Standardreihe ISO/IEC 2700x

Die Standardreihe ISO/IEC 2700x ist die führende internationale, weltweit anerkannte Norm für IT-Sicherheit (Informationssicherheit) für Unternehmen und Organisitionen jeglicher Art. Die Reihe beschreibt insbesondere die Planung, die Realisierung, den Betrieb und die Optimierung eines dokumentierten Informationssicherheits-Managementsystems (ISMS, auch: Managementsystem für die Informationssicherheit).

Ziel der Norm ist es, mit Hilfe des systematisch-strukturierten Ansatzes etwaige Risiken gezielt zu erkennen/zu minimieren und damit die Datensicherheit von Unternehmen und Organisationen systematisch und dauerhaft zu erhöhen.

Die (optionale) Zertifizierung nach ISO27001 ermöglicht zudem den Nachweis einer ordnungsgemäßen Betriebsführung von IT-Systemen gegenüber Kunden, Partnern und Behörden (Nachweis der Einhaltung der Sorgfaltspflicht).

Informationssicherheits-Managementsystem

Ein Informationssicherheits-Managementsystems legt Regeln, Methoden, Verfahren, Maßnahmen, Abläufe und Tools für die Gewährleistung, Steuerung und Kontrolle der Informationssicherheit einer Organisation oder eines Unternehmens fest.

Im Rahmen des ISMS erfolgt die systematische Planung, Umsetzung und kontinuierliche Verbesserung von Informationssicherheit in mehreren aufeinander aufbauenden Schritten (PDCA: Plan, Do, Check, Act/Improve):

  1. Festlegung des Anwendungsbereichs als auch der Grenzen des ISMS: es wird definiert, was das ISMS leisten soll und welche Werte und Informationen zu schützen sind (Scope of the ISMS)
  2. Identifizierung von Risiken innerhalb des Anwendungsbereichs des ISMS und Bewertung der Risiken anhand gesetzlicher Anforderungen oder ComplianceRichtlinien. Etwaige Auswirkungen der einzelnen Risiken werden unmissverständlich aufgezeigt. Die Folgen, die durch den Verlust von Vertraulichkeit, Integrität und Verfügbarkeit eintreten, werden explizit berücksichtigt. Die Eintrittswahrscheinlichkeiten der Risiken sind Teil der Risikobewertung. Ergebnis ist eine Einschätzung, welche Risiken vertretbar sind und welche ausgeschlossen werden müssen (Risk Assessment Report).
  3. Auswahl geeigneter Maßnahmen zur Risikovermeidung auf Basis der vorangegangenen Risikobewertung (Statement of Applicability)
  4. Umsetzung der ausgewählten Maßnahmen
  5. Monitoring und Review der Maßnahmen, Durchführung interner Audits.

Die Schritte sind in einem kontinuierlichen Prozess regelmäßig zu wiederholen. Werden Mängel oder neue Risiken erkannt, so sind diese neu zu bewerten. Die beschlossenen und umgesetzten Maßnahmen sind immer wieder zu prüfen und zu optimieren.

Essenziell für ein ISMS ist die Umsetzung und Durchsetzung in allen Bereichen und Ebenen der Organisation. Die Verantwortung für das ISMS ist deshalb bei der Unternehmensführung verortet. Die Unternehmensführung (Top-Management) hat dabei insbesondere folgende Aufgaben:

  • Definition der Ziele (Geschäftserwartungen) für die Informationssicherheit
  • Verabschiedung der Sicherheitsrichtlinie (Security Policy)
  • Bestimmung der Hauptverantwortlichkeiten für die Informationssicherheit (CISO – Chief Information Security Officer, resp. Informationssicherheitsverantwortlicher /-beauftragter)
  • Bereitstellung Budget und Personalressourcen
  • Regelmäßige Überprüfung, ob alle Erwartungen erfüllt wurden

Bestandteile der Standardreihe

Die Standardreihe ISO/IEC 2700x beinhaltet derzeit insgesamt 38 Einzelnormen, die wichtigsten davon sind:

  • ISO 27000: Definition und Wording der Normenreihe (Überblick, Glossar)
  • ISO 27001: Formale Definition der Zertifizierungsanforderungen an ein ISMS, inkl. Anhang A mit 114 (potenziell relevanten) Sicherheitskontrollen (Sicherheitsabschnitten)
  • ISO 27002: Empfehlungen für Kontrollmechanismen (detaillierte Beschreibung der in Anhang A der ISO 27001 definierten Kontrollmechanismen)
  • ISO 27003: Leitfaden für die Entwicklung /Implementierung des ISMS
  • ISO 27004: Definition Kennzahlensysteme für ein ISMS
  • ISO 27005: Risikomanagement (risk assessment and risk treatment)

DIN NIA-01-27 IT-Sicherheitsverfahren betreut den deutschen Anteil der Normungsarbeit.

Die Standardreihe ISO/IEC 2700x bildet zusammen mit den Standards ISO 9000 (Qualitätsmanagement) und ISO 14000 (Umweltmanagement) ein nachvollziehbares Rahmenwerk für eine geordnete zeitgemäße Unternehmensführung.

Zertifizierung

Die Zertifizierung erfolgt nach ISO 27001 und kann beispielsweise durch den TÜV Austria erfolgen. Die Zertifizierung erfolgt im Rahmen eines Audits. Schwerpunkt des Audits sind die Prüfung der Dokumentation des implementiertes ISMS hinsichtlich Vollständigkeit resp. hinsichtlich Konformität zur ISO 27001 (Dokumentenüberprüfung) und daran anschließend die Überprüfung der in der Dokumentation beschriebenen Maßnahmen, Abläufe etc. in den einzelnen Abteilungen resp. Standorten des zu auditierenden Unternehmens resp. der zu auditierenden Organisation im Rahmen eines Hauptaudits.

Alternativen

Für Unternehmen, die Kreditkarten- und Kontodaten verwalten, wurde vom Payment Card Industry Security Standards Council (PCI) ein Satz von zu implementierenden Sicherheitskontrollen entwickelt (PCI-DSS). Die Anforderungen umfassen die üblichen technischen und organisatorischen Security-Aspekte wie Firewall- und Virenscannerschutz, Verschlüsselung, physikalischen Schutz, personalisierte Zugangsberechtigungen, Monitoring und regelmäßige interne Tests. Im Vergleich zur ISO 2700x ist der PCI-DSS Standard weniger prozessorientiert und beschreibt auch nicht die Einrichtung eines ISMS.