ISO 27001-Anforderung 4.1 – Den Kontext der Organisation verstehen

Was sind interne und externe Probleme?

ISO bietet eigentlich keine große Hilfe bei der Erklärung, was ein internes oder externes Problem sein könnte. Für ein Unternehmen, das neu im Informationssicherheitsmanagement ist, könnte es wertvolle Zeit damit verschwenden, sich nur mit dieser Anforderung auseinanderzusetzen.

Es hängt wirklich von der Kultur und Art der Organisation, den beteiligten Personen, ihrem Ausgangspunkt und dem gefährdeten Wert ab. Beispielsweise könnte eine kleine, gut geführte Organisation mit einem klaren Ziel und wenigen beteiligten Personen bei einer 10-minütigen Tasse Tee zu ihren Schlussfolgerungen zu internen und externen Problemen kommen, die sich auf die ISMS-Ergebnisse auswirken (insbesondere angesichts aller Beispiele im virtuellen Coach).

Bei anderen Organisationen kann es jedoch länger dauern. Generell empfehlen wir, dass es sich hierbei um eine schnelle Brainstorming-Übung handelt, die zunächst eine übermäßige Analyse vermeidet – Sie werden mit ziemlicher Sicherheit weitere interne und externe Probleme identifizieren, wenn Sie sich mit den anderen Anforderungen befassen, und diese können bei der Implementierung Ihres Informationssicherheitsmanagementsystems problemlos hinzugefügt werden Der Weg zu einer besseren Informationssicherheit geht weiter.

So identifizieren Sie interne Probleme

Berücksichtigen Sie das Akronym IPOPS unten, um die internen Probleme zu identifizieren, die sich auf die Ergebnisse eines ISMS auswirken könnten. Dabei kann es sich um eine Whiteboard-Übung, eine Sitzung mit Haftnotizen oder einfach um das Erfassen von Notizen handeln, die Sie später hochladen, um Ihr Verständnis der Probleme zu demonstrieren. Holen Sie sich die richtigen Leute in einen Raum oder ans Telefon und beginnen Sie das Gespräch!

Schauen Sie sich das Bild an, um ein einfaches Beispiel dafür zu sehen, was getan werden könnte. Dieses kann als Teil der Beweise hochgeladen oder detaillierter beschrieben und je nach Art der Organisation mit anderen Interessengruppen weiter getestet werden. Aus der Sicht externer UKAS ISO 27001-Prüfer werden sie nach der Gewissheit suchen, dass die Organisation die Probleme verstanden hat, die sich auf das Ergebnis des ISMS auswirken könnten (und diese dokumentiert), bevor sie diese Beweise für die weitere Arbeit verwendet.

Dies wird dann dabei helfen, interessierte Parteien zu identifizieren, einen Umfang festzulegen, Ihre Ziele zu dokumentieren, eine Bestandsaufnahme der Vermögenswerte zu erstellen und eine Analyse des Informationssicherheitsrisikos durchzuführen, bevor geeignete Richtlinien und Kontrollen im Einklang mit der Anwendbarkeitserklärung entwickelt werden.

Es ist alles ein sehr logischer Ablauf und beginnt genau hier mit dieser einfachen Übung!

Beispiele für interne Probleme

Im Folgenden finden Sie einige Ideen und Beispiele für Bereiche, in denen möglicherweise interne Probleme auftreten, die sich auf das Ergebnis des ISMS auswirken. Abhängig von der Organisation, ihrem Sektor, ihrer Größe, ihrem Umfang und der Art der Produkte und Dienstleistungen können jedoch viele Probleme berücksichtigt werden usw.

Wir empfehlen Ihnen, praktisch zu sein und sicherzustellen, dass es nicht zu einer großen Strategieübung oder Dissertationsarbeit wird, wenn dies nicht erforderlich ist. Es kommt weniger darauf an, wo man das interne Problem „aufnimmt“, sondern die Idee einer einfachen Portfolioanalyse wie dieser besteht darin, dem Gehirn dabei zu helfen, die internen Probleme auszulösen.

