Aufbau ISMS

INFODAS GmbH bietet Beratungsleistungen für die Implementierung eines ISMS (Informationssicherheitsmanagementsystem) sowohl nach ISO 27001 nativ als auch nach ISO 27001 auf Basis von BSI IT-Grundschutz an. Unabhängig des gewählten Standards ist ein solches ISMS der Gegenstand einer Zertifizierung nach ISO 27001.

Ein Unternehmen, welches sich nach einer der beiden Ausprägungen der Norm zertifizieren lassen möchte, muss also ein vollumfängliches ISMS implementiert haben und betreiben. Ein ISMS hilft dabei die Kosten durch Sicherheitsvorfälle zu senken und somit auch die Reputation des Unternehmens zu bewahren. Ferner gibt ein ISMS dem Unternehmen Transparenz hinsichtlich seiner Sicherheitsprozesse und zeigt Optimierungspotentiale auf. Ein ISMS hilft ebenfalls dabei sich rechtlich abzusichern, indem es gesetzliche und aufsichtsbehördliche Anforderungen erfüllt.

Mit einer Zertifizierung des ISMS werden diese Punkte bekräftigt und nach außen Informationssicherheit nachweisbar, was das Vertrauen in das Unternehmen steigert.
Bei der ISO 27001 nativ handelt es sich um die international ausgerichtete Norm für Informationssicherheit während der BSI IT-Grundschutz das national ausgerichtete Gegenstück des Bundesamts für Sicherheit in der Informationstechnik (BSI) darstellt.

Vor der Implementierung eines ISMS muss sich das Unternehmen also für eine der beiden Ausprägungen entscheiden. Ferner sollte der aktuelle Erfüllungsgrad der Anforderungen des gewählten Standards in dem Unternehmen gemessen werden. Hierzu empfiehlt sich die Durchführung einer Gap-Analyse.

Sind die Vorarbeiten abgeschlossen kann ein ISMS-Einführungsprojekt gestartet werden.

Aufbau ISMS nach ISO 27001 nativ

Vorgehensweise

Zum Projektprogramm zur Implementierung eines ISMS konform der ISO 27001 nativ gehören folgende Schritte:

  1. Kontext der Organisation und Geltungsbereich des ISMS festlegen
    In diesem ersten Schritt eines Implementierungsprojektes wird der Kontext des Unternehmens herausgearbeitet und auf Basis dessen, der Geltungsbereich für das ISMS bestimmt. Darüber hinaus wird ein Rahmenwerk zur Dokumentation des ISMS etabliert und die Basisdokumente (z.B. IS-Leitlinie-) werden erstellt.
  2. Schutzbedürftige Informationen und Assets identifizieren

    Das zweite Arbeitspaket befasst sich mit der Inventarisierung der schützenwerten Informationswerte des Unternehmens.

  3. Schutzbedarf- und Risikoanalyse durchführen

    Mit Hilfe der bestimmten Informationswerte wird im dritten Schritt des Projektes eine Risikoanalyse durchgeführt. Ziel ist es die relevanten Risiken zu identifizieren, um diese mit dem ISMS nachhaltig zu behandeln.

  4. Maßnahmen zur Risikobehandlung ermitteln und etablieren
    Ein Risikobehandlungsplan wird erstellt. Dieser enthält die identifizierten Risiken und die Maßnahmen aus dem Annex A der ISO 27001, welche zur Behandlung der Risiken bestimmt wurden. Ferner werden hier benötigte Ressourcen und ein Zeitziel zur Risikobehandlung festgelegt.
  5. ISMS messen, steuern und Verbesserungen durchführen

    Im finalen Arbeitspaket des Implementierungsprojektes geht es darum, das ISMS in den Regelbetrieb zu überführen. Das bedeutet, dass die Wirksamkeit des ISMS geprüft wird und ggf. Korrekturen vorgenommen werden. Außerdem werden in internen Audits die zuvor umgesetzten Anforderungen der Norm auf Vollständigkeit und Aktualität geprüft. Die dargestellte Prozedur wird von der Norm als KVP (kontinuierlicher Verbesserungsprozess) beschrieben.

Aufbau ISMS nach BSI IT-Grundschutz

Vorgehensweise

Zwar ist bei ISO 27001 nativ und IT-Grundschutz jeweils ein ISMS der Gegenstand, allerdings unterscheiden sich die beiden Standards in der Vorgehensweise. Bei einem Grundschutz-Implementierungsprojekt bieten sich folgende Arbeitspakete an:

  1. Implementierung der ISMS Basis

    Das organisatorische Rahmenwerk für das ISMS wird geschaffen. Das bedeutet, dass in diesem Arbeitspaket die Rahmenbedingungen, z.B. gesetzliche Anforderungen, für das ISMS identifiziert werden und die strategischen ISMS Referenzdokumente, wie z.B. die IS-Leitlinie und die Richtlinie zur Risikoanalyse, erstellt werden. Ferner wird der IT-Sicherheitsbeauftragte und ggf. ein IS-Stab berufen.

