activeMind AG - ISO 27001 - Einflüsse auf das ISMS

Damit ein Informationssicherheitsmanagementsystem (ISMS) funktioniert, muss die Situierung des Unternehmens angemessen erfasst werden. Denn nur wenn sämtliche Einflüsse auf das Unternehmen bekannt sind, kann eine vollumfängliche Abschätzung der Bedrohungen und Chancen erfolgen. Wichtig ist es daher, dass das Unternehmen als Teil einer Gesamtstruktur gesehen wird, welche nicht allein von internen Faktoren beeinflusst sondern auch von externen Faktoren affektiert wird. Die neue deutsche Version (DIN ISO/IEC 27001:2015) der ISO 27001 Sicherheitsnorm formuliert konkrete Anforderungen, wie dies geschehen sollte. Wir erklären das Procedere in drei Schritten.

Die Artikelserie zur DIN ISO/IEC 27001:2015

    1. Festlegung des Unternehmens-Kontexts gemäß Norm

    Für die Umsetzung des neuen Standards DIN ISO/IEC 27001:2015 müssen Unternehmen zunächst den eigenen Kontext erfassen. Dies erfordert die Festlegung der externen und internen Angelegenheiten, die für die eigenen Zwecke und Tätigkeiten relevant sind. Hierbei sollte entsprechend der Vorgaben der ISO 31000:2009 vorgegangen werden. Es sind also im Rahmen des externen Kontexts beispielsweise soziale, kulturelle oder finanzielle Aspekte, wesentliche Triebkräfte des Marktes oder auch die Beziehung zu externen Stakeholdern zu berücksichtigen. Der interne Kontext wird unter anderem durch die Unternehmenskultur, vertragliche Beziehungen, Politiken und Ziele des Unternehmens oder auch vorhandenes Kapital bestimmt.

    Die Festlegung des Kontexts dient dazu, alle auf das Unternehmen einwirkenden Faktoren erkennbar zu machen, um darauf aufbauend Rahmenbedingungen für das ISMS abstecken zu können.

    2. Am ISMS interessierte Parteien definieren

    Unternehmen müssen künftig interessierte Parteien und deren Anforderungen an das ISMS verbindlich festlegen. Sprich alle Parteien, die mit dem Informationssicherheitsmanagement des Unternehmens in Berührung kommen können oder ein anderweitig geartetes Interesse daran haben, müssen erfasst werden. Dies können beispielsweise Lieferanten, Banken, Anwohner oder auch Mitarbeiter sein.

    Danach müssen deren Anforderungen an die Informationssicherheit des Unternehmens festgelegt werden, da nur die Kenntnis der unterschiedlichen Sicherheitsbedürfnisse eine angemessene Ausrichtung des ISMS ermöglicht. Solche Anforderungen können sich aus gesetzlichen oder amtlichen Vorgaben sowie aus vertraglichen Regelungen ergeben. Zweck dieser Festlegung ist die Erfassung des Sicherheitsniveaus, das von extern gefordert wird und folglich intern auch gewährleistet werden muss.

    Zuletzt stellt sich noch die Frage der Umsetzung der Erfassung. Hier gilt, dass eine Festlegung stets in schriftlicher Form erfolgen sollte, um gegebenenfalls gegenüber einem Auditor den Nachweis für die Erfassung erbringen zu können. Daher sollte eine Liste der jeweils interessierten Parteien mit den jeweils zugehörigen Anforderungen an das ISMS geführt werden. Da sich die Anforderungen von interessierten Parteien im Laufe der Zeit ändern, kann diese Listung zudem als Basis für die Nachverfolgung der Veränderungen dienen.

    3. Festlegung des Geltungsbereichs des ISMS

    Ein essenzieller Bestandteil jedes Managementsystems ist die Festlegung des Geltungsbereichs, das sogenannte Scoping. Unternehmen müssen dafür die Grenzen und die Tragweite des ISMS verbindlich festlegen und dies dokumentieren. Hierbei spielen wiederum die oben angesprochenen Punkte eine Rolle, da sowohl die externen und internen Angelegenheiten als auch die Anforderungen der interessierten Parteien berücksichtig werden müssen.

    Zudem haben die Schnittstellen und Abhängigkeitsverhältnisse zu anderen Unternehmen mit in die Definition des Geltungsbereichs einzufließen. Denn wenn der Geltungsbereich des ISMS nicht das gesamte Unternehmen erfasst, sind Schnittstellen des durch das ISMS gesicherten Bereichs nach außen nötig. Diese können auch innerhalb des Unternehmens liegen, und zwar an den Übergängen zu solchen Unternehmensbereichen, die nicht mehr vom ISMS erfasst sind.

    Gerade in kleineren Unternehmen mit nur ein paar Dutzend Mitarbeitern empfiehlt es sich deshalb meist, den Geltungsbereich auf das gesamte Unternehmen auszudehnen. Denn eine trennscharfe Definition der Schnittstellen bedeutet unter anderem auch, dass keine gemeinsamen IT-Systeme ohne zumindest logische Trennung genutzt werden dürfen, was mit erheblichem organisatorischem Aufwand verbunden ist.

    Fazit: ISMS-Außenbeziehungen sind komplex

    Kontext, interessierte Parteien und der Geltungsbereich des ISMS sind die wesentlichen Faktoren, um angemessen einschätzen zu können, welchen Einflüssen ein Unternehmen ausgesetzt ist. Erst diese Aspekte ausreichend beachtet werden, lassen sich Risiken und Chancen derart abschätzen, dass ein ISMS bis zur ISO 27001-Reife geführt werden kann. Dafür bedarf es jedoch umfassender Regulation und Dokumentation.

    Bitte bewerten Sie diese Inhalte!
    [5 Bewertung(en)/ratings]