ISO 27001-Anforderungen

1. Umfang

Der ISO 27001-Standard deckt verschiedene Aspekte des Informationssicherheitsmanagements ab, einschließlich der Einrichtung, Implementierung, Wartung und kontinuierlichen Verbesserung eines ISMS im Kontext einer Organisation. Der Standard gilt für Organisationen aller Art, Größe und Art.

Die in der Norm ISO 27001 festgelegten Anforderungen sollen sicherstellen, dass Organisationen über geeignete Maßnahmen zum Schutz ihrer Informationsbestände verfügen. Diese Anforderungen decken ein breites Spektrum an Bereichen ab.

2. Normative Verweise

ISO 27001 selbst basiert auf einem Risikomanagementansatz und bietet Organisationen einen Rahmen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems (ISMS). Zu den normativen Verweisen in ISO 27001 gehören mehrere andere ISO/IEC-Standards, die Leitlinien zu verschiedenen Aspekten des Informationssicherheitsmanagements bieten. Diese beinhalten:

• ISO/IEC 27000: Diese Norm ist eine normative Referenz in ISO 27001 und dient als Überblick und Vokabular für Informationssicherheitsmanagementsysteme. Es definiert Schlüsselbegriffe und Konzepte, die in der gesamten ISO 27000-Dokumentenfamilie verwendet werden, und umreißt den Umfang und die Ziele jedes Mitglieds der Familie.
• ISO/IEC 27002: Dieser Standard, auch bekannt als „Code of Practice for Information Security Management“, bietet Leitlinien für die Auswahl und Implementierung von Sicherheitskontrollen. Es bietet eine umfassende Reihe von Best Practices für Unternehmen, um ihre Informationsbestände zu schützen und Sicherheitsrisiken effektiv zu verwalten.
• ISO/IEC 27005: Diese Norm konzentriert sich auf das Risikomanagement und bietet Leitlinien für den Risikobewertungsprozess und die Risikobehandlung. Es hilft Unternehmen, Informationssicherheitsrisiken zu identifizieren und zu bewerten und geeignete Risikobehandlungspläne zu entwickeln, um diese Risiken zu mindern.
• ISO/IEC 27006: Diese Norm bietet Leitlinien für den Zertifizierungsprozess für Informationssicherheits-Managementsysteme. Es beschreibt die Anforderungen an Zertifizierungsstellen und Auditoren, um die Einhaltung von ISO 27001 durch Organisationen zu bewerten und zu zertifizieren.
• ISO/IEC 27007: Diese Richtlinien sind speziell für die Prüfung von Informationssicherheits-Managementsystemen konzipiert. Sie bieten Anleitungen zum Auditprozess, einschließlich der Planung, Durchführung und Berichterstattung über Audits, um sicherzustellen, dass das ISMS einer Organisation effektiv implementiert und aufrechterhalten wird.
• ISO/IEC 27008: Diese Richtlinien konzentrieren sich auf das Management der Informationssicherheit. Sie geben Hinweise zur Einrichtung, Implementierung, Aufrechterhaltung und kontinuierlichen Verbesserung des Managementsystems für Informationssicherheit innerhalb einer Organisation.

3. Begriffe und Definitionen

Der Abschnitt „Begriffe und Definitionen“ dient dazu, allen an der Umsetzung des Standards beteiligten Parteien ein gemeinsames Verständnis und eine gemeinsame Sprache zu vermitteln.

4. Kontext der Organisation

4.1 – Die Organisation und ihren Kontext verstehen

Die ISO 27001-Anforderung 4.1 soll sicherstellen, dass Organisationen über ein umfassendes Verständnis ihrer internen und externen Umgebung verfügen, um ihre Informationssicherheitsrisiken effektiv verwalten zu können.

Dazu gehört die Identifizierung und Bewertung der Faktoren, die sich auf die Fähigkeit der Organisation auswirken können, ihre Informationssicherheitsziele zu erreichen.

