02 – Aufbau und Anforderungen

Du erfährst wie die ISO 27001 Norm aufgebaut ist und hast die Möglichkeit, den Reifegrad deiner Organisation in einer Selbsteinschätzung zu bestimmen.
Startseite » ISO 27001 Wissen » 02 – Aufbau und Anforderungen
YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

TL;DR

Anforderungen der ISO 27001

In dieser Lektion lernst du die Anforderungen der ISO 27001 und die Grundstruktur des Standards kennen.

Die ISO 27001:2022 ist ein internationaler Standard, der die Anforderungen an die Einführung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS) beschreibt.

Die Norm besteht aus zwei Teilen: Obligatorischer Managementrahmen und Anhang A. Im Gegensatz zu den Controls (Maßnahmen) des Anhangs A der Norm, die im Rahmen der Anwendbarkeitserklärung (siehe Lektion Organisation) begründet abgewählt werden können, ist die Umsetzung der Anforderungen aus den Kapiteln 4 bis 10 verpflichtend.

Versionierung und Aktualisierung der ISO 27001

Grundlage für die Zertifizierung ist die englische Version aus dem Jahr 2022. Mit der neuen Version vom Oktober 2022 sind neue Anforderungen, beispielsweise zu Cloud Security, Monitoring oder Datenlöschung, hinzugekommen. Grundsätzlich ist geplant, alle fünf Jahre eine aktualisierte Version herauszugeben. Zwischen dem Vorgänger der ISO 27001:2022, der ISO 27001:2013 und der aktuellen Version sind jedoch 9 Jahre vergangen.

Während die Anforderungen der ISO 27001 die Grundlage für die Auditierung bilden, gibt die ISO 27002 hilfreiche Umsetzungshinweise. Es lohnt sich daher, bei der Umsetzung der Anforderungen des Annex A auch einen Blick in die ISO 27002 zu werfen. Auch wenn dieses Normdokument wie die ISO 27001 nur kostenpflichtig (in Deutschland über den Beuth-Verlag) zu beziehen ist.

Kapitel 4 – 10

Anhand der unten aufgeführten Fragen kann eine erste ISO 27001 Selbstbewertung des ISMS Reifegrades in der Organisation durchgeführt werden.

Was ist mit Kapitel 1-3?

Die Kapitel 1-3 der ISO/IEC 27001 stellen die Einführung und den Hintergrund der Norm dar und liefern Kontextinformationen. Sie sind nicht für die Implementierung oder Auditierung vorgesehen, sondern dienen dem besseren Verständnis des allgemeinen Zwecks und der Absicht der Norm. Die Abschnitte 4-10 beschreiben die Kernprozesse in einem ISMS und müssen zwingend umgesetzt werden. In der Norm heißt es dazu: „Wenn eine Organisation die Konformität mit dieser Internationalen Norm beansprucht, darf sie keine der Anforderungen in den Abschnitten 4 bis 10 ausschließen“.

ISO 27001 Selbsteinschätzung (Kapitel 4 – 10)

Kapitel

Fragen

4 Kontext der Organisation
  1. Wurden interessierte Parteien festgelegt und deren (potenzielle) Auswirkung auf das ISMS dokumentiert?
  2. Wurde der Geltungsbereich des ISMS definiert und enthält die Schnittstellen und Grenzen sowie eventuellen Ausschlüsse?
  3. Wurden die gesetzlichen Anforderungen im Kontext des ISMS identifiziert?
5 Führung
  1. Wird die Geschäftsführung ihrer Verpflichtung gerecht, u. a. durch:
    • die Festlegung einer Strategie zur Informationssicherheit,
    • die Integration des ISMS in Geschäftsprozesse,
    • die Zurverfügungstellung der erforderlichen Ressourcen,
    • die Messung der Wirksamkeit und kontinuierlichen Verbesserung des ISMS und
    • die Sensibilisierung der Mitarbeiter auf allen Ebenen?

