ISO 27001:2005 – Einführung in ISMS-Prozesse

Geplantes und optimiertes Information Security Management System

05.07.2007 | Autor / Redakteur: Frank Castro Lieberwirth / Stephan Augsten

Der ISO-Standard 27001:2005 dient der Errichtung eines Managementsystems für Informationssicherheit. Dazu adaptiert die Norm das PDCA-Modell und verwendet es für ihre Belange. Dieser Artikel beschreibt das Modell nach der ISO-Betrachtungsweise und stellt nachfolgend die Überwachungsbereiche vor, die aus dem ISO 17799:2005 einfließen.

Für eine anschauliche Betrachtung wurde ein Lebenszyklusmodell verwendet, das bereits bei anderen Normen seine Gültigkeit besitzt. Solch ein Modell ist sinnvoll, weil Sicherheit kein endgültiger Zustand ist, sondern sich sehr dynamisch verändert.

Gemäß der ISO 27001:2005-Norm wird ein so genanntes PDCA-Modell auf ISMS-Prozesse (Information Security Management System) angewendet. PDCA ist ein Lebenszyklusmodell mit den Zuständen „Plan-Do-Check-Act“ (siehe Abbildung 1).

Dieses einfache Konzept ist auf vielfältigste Weise zu verwenden: In Organisationen, Projekten oder in Prozessen.

Für den IT-Sicherheitsprozess kann dieser Zyklus nach PDCA in 4 Phasen aufgeteilt werden:

1. Planung („Plan“) und Konzeption (zum Beispiel das Planen des ISMS)

2. Umsetzung („Do“) der Planung (zum Beispiel das Implementieren des ISMS)

3. Erfolgskontrolle („Check“) durch laufende Überwachung

4. Optimierung („Act“) und beseitigen eventueller Mängel im ISMS

Je nach Sicherheitsanforderung und Beschaffenheit der zu zertifizierenden Organisation muss das Lebenszyklusmodell nach diesem Ablauf erst mit Leben erfüllt werden. Hierfür dienen in der Norm Haupttext und drei Anhänge (Annex A bis C), die allgemeine Informationen zu einem ISMS geben.

Struktur des Standards

ISO 27001:2005 besteht aus den folgenden Komponenten:

  • Einem Haupttext mit den Voraussetzungen eines ISMS
  • Annex A mit einem Aufgabenkatalog, der vom ISO 17799:2005 übernommen ist
  • Annex B mit Informationen über OECD-Prinzipien und dem PDCA-Modell
  • Annex C mit Übereinstimmungen mit ISO 9001:2000 (Qualitätsmanagementnorm) und ISO 14001:2004 (Umweltmanagementnorm)

Plan – Grundlegendes planen

Wie bei so vielen Dingen des Business, sollte vor jeder Umsetzung eines Projekts oder einer Aufgabe selbstverständlich eine Planung erfolgen. Da die Beschaffenheit der Organisation wie bereits erwähnt berücksichtigt werden muss, sollten nach diesen Bedürfnissen die Sicherheitskriterien ausgewählt werden. Hierzu zählen insbesondere die Art und Weise der potentiellen Risikobewertung, als auch das Risiko an sich.

ISO 27001 beschreibt an dieser Stelle das „Risk Management” mit dem Verweis auf ISO 13335-3 „Information technology – Guidelines for the management of IT Security – Techniques for the management of IT Security“. Schließlich werden geeignete IT-Sicherheitsmaßnahmen anhand des mitgelieferten Katalogs aus Annex A beziffert. Ein mögliches Szenario wäre zum Beispiel der Ausfall von Daten aufgrund von Bedienungsfehlern oder äußeren Einwirkungen, wie Feuer oder anderen kriminellen Handlungen.

Do – Implementieren und Umsetzen

In der Do-Phase werden die Vorgaben aus der Planungsphase umgesetzt. Hierbei ist zu beachten, dass als Ergebnis ein konkreter Realisierungsplan für das Sicherheitskonzept herauskommt. Zur Umsetzung gehören auch eine Schulung und Sensibilisierung der Firmenleitung und Mitarbeiter.

Check – Überwachung und Erfolgskontrolle

Keine Umsetzung – sei es die Neueinrichtung des ISMS oder eine kleine Änderung – darf ungeprüft bleiben. Hierbei ist eine gewisse Ehrlichkeit wichtig: Ein Lippenbekenntnis reicht nicht! Potentielle Risikofaktoren müssen simuliert werden, damit ein Funktionieren oder eine Fehlfunktion im ISMS lokalisiert werden kann.