Ob Sie sie also den Personen, der Organisation oder anderswo zuordnen, ist weniger wichtig (einige können auch externe Probleme sein) – es ist die Identifizierung der internen oder externen Probleme, die wichtig ist, damit Sie ein Informationssicherheitsmanagementsystem aufbauen können, das für Sie funktioniert !

Sie werden auch die Art der Organisation berücksichtigen, die sich um Menschen dreht, z. B. die Philosophie, alles intern zu erledigen, auszulagern usw. – all diese Aspekte führen zu „Problemen“, die sich auf das ISMS auswirken könnten.

Beispielsweise können Sie das Personal möglicherweise intern besser kontrollieren als Lieferanten, aber es könnte ein Argument dafür sein, Lieferanten mit ihren Prozessen einzubeziehen, weil sie die von Ihnen gewünschten Dienstleistungen anbieten. Denken Sie daran, dass Ihre Geschäftsziele an erster Stelle stehen – dies steht im Mittelpunkt der Problemerkennung – führen Sie das Unternehmen so, wie Sie es möchten, und stellen Sie sicher, dass das ISMS Ihre wertvollen Informationen und die Ihrer interessierten Parteien schützt.

Alle relevanten Probleme sollten dann für eine spätere detailliertere Risikoanalyse berücksichtigt werden – allerdings sind nicht alle Probleme tatsächlich Risiken, und einige sind wichtiger als andere, sodass Sie sich dafür entscheiden können, den größeren Problemen Priorität einzuräumen. Daher empfehlen wir Ihnen, in dieser Phase die Risikoanalyse oder tiefgreifende Überlegungen zu „Was wäre, wenn“ zu vermeiden und sich auf die Identifizierung der Probleme zu konzentrieren.

Informationen als Vermögenswerte, bei denen es sich um interne Themen handelt, die sich auf die ISMS-Ergebnisse auswirken

Welche Informationen werden erstellt, verarbeitet, gespeichert, verwaltet und sind für die Organisation und ihre interessierten Parteien von echtem Wert (im Einklang mit der Stakeholder-Analyse, die Sie als Nächstes für 4.2 durchführen werden)? Persönliche Daten, sensible Kundenideen und geistige Eigentumsrechte, Finanzinformationen, Marke, Codebasen usw.?

Dies ist genau das Herzstück des ISMS, wo die Informationsressourcen die Grundlage für alles andere bilden – die frühzeitige Identifizierung dieser Ressourcen erleichtert auch die Bestandsverwaltung der Informationsressourcen für A8.1.

Berücksichtigen Sie dann potenzielle Probleme im Zusammenhang mit den Informationen selbst – insbesondere Vertraulichkeit, Integrität und Verfügbarkeit – und berücksichtigen Sie dabei die anderen unten aufgeführten Bereiche, während Sie Ideen dazu entwickeln, wo die Probleme auftreten könnten.

Personenbezogene interne Probleme, die sich auf das beabsichtigte Ergebnis des ISMS auswirken könnten
Es ist keine Überraschung, dass die Sicherheit der Humanressourcen ein wichtiger Teil des ISMS ist. Anhang A 7 ist diesem Thema gewidmet, und alle nachfolgenden Richtlinien, Kontrollen und das Management werden wahrscheinlich auf die Menschen ausgerichtet sein, sowohl auf interne Mitarbeiter als auch auf externe Ressourcen Lieferanten.