  2. Hat die Geschäftsführung eine Leitlinie zur Informationssicherheit verabschiedet und bekannt gemacht?
  3. Hat die Geschäftsführung Rollen, Verantwortlichkeiten und Befugnisse im Rahmen des ISMS benannt und erhält Berichte von diesen?
6 Planung
  1. Wurden Maßnahmen im Umgang mit den identifizierten Risiken und Chancen festgelegt?
  2. Wurde ein Prozess zur Identifikation, Bewertung und zur Behandlung von Informationssicherheitsrisiken festgelegt?
  3. Ist eine Anwendbarkeitserklärung zum Anhang A dokumentiert?
  4. Wurden Ziele des ISMS bestimmt und ein Plan zu deren Erreichung festgelegt?
7 Unterstützung
  1. Wurden die notwendigen Ressourcen für das ISMS bereitgestellt?
  2. Haben die relevanten Personen die erforderlichen Kompetenzen, um ihren Rollen im Rahmen des ISMS gerecht zu werden?
  3. Sind alle Mitarbeiter sensibilisiert in Bezug auf
    • die Leitlinie zur Informationssicherheit und die relevanten Richtlinien,
    • ihre Mitwirkungspflicht im Rahmen des ISMS und
    • die Konsequenzen der Nichterfüllung von ISMS-Vorgaben?
  4. Wurde im Rahmen des ISMS die interne und externe Kommunikation bestimmt?
  5. Werden die von der Norm geforderten Informationen und Nachweise zur Messung der Wirksamkeit des ISMS dokumentiert und gelenkt?
8 Betrieb
  1. Die Organisation muss zur Planung und Steuerung eine Reihe von Prozessen festlegen und diese dokumentieren. Dazu zählt jeweils ein Prozess
    • zur Erfüllung der Anforderungen der Informationssicherheit,
    • zur Steuerung von Maßnahmen,zur Steuerung von Aufgaben, die an Dienstleister ausgelagert wurden und
    • zur Berücksichtigung der Informationssicherheit innerhalb geplanter Änderungen.
  2. Wird in regelmäßigen Abständen und bei signifikanten Anpassungen eine Risikobeurteilung durchgeführt?
  3. Wird eine Risikobehandlung durchgeführt?
9 Bewertung der Leistung
  1. Gibt es einen Prozess zur Überwachung der Wirksamkeit des ISMS?
  2. Ist ein Auditprogramm aufgestellt?
  3. Werden regelmäßig interne Audits durchgeführt?
  4. Existieren definierte Kennzahlen (Key Performance Indicators) sowie Soll-Ziele und Messergebnisse?
  5. Wird regelmäßig eine Managementbewertung durchgeführt, die mindestens die in Kapitel 9.3 der Norm enthaltenen Punkte berücksichtigt?
10 Verbesserung
  1. Wird adäquat mit Maßnahmen auf die Nicht-Erfüllung und -Einhaltung von eigenen und normativen Anforderungen (Nichtkonformität) reagiert?
  2. Werden die festgestellten Maßnahmen im Hinblick auf deren Notwendigkeit bewertet, ggf. eingeleitet und entsprechend ihrer Wirksamkeit überprüft?
  3. Wird im Rahmen des ISMS eine kontinuierliche Verbesserung sichergestellt?

Solltest du bei einigen Fragen aus der ISO 27001 Selbsteinschätzung noch Schwierigkeiten mit der Beantwortung haben, können die nächsten Lektionen sicherlich weiter Licht ins Dunkel bringen. Bleib dran!

Anhang A

Neben diesen zehn Kapiteln enthält die ISO/IEC 27001:2022 auch einen Anhang A. Während die Kapitel 4 bis 10 der ISO 27001 den Aufbau und Betrieb eines ISMS beschreiben, bezieht sich der Anhang A auf konkrete Sicherheitsmaßnahmen. Der Anhang A der ISO 27001 enthält 93 spezifische Maßnahmen (Controls), die in folgende vier Kapitel unterteilt sind.

Kapitel

Anzahl der Maßnahmen (Controls)

A.5 Organizational controls

37

A.6 People controls

8

A.7 Physical controls

14

A.6 Technological controls

34

Bei der Umsetzung der einzelnen Maßnahmen ist immer zu beachten, dass die Umsetzung angemessen und risikobasiert erfolgt. Es geht immer um die Frage Wie kann ich mein Kerngeschäft angemessen vor Schäden schützen? Ein Rechenzentrumsbetreiber sollte beispielsweise deutlich mehr Aufwand in das Kapitel A.7 investieren als eine Designagentur. Die ISO 27001 erkennt an, dass jedes Unternehmen einzigartig ist und die Sicherheitsanforderungen von der Art der Daten, der Größe des Unternehmens, der geografischen Lage und anderen Faktoren abhängen können.

Planung und Umsetzung der Maßnahmen

Im Folgenden sind einige Überlegungen aufgeführt, die bei der Planung und Umsetzung der Maßnahmen aus Anhang A hilfreich sein können:

  • Risikobewertung: Bestimme die Risiken, die für dein Unternehmen relevant sind. Dies sollte der erste Schritt sein, bevor du entscheidest, welche Controls du implementieren willst und welche nicht.
  • Verhältnismäßigkeit: Die Implementierung sollte „angemessen“ sein. Ein kleines Unternehmen mit geringem Risiko muss nicht die gleichen Maßnahmen ergreifen wie ein großes Unternehmen in einer risikoreichen Branche.
  • Dokumentation: Wenn du dich entscheidest, bestimmte Controls nicht zu implementieren, dokumentiere den Grund dafür.
  • Kontinuierliche Überwachung: Die Sicherheitslandschaft verändert sich ständig. Es ist wichtig, regelmäßig zu überprüfen, ob die getroffenen Entscheidungen noch angemessen sind und ob neue Risiken aufgetreten sind, die eine Anpassung der Maßnahmen oder der Auswahl der Maßnahmen erforderlich machen könnten.

TL;DR

  1. Während die ISO 27001 die Auditierungsgrundlage bildet, gibt die ISO 27002 hilfreiche Umsetzungshinweise mit auf den Weg.
  2. Die Norm besteht aus zwei Teilen: Obligatorischer Managementrahmen (Kapitel 4 – 10) und Anhang A.
  3. Die Kapitel 4–10 der ISO 27001 beschreiben die Kernprozesse in einem ISMS und müssen vollständig umgesetzt werden.
  4. Der Anhang A der ISO 27001 besteht aus 93 Anforderungen (Controls). Bei der Umsetzung sollte immer auf die „Verhältnismäßigkeit“ geachtet werden.