ISO 27001 Anforderungen

ISO 27001 Anforderungen

ISO 27001 / Von

Die ISO-Norm 27001 basiert zwar auf der Implementierung von Informationssicherheitskontrollen, aber keine dieser Kontrollen ist für die Einhaltung der Norm allgemein verbindlich.

Das liegt daran, dass die Norm berücksichtigt, dass jede Organisation bei der Entwicklung eines ISMS ihre eigenen Anforderungen hat und dass nicht alle Kontrollen angemessen sind.

Stattdessen wird von den Organisationen gefordert, dass sie Aktivitäten durchführen, die sie bei der Entscheidung über die zu implementierenden Kontrollen unterstützen. In diesem Beitrag erklären wir, was diese Prozesse beinhalten und wie Sie sie abschließen können.

Sie möchten mehr erfahren? – Hier haben wir alles zusammengestellt zur ISO 27001.

Was sind die ISO 27001 Anforderungen und was sagt die Norm aus?

ISO 27001 ist eine internationale Norm, die Anforderungen an Managementsysteme für die Informationssicherheit festlegt. Auf dieser Seite möchten wir Ihnen die ISO 27001-Norm näher vorstellen. ISO 27001 ist das zentrale und wichtigste Element der ISO 27000-Normenfamilie. Die Norm spezifiziert die Anforderungen für die Einführung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems im Kontext der Organisation und und enthält Anforderungen für die Bewertung und das Management von Informationssicherheitsrisiken entsprechend den einzelnen Bedürfnissen der Organisation.

Die Struktur der ISO 27001 basiert auf der High Level Structure (HLS), die auch im Qualitätsmanagement ISO 9001, Umweltmanagement ISO 14001 und Arbeitsschutzmanagement ISO 45001 verwendet wird. Die HLS hat eine einheitliche Struktur für alle ISO-Normen mit einheitlichen Begriffen geschaffen. Im Verlauf dieser Seite werden Ihnen die einzelnen Abschnitte der ISO 27001 gemäß der High Level Structure näher vorgestellt.

ISO 27001 Anforderungen

Vorgeschriebene ISO 27001-Anforderungen

Die wichtigsten Aktivitäten bei der Umsetzung von ISO 27001 sind:

  • Verstehen der Organisation und ihres Kontexts (Abschnitt 4.1): Verständnis der Organisation und ihres Kontexts. Wir empfehlen immer, dass eine Organisation hier mit ihrer ISO 27001-Implementierung beginnt.
  • Verstehen der Bedürfnisse und Erwartungen der interessierten Parteien (Abschnitt 4.2): Bedürfnisse und Erwartungen der Stakeholder verstehen und identifzieren
  • Scoping Ihres ISMS (Abschnitt 4.3), In Abschnitt 4.3 der ISO 27001-Norm geht es um die Festlegung des Anwendungsbereichs Ihres Informationssicherheits-Managementsystems. Dies ist ein entscheidender Teil des ISMS, da er den Beteiligten, einschließlich der Geschäftsleitung, Kunden, Auditoren und Mitarbeitern, mitteilt, welche Bereiche Ihres Unternehmens von Ihrem ISMS abgedeckt werden. Sie sollten in der Lage sein, einem Prüfer schnell und einfach Ihren Geltungsbereich zu beschreiben oder zu zeigen.
  • Informationssicherheits-Managementsystem (ISMS) Abschnitt 4.4: Hier geht es darum, wie die Organisation das Managementsystem für die Informationssicherheit einführt, aufrechterhält und kontinuierlich verbessert.
  • Informationssicherheitspolitik und -ziele (Abschnitte 5.2 und 6.2): In Abschnitt 5.2 der ISO 27001-Norm wird gefordert, dass die oberste Leitung eine Informationssicherheitspolitik aufstellt. Die Anforderung, eine Strategie zu dokumentieren, ist ziemlich einfach. Es kommt jedoch darauf an, was in der Richtlinie steht und wie sie sich auf das umfassendere ISMS bezieht, damit die interessierten Parteien dem Inhalt der Richtlinie vertrauen können.
  • Verfahren zur Behandlung von Informationsrisiken (Abschnitt 6.1.3)
  • Risikobehandlungsplan (Abschnitte 6.1.3 e und 6.2)
  • Risikobewertungsbericht (Abschnitt 8.2)
  • Aufzeichnungen über Ausbildung, Fähigkeiten, Erfahrung und Qualifikationen (Abschnitt 7.2)
  • Überwachungs- und Messergebnisse (Abschnitt 9.1)
  • Internes Auditprogramm (Abschnitt 9.2)
  • Ergebnisse der internen Audits (Abschnitt 9.2)
  • Ergebnisse der Managementbewertung (Abschnitt 9.3)
  • Ergebnisse von Abhilfemaßnahmen (Abschnitt 10.1)
  • Kontinuierliche Verbesserung (Abschnitt 10.2.): Ein großer Teil des Managementsystems für Informationssicherheit besteht darin, es als ein dynamisches und flexibles System zu betrachten. Organisationen, die es mit der Verbesserung ernst meinen, werden die Leistung ihres ISMS als Teil einer breiter angelegten Strategie bewerten, testen, überprüfen und messen und dabei über ein “ Checkbox“-System hinausgehen. In der ISO-Norm 27001 sind bereits mehrere Mechanismen für die kontinuierliche Bewertung und Verbesserung des ISMS vorgesehen.

