activeMind AG - Leitlinie Informationssicherheit DIN ISO 27001 2015

Im Rahmen der neuen deutschen Version der ISO 27001 Sicherheitsnorm (DIN ISO/IEC 27001:2015) ist die Führung des Managements verstärkt in den Fokus gerückt, insbesondere durch einige Änderungen in der Leitlinie für Informationssicherheit. Dem Management kommt im Rahmen eines Informationssicherheitsmanagements eine große Bedeutung zu, weil es für Organisation und Federführung des gesamten Managementsystems zuständig ist. Im Folgenden erläutern wir fünf Änderungen an der Informationssicherheitsleitlinie, deren Umsetzung die Unternehmensleitung zeitnah angehen sollte.

Die Artikelserie zur DIN ISO/IEC 27001:2015

    1. Bewertung von Risiken nicht mehr zwingend in der Informationssicherheitsleitlinie

    Die DIN ISO/IEC 27001 Norm aus dem Jahre 2008 verlangte die Aufnahme von Kriterien zur Bewertung von Risiken in die Informationssicherheitsleitlinie. Künftig müssen solche Kriterien jedoch nicht mehr zwingend in der Leitlinie enthalten sein. Entsprechend der neuen Norm DIN ISO/IEC 27001:2015 müssen diese nun in der Definition des Prozesses für die Informationssicherheits-Risikoeinschätzung verortet werden. Dies ist in Ergebnis wohl auch der systematisch bessere Ort, da dort der entsprechende Kontext für die Bewertungskriterien vorhanden ist.

    2. Informationssicherheitsziele von allgemeinen Sicherheitszielen trennen

    In Punkt 5.1. a) verlangt die neue ISO-Norm die Vorgabe von konkreten Informationssicherheitszielen. Diese konkreten Ziele sind jedoch von den allgemeinen Zielen in der Informationssicherheitsleitlinie zu unterscheiden. In dieser soll laut Punkt 5.2. b) der Norm – ebenso wie nach der Vorgängernorm – lediglich ein Rahmen bzw. Framework für Sicherheitsziele bzw. auch allgemein gehaltene, einzelne Ziele festgelegt werden.

    Diese Ziele sollten jedoch so allgemein gehalten werden, dass deren Bekanntwerden kein Sicherheitsrisiko für das Unternehmen begründen kann. Grund dafür ist die Tatsache, dass die Leitlinie gegebenenfalls auch Interessenten zugänglich gemacht wird und diese allgemeinen Ziele lediglich den Stellenwert der Informationssicherheit im Unternehmen beschreiben sollen. Da das Bekanntwerden der konkreten Sicherheitsziele das Unternehmen möglicherweise gefährden könnte, sollten diese in einem eigenen Dokument zusammengefasst werden.

    3. Selbstverpflichtung des Managements in der Informationssicherheitsleitlinie

    Eine neue Voraussetzung in der DIN ISO/IEC 27001:2015 ist die Aufnahme einer Selbstverpflichtungserklärung des Managements in die Informationssicherheitsleitlinie unter Punkt 5.2. c). Diese bezieht sich auf die Einhaltung auf die in der Leitlinie festgelegten Anforderungen an die Informationssicherheit sowie die laufende Verbesserung des Informationssicherheitsmanagementsystems (ISMS). Zweck dieser Anforderung ist das Bekenntnis des Managements zu den Werten des Managementsystems sowie die deren vollumfängliche Unterstützung und Förderung.

    4. Zugänglichmachung der Informationssicherheitsleitlinie

    Die neue Norm verlangt explizit, dass die Informationssicherheitsleitlinie sowohl innerhalb der Organisation als auch anderen interessierten Parteien zur Verfügung stehen muss. Von einer Veröffentlichung der Leitlinie ist jedoch abzuraten, da diese auch Informationen enthält, die nicht unbedingt jedermann zugänglich gemacht werden sollten. Vielmehr sollte die Leitlinie ausschließlich auf Abruf verfügbar gemacht werden.

    5. Verantwortlichkeiten in der Informationssicherheitsleitlinie

    Grundsätzlich sind genau wie nach der Vorgängernorm entsprechende Verantwortlichkeiten und Zuständigkeiten betreffend das ISMS zu verteilen. Neu ist jedoch die explizite Erwähnung der Zuteilung einer Verantwortung für die Berichterstattung zur Leistung des Informationssicherheitsmanagements. Diese besondere Erwähnung unterstreicht den neuen Fokus der neuen Norm auf die Kommunikation.

    Fazit: Änderungen der Leitlinie für Informationssicherheit bleiben überschaubar

    Im Ergebnis hat das Management also dafür Sorge zu tragen, dass eine entsprechende Anpassung der Informationssicherheitsleitlinie im Rahmen der Norm DIN ISO/IEC 27001:2015 vorgenommen wird. Der Aufwand für die Änderungen dürfte jedoch meist überschaubar bleiben, da die Änderungen teilweise lediglich eine Umstrukturierung der bereits vorhandenen Dokumente bedeutet.

    Bitte bewerten Sie diese Inhalte!
    [4 Bewertung(en)/ratings]