Berücksichtigen Sie daher alle bestehenden Probleme:

• Personalbeschaffung – z. B. Herausforderungen bei der Einstellung kompetenter Mitarbeiter, hohe/geringe Personalfluktuation
• Einführung – z. B. erhalten sie derzeit eine Schulung zum Thema Informationssicherheit, funktioniert sie?
• im Lebensmanagement – ​​z. B. indem sie engagiert bleiben und zeigen, dass sie die Richtlinien und Kontrollen einhalten – finden Mitarbeiter Informationssicherheit tatsächlich sexy und aufregend oder ist es eine kulturelle Herausforderung, jemanden dazu zu bringen, seinen Laptop zu sperren, wenn er auf die Toilette geht?
• Rollenwechsel und Ausstieg – z. B. erfolgt der Zugriff auf und die Entfernung von Informationsbeständen und Diensten

Organisatorische interne Probleme, die sich auf die ISMS-Ergebnisse auswirken

Mit welchen Problemen ist die Organisation konfrontiert und könnte das Ergebnis des ISMS beeinflussen? Schnelles Wachstum bringt beispielsweise Personal- und Strukturprobleme mit sich, die sich auf das Verständnis und die Kenntnis der Richtlinien auswirken können, oder es kommt dazu, dass sich die Dinge so schnell ändern, dass detaillierte und konsistente Prozesse nicht einfach durchführbar sind.

Gibt es Druck auf die Führung der Organisation und den Vorstand oder die Aktionäre, der Probleme verursachen kann (diese können sowohl positiver als auch negativer Natur sein)? Bei internationalen Einsätzen gelten für die beteiligten Personen unterschiedliche kulturelle Normen.

Ein weiteres internes Problem im Zusammenhang mit Mitarbeitern und der Organisation könnte darin bestehen, dass Sie nicht möchten, dass viele von ihnen angestellt werden, oder Schwierigkeiten haben, gute Mitarbeiter zu finden, und sich stattdessen auf Outsourcing verlassen. Das bringt einen Bedarf an Lieferanten (und Personal bei den Lieferanten) mit sich, daher ist dies ein Thema, das mit der Analyse der interessierten Parteien verknüpft werden muss, die Sie als Nächstes in Abschnitt 4.2 durchführen werden.

Interne Probleme bei Produkten und Dienstleistungen, die sich auf die ISMS-Ergebnisse auswirken könnten

Welche Produkte und Dienstleistungen werden von der Organisation bereitgestellt und welche Probleme treten dabei auf, die ein Informationsrisiko darstellen könnten? Wenn die Organisation beispielsweise ein Innovator ist und der Schutz geistiger Eigentumsrechte für die Produktführerschaft wichtig ist, ist dies ein Thema, das im ISMS berücksichtigt werden muss.

Wenn die Organisation beispielsweise als Hersteller auf großes physisches Eigentum angewiesen ist, wird dies wahrscheinlich mehr physische Sicherheitsprobleme mit sich bringen, während sich ein kleiner Cloud-Softwareanbieter möglicherweise viel mehr auf Themen wie den Schutz geistiger Eigentumsrechte vor digitalen Hackern und die Probleme im Zusammenhang mit der Abhängigkeit seines Produkterfolgs konzentriert Zusicherung von Hosting-Anbietern etc.

Systeme und Prozesse als interne Probleme, die das beabsichtigte Ergebnis des ISMS beeinflussen

Wenn das Wort „System“ verwendet wird, denkt man oft an Computer und digitale Technologie. Manuelle und papierbasierte Systeme sind jedoch auch Schlüsselbereiche für die Entstehung von Problemen. Denken Sie also daran, diese auch für Probleme zu berücksichtigen.

An jedem der oben aufgeführten Bereiche sind Systeme und Prozesse beteiligt – das kann implizit sein (wir haben es immer so gemacht und nie dokumentiert) oder könnte in einer Unmenge an Dokumentation verpackt sein, die niemand jemals nachvollziehen kann … Nachdem Sie die oben genannten IPOP-Bereiche betrachtet haben, denken Sie über die damit verbundenen system- und prozessinternen Probleme nach – wenn Sie beispielsweise regelmäßig Personal einstellen, aber nicht über einen formellen Prozess und Systeme verfügen, die die Bewertung und Überprüfung aus Sicht der Informationssicherheit demonstrieren, haben Sie diese ein Problem (nicht zuletzt wegen Anhang A7 der ISO 27001).

