ISO 27001:2005: Durchführung von ISMS-Prozessen aus Management-Sicht

IT-Sicherheit mit dem PDCA-Modell auf dem Laufenden halten

10.07.2007 | Autor / Redakteur: Frank Castro Lieberwirth / Stephan Augsten

ISO/IEC 27001:2005 beschreibt ein Management-System für Informationssicherheit (ISMS) und legt die theoretischen Grundlagen für dessen Prozesse. Das ISMS verwendet das Plan-Do-Check-Act-Modell, um IT-Sicherheit als fortlaufenden Prozess darzustellen. Dieser Artikel stellt die Aufgaben des Managements vor und zieht Parallelen zur BSI-Norm und der Praxis.

Das Plan-Do-Check-Act-Prozessmodell (PDCA-Lebenszyklusmodell) ist mit dem Standard ISO/IEC 27001:2005 an die Belange eines Managementsystems für Informationssicherheit (ISMS) angepasst worden. Die Abbildung in der Bildergalerie zeigt dieses Modell und verdeutlicht, dass ein Kernpunkt die kontinuierliche Dokumentation ist. Letztendlich hat dies eine umfangreiche Datenbank zum Ziel.

Um die IT-Sicherheit immer Up-to-date zu halten, ist eine laufende Ausführung des Lebenszyklusmodells notwendig. Nur so ist eine kontinuierliche Optimierung gewährleistet.

Das PDCA-Modell umfasst folgende vier Zyklen, die im verlinkten Grundlagenartikel dieser Reihe näher erläutert werden:

1. Plan (z.B. Einrichten eines ISMS)

2. Do (z. B. Implementieren und Verwalten von Ressourcen)

3. Check (Laufende Überwachung des ISMS und Erfolgskontrolle)

4. Act (Verbesserungen fließen ein)

Management – wer ist damit gemeint?

Damit nicht gleich ein Missverständnis auftritt: „Management“ ist mittlerweile ein aus dem Englischen in die deutsche Geschäftswelt importierter Begriff für die Leitungsebene einer Organisation geworden. Geht man von der exakten Übersetzung aus dem Englischen aus, gehört zu der Geschäftsleitung nach Cassells German Dictionary auch noch die „Verwaltung“.

Als Deutsche müssen wir daher bei Durchsicht der englischen ISO-Norm immer im Blick haben, dass Bedeutungen leicht missverstanden werden können. ISO 27001:2005 handelt vom „Management“ und meint damit alle führenden, leitenden sowie verwalteten Personen, manchmal aber auch einen Prozess (beispielsweise das Risk Management).

Das Bundesamt für Sicherheit in der Informationstechnik verdeutlicht in seiner BSI-Norm das Management als „Leitungsebene“, um eine Abgrenzung zum Prozess „Leiten, Lenken und Planen“ [Quelle: BSI-Standard 100-1] zu setzen.

Nichts Spektakuläres zu finden

Viele der hier aufgelisteten Aufgaben und Pflichten erscheinen selbstverständlich, so dass man sich fragen muss, ob hier nur Papier verschwendet wird. Die Norm hat seine Wurzeln aus einem gesammelten Best-Practice-Katalog, der über Jahre aufgebaut und laufend ergänzt wurde. Die jeweiligen Aspekte klingen demnach nicht gerade spektakulär.

Die Aufgabensammlung hat aber seine Berechtigung darin, dass nichts ausgelassen wird. Wie letztendlich eine Organisation geprüft wird, hängt wesentlich von den Randbedingungen des Betriebs und den Präferenzen des Auditors ab (z.B. durch das BSI, die auch ISO 27001 zertifizieren).

Delegieren von Aufgaben und Pflichten

Die Management-Ebene bzw. die Geschäftsleitung hat die Verpflichtung, eine ISMS-Richtline in der Organisation einzuführen. Anschließend ist sie für das ordnungsgemäße kontinuierliche Funktionieren des Managementsystems verantwortlich.

Da die IT mittlerweile in fast alle Ebenen eines Betriebs/einer Organisation Fuß gefasst hat, muss dort auch die IT-Sicherheit konsequent angewendet werden. Das klingt banal, doch bei großen Konzernen gibt es eine gewachsene IT-Infrastruktur, die wegen der Unübersichtlichkeit durchaus Schwachstellen haben kann.

