Eine Zertifizierung nach ISO 27001, der international führendenden Norm für Informationssicherheits-Managementsysteme (ISMS), bietet Unternehmen einen systematischen und strukturierten Ansatz zur Planung, Umsetzung, Überwachung sowie Verbesserung der betrieblichen Informationssicherheit und trägt dazu bei, vertrauliche Informationen optimal zu schützen.
Von der Einrichtung des ISMS bis zur Klassifizierung von Informationen und dem Umgang mit potenziellen Vorfällen, die den Geschäftsbetrieb nachhaltig beeinträchtigen können: Jedes Unternehmen, das eine erfolgreiche Zertifizierung anstrebt, muss sorgfältig definierte Prozesse etablieren, die alle Aspekte der Informationssicherheit berücksichtigen. Die ISO-Norm legt dabei besonderen Wert auf die Sensibilisierung der Mitarbeitenden und die ständige Verbesserung des ISMS, das jährlich überprüft wird.
Bevor es mit der Zertifizierung losgehen kann, gilt es zunächst einmal, die Projektstruktur klar zu definieren, einschließlich der Benennung der Projektleitung und der Zusammenstellung des Teams. Genauso wichtig ist die Struktur der Projektdokumentation und Archivierung, zum Beispiel über Confluence oder SharePoint. Die Vorbereitung der Vorlagen für die zu erstellenden ISMS-Dokumente spielt ebenfalls eine zentrale Rolle. Diese sollten Abschnitte für die Dokumentenlenkung und die Versionshistorie enthalten.
Der Rahmen des ISMS
Die Ausarbeitung der Informationssicherheitsleitlinie – die den Rahmen des ISMS darstellt – sollte frühzeitig beginnen, um einen Ausgangspunkt für die inhaltliche Diskussion mit dem Top-Management und den Leiterinnen und Leitern der Fachabteilungen zu setzen. Um der Norm zu entsprechen, muss die Leitlinie formal korrekt aufgesetzt sein und einige wesentliche Punkte enthalten. Ein zentrales Element ist beispielsweise die Verpflichtung der Geschäftsführung zur kontinuierlichen Verbesserung des ISMS. In mehreren Abstimmungsrunden wird die Leitlinie dann laufend verfeinert. Wichtige Aspekte dabei sind:
- Einbeziehung des Führungsteams
- Herausarbeitung der internen und externen Themen sowie der interessierten Parteien und deren Anforderungen an die Informationssicherheit des Unternehmens
- Festlegung des Anwendungsbereichs des ISMS
- Beschreibung der Management-Ziele und Ableitung der Informationssicherheitsziele
- Festlegung grundlegender Regeln im Umgang mit Risiken
- Dokumentation der Selbstverpflichtung der Geschäftsführung zur kontinuierlichen Verbesserung
Ein umfassendes Bild zeichnen
Im nächsten Schritt arbeitet das Projektteam strukturiert die Anforderungen aller Normkapitel der ISO 27001 und des so genannten Anhangs A durch. Dabei können auch weitere Anforderungen identifiziert und entsprechend berücksichtigt werden. Das Ergebnis dieser Phase ist eine erste Arbeitsversion der so genannten „Erklärung zur Anwendbarkeit“ (SOA). Dieses Pflichtdokument dient auch als hervorragende Grundlage zur Steuerung und Fortschrittsdokumentation der Aktivitäten.
Im Anschluss werden die Richtlinien erstellt. Dabei ist es entscheidend, diese in enger Abstimmung mit IT-Administratoren, der Personalabteilung, der Software-Entwicklung sowie den Fachabteilungen zu realisieren.
Die Implementierung
Die ausgearbeiteten Richtlinien zu implementieren und Informationssicherheitsprozesse zu optimieren, sind die nächsten Schritt auf dem Weg zur ISO 27001-Zertifizierung. Dabei ist es wichtig, die Mitarbeitenden regelmäßig über den Projektstatus und neue Entwicklungen zu informieren, da die verschiedenen Richtlinien in der Regel nicht alle gleichzeitig, sondern sukzessive verabschiedet werden. Transparenz ist hier der Schlüssel zum Erfolg, denn sie ermöglicht es den Mitarbeitenden, zu verstehen, welche neuen Regeln in Kraft treten und was ab sofort zu beachten ist.