Durch das Verständnis ihres internen und externen Kontexts können Organisationen die mit ihrem Informationssicherheitsmanagementsystem verbundenen Risiken identifizieren und bewerten.

Dadurch können sie ein maßgeschneidertes und wirksames System entwickeln, das die identifizierten Risiken mindert und die Einhaltung geltender Gesetze und Vorschriften gewährleistet.

4.2 – Verständnis der Bedürfnisse und Erwartungen interessierter Parteien

Die ISO 27001-Anforderung 4.2 sieht vor, dass Organisationen die Bedürfnisse und Erwartungen ihrer Stakeholder identifizieren und verstehen. Dazu gehören Kunden, Lieferanten, Mitarbeiter, Aktionäre und andere interessierte Parteien.

Ziel ist es sicherzustellen, dass das Informationssicherheits-Managementsystem (ISMS) der Organisation den Anforderungen dieser Parteien entspricht.

Um diese Anforderung zu erfüllen, müssen Organisationen zunächst ihre Stakeholder identifizieren und ihre spezifischen Bedürfnisse und Erwartungen verstehen.

Dazu gehört die Berücksichtigung gesetzlicher und behördlicher Anforderungen, vertraglicher Verpflichtungen und anderer externer und interner Themen, die für den Zweck der Organisation relevant sind und sich auf ihre Fähigkeit auswirken, das angestrebte Ergebnis ihres ISMS zu erreichen.

4.3 – Bestimmung des Umfangs des Informationssicherheits-Managementsystems

ISO 27001 Anforderung 4.3 definiert die Grenzen und den Umfang des Informationssicherheits-Managementsystems (ISMS) der Organisation.

Dazu gehört die Identifizierung und Dokumentation der Informationsbestände, Prozesse, Verfahren, Personen, Systeme und Netzwerke, die im Geltungsbereich des ISMS enthalten sind.

Der Geltungsbereich sollte alle physischen und digitalen Informationsbestände der Organisation sowie die zu deren Verwaltung verwendeten Prozesse und Verfahren umfassen.

4.4 – Informationssicherheits-Managementsystem

ISO 27001 Anforderung 4.4 beschreibt die notwendigen Elemente für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS).

Das ISMS soll die Sicherheit von Informationen und Daten gewährleisten sowie die Rechte und Freiheiten des Einzelnen schützen.

ISO 27001 bietet einen umfassenden Satz von Anforderungen für die Einrichtung und Aufrechterhaltung eines wirksamen ISMS, das die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen schützt.

5. Führung

5.1 – Führung und Engagement

ISO 27001 Anforderung 5.1 erklärt, dass das Top-Management der Organisation Führungsqualitäten und Engagement für das Informationssicherheits-Managementsystem (ISMS) zeigen muss. Damit sind mehrere Schlüsselaufgaben verbunden.

Das Management muss das ISMS überwachen und bewerten, um seine Wirksamkeit sicherzustellen. Dazu gehört die Durchführung interner Audits und die Ergreifung notwendiger Korrekturmaßnahmen, um festgestellte Schwachstellen oder Nichtkonformitäten zu beheben.

5.2 – Informationssicherheitsrichtlinie

ISO 27001 Anforderung 5.2 verlangt von Organisationen, dass sie über eine Informationssicherheitsrichtlinie verfügen, die vom Top-Management genehmigt wird.

Diese Richtlinie dient als Richtlinie für die Verwaltung der Informationssicherheit der Organisation und sollte verschiedene Faktoren wie Geschäftsstrategie, Vorschriften, Gesetzgebung sowie aktuelle und prognostizierte Risiken und Bedrohungen für die Informationssicherheit berücksichtigen.

Es sollte Bereiche wie Informationsübertragung, sichere Konfiguration und Handhabung von Endpunktgeräten des Benutzers, Netzwerksicherheit, Management von Informationssicherheitsvorfällen, Backup, Kryptografie und Schlüsselverwaltung, Informationsklassifizierung und -handhabung, Management technischer Schwachstellen und sichere Entwicklung abdecken.

