So vermeiden Sie katastrophale Annahmen mit ISO 27001 Abschnitt 9

Viele berufliche Erkenntnisse sind erst in der Geschäftswelt wirklich nützlich. Aber es gibt einen Grundsatz, der mir in jedem Teil meines Lebens hilft, vom morgendlichen Weg der Kinder zur Schule bis hin zur Planung meines Traumurlaubs nach Corona. Es ist das:

  • Die Annahme ist die Mutter aller Katastrophen

Wenn Sie nur Annahmen treffen, anstatt die Dinge tatsächlich zu überprüfen, werden Sie Probleme und Probleme nicht erkennen, wenn sie noch klein und leicht zu beheben sind. Sie werden sie erst entdecken, wenn sie nicht mehr zu übersehen sind und wahrscheinlich katastrophal sind.

Zum Glück gibt es eine einfache Lösung. Machen Sie keine Annahmen. Ersetzen Sie sie durch praktische, konstruktive und strukturierte Audits. Das kann langweilig und ermüdend wirken, ist aber immer wichtig.

Warum Aufsicht wichtig ist

Durch seine Liebe zum Detail hat einer unserer Kollegen in einer früheren Funktion:

  • Hat seinem damaligen Kunden geholfen, größeren finanziellen Schaden und Reputationsschaden zu vermeiden
  • Hat vielen unschuldigen Unterwasserlebewesen das Leben gerettet
  • Einen großen internationalen Vorfall verhindert

Er prüfte eine Unterwasserspeichereinheit vor ihrer Installation auf dem Meeresboden. Er fand heraus, dass ein Lieferant die falsche Farbe verwendet hatte. Die Farbe würde schnell zerfallen. Dann würde der Speicher schnell verfallen. Dann würde es aufbrechen.

Die Einheit wurde entwickelt, um radioaktives Material für Unterwassermesszwecke sicher aufzubewahren.

Den Rest könnt ihr euch vorstellen.

Alle gingen davon aus, dass die Überprüfung der Lackierung Zeitverschwendung sei. Wie könnte irgendjemand etwas so Grundlegendes so falsch verstehen? Unser Kollege wurde tatsächlich dafür kritisiert, zu wählerisch zu sein. Aber das wirkliche Leben hat wieder einmal bewiesen, dass Annahmen die Mutter aller Katastrophen sind.

Aufsicht in ISO 27001

Da die Prüfung so wichtig ist, wird sie in ISO 27001 ausführlicher behandelt. Klausel 9 von ISO 27001 fordert Sie auf, darüber nachzudenken, wie Sie Folgendes tun werden:

  • Messen und setzen Sie Ziele für die Wirksamkeit Ihres ISMS (Klausel 9.1)
  • Überprüfen Sie es regelmäßig, um sicherzustellen, dass diese Ziele erreicht werden (Klausel 9.2)
  • Halten Sie Ihre Geschäftsleitung auf dem Laufenden (Klausel 9.3)

Damit erhalten Sie eine sehr nützliche Checkliste für die Infosec-Überwachung, unabhängig davon, ob Sie dies tun oder nicht konform oder zertifiziert. Allerdings müssen wir Kontakt aufnehmen Klausel 10.2 für ein sehr wichtiges letztes Detail:

  • Erwägen Sie, basierend auf Ihren Erkenntnissen, Verbesserungen an Ihrem ISMS vorzunehmen

Abschnitt 9.1: Messung und Festlegung von Zielen für Ihr ISMS

Ein ungeprüftes ISMS lohnt sich nicht. Aber um es richtig zu untersuchen, müssen Sie wissen, wonach Sie suchen, wo Sie suchen und wer danach sucht. Klausel 9.1 bittet Sie zu planen:

  • Welche Teile Ihres ISMS, das Sie brauchen im Auge behalten
  • Wie Sie sie überwachen, messen, analysieren und auswerten
  • Wie oft werden Sie all diese Kontrollen durchführen?
  • Wer führt die Kontrolle durch?
  • Wie sie über ihre Ergebnisse berichten

Stellen Sie sicher, dass Sie alles dokumentieren. Ein einziger Satz klarer praktischer Richtlinien wird Menschen davon abhalten, Annahmen zu treffen. Wir wissen, wohin sie führen können ...

Abschnitt 9.2: Prüfung Ihres ISMS

Jetzt sind Sie bereit für Ihr eigentliches interne Anhörung, wie in Abschnitt 9.2 angegeben. Hier wird der Lack überprüft und die Reifen getreten. Auch das Saugen durch die Zähne ist eine Möglichkeit.