Ein Problem besteht darin, dass Sie möglicherweise Leute einstellen, die zum inneren Feind werden, entweder weil sie die Informationssicherheit nicht kennen oder weil sie ein Saboteur sind, und daran haben Sie nie gedacht. Das Gleiche gilt für alle Systeme und Prozesse im gesamten Unternehmen, die in den Geltungsbereich der Informationssicherung fallen – welche Art von Problemen treten auf, bei denen die Vertraulichkeit, Integrität oder Verfügbarkeit der Informationen gefährdet sein könnte?

So identifizieren Sie die externen Probleme

Einer der alten Favoriten für externe Analysen ist PESTLE (Political, Economic, Sociological, Technological, Legal and Environmental) und es hat seinen Wert, in dieser Übung verwendet zu werden, wiederum um es praktisch und fokussiert auf Themen zu halten, die sich auf die ISMS-Ergebnisse auswirken, und nicht als eine tiefgreifende strategische Arbeit. Diese Übung erfordert im Allgemeinen viel weniger Erklärungen und Sie werden es zweifellos leicht finden, sie durchzugehen und aus der Perspektive der Informationssicherheit zu betrachten.

Vermeiden Sie auch hier übermäßige Analysen und den Versuch, Dinge nur um ihrer selbst willen in bestimmte Kategorien einzuteilen – etwas wird ausgelöst oder nicht, und Sie können später immer noch darauf zurückkommen. Die internen Probleme, die sich auf das Ergebnis des ISMS auswirken, werden auch externe Probleme auslösen – wenn die Organisation beispielsweise entscheidet, dass sie nicht alles intern erledigen wird und Lieferanten benötigt, dann kommen externe Probleme mit diesen Lieferanten und ihren PESTLE-bezogenen Aspekten ins Spiel.

Politische Außenthemen

Welche politischen Themen könnten sich auf die Organisation auswirken und sich auf die Ergebnisse auswirken? Beispiele könnten der Brexit und spezifische politische Änderungen in einem Sektor sein, die sich auf Investitionen oder Wachstum auswirken und zu unterschiedlichen Arbeitsweisen und unterschiedlichen Ansätzen für das Informationsmanagement führen könnten.

Die Politik (und mächtige Social-Media-Akteure, die personenbezogene Daten missbrauchen) haben die DSGVO ins Leben gerufen, die zu regulatorischen Änderungen führte, die den Druck auf die Kunden erhöhten, die wiederum Lieferanten dazu zwingen, unabhängig zertifizierte ISO 27001-Informationssicherheitsmanagementsysteme einzuführen, um sie bei der Verwaltung ihrer Gesamtversorgung zu unterstützen Kettenrisiko.

Dies ist ein Beispiel für ein Problem, das viele Aspekte von PESTLE umfasst und ein externes Problem ist, mit dem fast alle Organisationen konfrontiert sind.

Wirtschaftliche externe Probleme

Wie wirken sich die wirtschaftlichen Gegebenheiten Ihres Marktes und der Lieferkette auf das Unternehmen aus? Führt das zu mehr oder weniger Problemen mit Lieferanten und Kunden, welche Bereiche der Informationssicherheit könnten im Rahmen der Kostenreduzierung gekürzt werden und führt dies zu einem erhöhten Risiko oder einer erhöhten Bedrohung (und natürlich auch zu Chancen)?

Beispiele könnten billigere Arbeitskräfte, weniger Schulung und weniger Zeit für die Erledigung der Arbeit sein oder die Unfähigkeit, sich anständige technologische Systeme zu leisten, die zur Verbesserung des Betriebs beitragen würden, weil Gelder woanders priorisiert werden müssen (Tipp: Sehen Sie sich unser Whitepaper zum Business-Case-Planer an, um Hinweise zur Rendite zu erhalten zu Investitionen aus der Informationssicherheit.)

Soziologische Außenfragen

Wie verändert sich die Gesellschaft oder Ihre Zielgruppe demografisch und wirkt sich dies auf Ihr Unternehmen aus – zum Beispiel bieten ständig vernetzte Bürger Chancen und Risiken, und eine Generation von Mitarbeitern, die manchmal mehr oder weniger Rücksicht auf Daten nehmen, bringt sowohl Positives als auch Negatives mit sich.