5.3 – Organisatorische Rollen, Verantwortlichkeiten und Befugnisse

ISO 27001 Anforderung 5.3 beschreibt die Anforderung an Organisationen, Rollen, Verantwortlichkeiten und Befugnisse im Zusammenhang mit der Informationssicherheit zu definieren und zuzuweisen.

Dies ist von entscheidender Bedeutung, um sicherzustellen, dass sich alle Einzelpersonen und Gruppen innerhalb der Organisation ihrer spezifischen Rollen und Verantwortlichkeiten im Hinblick auf die Informationssicherheit bewusst sind.

Das Dokument betont die Notwendigkeit einer Aufgabentrennung, was bedeutet, dass verschiedene Personen oder Gruppen für verschiedene Aspekte der Informationssicherheit verantwortlich sein sollten.

Dies trägt dazu bei, zu verhindern, dass eine einzelne Person übermäßige Kontrolle über die Informationssicherheit der Organisation hat. Darüber hinaus verlangt das Dokument von Organisationen, sicherzustellen, dass das Personal angemessen geschult ist und über die erforderlichen Fähigkeiten verfügt, um seine Rollen und Verantwortlichkeiten zu erfüllen.

6. Planung

6.1 – Maßnahmen zur Bewältigung von Risiken und Chancen

Der Schwerpunkt der ISO 27001-Anforderung 6.1 liegt darauf, sicherzustellen, dass Organisationen Risiken und Chancen im Bereich der Informationssicherheit identifizieren, bewerten, behandeln und überwachen.

Dazu gehört ein systematischer Ansatz zur Risikobewältigung und die Ergreifung geeigneter Maßnahmen zu deren Minderung.

Diese Anforderung unterstreicht die Bedeutung eines proaktiven und umfassenden Ansatzes zur Bewältigung von Informationssicherheitsrisiken, um personenbezogene Daten zu schützen und die Integrität und Verfügbarkeit von Informationssystemen sicherzustellen.

6.2 – Informationssicherheitsziele und Planung zu deren Erreichung

ISO 27001 Anforderung 6.2 verlangt von Organisationen, Informationssicherheitsziele festzulegen und einen Plan zu entwickeln, um diese zu erreichen.

Diese Ziele sollten spezifisch, messbar, erreichbar, relevant und zeitgebunden (SMART) sein und mit den allgemeinen Geschäftszielen der Organisation übereinstimmen. Der Plan sollte die Schritte, Ressourcen und den Zeitplan darlegen, die zum Erreichen der gewünschten Ziele erforderlich sind.

Eine regelmäßige Überprüfung der Informationssicherheitsziele und -pläne ist erforderlich, um deren Relevanz und Wirksamkeit sicherzustellen. Eventuelle Änderungen in der Organisation sollten berücksichtigt und bei Bedarf in die Pläne integriert werden.

7. Unterstützung

7.1 – Ressourcen

ISO 27001 Anforderung 7.1 stellt sicher, dass eine Organisation über die notwendigen Ressourcen verfügt, um die Sicherheit ihrer Informationssysteme aufrechtzuerhalten.

Dazu gehört die Identifizierung und Dokumentation des für die Informationssicherheit erforderlichen Personals, der Hardware, der Software und anderer Ressourcen.

Die Organisation muss sicherstellen, dass diese Ressourcen bei Bedarf verfügbar und zugänglich sind.

Wie bereits in Anforderung 5.3 beschrieben, schreibt ISO 27001 eigentlich nicht vor, dass das ISMS mit Vollzeitressourcen besetzt sein muss, sondern nur, dass die Rollen, Verantwortlichkeiten und Befugnisse klar definiert und in Besitz genommen werden – vorausgesetzt, dass die richtige Ressourcenmenge eingesetzt wird erforderlich.