Fehlerquellen können bei der Organisation (Firma), der Technologie oder den Geschäftsprozessen liegen. Wenn beispielsweise ein Desaster-Recovery-Plan für einen Datenverlust ausgearbeitet wurde, dann muss auch ein Totalausfall von einigen und allen Geschäftsdaten durchgespielt werden. Nur so lässt sich die Wirksamkeit und Effizienz des Plans dokumentieren. Bei der Auswertung spielen daher Informationen wie Erfolg, Zeitraum der Wiederherstellung und Kosten des Vorfalls eine Rolle.

Act – Optimieren und Warten

Aus den Daten der Überwachung und Erfolgskontrolle können potenzielle Fehler beseitigt werden, um das ISMS laufend zu verbessern. Alle Maßnahmen zur Verbesserung des ISMS-Plans werden getätigt.

Um die Wirksamkeit von Verbesserungen tatsächlich belegen zu können, sollte anschließend bei Bedarf ein Überprüfungszyklus angestoßen werden. Die ISO-Norm verlangt eine kontinuierliche Optimierung von IT-Sicherheitsrichtlinien, Sicherheitszielen oder vorbeugenden Schutzmaßnahmen.

Annex A als Grundlage von ISMS

Der Annex A besteht aus einer Aufgabenliste mit den Paragraphen 5 bis 13. Die Liste entspricht den 11 Überwachungsbereichen, die aus ISO 17799:2005 übernommen sind. Folgende betriebliche Prozesse, die in das PDCA-Modell, bzw. in die Planungsphase einfließen, sind zu beachten:

  • Informations-Sicherheitsrichtlinien (Security Policy) für interne Beschäftigte und betreffenden externen Parteien
  • Organisation der Informationssicherheit (Organization of Information Security), wie zum Beispiel die Rolle des Firmenmanagement und die Aufgaben der Mitarbeiter
  • Vermögensverwaltung (Asset Management), d. h. Schutz des Organisations/Firmen-Vermögens geistiger und materieller Natur vor Beschädigung oder Diebstahl
  • Sicherheit des Humankapitals (Human Resources Security), wie beispielsweise eine Sicherheitsüberprüfung für interne und externe Mitarbeiter
  • Physische Sicherheit (Physical and Environmental Security), die alle notwendigen Maßnahmen beschreibt, um einen nicht autorisierten Zugriff oder Beschädigungen auf die Einrichtungen der Organisation/Firma zu verhindern
  • Kernbereiche ausführbares Management (Communications and Operations Management), wie beispielsweise die Dokumentation von Betriebssvorgängen oder das Änderungs-Management (Change Management)
  • Zugriffskontrolle (Access Control), die Richtlinien zur Betriebssystem- und Anwendungszugriffskontrolle beschreibt
  • Erwerben, Entwickeln und Warten von Informationssystemen (Information systems acquisition, development and maintenance). Dieser Paragraph beschäftigt sich unter Anderem mit der Sicherheit von Systemdateien und der Handhabung von Informationslücken
  • Management bei Sicherheitsvorfällen (Information security incident management), die sich auf die Berichterstattung, Verantwortlichkeiten und Prozeduren und der Archivierung der Vorfälle bezieht
  • Fortführung der Geschäftsvorgänge bei einem Vorfall (Business Continuity Management), wo das Riskomanagement angesprochen wird
  • Rechtliche Einwilligungen (Compliance), die sich auf alle o. g. Sicherheitsrichtlinien beziehen, soweit diese mit dem jeweils gültigen Landesrecht konform gehen

Fazit

ISO 27001:2005 beschreibt ein Managementsystem für Informationssicherheit (ISMS). Das ISMS ist von dem „Plan-Do-Check-Act“-Lebenszyklusmodell abgeleitet, dass bereits bei anderen Normen seine Gültigkeit hat.

Das Modell wird mit den Best-Practice-Normen aus ISO 17799:2005 gefüttert, um anhand der Aufgabenliste geeignete Maßnahmen zu erstellen. Nach der Idee des PDCA-Modells arbeiten auch BSI-Standards, welche die ISO 27001:2005-Norm zu 100% in den BSI-Grundschutz integriert haben.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2005842 / Standards)