Es ist nicht ungewöhnlich, dass es gerade mit der Veröffentlichung der ersten Dokumente Kritik von den Mitarbeitenden gibt. Unabhängig davon, ob die Kritik Unzufriedenheit mit einzelnen Prozessen ausdrückt oder tatsächliche Widersprüche und Verbesserungspotentiale aufdeckt, sollte diese Kritik stets ernst genommen und konstruktiv in den kontinuierlichen Verbesserungsprozess eingebunden werden. Es ist ratsam, alle Vorschläge zu dokumentieren, zu bewerten und zu priorisieren. Der Prozess des kontinuierlichen Verbesserungsprozesses ist zentral für die Umsetzung eines erfolgreichen ISMS.
Beim Erstellen der Richtlinien kann es auch vorkommen, dass das ISMS-Team selbst auf Punkte stößt, die bereits an anderer Stelle behandelt wurden und nun redundant oder sogar widersprüchlich sind. Solche Doppelungen oder Widersprüche gilt es unbedingt zu vermeiden, um Verwirrung und Fehlinterpretationen zu verhindern. Ein gut gepflegtes „Erklärung zur Anwendbarkeit“-Dokument (Statement of Applicability, kurz „SOA“) kann dabei helfen, den Überblick zu bewahren und Inkonsistenzen rechtzeitig zu erkennen.
Die Zertifizierung
Die finale Phase auf dem Weg zur ISO 27001-Zertifizierung ist die Vorbereitung auf das Audit. Es ist lohnenswert, vor dem externen Zertifizierungsaudit einmal einen neutralen Auditor auf das ISMS schauen zu lassen. Ein solches internes Audit kann dabei helfen, „Hauptabweichungen“, also Aspekte, die das Erreichen der Zertifizierung verhindern könnten, frühzeitig zu identifizieren und anzugehen. Beispiele für solche Hauptabweichungen können das Nichterfüllen einer oder mehrerer Normforderungen für das Managementsystem oder erhebliche Zweifel an der Fähigkeit des Managementsystems sein. Vor dem Zertifizierungsaudit sollten die definierten Prozesse bereits eine Weile gelebt und deren Outputs und Ergebnisse dokumentiert sein. Dies zeigt dem Auditor, dass das Unternehmen das ISMS lebt.
Nach einem Jahr ist der erste Überprüfungsaudit fällig. Die Findings aus dem ersten Audit sowie gegebenenfalls neu aufgetretene Risiken, Vorfälle und Verbesserungspotentiale müssen bis dahin identifiziert und die entsprechenden Maßnahmen eingeleitet sein. Denn nur, wenn klar ersichtlich ist, dass das Unternehmen nach der Erstzertifizierung das ISMS kontinuierlich weiterentwickelt und verbessert hat, lässt sich das ISO 27001-Zertifikat aufrechterhalten und sich somit der Nachweis erbringen, dass Informationssicherheit ein integraler und ständig weiterentwickelter Teil der Unternehmensprozesse ist.
Nach dem Audit: Ein dynamisches ISMS
Auch nach der erfolgreichen ISO 27001-Zertifizierung bleibt das ISMS keineswegs ein starres Gebilde. Im Gegenteil, ein erfolgreiches ISMS ist dynamisch und wird an seine Umgebungsbedingungen angepasst. Das schließt sowohl interne Veränderungen, zum Beispiel neue Projekte oder Geschäftsprozesse ein, als auch externe Faktoren, wie eine sich verändernde Gesetzeslage oder neue Bedrohungen in der Cyber-Landschaft, mit ein.
Die kontinuierliche Überwachung und Verbesserung des ISMS durch regelmäßige Überprüfungen, interne Audits und Management-Bewertungen ist daher unerlässlich. Die Aktualisierung des Risiko-Managements und die stetige Schulung und Sensibilisierung der Mitarbeitenden sind ebenso entscheidende Faktoren für ein erfolgreiches und zukunftssicheres ISMS.
Zusammenfassend lässt sich feststellen, dass die ISO 27001-Zertifizierung zwar kein einfacher Prozess ist, dafür aber viele Vorteile mit sich bringt. Sie stärkt nicht nur das Vertrauen von Kunden und Geschäftspartnern, sondern trägt auch dazu bei, das Bewusstsein für Informationssicherheit nicht nur in Bezug auf das Informations-Management sondern im kompletten Unternehmen zu schärfen und das Risiko von Sicherheitsvorfällen zu minimieren. Die Einführung und Pflege eines ISMS nach ISO 27001 ist daher ein wichtiger Schritt für jedes Unternehmen, das den Schutz seiner Informationen ernst nimmt.
Autor: Sebastian Welke, Senior Consultant bei der handz.on GmbH
www.on.de