7.2 – Kompetenz

ISO/IEC 27001 Anforderung 7.2 beschreibt, wie die Organisation Folgendes sicherstellen wird:

• Bestimmt die Kompetenz der Personen, die die Arbeit am ISMS durchführen und sich auf dessen Leistung auswirken könnten.
• Personen, die aufgrund ihrer entsprechenden Ausbildung, Schulung oder Erfahrung als kompetent gelten.
• Ergriff bei Bedarf Maßnahmen zum Erwerb der erforderlichen Kompetenz und bewertete die Wirksamkeit der Maßnahmen.
• Die oben genannten Nachweise werden für Prüfungszwecke aufbewahrt.

Durch die Sicherstellung, dass das Personal kompetent ist, können Unternehmen ihre Informationssicherheitsleistung effektiv verwalten und personenbezogene Daten schützen.

Lesen Sie mehr über 7.2

7.3 - Bewusstsein

ISO 27001 Anforderung 7.3 besagt, dass Organisationen sicherstellen müssen, dass sich alle Mitarbeiter der Bedeutung der Informationssicherheit und ihrer Rollen und Verantwortlichkeiten bei deren Aufrechterhaltung bewusst sind.

Dazu gehört die Bereitstellung von Schulungen und Schulungen zu Informationssicherheitsthemen sowie die Sicherstellung, dass das Personal die Sicherheitsrichtlinien und -verfahren der Organisation und die Konsequenzen bei deren Nichtbeachtung versteht.

ISO 27001 strebt eine Bestätigung an, dass die Personen, die die Arbeit ausführen, sich über Folgendes im Klaren sind:

• Die Informationssicherheitsrichtlinie.
• Ihr Beitrag zur Wirksamkeit des ISMS, einschließlich der Vorteile seiner verbesserten Leistung.
• Was passiert, wenn das Informationssicherheitsmanagementsystem nicht seinen Anforderungen entspricht?

Durch die Sicherstellung, dass das Personal kompetent ist, können Unternehmen ihre Informationssicherheitsleistung effektiv verwalten und personenbezogene Daten schützen.

Lesen Sie mehr über 7.3

7.4 – Kommunikation

ISO 27001 Anforderung 7.4 konzentriert sich auf die Notwendigkeit für Organisationen, wirksame Kommunikationspraktiken zu etablieren, um sicherzustellen, dass Informationssicherheitsziele erreicht werden. Dazu gehört die Kommunikation mit relevanten Interessengruppen, dem Datenschutzbeauftragten im Falle einer Verletzung des Schutzes personenbezogener Daten und zwischen allen beteiligten Parteien.

ISO 27001 Anforderung 7.4 sucht nach Folgendem:

• Was Sie über das ISMS kommunizieren sollten.
• Wann das wird kommuniziert.
• Wer wird an dieser Kommunikation beteiligt sein?
• Wer übernimmt die Kommunikation?
• Wie das alles passiert, d. h. welche Systeme und Prozesse werden verwendet, um zu zeigen, dass es passiert und effektiv ist

7.5 – Dokumentierte Informationen

In der ISO 27001-Anforderung 7.5 für ISO 27001 werden Sie aufgefordert, Ihr Informationssicherheitsmanagementsystem zu beschreiben und dann zu demonstrieren, wie die beabsichtigten Ergebnisse für die Organisation erreicht werden.

Es ist unglaublich wichtig, dass alles, was mit dem ISMS zu tun hat, dokumentiert, gut gepflegt und leicht zu finden ist, wenn die Organisation eine unabhängige ISO 27001-Zertifizierung durch eine Organisation wie UKAS erreichen möchte.

ISO-zertifizierte Auditoren vertrauen auf eine gute Führung und Aufrechterhaltung eines gut strukturierten Informationssicherheitsmanagementsystems.

8. Betrieb

8.1 – Betriebsplanung und -kontrolle

Der Schwerpunkt der ISO 27001-Anforderung 8.1 liegt auf der Gewährleistung der Sicherheit der Informationen einer Organisation durch Planung und Steuerung ihrer Abläufe.

