| Werner Stocker | E-Mail

Information Security Management System nach ISO27001-Standard

Die Informationssicherheit geniesst in der globalisierten Welt einen immer höheren Stellenwert. Mit dem neuen Datenschutzgesetz, dessen Verordnung in diesem Jahr in Kraft treten wird, stehen wir auch in der Schweiz vor neuen Herausforderungen der Informationssicherheit. Wie können sich Unternehmen darauf vorbereiten?

Die Informationssicherheit macht nicht beim E-Mail-Verkehr oder bei der Dokumentenablage halt. Sie muss ganzheitlich betrachtet werden und umfasst sämtliche Betriebsprozesse. Gerade die Corona Pandemie zeigte, wie hart unvorhergesehene Risiken eine ganze Branche treffen können. Mit einer pragmatischen Informationssicherheit kann sichergestellt werden, dass die Betriebsprozesse gesichert sind und der laufende Betrieb wieder aufgenommen werden kann.

Der pragmatische Weg zum ISMS

Der erste Schritt zur ganzheitlichen Informationssicherheit ist die Einführung oder die Ergänzung eines Information Security Management System (ISMS). Es führt sämtliche Aspekte der Informationssicherheit innerhalb eines Betriebes zusammen. Ideal geeignet ist die Anwendung eines Cockpits, mit dem eine Übersicht über sämtliche Teilaspekte garantiert werden kann. Bei der Evaluation eines ISMS muss sich der Betrieb die Frage stellen, ob künftig eine ISO27001-Zertifizierung angestrebt wird. Eine Zertifizierung drückt das Qualitätsbewusstsein eines Unternehmens aus und schafft Vertrauen. Zusätzlich können mit geringem Aufwand die Fragen sämtlicher Vertragspartner rund um die Informationssicherheit mit dem Statement of Appicability und dem Audit-Bericht beantwortet werden. Auch ohne eine Zertifizierung kann ein ISMS, welches auf den ISO27001 und ISO27002 ausgerichtet ist, die Betriebssicherheit ganzheitlich gewährleisten.

In einem zweiten Schritt muss im Rahmen der Einführung des ISMS eine Bestandesaufnahme durchgeführt werden. Der ISO-Standard gibt die entsprechenden Prüfpunkte für die Informationsprozesse und die nötigen Massnahmen zur Optimierung der Informationsprozesse vor. Diese werden anhand der fünf Stufen zwischen «nicht vorhanden» und «gemanaged und messbar» beurteilt. Anhand der Einstufung werden anschliessend die Abweichungen dokumentiert, als Risiken gewichtet und entsprechende Massnahmen zur Optimierung festgelegt.

Als letzter Schritt wird das Information Security Management System als Prozess in Gang gesetzt. Dazu werden in Zyklen die Schritte Plan-Do-Check-Act ausgeführt. In diesem Prozess wird die Informationssicherheit iterativ unter Berücksichtigung der stetigen Veränderungen des Unternehmens und dessen Umfelds verbessert und weiterentwickelt. Wer ein ISMS gemäss ISO-Standard aufgebaut hat und betreibt, ist für die verschärften Anforderungen der neuen Datenschutz-Verordnung gerüstet. Die notwendigen, regulatorischen Veränderungen werden im Rahmen des Zyklus Plan-Do-Check-Act erkannt und umgesetzt.

Die ISO Zertifizierung

Wird eine ISO27001-Zertifizierung angestrebt, so muss hauptsächlich das Funktionieren des fortlaufenden ISMS und dessen Zyklus «Plan-Do-Check-Act» werden. Dazu müssen sämtliche Sicherheitsprozesse dokumentiert und die Anwendung dieser Prozesse im täglichen Betrieb nachvollzierbar bewiesen werden. Müssen beispielsweise Zutrittskriterien wie die Begleitung der Besucher erfüllt werden, müssen Besucherlisten mit dem Namen jedes Besuchers, dessen Aufenthaltsort und der verantwortlichen Person des Unternehmens geführt werden. Liegt diese nicht vor, gilt das Kriterium als nicht erfüllt. Mit dem Statemtent of Appicability wird der Geltungsbereich bzw. der Scope der Zertifizierung festgelegt. Eine sinnvolle Abgrenzung ist beispielsweise die Fokussierung auf den Produktivbetrieb. Zusätzlich wird in dem Bericht dokumentiert, welche Massnahmen getroffen werden, um die entsprechenden Anforderungskriterien an das ISMS zu erfüllen.