Eine weitere wichtige Aufgabe der Firmenführung ist die Delegierung entsprechender Aufgaben an Mitarbeiter und IT-Stab. In Deutschland muss auch der Betriebsrat mit ins Boot geholt werden. Die Delegierung erfolgt bei Behörden in Form von Dienstanweisungen, die Abteilungsleiter und Datenschutzbeauftragte mit in das Management von IT-Sicherheit einbeziehen.

Die Industrie handhabt solche Delegierung mitunter in Betriebsvereinbarungen oder in ganz normalen betrieblichen Anweisungen. Gemäß der ISO-Norm darf bei aller Delegierung nicht eine ordnungsgemäße Dokumentation vergessen werden.

Management-Verantwortung

Der Kürze halber kann die Management-Verantwortung in folgende Bereiche zusammengefasst werden:

  • Managementverpflichtung im Sinne von Verantwortung. Die Unternehmensführung und der IT-Sicherheits-Stab besitzen eine Vorbildfunktion.
  • Verwalten der Ressourcen: Einrichten, Ausführen, Überwachen, Kontrollieren, Warten und Verbessern des ISMS. Alle Sicherheitsprozeduren sollen die betrieblichen Abläufe unterstützen. Wie erwähnt ist die Ermittlung der Rahmenbedingungen essentiell. Der Grad der IT-Sicherheit (auch „Schutzbedarf“ nach BSI-Standard 100-1) muss realistisch gewählt sein.
  • Schulungen für alle Mitarbeiter inklusive der Führungsebene einer Organisation, um eine IT-Sicherheitskompetenz aufzubauen.

Ein Beispiel aus der Praxis

Oft stehen Vorständen in hoher und mittlerer Firmenhierarchie Laptops zur Verfügung, die sie auch auf Reisen mitnehmen. Manchmal sind diese Personen recht eigen, was die Verwaltung der Computer durch den IT-Stab betrifft. Da auf diesen Computer in der Regel auch vertrauliche Informationen gespeichert sind, muss eine sinnvolle Sicherheitsrichtlinie für diese Computer ausgearbeitet werden.

Der Findungsprozess der Richtlinie durchläuft das PDCA-Modell und wird laufend optimiert. Am Anfang steht jedoch eine Abschätzung aller Risiken, auch Risikobewertung genannt. Das können je nach Anforderungen ein Gerätediebstahl, Spionage oder Fehlbedienungen sein.

Potentielle Schwachstellen sind Betriebssystem, Anwendungen und Verschlüsselungstechniken. Aber auch hardwareabhängige Komponenten wie USB-Ports, CD/DVD-Brenner, WLAN-Sender oder Netzwerkanschlüsse können unsicher sein.

Dokumentation

ISO 27001:2005 beschreibt als zentrales Thema die Rolle der Dokumentation, die folgende Inhalte umfassen sollte:

  • ISMS-Richtlinien und Ziele
  • Wirkungsbereich mit den Verfahren und Kontrollmöglichkeiten
  • Beschreibungen der Risikobewertung mit allen dazugehörigen Aktionen
  • Alle sonstigen getätigten Vorgänge, Einstellungen, Kontrollen am ISMS

Neben der Verfassung der Dokumentation sollte diese auch laufend kontrolliert und optimiert werden. Hier ist wieder der Hinweis zu geben, dass Dokumentation auch eine Aufgabe darstellt, die mit dem PDCA-Lebenszyklusmodell abgearbeitet werden kann.

Das Ergebnis kann nur eine Momentaufnahme des ISMS sein. Sinnvollerweise kann die Kontrolle auch einer externen Partei (externer Audit) übergeben werden, da diese unvoreingenommen arbeiten kann.

Fazit

ISO 27001:2005 verlangt von einer Unternehmensführung nicht nur Vorbildfunktion, sondern die konsequente Umsetzung und Verantwortlichkeit hinsichtlich des Managementsystems für Informationssicherheit. Wie bei allen Aspekten des Aufgabenkatalogs verlangt die Norm die laufende Ausführung des PDCA-Modells in jeder Phase. Das betrifft genauso Risikobewertung oder Sicherheitsmaßnahmen einer Firma, wie die auch Dokumentation des ISMS.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2005967 / Allgemein)