Dazu gehört die Identifizierung und Bewertung der mit dem Betrieb der Organisation verbundenen Risiken sowie die Implementierung geeigneter Sicherheitskontrollen, um diese Risiken zu mindern.

Die Organisation muss außerdem Richtlinien und Verfahren entwickeln und umsetzen, um ihre Informationen vor unbefugtem Zugriff, unbefugter Verwendung, Offenlegung, Änderung oder Zerstörung zu schützen.

Diese Anforderung lässt sich sehr leicht beweisen, wenn die Organisation bereits „ihre Arbeitsweise unter Beweis gestellt“ hat. Durch die Entwicklung des Informationssicherheitsmanagementsystems zur Erfüllung der Anforderungen 6.1, 6.2 und insbesondere 7.5, wobei das gesamte ISMS gut strukturiert und dokumentiert ist, wird damit gleichzeitig auch 8.1 erreicht.

8.2 – Risikobewertung der Informationssicherheit

Gemäß ISO 27001 Anforderung 8.2 müssen Organisationen in geplanten Abständen oder bei wesentlichen Änderungen eine Informationssicherheits-Risikobewertung (ISRA) durchführen.

Der Zweck dieser Anforderung besteht darin, sicherzustellen, dass Organisationen sich potenzieller Risiken für ihr Informationssicherheitsmanagementsystem bewusst sind und die erforderlichen Maßnahmen zu deren Minderung ergreifen können.

Der Prozess umfasst die Identifizierung, Bewertung und Verwaltung von Risiken für die Informationsbestände der Organisation. Dazu gehört die Analyse der Informationsressourcen der Organisation, die Identifizierung von mit diesen Ressourcen verbundenen Bedrohungen und Schwachstellen sowie die Bewertung der potenziellen Auswirkungen einer Sicherheitsverletzung.

8.3 – Behandlung von Informationssicherheitsrisiken

ISO 27001 Anforderung 8.3 beschreibt die Anforderung an Organisationen, Informationssicherheitsrisiken zu identifizieren, zu bewerten und zu behandeln.

Dazu gehört die Identifizierung und Bewertung der mit der Verarbeitung personenbezogener Daten verbundenen Risiken sowie die Umsetzung geeigneter Sicherheitsmaßnahmen zur Minderung dieser Risiken. Zu diesen Maßnahmen können Zugriffskontrolle, Verschlüsselung und Datensicherung gehören.

Organisationen sollten sicherstellen, dass alle extern bereitgestellten Prozesse, Produkte oder Dienstleistungen, die für das Informationssicherheitsmanagementsystem relevant sind, kontrolliert werden. Dokumentierte Informationen über die Ergebnisse der Behandlung von Informationssicherheitsrisiken sollten ebenfalls aufbewahrt werden.

9. Leistungsbewertung

9.1 – Überwachung, Messung, Analyse und Bewertung

ISO 27001 Anforderung 9.1 verlangt von Organisationen, die Leistung des ISMS zu bewerten und die Wirksamkeit des Informationssicherheitsmanagementsystems zu prüfen.

Wenn die Organisation eine Zertifizierung nach ISO 27001 anstrebt, wird der unabhängige Prüfer, der in einer mit UKAS verbundenen Zertifizierungsstelle (oder einer ähnlichen international akkreditierten Stelle für die ISO-Zertifizierung) arbeitet, die folgenden Bereiche genau prüfen:

• Es hat beschlossen, nicht nur die Ziele, sondern auch die Prozesse und Kontrollen zu überwachen und zu messen.
• Wie es valide Ergebnisse bei der Messung, Überwachung, Analyse und Auswertung gewährleistet.
• Wann diese Messung, Überwachung, Auswertung und Analyse stattfindet und wer sie durchführt.
• Wie die Ergebnisse genutzt werden.

Wie alles andere bei ISO/IEC-Standards, einschließlich ISO 27001, sind dokumentierte Informationen von entscheidender Bedeutung – daher ist es der Schlüssel zum Erfolg, sie zu beschreiben und dann nachzuweisen, dass sie tatsächlich stattfinden!