Eine Zertifizierung setzt nicht die Erfüllung sämtlicher Prüfungskriterien voraus, da bereits der Prozess der stetigen Weiterentwicklung und Verbesserung des ISMS zertifiziert wird. Entsprechend muss der fortlaufende Zyklus Plan-Do-Check-Act beweisbar durchgeführt und die wichtigsten Abweichungen durch den Prozess-Schritt «Check» selbstständig erkannt werden.

Die Irrtümer der ISO27001 Zertifizierung

Der Weg zur ISO27001 Zertifizierung ist aufwändig. Wer es bis hierhin geschafft hat, kann dem Irrtum unterliegen, dass die Arbeit getan ist. Es müssen langfristig Ressourcen eingeplant werden, um den Zyklus Plan-Do-Check-Act aufrecht zu erhalten und die entsprechenden Dokumentationen zur Beweisbarkeit zu erstellen. Dazu kann eine interne Stelle definiert oder ein externer Partner hinzugezogen werden. Wichtig: Die Informationssicherheit ist nicht ausschliesslich die Aufgabe der IT-Abteilung. Es ist nur ein Teilaspekt der im Rahmen des ISMS betrachtet werden muss.

Die grossen Fragen

Wie viel kostet eine ISO Zertifizierung und wie lange dauert es?
Wie lange hält eine ISO27001 Zertifizierung an?
Auf was muss ich achten, wenn jemand ausweist, ISO27002-zertifziert zu sein?
Wie viel kostet eine ISO Zertifizierung und wie lange dauert es?

Beides hängt davon ab, ob ein ISMS bereits vorhanden ist, inwiefern dieses dem ISO Standard bereits entspricht und wie gross das Unternehmen ist. Grundsätzlich gilt: Der Aufbau und Betrieb des ISMS ist die halbe Miete zur ISO Zertifizierung. Der gesamte Prozess sollte durch einen ISMS Consultant oder einen Auditor begleitet werden. Die Beratungs-Zusatzkosten zahlen sich dahingehend aus, dass sie helfen, die Zertifizierung rascher und qualitativ hochwertiger zu erreichen.  

Wie lange hält eine ISO27001 Zertifizierung an?

Obwohl das Zertifikat eine Gültigkeitsdauer von drei Jahren hat, wird ein jährliches Audit durchgeführt. Stellt sich heraus, dass die Anforderungen nicht mehr erfüllt sind, wird das Zertifikat für 3 Monate pausiert. Können die Defizite innerhalb dieser Zeitperiode nicht geschlossen werden, erlischt die Zertifizierung. Es dauert mindestens 6 – 9 Monate, bis eine erneute Zertifizierung erreicht werden kann.

Auf was muss ich achten, wenn jemand ausweist, ISO27002-zertifziert zu sein?
  1. Im Zertifikat ist in Kurzform der Scope ausgewiesen. Häufig zertifizieren Firmen nur Teilbereiche. Es ist deshalb zu prüfen, ob der Scope der Zertifizierung mit den Dienstleistungen, welche bezogen werden sollen, übereinstimmen.
  2. Die Zertifikate sind normalerweise 3 Jahre gültig, sagen aber nicht aus, ob die jährlichen Rezertifizierungen bestanden wurden. Deshalb muss neben dem Zertifikat auch der letzte Audit-Bericht eingefordert werden.
  3. Das Statement of Applicability legt fest, in welchen Gebieten Best-Practice-Massnahmen angewendet werden. Häufig zertifizieren Firmen nur Teilbereiche und schliessen damit einzelne Punkte im Statement of Applicability aus. Es ist deshalb zu prüfen, ob alle relevanten Massnahmen

Unsere Tipps

  • Prozess kontinuierlich alle 1-2 Monate durchlaufen
  • Informationsprozesse aktiv leben
  • Genügen Ressourcen für den Prozess und die Massnahmen zur Verfügung stellen.

 

zurück zur Übersicht