Technologische externe Probleme

Wie führt das zunehmende Tempo des technologischen Wandels zu Problemen für die ISMS-Ergebnisse? Tägliche Änderungen an Betriebssystemen, die gepatcht werden, im Vergleich zu (sagen wir) einmal im Jahr in der Vergangenheit? Dies führt zu einem Bedarf an einem viel dynamischeren Management, das viele Unternehmen nur schwer aufrechterhalten können. Wenn es nicht verwaltet wird, erhöht sich die Gefahr eines Cyberverstoßes und ein Verlust wird wahrscheinlicher.

Wo verursachen künstliche Intelligenz, maschinelles Lernen, Cloud und jedes andere technologische Schlagwort nach außen hin Probleme für Ihr Unternehmen?

Legislative externe Fragen

Einer der häufigsten Fehlerbereiche bei ISO 27001 ist die Unfähigkeit, das Bewusstsein für Anwendungsgesetzgebung und Regulierungsfragen wirksam zu schärfen und diese dann zu bewältigen. Dieser Teil von PESTLE ist ein guter Ausgangspunkt für Anhang A18 zum Thema Compliance – wenn Ihr Prüfer mehr als Sie über die Gesetze und Vorschriften weiß, die Ihre Organisation (und damit das ISMS) betreffen, wird er nicht beeindruckt sein.

Es geht weit über Datenschutz, DSGVO, Computerüberwachung, Menschenrechte und geistiges Eigentum hinaus. Berücksichtigen Sie diesen Bereich daher ernsthaft bei allen Informationen in Ihrem Bereich. Sie benötigen nicht unbedingt einen Anwalt, aber wenn Sie zeigen, dass Sie die für die Organisation geltende Gesetzgebung berücksichtigt haben, werden die Risikobehandlung sowie die Erstellung von Richtlinien und Kontrollen zielgerichteter und relevanter.

Es kann sein, dass Ihre Risikobereitschaft für etwas ziemlich hoch ist, aber wenn eine geltende Gesetzgebung oder Verordnung die Messlatte festlegt, müssen Sie Richtlinien und Kontrollen entwickeln, um diese einzuhalten, und nicht nur das, was Sie vielleicht für in Ordnung halten!

Externe Umweltprobleme

PESTLE behandelt die Umwelt in der Regel als grünes Thema, es kann sich jedoch auch um Ihre umfassendere „Umwelt“ handeln. Einfache Überlegungen zum Thema Umwelt könnten bedeuten, dass Sie weniger Papier verbrauchen und weniger reisen möchten – großartig, welche Probleme ergeben sich daraus für das ISMS?

Beispielsweise könnte die Entwicklung des ISMS eine Gelegenheit sein, Praktiken rund um das Drucken zu ändern oder Richtlinien für mobiles Arbeiten usw. zu entwickeln – das sind ein paar einfache Ideen, die einem in den Sinn kommen, wenn man über Umweltpapier- und Reisethemen nachdenkt.

Umfassendere „Umwelt“-Probleme könnten die Dinge sein, die bei Ihren Konkurrenten und breiteren Kräften vor sich gehen (denken Sie daran). Träger 5 Kräfte als einfaches Beispiel) – welche externen Umgebungsprobleme treten dort auf, die sich auf Ihre ISMS-Ergebnisse auswirken könnten?

Sie wissen, dass Ihre Verhandlungsmacht gegenüber Kunden im Bereich Informationssicherheit zunimmt. Wenn sich Ihre Konkurrenten jedoch alle unabhängig nach ISO 27001 zertifizieren lassen und Sie nur an die Einhaltung von Häkchen-/Handbewegungen denken, dann ist das ein externes Thema, das Sie eingehender berücksichtigen sollten, um wettbewerbsfähig zu sein, geschweige denn sicher und vertrauenswürdig.