9.2 – Interne Revision

Anforderung 9.2 von ISO 27001 besagt, dass eine Organisation in geplanten Abständen interne Audits durchführen muss, um Informationen darüber bereitzustellen, ob das Informationssicherheitsmanagementsystem:

• Entspricht den eigenen Anforderungen der Organisation an ihr Informationssicherheits-Managementsystem; und erfüllt die Anforderungen der internationalen Norm ISO 27001.
• Ob das ISMS effektiv implementiert und aufrechterhalten wird.

Diese Anforderung stellt sicher, dass Organisationen ihr Informationssicherheitsmanagementsystem regelmäßig bewerten und verbessern, um ihre Informationsbestände zu schützen und ihre Sicherheitsziele zu erreichen.

9.3 – Managementbewertung

Gemäß ISO 27001 Anforderung 9.3 müssen Unternehmen regelmäßige Managementüberprüfungen durchführen, um die fortlaufende Eignung, Angemessenheit und Wirksamkeit ihres Informationssicherheitsmanagementsystems sicherzustellen.

Diese Überprüfungen sollten in geplanten Abständen, mindestens einmal jährlich, durchgeführt werden und die Geschäftsleitung oder einen benannten Vertreter einbeziehen.

Der Zweck der Managementbewertung besteht darin, die Informationssicherheitsrichtlinien, -verfahren und -kontrollen der Organisation sowie ihre Risikobewertungs- und Risikomanagementprozesse zu bewerten.

Dazu gehört auch die Bewertung der Einhaltung geltender Gesetze und Vorschriften durch die Organisation.

Während der Überprüfung sollte die Organisation die Wirksamkeit ihres Informationssicherheitsmanagementsystems bewerten und alle notwendigen Änderungen identifizieren, um die Einhaltung der ISO 27001-Norm sicherzustellen. Bei der Überprüfung sollte auch die Leistung der Organisation bei der Erfüllung ihrer Informationssicherheitsziele berücksichtigt werden.

10. Verbesserung

10.1 – Nichtkonformität und Korrekturmaßnahmen

In der ISO 27001-Anforderung 10.1 heißt es, dass Organisationen einen Prozess einrichten müssen, um Abweichungen vom ISO 27001-Standard, die als Nichtkonformitäten bezeichnet werden, zu identifizieren, zu dokumentieren und zu beheben.

Zu den Nichtkonformitäten können die Nichterfüllung der Anforderungen des Standards, Mängel im Informationssicherheits-Managementsystem oder andere Probleme gehören, die zu einer Sicherheitsverletzung führen könnten.

Wenn eine Nichtkonformität festgestellt wird, muss die Organisation Korrekturmaßnahmen ergreifen, um diese zu beheben. Die Korrekturmaßnahme sollte der Schwere der Nichtkonformität angemessen sein und darauf ausgelegt sein, das Auftreten ähnlicher Probleme in der Zukunft zu verhindern.

Die Wirksamkeit der Korrekturmaßnahme muss regelmäßig überprüft werden, um sicherzustellen, dass die Nichtkonformität nicht erneut auftritt.

10.2 – Kontinuierliche Verbesserung

ISO 27001 Anforderung 10.2 besagt, dass Organisationen ihr Informationssicherheits-Managementsystem (ISMS) kontinuierlich verbessern müssen.

Das bedeutet, dass Organisationen ihr ISMS regelmäßig überprüfen und aktualisieren müssen, um dessen Wirksamkeit und Übereinstimmung mit den Zielen der Organisation, den gesetzlichen und behördlichen Anforderungen sowie der ISO 27001-Norm sicherzustellen.

Der kontinuierliche Verbesserungsprozess sollte überwacht und überprüft werden, um seine Wirksamkeit sicherzustellen, und alle notwendigen Änderungen sollten vorgenommen werden, um die Eignung, Angemessenheit und Wirksamkeit des ISMS zu verbessern.