ISO 27001 Anforderung 6.1 - Maßnahmen zur Bekämpfung von Risiken und Chancen

Was beinhaltet Abschnitt 6.1?

Für eine unabhängige Zertifizierung nach ISO 27001 und den Betrieb eines erfolgreichen Informationssicherheits-Managementsystems (ISMS) ist es unerlässlich, in der Beschreibung klar zu dokumentieren und anschließend zu zeigen, wie Sie mit Risiken gemäß ISO 27001 umgehen.

Abschnitt 6.1.1 – Allgemeine Aspekte bei der Risikoplanung für ISO 27001

An dieser Stelle sollten Sie auf Ihre frühere Arbeit in den Abschnitten 4 und 5 zurückblicken – insbesondere auf 4.1, 4.2, 4.3 und Abschnitt 5 der ISO 27001. Dies wird Ihnen helfen, die Risiken und Chancen zu ermitteln, die von Ihrem Unternehmen aus angegangen werden müssen frühere Themen, interessierte Parteien und Umfang, um:

• Stellen Sie sicher, dass das Informationssicherheitsmanagementsystem die beabsichtigten Ergebnisse erzielen kann
• „Unerwünschte Auswirkungen verhindern oder verringern“
• „kontinuierliche Verbesserung erreichen“.

Die Organisation muss über Pläne verfügen, die die Maßnahmen abdecken, die sie zur Identifizierung, Bewertung und Behandlung dieser Risiken und Chancen ergreifen wird, und wie sie diese Maßnahmen in die Prozesse ihres Informationssicherheitsmanagementsystems integrieren und umsetzen wird. Dazu sollte gehören, wie sie die Wirksamkeit dieser Maßnahmen bewerten und sie im Laufe der Zeit überwachen.

Ganz einfach bedeutet dies, den Prozess zur Risikoidentifizierung, -bewertung und -behandlung zu dokumentieren und dann zu zeigen, dass er in der Praxis bei der Bewältigung jedes Risikos funktioniert, idealerweise um zu zeigen, dass es toleriert (z. B. nach der Anwendung von Anhang-A-Kontrollen), beendet oder möglicherweise übertragen wird an andere Parteien.

Auch diese Anforderung an das Risikomanagement wird in der ISO 27001 weiter vertieft. Darüber hinaus gibt es andere risikoorientierte Standards wie ISO 31000, von denen man lernen kann, aus denen die Grundsätze für die Risikoplanung nach ISO 27001 stammen.

Abschnitt 6.1.2 – Risikobewertung der Informationssicherheit für ISO 27001

Der ISO 27001-Standard verlangt von einer Organisation, Prozesse zur Risikobewertung der Informationssicherheit einzurichten und aufrechtzuerhalten, die die Risikoakzeptanz- und Bewertungskriterien umfassen. Es legt außerdem fest, dass alle Bewertungen konsistent und gültig sein und „vergleichbare Ergebnisse“ liefern sollten.

Das bedeutet, den verfolgten Ansatz klar zu beschreiben und eine Risikomethodik zu entwickeln – über die Entwicklung haben wir hier mehr geschrieben.

Organisationen müssen die Bewertungsprozesse anwenden, um Risiken im Zusammenhang mit der Vertraulichkeit, Integrität und Verfügbarkeit (CIA) der Informationsbestände innerhalb des definierten Geltungsbereichs des ISMS zu identifizieren.

Die meisten ISO-zertifizierten Prüfer erwarten von dieser Methodik, dass sie über einfache Wahrscheinlichkeits- und Auswirkungsbeschreibungen hinausgeht und auch erklärt, was passiert (z. B.), wenn ein Konflikt zwischen einem Risiko (z. B. basierend auf Verfügbarkeit) und einem anderen (z. B. basierend auf Vertraulichkeit) auftritt.

Risiken müssen den Risikoeigentümern innerhalb der Organisation zugewiesen werden, die das Ausmaß des Risikos bestimmen, die potenziellen Konsequenzen bewerten, falls das Risiko eintritt, und die „realistische Wahrscheinlichkeit des Eintretens des Risikos“ angeben.

Nach der Bewertung muss das Risiko für die Risikobehandlung priorisiert und dann gemäß der dokumentierten Methodik verwaltet werden.

Abschnitt 6.1.3 – Behandlung von Informationssicherheitsrisiken für ISO 27001

Von Ihnen wird erwartet, dass Sie auf der Grundlage der Ergebnisse der Risikobewertung geeignete Risikobehandlungsoptionen auswählen, z. B. Behandlung mit Anhang-A-Kontrollen, Beendigung, Übertragung oder möglicherweise eine andere Behandlung. In der Norm ISO 27001 wird darauf hingewiesen, dass Anhang A auch die Kontrollziele enthält, die aufgeführten Kontrollen jedoch „nicht erschöpfend“ sind und möglicherweise zusätzliche Kontrollen erforderlich sind.

