ISMS und ISO27001
Ein ISMS hat die Geschäftsprozesse einer Organisation im Fokus. Es soll die Prozesse und Informationen der Organisation schützen. Ein gutes, durchdachtes und umgesetztes ISMS unterstützt die Effizienz und bringt einen Mehrwert für die gesamte Organisation. Zu den wesentlichen Bestandteilen eines ISMS gehört auch ein Rahmenwerk aus Methoden, um nicht nur die Implementierung, sondern auch den Betrieb zu gestalten.
1
Initiale Besprechung
In einer ersten initialen Besprechung mit den Initiatoren auf Kundenseite werden die wesentlichen organisatorischen Fragen geklärt. Was ist die Zielsetzung, was ist der Anwendungsbereich und wer sind die Stakeholder? Für fast alle Anforderungen aus dem Bereich der Informationssicherheit oder Cybersecurity empfiehlt sich der Ansatz des ISO27001:2022 Standards als Grundlage. Dieser kann komplett oder nur in Teilbereichen umgesetzt werden entsprechend der individuellen Ziele und Anforderungen des Kunden.
2
Projektrahmen
Mit den Initiatoren möglichst unter Einbeziehung der Stakeholder wird der Projektrahmen im Hinblick auf geplante Dauer des Projektes, Phasen/Meilensteine und Arbeitspakete festgelegt. KPIs für das Projektmanagement und Bericht an den Initiator auf Kundenseite sowie ein Eskalationsprozess werden vereinbart.
3
ISMS Leitlinie
Die Leitlinie ist das zentrale Dokument für die Implementierung eines ISMS. In dieser Leitlinie erklärt das Management der Organisation seine Verpflichtung im Hinblick auf die Informationssicherheit. Der Anwendungsbereich des ISMS wird in dieser Leitlinie festgelegt, die Schutzziele werden definiert und das Management verpflichtet sich, für angemessene Ressourcen zur Umsetzung zu garantieren.
4
Erste Bestandsaufnahme
Eine erste Bestandsaufnahme im Workshop Format gemeinsam mit den betroffenen Stakeholdern der Organisation liefert eine fundierte Übersicht über vorhandene Strukturen und Prozesse sowie Gaps im Hinblick auf die Informationssicherheit. Basis für diese Bestandsaufnahme ist die ISO27001:2022 SoA (Statement of Applicability). Je nach den in der initialen Besprechung festgelegten Zielen der Organisation wird diese Bestandsaufnahme vollumfänglich durchgeführt, oder mit Fokus auf definierte Teilbereiche.
Die Ergebnisse dieser Bestandsaufnahme bilden die Basis für das weitere Vorgehen im Projekt.
5
ISMS Dokumente und Strukturen
Dokumente zur Definition der ISMS-Anforderungen, Verantwortlichkeiten, Strukturen und Prozesse, werden in Zusammenarbeit mit den Stakeholdern der Organisation ausgearbeitet. Umfang und Priorität der Ausarbeitung der Dokumente werden individuell auf die Ziele der Organisation abgestimmt und im Rahmen des Projektes als Arbeitspakete abgearbeitet.
In diesen Dokumenten werden auch Themen und Parameter definiert, die den zyklischen Betrieb des ISMS definieren. Organisatorische Strukturen, Berichtswesen, KPIs zur Messung der Effizienz des ISMS.
6
Analyse der Geschäftsprozesse
Auf Basis der ausgearbeiteten ISMS-Dokumente und der dort festgelegten Parameter werden Analysen der Geschäftsprozesse und der betroffenen Informationen durchgeführt. Diese Analysen umfassen SBA (Schutzbedarfsanalyse – operativ), BIA (Business Impact Analysis – Notfall) sowie Risikoanalyse (Auswirkung).
Mit den erhobenen Daten können sowohl Risiken im operativen Betrieb als auch in einer Notfallsituation bewertet werden und entsprechend Maßnahmen festgelegt werden. Es werden ein Risikobehandlungsplan sowie eine Notfallplanung, jeweils mit den betroffenen Stakeholdern der Organisation, erstellt und dem Management berichtet. Maßnahmen werden vom Management beschlossen und von den Stakeholdern in Zusammenarbeit mit dem ISB umgesetzt.
7
Awareness und Kommunikation
Awareness und Schulungen als ein weiterer Themenkomplex stellen sicher, dass die Informationssicherheit im Rahmen der Firmenkultur allen Mitarbeitern nahegebracht wird, um diese aktiv in dieses Thema einzubinden und ein Bewusstsein für dieses Thema zu schaffen.
Ein Kommunikationsplan legt fest was wann und mit wem bzgl. dem ISMS kommuniziert wird. Interne und externe Parteien werden identifiziert und Kommunikationsaktivitäten entsprechend angepasst, mit dem Ziel transparente, klare, glaubwürdige und angebrachte Kommunikation zu ermöglichen.
8
Incident Management und Security Operations
Um mit Cybersecurity Vorfällen umgehen zu können, braucht es neben moderner Technik auch Richtlinien und Prozesse, die sich mit dem Incident Management auseinandersetzen. Hier werden Rollen und Verantwortlichkeiten definiert, die für die Identifizierung, Meldung und Reaktion auf Cybersecurity Vorfälle verantwortlich sind. Auch die Unterscheidung zwischen Vorfall, Notfall und Krise definiert jedes Unternehmen individuell, es braucht aber in jedem Fall eine Koordination, Management, Feedback und Kommunikation nach intern und extern.
Neben dem Incident Management gehört zur operativen Informationssicherheit auch das Thema Change und Ressourcen Management, damit ein ISMS kein Projekt bleibt, sondern fortlaufender Prozess inkl. KPIs, Berichtswesen und kontinuierlichem Verbesserungsprozess.
Mit diesem Schritt ist die initiale Einrichtung eines ISMS grundsätzlich abgeschlossen und das ISMS befindet sich in seinem zyklischen operativen Modus.
9
Audit und Zertifizierung
Ein internes Audit oder ein Audit unter Einbeziehung eines externen Auditors liefert objektive Informationen über das eingeführte ISMS. Sollte eine Zertifizierung angestrebt werden, so ist dieses interne Audit Pflicht und dient gleichzeitig als Indikator dafür, ob das ISMS die notwendige Reife für ein Zertifizierungs-Audit besitzt.
Als wichtiger Punkt im zyklischen Betrieb eines ISMS gehören die mindestens jährliche sowie anlassbezogene Erhebung der definierten KPIs und der Bericht an das Management sowie die Planung von Maßnahmen zur Verbesserung.
Das Audit zur Zertifizierung nach ISO27001:2022 wird durch eine entsprechend akkreditierte Organisation durchgeführt.