  2. Erstellung des IT-Sicherheitskonzepts

    Auf der Grundlage des vorhergehend beschriebenen Arbeitspaketes (insbesondere der Leitlinie zur Informationssicherheit und der Richtlinie zur Risikoanalyse) ist ein IT-Sicherheitskonzept nach dem in der folgenden Abbildung wiedergegebenen Prozess zu erstellen.
    Die schwerwiegendsten Schritte in diesem Arbeitspaket stellen der Basis-Sicherheitscheck und die nachfolgende Risikoanalyse dar. Bei dem Basis-Sicherheitscheck (BSC) werden die Maßnahmen aus dem BSI IT-Grundschutz auf ihren Erfüllungsgrad überprüft. Dabei festgestellte defizitäre Maßnahmen resultieren in einer Risikoanalyse, wo explizit für einzelne Gefährdungen bewertet wird, wie stark ihr Einfluss auf das Unternehmen ist und wie diese behandelt werden. Die Ergebnisse dieses Arbeitspakets stellen u.a. die Basis für die Realisierung von technischen und organisatorischen Maßnahmen.

  3. Erstellung der erforderlichen Konzepte
    Bei der Vorgehensweise nach IT-Grundschutz sind verschiedene Konzepte und Richtlinien obligatorisch, die in den IT-Grundschutz-Katalogen des BSI explizit oder implizit gefordert werden. Je nach Sachstand sind diese zu vervollständigen, anzupassen oder neu zu erstellen. Dieses betrifft im Wesentlichen Dokumente wie das IT-Notfallkonzept, diverse Richtlinien und Handbücher.
  4. Umsetzung der festgestellten defizitären Maßnahmen
    Die im Rahmen des Basis-Sicherheitschecks sowie der Risikoanalyse festgestellten defizitären Maßnahmen (d.h. Maßnahmen aus den IT-Grundschutz-Katalogen, die nur teilweise oder gar nicht umgesetzt sind) müssen in diesem Arbeitspaket umgesetzt werden, soweit sie nicht bei der Risikoanalyse als tolerierbar eingestuft worden sind. Die Umsetzung der festgestellten defizitären Maßnahmen ist Voraussetzung für den Einstieg in die Auditierung und Zertifizierung.
  5. Auditierung und Zertifizierung
    Nachdem das ISMS erfolgreich etabliert worden ist, kann optional mit dem Zertifizierungsprozess begonnen werden. Eine Auditierung kann ausschließlich von einem unabhängigen und zertifizierten ISO 27001 Auditteamleiter auf der Basis von IT-Grundschutz durchgeführt werden, die separat von dem Unternehmen beauftragt werden müssen.

Abhängig von der Größe des Unternehmens, des ISMS-Geltungsbereichs und des gewählten Standards kann der Umfang eines ISMS und der damit verbundene Verwaltungsaufwand schnell unübersichtlich werden. Es empfiehlt sich also ggf. ein ISMS Tool für die Implementierung eines ISMS einzusetzen um eine größtmögliche Transparenz zu gewährleisten. Eine Option hierfür ist SAVe, das offizielle Nachfolgeprodukt des GSTOOLS, welches sich für beide Standards eignet. Nähere Informationen zu SAVe sind hier dargestellt.

Bei allen Vorbereitungs- und Projektschritten zur Implementierung eines ISMS unterstützt INFODAS GmbH vollumfänglich mit:

  • Durchführung einer Gap-Analyse und Findung des richtigen Standards für das ISMS
  • Beratung bei dem ISMS-Implementierungsprojekt und Unterstützung bei der für das Unternehmen richtigen Betrachtung der gewählten ISO 27001 Ausprägung
  • Bereitstellung unseres langjährigen Praxis-Knowhows für das Aufbau-Projekt
  • Gemeinsame Ausarbeitung von technischen Maßnahmen und dem organisatorischen ISMS-Rahmenwerk, ergänzt durch die entsprechende Dokumentation
  • Etablierung eines Training- und Awareness-Programms zur Sensibilisierung der Mitarbeiter
  • Durchführung interner Audits, um die Wirksamkeit des ISMS zu prüfen und dessen kontinuierliche Verbesserung zu gewährleisten

Darüber hinaus bietet die INFODAS GmbH auch Informationsworkshops rund um das Thema ISMS an.  Zusätzliche Informationen können auf Anfrage zur Verfügung gestellt werden.