Veränderte Anforderungen in der ISO 27001:2013

Im Jahr 2013 wurden die Anforderungen der ISO 27001 im Vergleich zur ersten Version aus dem Jahr 2005 erheblich geändert. So wurde beispielsweise die grundlegende Architektur der Norm nicht nur geändert, sondern auch deutlich gestrafft.

Der Standard ISO 27001 verfolgt einen geschäftsprozessorientierten Ansatz zur Implementierung eines Informationssicherheitsmanagementsystems (ISMS). Wurde in der Vorgängerversion noch ausdrücklich auf das PDCA-Modell verwiesen, so ist dies nun nicht mehr zwingend erforderlich. Die Vorschriften gelten für alle Organisationen aller Größen und Arten.

In der ISO 27001 wird gefordert, dass Unternehmen alle externen und internen Aspekte, die sich auf ihre Fähigkeit zur erfolgreichen Einführung eines ISMS auswirken, identifizieren und berücksichtigen. Konkret bedeutet dies: Unternehmenskultur, Umweltbedingungen, behördliche Anforderungen, vertragliche und gesetzliche Verpflichtungen sowie offizielle Richtlinien im Zusammenhang mit der Unternehmensführung. Gemäß ISO 27001 muss die oberste Leitung der Organisation die Informationssicherheitspolitik sowie die Verantwortlichkeiten und Rechenschaftspflichten für deren Umsetzung festlegen. Die Organisation muss sich außerdem dazu verpflichten, das Bewusstsein für die Informationssicherheit in der gesamten Organisation zu fördern.

Der Zertifizierungsprozess nach ISO 27001 umfasst auch die Planung. So sehen die Bestimmungen beispielsweise vor, dass spezifische Informationssicherheitsrisiken für die Organisation bewertet und ein Behandlungsplan entwickelt werden. Die Verantwortung für die Definition von Risiken und deren Abschwächung liegt allein bei der Organisation. Die Norm schreibt auch vor, dass die Organisation Ressourcen bereitstellen muss, um eine kontinuierliche Verbesserung sowie die Pflege und Umsetzung des ISMS zu gewährleisten. Die Angaben zum ISMS müssen außerdem sorgfältig dokumentiert werden. Außerdem müssen in bestimmten Abständen Leistungsbewertungen erstellt werden. Die Unternehmen müssen die Wirksamkeit ihres ISMS überprüfen, bewerten und analysieren. Auch dies geschieht in festgelegten Abständen.

Zur ersten Stufe gehören beispielsweise öffentliche Dokumente, die, wenn sie gefälscht werden, einen eher unbedeutenden Schaden von bis zu 500 Euro für das Unternehmen verursachen. Diese Stufe wird Dokumenten zugewiesen, bei denen es unwahrscheinlich ist, dass sie dem Unternehmen erheblichen Schaden zufügen, selbst wenn die ISO-Normen länger als eine Woche lang beharrlich missachtet werden.

Stufe zwei betrifft unternehmensinterne Dokumente wie Abrechnungen und Gehaltsabrechnungen. Kommt es hier zu Verstößen gegen die ISO-Norm zur Informationssicherheit, entsteht ein moderater finanzieller Schaden von bis zu 5.000 Euro. Ein solcher Vorfall darf nicht länger als 24 Stunden andauern.