Typischerweise werden die Anhang-A-Kontrollen allein in kleineren Organisationen verwendet, obwohl es akzeptabel ist, die Kontrollen aus einer beliebigen Quelle zu entwerfen oder zu identifizieren. Auf diese Weise könnte die Verwaltung mehrerer Sicherheitsstandards bedeuten, dass Sie beispielsweise Kontrollen aus anderen Standards wie NIST oder SOC2 anwenden und dabei den Trust Services Criteria-Prinzipien folgen.

Wenn Sie von einem unabhängigen Prüfer für ISO 27001 geprüft werden, ist es sehr sinnvoll, sich auf die Kontrollen in Anhang A zu konzentrieren, da dieser diese gut kennt.

Wenn Sie bestimmte Standards für einen Kunden erfüllen müssen, z. B. DSPT für Gesundheit im britischen NHS, ist es sinnvoll, die Risikobehandlung auch diesen Standards zuzuordnen und dem Kunden die Gewissheit zu geben, dass Ihre Informationssicherheit robust ist und auch seinen Interessen entspricht.

Zugewiesene Risikoeigentümer verwalten ihre Risikobehandlungspläne (oder delegieren sie an Personen, die dies für sie tun) und treffen letztendlich die Entscheidung, alle verbleibenden Informationssicherheitsrisiken zu akzeptieren – schließlich macht es keinen Sinn, die Übertragung immer abzubrechen oder weiterhin in das Management zu investieren eines Risikos.

Es ist erforderlich, eine Anwendbarkeitserklärung zu erstellen, die die Kontrollen enthält, die die Organisation als notwendig erachtet hat, zusammen mit der Begründung für die Einbeziehung, unabhängig davon, ob sie umgesetzt wird oder nicht, und der Begründung für den Ausschluss von Kontrollen aus Anhang A.

Dies ist eine ziemlich wichtige Aufgabe (die durch ISMS.online massiv vereinfacht und automatisiert wurde), die zeigt, dass die Organisation alle Bereiche rund um die Kontrollen, die ISO 27001 als wichtig erachtet, sorgfältig geprüft hat.

Verständnis der Anwendbarkeitserklärung für ISO 27001

Die Erklärung zur Anwendbarkeit (Statement of Applicability, SOA) enthält die oben genannten erforderlichen Kontrollen und die Begründung für deren Einbeziehung oder Ausschluss. Es eignet sich hervorragend für die interne Verwaltung und den Austausch mit relevanten Interessenten. Dies zusammen mit der Sicherheitsrichtlinie, dem Umfang und dem Zertifikat (falls erreicht) wird ihnen ein besseres Verständnis dafür vermitteln, wo ihre Interessen und Bedenken in Ihrem Informationssicherheitsmanagementsystem liegen könnten.

So erreichen Sie Abschnitt 6.1

Typischerweise ist die Planung, wie Sie Risiken identifizieren, bewerten und behandeln, um die oben genannten Anforderungen zu erfüllen, eines der zeitaufwändigeren Elemente bei der Implementierung Ihres ISMS. Es erfordert, dass eine Organisation eine Methodik für die konsistente Risikobewertung definiert und klare Aufzeichnungen über jedes Risiko, seine Bewertung und seinen Behandlungsplan führt.

Darüber hinaus sollten die Aufzeichnungen regelmäßige Überprüfungen im Laufe der Zeit und Nachweise über die durchgeführte Behandlung enthalten. Dazu gehört auch, welche der Anhang-A-Kontrollen Sie im Rahmen dieser Behandlung eingeführt haben, und wird in die Erstellung (und Pflege) der Anwendbarkeitserklärung einfließen.

Es ist kein Wunder, dass altmodische Tabellenkalkulationsansätze komplex und schwer zu warten sein können, wenn man über die sehr grundlegenden Ansätze des Risikomanagements (die für ISO 27001 erforderlich sind) hinausgeht. Dies ist einer der Gründe, warum Unternehmen heute nach Softwarelösungen zur Verwaltung dieses Prozesses suchen.

Machen Sie es einfacher mit ISMS.online

Die ISMS.online-Plattform umfasst eine Risikomanagementrichtlinie, -methodik und ein vorkonfiguriertes Risikomanagementtool für Informationssicherheit. Wir bieten außerdem eine Liste allgemeiner Informationssicherheitsrisiken an, die zusammen mit den vorgeschlagenen Kontrollen in Anhang A erfasst werden können, was Ihnen wochenlange Arbeit erspart.

Es ist absolut sinnvoll, dies in einer integrierten Lösung zu vereinen, die Ihnen dabei hilft, Ihr gesamtes ISMS zu erreichen, aufrechtzuerhalten und zu verbessern. Warum sollten Sie schließlich Zeit damit verschwenden, es selbst zu bauen, wenn es bereits eine maßgeschneiderte Lösung gibt?