines Verfahrens zur Zusammenarbeit mit Behörden

Die Verantwortlichen sollten zudem ein konkretes Verfahren entwickeln, das beschreibt, wie mit den Behörden zusammengearbeitet wird. Dieses sollte auch die Bedingungen und Einschränkungen für die Zusammenarbeit festlegen. Dabei ist sicherzustellen, dass das Verfahren den geltenden gesetzlichen Anforderungen entspricht. Unternehmen sollten sich regelmäßig über aktuelle Gesetzesänderungen und Richtlinien auf dem Laufenden halten.

Überwachung und Bewertung

Des Weiteren sollten die etablierten Verfahren und Richtlinien regelmäßig überwacht und bewertet werden, um deren Effektivität zu überprüfen. Unternehmen sollten auch interne Audits durchführen, um sicherzustellen, dass ihre Mitarbeiter die Vorgehensweisen kennen und einhalten.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Wie erstellen für unsere Mandanten einen detaillierten Kontaktplan, in dem Kontakte zu Behörden wie auch der regelmäßige Bezug von Informationen von Behörden unterschiedlichen Verantwortlichen zugewiesen und ein Weg definiert wird, wie entsprechende Meldungen zu bewerten und gegebenenfalls zu eskalieren sind. Für die Meldung von Datenschutz- oder Informationssicherheitsvorfällen werden konkrete Vorlagen bereitgestellt, die eine vollständige zeitgerechte Meldung von Vorfällen an wichtige Aufsichtsbehörden erleichtern.