:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
In sechs Schritten ISMS-Leitlinie und -Richtlinien entwickeln Der Weg zur erfolgreichen ISO 27001-Zertifizierung
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Eine ISO-Zertifizierung hat nicht allein den Zweck, (internationalen) Normen zu entsprechen – sie kann auch neues Kundenpotenzial erschließen. Im Verlaufe des Zertifizierungsprozesss gewinnt man außerdem Erfahrungen im Aufbau und der Pflege von Managementsystemen, die als Blaupause für ein unternehmensweites Risikomanagement genutzt werden können – über die Informationssicherheit hinaus.
1. Schritt: Bevor es losgeht
Bevor das Projekt ISO 27001 startet, gilt es einige Grundpfeiler zu setzen: Alle für die Informationssicherheit relevanten Prozesse sind zu definieren, angefangen vom Anwendungsbereich des Information Security Management Systems (ISMS) über die Klassifizierung von Informationen bis hin zum Umgang mit Vorfällen, die den Geschäftsbetrieb nachhaltig unterbrechen können. Ein Projektteam muss zusammengestellt und anschließend die Struktur der Projektdokumentation und Archivierung festgelegt werden. Außerdem sollte man Vorlagen für die im ISMS zu erstellenden Dokumente vorbereiten.
2. Schritt: Informationssicherheitsleitlinie – die Grundlage für ein erfolgreiches ISMS
Die Informationssicherheitsleitlinie stellt den Rahmen des ISMS dar. Dessen erfolgreiche Umsetzung und ein hohes Maß an Informationssicherheit sind nur möglich, wenn die Leitlinie korrekt erstellt und eingehalten wird. Dafür muss sie gewissen formalen Prinzipien folgen, um der Norm zu entsprechen, etwa eine Verpflichtung der Geschäftsführung zur kontinuierlichen Verbesserung des ISMS enthalten. Am besten, man beginnt frühzeitig mit ihrer Ausarbeitung. Zu beachten ist dabei:
- Das Führungsteam mit ins Boot holen
- Die einzelnen internen und externen Themen sowie interessierten Parteien und ihre Anforderungen in Bezug auf die Informationssicherheit herausarbeiten
- Die Management-Ziele beschreiben und daraus die Informationssicherheitsziele ableiten und festschreiben
- Grundlegende Regeln im Umgang mit Risiken definieren
- Die in der Leitlinie dokumentierte Selbstverpflichtung der Geschäftsführung zur kontinuierlichen Verbesserung einholen
3. Schritt: Anforderungen sammeln und strukturieren
Bei der Analyse der Anforderungen ist strukturiertes Vorgehen angeraten, denn hierbei müssen sämtliche Normkapitel der ISO 27001 und des Anhangs A durchgearbeitet werden. Oft treten dabei auch neue Anforderungen auf, die zu berücksichtigen sind. Für Anhang A heißt das: 114 nach Themenbereichen (so genannten Maßnahmenzielen) sortierte einzelne Maßnahmen (Control Statements) sind durchzuarbeiten. Es muss entschieden sowie dokumentiert werden, welche von ihnen relevant sind.
Im Resultat erhält man eine erste Arbeitsversion der so genannten „Erklärung zur Anwendbarkeit“ (engl. Statement of applicability oder kurz „SOA“). Sie ist ein Pflichtdokument und stellt darüber hinaus eine hervorragende Grundlage zur Steuerung und Fortschrittsdokumentation der Aktivitäten dar. Die Gruppieren der Anforderungen bildet im nächsten Schritt dann das Gerüst für die zu erstellenden Richtliniendokumente.
4. Schritt: Erstellung der Richtlinien
Die Richtlinien sollten in enger Abstimmung mit IT-Administration, Personalabteilung, Softwareentwicklung und den Fachabteilungen „bottom up“ erstellt werden, Lücken im Dialog mit der Geschäftsführung und den Fachabteilungen sind dabei zu schließen. Auf diese Weise ist sichergestellt, dass alle Beschäftigten rechtzeitig informiert und mit im Boot sind. Und das ISMS-Team erhält so einen guten Überblick darüber, welche Richtlinien bereits in Übereinstimmung mit der Norm funktionieren.
5. Schritt: Kritik und Anregung nutzen
Da einzelnen Richtlinien werden in der Regel nicht gleichzeitig, sondern nach und nach verabschiedet. Daher sollte das ISMS-Team alle Involvierten regelmäßig über den Projektstatus auf dem letzten Stand halten. Mit der Veröffentlichung der ersten Dokumente äußert sich regelmäßig auch erste Kritik, sei es wegen Unzufriedenheit mit einzelnen Prozessen oder weil tatsächliche Widersprüche aufgedeckt wurden. Diese Kritik sollte man aufnehmen, priorisieren und für den weiteren Verbesserungsprozess nutzen
Auch das ISMS-Team selbst wird beim Erstellen von Richtlinien immer wieder auf Redundanzen oder Widersprüchlichkeiten mit anderen Richtlinien stoßen. Hier hilft ein gut gepflegtes SOA-Dokument, um den Überblick zu behalten und es gar nicht so weit kommen zu lassen.
6. Schritt: Vorbereitung auf den Audit
Ob vor dem Erstzertifizierungsaudit ein interner Audit über das gesamte ISMS stattfinden, darüber herrschen geteilte Meinungen. Zumindest sollte man zunächst einen neutralen Auditor auf das ISMS schauen lassen, um zertifizierungsverhindernde „Hauptabweichungen“ gar nicht erst entstehen zu lassen. Zutage treten können dabei zum Beispiel das Nichterfüllen einer oder mehrerer Normenforderungen für das Managementsystem oder ein Sachverhalt, der erheblichen Zweifel an der Fähigkeit des Managementsystems aufkommen lässt (etwa ein nicht umgesetztes Risiko-Management).
Die definierten Prozesse sollten vor dem Zertifizierungsaudit außerdem bereits eine Weile gelebt worden sein und ihre Ergebnisse sollten dokumentiert sein. Das zeigt dem Auditor, dass das ISMS im Unternehmen verstanden und umgesetzt wird. Vor der ersten Rezertifizierung wäre dann sicherzustellen, dass die Ergebnisse des ersten Audits sowie ggf. neue Risiken, Vorfälle und Verbesserungspotentiale identifiziert und entsprechende Maßnahmen eingeleitet wurden. Wichtig ist, dass herauskommt: Wir sind nach der Erstzerfizierung mit unserem Optimierungsvorhaben weitergekommen!
Fazit
Wer eine ISO 27001-Zertifizierung erfolgreich absolviert hat, gelangt damit automatisch ins Blickfeld neuer Kunden. Denn es gibt sicherheitssensible Unternehmen, die Aufträge nur an solche Dienstleister vergeben, deren Geschäftsprozesse nachweislich höchsten Standards an die Informationssicherheit entsprechen. So wirkt sich das Zertifikat dann auch noch direkt positiv auf das eigene Geschäft aus. Zu einer erfolgreichen ISO 27001-Zertifizierung kommt man, wenn man schrittweise und geplant vorgeht.
Über den Autor: Sebastian Welke ist Senior Consultant bei der handz.on GmbH.
(ID:49667201)
:quality(80)/p7i.vogel.de/wcms/a8/05/a80509053aff785e878adeb2e6e4da1a/0112115041.jpeg "Die ISO 27000 ist eine Normenreihe und einführender Standard für Informationssicherheitsmanagementsysteme. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")