Nachfolgend finden Sie die Kernanforderungen der ISO 27001:2013. Wenn Sie nach der aktualisierten
Um die Kernanforderungen von ISO 27001:2022 zu erfahren, klicken Sie bitte auf die Schaltfläche unten.
Was beinhaltet Abschnitt 5.3?
Ganz einfach: ISO 27001 strebt nach Klarheit und Konzentration auf die Kernbestandteile des ISMS – wer insgesamt verantwortlich ist, wer für bestimmte Teile verantwortlich ist, alles gute und logische Geschäftspraktiken. Sie müssen nachweisen, dass bestimmte Rollen (nicht unbedingt Personen) vorhanden sind, vom Top-Management ernannt wurden und dass diese den relevanten interessierten Parteien mitgeteilt und klar dokumentiert werden, sodass keine Unklarheiten bestehen. Die Anforderung ist hier ziemlich hoch und leicht zu dokumentieren und passt auch zu anderen Teilen des Informationssicherheitsmanagementsystems, z. B. zu den Eigentümern von Sicherheitsrisiken in 6.1, zu den Eigentümern von Informationssicherheitszielen in 6.2 usw.
So kann eine Person mehr als eine Rolle übernehmen und Sie können die Arbeit vereinheitlichen, indem Sie beispielsweise einen Vorstand alles überwachen lassen, um Managementbewertungen gemäß 9.3 nachzuweisen und das Informationssicherheitsmanagementsystem vollständig zu integrieren. Machen Sie einfach klar, wer wofür verantwortlich ist. Denken Sie bei der Auswahl der Rollen an interessierte Parteien und an die praktische Umsetzung. Beispielsweise könnte die Rolle des CISO (Chief Information Security Officer) für Ihre Kunden bedeuten, dass Sie die Informationssicherheit ernst nehmen, und dies könnte von einem leitenden Angestellten zusätzlich zu seiner Hauptaufgabe oder, in einer größeren Organisation, von einer vollwertigen Person übernommen werden -zeitliche Rolle für sich.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Sie können sich auch für einen TISO (Technical Information Security Officer) oder einen gleichwertigen Beauftragten entscheiden, der technischer ist und sich auf diese Aspekte des ISMS konzentrieren kann, wenn die anderen Rollen von eher kommerziell/strategisch ausgerichteten Personen übernommen werden. Sehen Sie sich Anhang A 6.1.1 (über die Organisation der Informationssicherheit) an und stellen Sie sicher, dass Sie diese Anforderung mit der Kontrolle in Anhang A in Einklang bringen.
ISO 27001 strebt insbesondere nach Klarheit in den Rollen und Verantwortlichkeiten für:
- Sicherstellen, dass das Informationssicherheitsmanagementsystem den Anforderungen der International Organization for Standardization entspricht
- Die Berichterstattung über die Leistung des ISMS (was viel einfacher ist, wenn alles an einem Ort ist)
Es kann durchaus sein, dass eine Führungskraft im Rahmen der Führungsverpflichtung zur Informationssicherheit (5.1) die Verantwortung für das ISMS trägt, die Durchführung aber natürlich auch an andere in der Organisation delegieren oder an Spezialisten wie den virtuellen CISO auslagern kann, zu dem viele ISMS.online-Partner Dienstleistungen anbieten. Denken Sie nur daran, es zu dokumentieren!
Machen Sie es einfacher mit ISMS.online
Die ISMS.online-Plattform erleichtert dem Top-Management die Festlegung einer Informationssicherheitsrichtlinie, die mit dem Zweck und Kontext der Organisation im Einklang steht.
Ihr ISMS umfasst eine vorgefertigte Informationssicherheitsrichtlinie, die problemlos an Ihr Unternehmen angepasst werden kann. Diese Richtlinie dient als Rahmen für die Überprüfung der Ziele und beinhaltet Verpflichtungen zur Erfüllung aller geltenden Anforderungen und zur kontinuierlichen Verbesserung des Managementsystems. Diese Richtlinie kann problemlos mit interessierten Parteien geteilt und für Ausschreibungen oder andere externe Kommunikation eingereicht werden.
