Das offizielle ISO/IEC 27001:2022-Standarddokument ist in mehrere Abschnitte, sogenannte Klauseln, und Anhänge, genannt Anhänge, unterteilt. Diejenigen, die Sie kennen müssen, sind Klauseln 4-10 und Anhang A.
Die Klauseln 4-10 listen alle Anforderungen auf, die ein Informationssicherheits-Managementsystem (ISMS) erfüllen muss, bevor es nach ISO 27001 zertifiziert werden kann. Anhang A listet 114 Sicherheitskontrollen auf, die eine Organisation implementieren kann, um diese Anforderungen zu erfüllen.
In diesem Artikel gehen wir die Klauseln durch. Einzelheiten zu den Sicherheitskontrollen von Anhang A finden Sie in unserem Artikel über ISO 27001-Kontrollen.
Klausel 4: Kontext der Organisation
Das ISMS sollte dokumentieren, was es tun soll.
Warum gibt es überhaupt Informationsressourcen in der Obhut Ihres Unternehmens und wofür verwenden Sie sie?
Der Auditor kann nur eine genaue Bewertung der Wirksamkeit Ihres ISMS vornehmen, wenn er seine Ziele versteht. Ein Unternehmen, das Kundennamen in einem Gästeregister verwaltet, benötigt ein ganz anderes ISMS als ein Unternehmen, das Sozialversicherungsnummern für Steuerdienste sammelt.
Um die Anforderungen von Klausel 4 zu erfüllen, dokumentieren Sie, was Ihr Unternehmen tut, was Kunden von Ihnen brauchen und den Umfang Ihres ISMS.
Klausel 5: Führung
Damit ein ISMS effektiv ist, muss es die volle Unterstützung des oberen Managements haben.
ISO 27001Auditoren müssen wissen, dass die obersten Führungskräfte sich für den Erfolg des ISMS verantwortlich fühlen. Es ist auch wichtig, dass sie sich daran gebunden fühlen und nicht glauben, dass ihre Führungspositionen sie über die ISMS-Richtlinien stellen.
Wenn hochrangige Manager nicht direkt beteiligt sind, sollten dedizierte Leiter zugewiesen werden, um die Informationssicherheitsprozesse zu überwachen, zu testen und zu verbessern. Es darf kein Zweifel darüber bestehen, wer für jeden Aspekt des ISMS verantwortlich ist.
Klausel 6: Planung
Klausel 6 behandelt das Risikomanagement. Die Dokumentation sollte zeigen:
- Wie Sie jedes Informationssicherheitsrisiko identifizieren und analysieren
- Ihr Prozess zur Auswahl der Reaktion auf jedes Risiko
- Wie Risikoavoidanzen, Toleranz und Minderung für Ihr Team aussehen
Klausel 6 betrifft auch Chancen. Zusätzlich zur Risikominderung ist eine Anforderung von ISO 27001, dass Sie Ziele für Ihr ISMS benennen und Pläne erstellen müssen, um diese zu erreichen. Um die Anforderungen von Klausel 6 zu erfüllen, müssen Sie in der Lage sein, den Erfolg Ihres ISMS zu definieren.
Klausel 7: Unterstützung
Das Erreichen des von ISO 27001 geforderten Niveaus der Raffinesse eines ISMS erfordert viel Unterstützung. Klausel 7 umfasst die Erstellung eines Plans, um sicherzustellen, dass Unterstützungsressourcen immer verfügbar sind.
Das wichtigste unter diesen Ressourcen ist menschliches Fachwissen. Jedes Mal, wenn Ihre Organisation mit Kundendaten arbeitet, muss jemand zur Hand sein, der versteht, wie das ISMS im entsprechenden Kontext funktioniert.
Klausel 7 beschreibt auch eine der wesentlichen Anforderungen von ISO 27001: ein Kommunikationssystem. Die für die Informationssicherheit Verantwortlichen müssen über dedizierte, stets offene Kanäle verfügen, um die Implementierung und Verbesserung der ISMS-Richtlinien zu besprechen.
Klausel 8: Betrieb
Klausel 6 behandelt die Risikobewertung und -analyse. Klausel 8 baut auf diesen Anforderungen auf, um zu diskutieren, wie Risikobewertungen implementiert werden.
Um die Anforderungen in Klausel 8 zu erfüllen, bauen Sie auf Ihrer Arbeit aus Klauseln 6 und 7 auf. Die Dokumentation von Klausel 8 bringt die in den Klauseln 6 und 7 dargelegten Elemente zu einem kohärenten, durchgängigen Plan zusammen.
Klausel 9: Leistungsevaluierungen
Die letzten beiden Klauseln, 9 und 10, bilden ein zusammengehöriges Set. Sie verlangen von Ihnen, zu dokumentieren, wie Sie planen, das ISMS Ihrer Organisation kontinuierlich zu verbessern.
Klausel 9 befasst sich mit dem Monitoring. Zunächst müssen Sie dokumentieren, wie Sie die Wirksamkeit Ihres ISMS messen und wie Sie wissen, ob Sie verlässliche Ergebnisse erzielen. Prozesse wie Penetrationstests sind hier häufig zu finden.
Sie benötigen auch einen Plan zur Durchführung interner Audits, um sicherzustellen, dass Sie nach Abschluss Ihres Zertifizierungsaudits weiterhin ISO 27001-konform bleiben.
Klausel 10: Ständige Verbesserung
Klausel 10 dreht sich um Schadensbegrenzung. Wie reagieren Sie, wenn Sie eine Nichtkonformität in Ihrem ISMS feststellen (definiert als jedes Versäumnis, den festgelegten ISMS-Richtlinien zu folgen)?
Eine Nichtkonformität könnte durch einfachen menschlichen Fehler verursacht werden. Sie könnte auch von einem böswilligen Außenstehenden kommen, der versucht, Daten aus Ihrem System zu stehlen. Um Risiken effektiv abzuwehren, benötigen Sie einen konsistenten Plan zum Umgang mit einer Abweichung.
Sobald Sie ein Problem gelöst haben, wie sichern Sie dann das System ab, damit es nicht erneut passiert? Ein zertifizierbares ISMS muss sich ständig weiterentwickeln und verbessern.
ISO 27001:2002: Aktualisierungen von Anhang A
Eine Aktualisierung der ISO 27001-Norm wurde offiziell im Oktober 2022 veröffentlicht, mit dem Titel ISO/IEC 27001:2022 Informationssicherheit, Cybersicherheit und Datenschutz. Die Aktualisierungen in den ISMS-Klauseln 4-10 beinhalten kleinere Wortlaut- und Strukturänderungen.
Zum Beispiel entfernen Änderungen an Klausel 6: Planung Mehrdeutigkeiten und veraltete Sprache (z.B. Kontrollziele).
Was die Strukturänderungen betrifft, wurde Klausel 9.2: Internes Audit in 9.2.1: Allgemeines und 9.2.2: Internes Auditprogramm aufgeteilt. Die Anforderungen bleiben jedoch die gleichen.
Ähnlich wurde Klausel 9.3: Managementbewertung in drei Unterabschnitte unterteilt — 9.3.1: Allgemeines, 9.3.2: Eingaben für die Managementbewertung und 9.3.3: Ergebnisse der Managementbewertung. Die Version 2022 führt auch eine neue Klausel 6.3: Planung von Änderungen ein.
Empfohlene Lektüre
ISO 27001:2022 Updates vereinfacht: Die wichtigsten Änderungen, die Sie wissen müssen
Read More