Neun Schritte zum Erfolg: Ein Überblick zur Implementierung der Norm ISO 27001:2013

Von Alan Calder

Schritt-für-Schritt-Anleitung für eine erfolgreiche ISO 27001-Implementierung

In sinnvoller, nicht technischer Sprache führt Sie dieser Leitfaden durch die wichtigsten Schritte eines ISO 27001-Projekts, um Ihnen den Erfolg desselben zu garantieren - von der Einführung bis hin zur Zertifizierung:

1. Projektmandat
2. Projektanbahnung
3. Initiierung eines ISMS
4. Management-Framework
5. Grundlegende Sicherheitskriterien
6. Risikomanagement
7. Implementierung
8. Maßnahme, Überwachung und Überprüfung
9. Zertifizierung

In dieser dritten Auflage und ausgerichtet auf ISO 27001: 2013 eignet sich das Handbuch ideal für alle jene, die sich zum ersten Mal mit der Norm beschäftigen.

"Es ist als hätten Sie einen $ 300 / h-Berater an Ihrer Seite, wenn Sie die Aspekte der Gewinnung von Management-Unterstützung, Planung, Problembestimmung (Scoping), Kommunikation etc. betrachten."

Thomas F. Witwicki

 

Mit Hilfe dieses Buches erfahren Sie wie Sie:

• Unterstützung im Management und die Aufmerksamkeit des Vorstands erhalten;
• Erstellen Sie ein Management-Framework und eine Gap-Analyse, um klar zu verstehen, was Sie bereits unter Kontrolle haben und worauf ihre Bemühungen abzielen sollen;
• Strukturieren Sie Ihr Projekt und statten Sie es mit Ressourcen aus – einschließlich der Festlegung, ob Sie einen Berater verwenden werden oder die Tätigkeit selbst durchführen sowie der Überprüfung der vorhandenen Mittel und Ressourcen, die ihre Arbeit erleichtern werden;
• Führen Sie eine fünfstufige Risikobewertung durch und erstellen Sie eine Aussage zur Anwendbarkeit sowie einen Risikoplan;
• Integrieren Sie Ihr ISO 27001 ISMS mit einem ISO 9001 QMS und anderem Managementsystem;
• Adressieren Sie die Dokumentationsherausforderungen, denen Sie im Rahmen der Erstellung von Geschäftsgrundsätzen, Verfahren, Arbeitsanweisungen und Datensätzen begegnen – einschließlich realisierbarer Alternativen zum kostspieligen Trial- und Error Ansatz
• Kontinuierliche Verbesserung Ihres ISMS, einschließlich interner Prüfungen und Tests sowie Kontrollen durch das Management;

Dieses Buch liefert Ihnen die nötige Anleitung zum Verständnis der Anforderungen der Norm und zur Gewährleistung, dass ihr Implementierungsprojekt ein Erfolg wird. Dabei werden sechs Geheimtipps für den Erfolg gegeben.

 

Background

Die Erlangung und Aufrechterhaltung der akkreditierten Zertifizierung nach der internationalen Norm für Informationssicherheit-Management - ISO 27001 - kann ein kompliziertes Vorhaben darstellen, besonders dann, wenn die Norm für Sie noch neu ist.

Autor Alan Calder kennt ISO 27001 in- und auswendig: der Gründer und Vorstandsvorsitzende von IT Governance, er leitete die erste Implementierung eines nach BS 7799 zertifizierten Managementsystems - dem Vorläufer der ISO 27001 - und arbeitet seither mit der Norm und seinen Nachfolgern zusammen.

Hunderte Organisationen weltweit haben akkreditierte Zertifizierungen nach ISO 27001 mit der IT-Governance-Beratung erlangt- wie in diesem Buch zusammengefasst.

Kaufen Sie dieses Buch heute und erlernen Sie die neun Schritte für eine erfolgreiche ISO 27001 ISMS Implementierung.

• Sprache: Deutsch
• Herausgeber: itgovernance
• Erscheinungsdatum: 14. März 2017
• ISBN: 9781849288699

Alan Calder

Alan Calder is a leading author on IT governance and information security issues. He is the CEO of GRC International Group plc, the AIM-listed company that owns IT Governance Ltd. Alan is an acknowledged international cyber security guru. He has been involved in the development of a wide range of information security management training courses that have been accredited by the International Board for IT Governance Qualifications (IBITGQ). He is a frequent media commentator on information security and IT governance issues, and has contributed articles and expert comment to a wide range of trade, national and online news outlets.

