Neueste Beiträge
- „Wir bringen PDFs zum Leben“ – Gespräch mit Matthias Neumayer, Geschäftsführer FragDasPDF / heyqq GmbH
- Entscheidung: Datenübermittlung in die USA verstößt nicht gegen den Datenschutz!
- Große Bedeutung für die Werbebranche – Interview
- Härting Rechtsanwälte erklären „TADPF in a nutshell (& to do’s)“
- Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten!
Archive
- Juni 2024
- März 2024
- Juli 2023
- April 2023
- März 2023
- Februar 2023
- Dezember 2022
- November 2022
- September 2022
- August 2022
- Juli 2022
- Juni 2022
- Mai 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- September 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014
Spricht man mit jemand Neuen über ISO 27001 stelle ich oft das gleiche Problem fest: diese Person glaubt, dass der Standard detailliert alles beschreibt, was man zu tun hat – zum Beispiel, wie oft eine Datensicherung durchzuführen ist, wie weit entfernt der Notfallwiederherstellungsort sein sollte, oder noch schlimmer, welche Art der Technologie man für den Netzwerkschutz einsetzen muss oder wie der Router zu konfigurieren ist. Hier sind die schlechten Nachrichten: ISO 27001 schreibt diese Dinge nicht vor, es funktioniert auf komplett andere Weise. Hier sehen Sie, warum…
WARUM IST ISO 27001 NICHT VORSCHREIBEND?
Stellen wir uns vor, der Standard schreibt vor, dass Sie alle 24 Stunden eine Datensicherung machen müssen – ist das für Sie die richtige Maßnahme? Sie könnte es sein, doch glauben Sie mir, viele Unternehmen finden das heutzutage unzureichend – die Veränderung ihrer Daten geschieht so schnell, dass sie – wenn nicht in Echtzeit – zumindest jede Stunde eine Datensicherung durchführen müssen. Andererseits gibt es Unternehmen, die eine Datensicherung einmal pro Tag als zu oft empfinden – deren Datenveränderungen passieren immer noch so langsam, dass es ein Overkill wäre, so oft eine Datensicherung durchzuführen.
Die Sache ist die – wenn dieser Standard für alle Arten von Unternehmen passen soll, dann ist dieser vorschreibende Ansatz nicht möglich. Es ist daher einfach unmöglich, nicht nur, dass die Frequenz der Datensicherung definiert wird, sondern auch, welche Technologie zu verwenden ist, wie jedes Gerät zu konfigurieren ist, etc.
Übrigens ist die Auffassung, dass ISO 27001 alles vorschreibt, der größte Erzeuger von Mythen über ISO 27001 – siehe auch Die 5 größten Mythen über ISO 27001.
RISIKOMANAGEMENT IST DIE ZENTRALE IDEE VON ISO 27001
Sie könnten sich also fragen: “Warum sollte ich einen Standard brauchen, der mir nicht alles konkret sagt?”
Weil ISO 27001 Ihnen ein Rahmenwerk bereitstellt, um über den geeigneten Schutz zu entscheiden. Ebenso wie Sie zum Beispiel nicht eine Marketingkampagne eines anderen Unternehmens für Ihr eigenes Unternehmen kopieren können, gilt das gleiche Prinzip für die Informationssicherheit – Sie müssen diese ihren spezifischen Bedürfnissen anpassen.
Und die Art und Weise, auf die ISO 27001 Ihnen sagt, diese maßgeschneiderte Lösung zu erreichen, ist die Durchführung einer Risikobewertung und Risikobehandlung. Dies ist nichts anderes, als ein systematischer Überblick über die schlimmen Dinge, die Ihnen passieren können (Bewertung der Risiken) und danach die Entscheidung, welche Absicherungen zu implementieren sind, um zu verhindern, dass diese schlimmen Dinge passieren (Behandlung des Risikos).
Die ganze Idee hier ist, dass Sie nur jene Absicherungen (Kontrollen) implementieren sollten, die aufgrund der Risiken erforderlich sind, nicht jene, mit denen jemand liebäugelt, doch bedeutet diese Logik auch, dass Sie alle Kontrollen, die aufgrund der Risiken erforderlich sind, implementieren sollten und nicht einige davon einfach weglassen können, weil sie Ihnen nicht gefallen.
IT ALLEINE IST NICHT GENUG
Wenn Sie in der IT-Abteilung arbeiten, ist Ihnen wahrscheinlich bewusst, dass die meisten Vorfälle nicht wegen Computerausfällen passieren, sondern weil die Anwender der geschäftlichen Seite der Organisation die Informationssysteme falsch anwenden. Und solches Fehlverhalten kann allein mit technischen Absicherungen nicht verhindert werden – was daher benötigt wird, sind klare Richtlinien und Verfahren, Schulung und Sensibilisierung, rechtlicher Schutz, Disziplinarmaßnahmen, etc. Die praktische Erfahrung hat gezeigt, dass, je mehr verschiedene Absicherungen angewendet werden, desto höher ist der erreichte Grad an Sicherheit. Und wenn man berücksichtigt, dass nicht alle sensiblen Daten in digitaler Form sind (Sie haben vermutlich noch immer Papiere mit vertraulichen Informationen), ist die Schlussfolgerung, dass IT-Absicherungen nicht genug sind und dass die IT-Abteilung, so wichtig sie in einem Projekt für Informationssicherheit auch ist, diese Art von Projekt nicht alleine durchführen kann.
Nochmals, dieser Umstand, dass IT-Sicherheit nur 50% der Informationssicherheit ist, wird von ISO 27001 erkannt – dieser Standard sagt Ihnen, wie die Implementierung der Informationssicherheit als ein unternehmensweites Projekt durchzuführen ist, an dem nicht nur die IT, sondern auch die geschäftliche Seite der Organisation teilzunehmen hat.
DAS TOPMANAGEMENT AN BORD HOLEN
Doch hört ISO 27001 nicht mit der Implementierung unterschiedlicher Absicherungen auf – seine Autoren verstanden sehr gut, dass die Leute aus der IT-Abteilung, oder von anderen Positionen der unteren oder mittleren Ebene in der Organisation, nicht viel erreichen können, wenn die Führungskräfte an der Spitze nichts dafür tun.
Sie können beispielsweise eine neue Richtlinie zum Schutz vertraulicher Dokumente vorschlagen, wenn jedoch Ihr Topmanagement eine solche Richtlinie nicht bei allen Mitarbeitern durchsetzt (und wenn es selbst diese nicht einhält), wird eine solche Richtlinie niemals in Ihrem Unternehmen festen Fuß fassen.
ISO 27001 gibt Ihnen daher eine systematische Checkliste dafür, was das Topmanagement tun muss:
- Setzen seiner Geschäftserwartungen (Ziele) für die Informationssicherheit
- Veröffentlichung einer Richtlinie, wie kontrolliert wird, ob diese Erwartungen erfüllt wurden
- Bestimmung der Hauptverantwortlichkeiten für die Informationssicherheit
- Bereitstellung ausreichender Finanzmittel und Personalressourcen
- Regelmäßige Überprüfung, ob alle diese Erwartungen erfüllt wurden
NICHT ZULASSEN, DASS SICH IHR SYSTEM VERSCHLECHTERT
Wenn Sie in einem Unternehmen mehrere Jahre oder länger arbeiten, wissen Sie wahrscheinlich, wie neue Initiativen/Projekte funktionieren – am Beginn sehen sie gut und glänzend aus und jeder (oder zumindest der Großteil der Leute) versucht, sein Bestes zu tun, damit alles funktioniert. Doch mit der Zeit lassen das Interesse und der Eifer nach und damit verschlechtert sich auch alles im Zusammenhang mit solch einem Projekt.
Sie hatten vielleicht, zum Beispiel, eine Klassifizierungsrichtlinie, die ursprünglich gut funktionierte, doch mit der Zeit änderte sich die Technologie, die Organisation und die Mitarbeiter änderten sich und wenn sich niemand darum gekümmert hat, die Richtlinie zu aktualisieren, wird sie obsolet. Und, wie Ihnen sehr bewusst ist, wird sich niemand an ein obsoletes Dokument halten wollen, was bedeutet, dass Ihre Sicherheit zunehmend schlechter wird.
Um das zu verhindern, hat ISO 27001 eine Reihe von Methoden beschrieben, die verhindern, dass eine solche Verschlechterung Platz greift, und darüber hinaus werden diese Methoden eingesetzt, um die Sicherheit mit der Zeit zu verbessern und sie sogar noch besser zu machen, als sie am Höhepunkt des Projekts war. Zu diesen Methoden gehören die Überwachung und Messung, interne Audits, Korrekturmaßnahmen, etc.
Sie sollten daher gegenüber ISO 27001 nicht negativ eingestellt sein – es mag vielleicht beim ersten Lesen vage erscheinen, kann sich jedoch als extrem nützliches Rahmenwerk zur Lösung vieler Sicherheitsprobleme in Ihrem Unternehmen herausstellen. Mehr noch, es kann Ihnen helfen, Ihren Job leichter zu erledigen und mehr Anerkennung von oben zu bekommen. (Siehe auch: 4 reasons why ISO 27001 is useful for techies.)
Klicken Sie hier für die Anmeldung zu einem kostenlosen Webinar ISO 27001: An overview of ISMS implementation process.
Quelle: 27001Academy
Ähnliche Artikel
ISO 27018 Standard für...
Seit August letzten Jahres gibt es die neue ISO-Norm ISO/IEC 27018. Diese Erweiterung der...
- By Ingo Kaiser
- Datenschutz
Die ISO 27001 – Ein...
Für viele Unternehmen ist die ISO 27001 immer noch ein Buch mit sieben Siegeln. Wir...
- By Ingo Kaiser
- ISO 27001
ISO 27001 – Versionen...
Seit 1. Okt. 2013 ist der neue Standard ISO/IEC 27001:2013 verbindlich anzuwenden und...
- By Ingo Kaiser
- ISO 27001