Grundsätzlich überprüfen Sie, ob Ihr ISMS:

  • Erfüllt alle Ziele, die Sie sich gesetzt haben
  • Ist gut geführt und ordnungsgemäß gewartet

Ein einziges Audit reicht nicht aus. Du brauchst Planen Sie regelmäßige Audits ein. Jedes neue Audit muss auf frühere Audits verweisen, damit Sie sicher sein können, dass Sie alle Probleme erkennen und darauf reagieren. Daher muss jedes neue Audit klar und konsistent dokumentiert und berichtet werden.

Außerdem müssen Sie für jedes Audit bestimmte Personen benennen, die dafür verantwortlich sind. Sie sollten einen klaren Umfang für jedes Audit haben. Und vor allem müssen sie objektiv sein. Wählen Sie Prüfer, die Ihre Annahmen hinterfragen und nicht bestätigen.

Und jedes Audit sollte ein positiver, wertschöpfender Prozess sein. Im Idealfall suchen Prüfer nach Konformitäten und arbeiten möglicherweise mit dem geprüften Unternehmen zusammen, um mögliche Verbesserungen zu finden. Ihr Prüfer sucht NICHT nach Nichtkonformitäten. Es kommt einfach vor, dass sie sie manchmal entdecken.

Klausel 9.3: Die Geschäftsleitung auf dem Laufenden halten

Anzunehmen, dass die Geschäftsleitung weiß, wie die Dinge laufen, ist immer ein Fehler. Sie müssen sicherstellen, dass sie Ihr ISMS verstehen, es akzeptieren und (wo nötig) gestalten. Immerhin als Klausel 5 Sie sind letztendlich für Ihr ISMS verantwortlich.

Damit Abschnitt 9.3 bittet Sie, regelmäßige, geplante Managementbewertungen durchzuführen. Sie informieren die Geschäftsleitung darüber, wie gut Sie sind ISMS schützt Ihre Organisation und deckt Folgendes ab:

  • Spezifische Probleme entdeckt und wie Sie sie behoben haben
  • Allgemeine Leistung im Vergleich zu den von Ihnen festgelegten Zielen
  • Irgendwelche Kommentare oder Rückmeldungen von interessierte Parteien
  • Was Ihre Prüfer Ihnen sagen
  • Details zur laufenden Risikobewertung und Behandlung
  • Verbesserungen, die Sie planen oder vorgenommen haben

Sie sollten auch auf den Gesamtüberblick über Ihre Organisation zurückgreifen. Stellen Sie sicher, dass sie Einzelheiten zu allen internen oder externen Problemen mitteilen, die sich auf das Unternehmen auswirken könnten Umfang und Funktionsweise Ihres ISMS. Und natürlich informieren Sie sie über Maßnahmen, die sich aus früheren Bewertungen ergeben haben.

Oh, und es gibt eine große Annahme, die es zu hinterfragen gilt. Normalerweise geht man davon aus, dass die Überprüfung des Managementsystems als Besprechung durchgeführt werden muss. Aber wo steht das in Abschnitt 9.2? Unser Hinweis: Es ist nicht…

Eine letzte Annahme wollen wir vermeiden

So ist es also Klausel 9 der ISO 27001 hilft Ihnen, vage Annahmen durch praktische, konstruktive und strukturierte Audits zu ersetzen. Dann können Sie Abschnitt 10.2 befolgen und entsprechend handeln.

Hoffentlich haben wir Ihnen gezeigt, wie der Prozess funktioniert, und Ihnen einige nützliche Tipps gegeben, die Ihnen helfen, Ihre eigenen Infosec-Maßnahmen im Auge zu behalten.

Aber das klingt genau nach dem, was wir vermeiden wollen: eine Annahme! Wenn dieser Beitrag also nützlich oder inspirierend war, lassen Sie es uns wissen sicher.

« Anforderung 9.3 – Managementbewertung

Req 10.1, 10.2 – Verbesserung für ISO 27001 »

Zuletzt bearbeitet: 7. Februar 2022
Autor

Al Robertson

Al ist ein professioneller Autor und veröffentlichter Autor, der eine Reihe von Themen abdeckt. Er hat eine Reihe von Artikeln zum Thema Compliance und insbesondere zur Informationssicherheit verfasst und erläutert, wie die ISO 27001-Zertifizierung Unternehmen beim Wachstum unterstützen kann.

Alle Beiträge von Al Robertson anzeigen

Zusammenhängende Posts

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren