ISO 27001:2005 – Organisation der Informationssicherheit Bestimmungen und Tipps für das Sicherheits-Management in Unternehmen

Autor / Redakteur: Frank Castro Lieberwirth / Stephan Augsten

Wer sich mit der Norm ISO/IEC 27001:2005 befasst, kommt an der Organisation der Informationssicherheit nicht herum. Dies ist ein Teilaspekt im Managementsystem für Informationssicherheit (ISMS) und gehört zu den Best-Practices aus ISO 17799:2005. Dort ist es das zweite von insgesamt elf Überwachungsbereichen. Dieser Artikel beschreibt die in der Norm spezifizierten Kontrollen sowie Kontrollziele und zieht einige Parallelen zur Grundsicherheit des BSI und zur Praxis.

Firma zum Thema

( Archiv: Vogel Business Media )

Die Norm unterteilt die Organisation der Informationssicherheit in zwei Blöcke: Der „internen Organisation“ und den „externen Parteien“. Der interne Bereich beschreibt, wie die IT-Sicherheit innerhalb der Organisation zu verwalten ist. Mit „externen Parteien“ sind IT-Dienstleistungsfirmen, Geschäftspartner oder Kunden angesprochen. Zusammengefasst sind die beiden folgenden Ziele wichtig:

Block A: Verantwortung des Firmenmanagements und Aufgaben der Mitarbeiter. Darunter fallen auch grundlegende Betrachtungen hinsichtlich der Verantwortlichkeiten in der Organisation. Wie bei den Sicherheitsrichtlinien dürfen auch die Tätigkeiten des Sicherheitsstabs die gesetzlichen Vorschriften nicht verletzen.

Bildergalerie

Block B: Zusammenspiel interner- und externer Organisationen, das heißt wie verhält es sich mit der IT-Sicherheit in Bezug auf Beraterfirmen, IT-Dienstleitern oder Kunden.

Block A: IT-Sicherheitsorganisation – Verantwortung des Firmenmanagements und Aufgaben der Mitarbeiter

ISMS-Prozesse können am effektivsten umgesetzt werden, wenn eine gewisse IT-Sicherheitsorganisation geschaffen wird. Damit nicht gleich mit Kanonen auf Spatzen geschossen wird, unterliegt die Organisation gewissen Randbedingungen, wie:

  • Größe der Organisation (Anzahl der Mitarbeiter bzw. Anzahl der Computerbenutzer)
  • Art bzw. Beschaffenheit der Organisation (öffentlicher Dienst, Industrie, Militär, usw.)
  • Angestrebter Sicherheitsgrad (oder auch Sicherheitsniveau)

Unter diesen Randbedingungen soll IT-Sicherheit laut ISO 27001:2005 mit folgenden Zielen aufgebaut werden:

a. Die Unternehmensleitung hat die Verpflichtung, die IT-Sicherheit zu führen und zu verwalten.

b. Repräsentanten verschiedenster Unternehmensteile/Organisationen koordinieren die IT-Sicherheit und bilden Ausschüsse.

c. Die Verantwortlichen im IT-Sicherheitsprozess sollten klar bestimmt, und die Tätigkeitsfelder müssen exakt definiert sein.

d. Autorisierungsprozesse für Informationen, die Einrichtungen durchlaufen, sollten definiert und eingerichtet sein. Dahinter verbirgt sich die Verwaltung und Einrichtung differenzierter Autorisierungen. Es regelt, welche Rechte ein Benutzer oder Gerät zu einem bestimmten Zeitpunkt oder Standort haben darf.

e. Non-Disclosure Agreements, die verhindern, dass vertrauliche Informationen jeder Art die Organisation verlassen, bzw. an nicht autorisierte Dritte weiter gegeben werden. Hierbei muss selbstverständlich auch das Recht des jeweiligen Landes eingehalten werden, was bei multinationalen Institutionen zu verschiedenen „Geheimhaltungsvereinbarungen“ führen kann.

f. Kontakte zu relevanten öffentlichen Einrichtungen, wie polizeiliche Behörden oder Feuerwehr sollten aufgebaut werden, damit im „Ernstfall“ ein schnelles Handeln erfolgen kann. Bei einem Datendiebstahl ermöglicht es unter Umständen eine Wiederbeschaffung der Daten.

g. Kontakte zu Interessengruppen, wie zum Beispiel dem Bundesamt für Sicherheit in der Informationstechnik (BSI), helfen präventiv auf Risiken einzuwirken. So können beispielsweise Gefahrenwarnungen zu einer Schadensabwendung führen.

Seite 2: Beispiel einer Organisation für Informationssicherheit

Artikelfiles und Artikellinks

(ID:2006353)