Buchvorschau

Neun Schritte zum Erfolg

Ein Überblick zur Implementierung der Norm ISO 27001:2013

Neun Schritte zum Erfolg

Ein Überblick zur Implementierung der

Norm ISO 27001:2013

ALAN CALDER

Es wurde jede erdenkliche Anstrengung unternommen, um die Sorgfältigkeit der in diesem Buch enthaltenen Informationen im Zeitpunkt des Drucks zu gewährleisten. Dennoch können Autor und Herausgeber keinerlei Verantwortung für allfällige Fehler oder Auslassungen übernehmen. Jede wie immer geartete Meinung, die in diesem Buch zum Ausdruck gebracht wird, entspricht der des Autors und nicht des Herausgebers. Angegebene Webseiten dienen lediglich als Referenz und nicht als Bestätigung, jeder Webseiten-Besuch erfolgt auf eigene Gefahr des Lesers. Herausgeber oder Autor übernehmen keinerlei Haftung für allfällige Verluste oder Schäden, die durch Handlungen bzw. unterlassene Handlungen gegenüber anderen Personen als Folge des Materials in dieser Veröffentlichung entstehen.

Abgesehen von der ehrlichen Handlungsweise zum Zwecke der Forschung oder privaten Studie bzw. Kritik oder Rezensionen entsprechend den Vorgaben des Copyright, Designs und Patents Act 1998, darf diese Publikation nur mit vorheriger schriftlicher Genehmigung des Herausgebers oder im Falle der reprographischen Vervielfältigung gemäß den Lizenzbedingungen der Copyright Licensing Agency in jeder Form vervielfältigt, gespeichert oder übertragen werden. Anfragen in Bezug auf eine Vervielfältigung außerhalb der vorgenannten Bedingungen sind dem Herausgeber unter der hier folgenden Adresse zu übermitteln:

IT Governance Publishing

IT Governance Limited

Unit 3, Clive Court

Bartholomew’s Walk

Cambridgeshire Business Park

Ely, Cambridgeshire

CB7 4EA

United Kingdom

www.itgovernance.co.uk

© Alan Calder 2017

Der Autor erklärt die Autorenrechte nach dem Urheberrecht, Designs and Patents Act, 1988, um als Autor dieser Arbeit identifiziert zu werden

Zum ersten mal im Vereinigten Königreich 2017

von IT Governance Publishing veröffentlicht: ISBN: 978-1-84928-869-9

ÜBER DEN AUTOR

Alan Calder ist Gründer und Vorstandsvorsitzender der IT Governance Ltd (www.itgovernance.eu), ein Informations-, Analyse- und Beratungsunternehmen, das Betriebe bei der Verwaltung von IT-Governance-, Risikomanagement-, Compliance- und Informationssicherheitsfragen unterstützt. Er verfügt über eine langjährige Führungserfahrung im privaten wie im öffentlichen Sektor.

Das Unternehmen betreibt auf der ganzen Welt Webseiten, die eine Reihe von Büchern, Werkzeugen und anderen Veröffentlichungen zu IT-Governance, Risikomanagement, Compliance und Informationssicherheit vertreiben.

INHALTE

Einführung

Die ISO 27000-Familie

Bevor Sie starten

Kapitel 1: Projektmandat

Strategische Ausrichtung

Priorisierung und Bestätigung

Änderungsmanagement

Die Funktion des CEO

Das Projektmandat

Kapitel 2: Projektinitiierung

Ziele

Projektmanagement

Projektleitung

Senior Management-Unterstützung

Projektteam

Projektplan

Strukturierte Ansatz für die Umsetzung

Abgestufter Ansatz

Projektplan

Integration in bestehende Systeme für Sicherheitsmanagement

Qualitätssystemintegration

Blick nach vorne

Kosten und Projektüberwachung

Riskenregister

Kapitel 3: ISMS-Initiierung

Kontinuierliche Verbesserung

Sicherheitsverbesserungsplan

Ausweitung der RACI-Matrix

Unterlangen

Vier Dokumentationsstufen

Dokumentationsansätze

Kapitel 4: Management-Framework

Problembestimmung (Scoping)

Endpunkt-Sicherheit

Festlegung von Grenzen

Netzwerkabbildung

Verfahrensabkürzung

Hauptvereinbarungen formalisieren

Politik für Informationssicherheit

Kommunikationsstrategie

Eigenes Personal

Kapitel 5: Grundlegende Sicherheitskriterien

Kapitel 6: Risikomanagement

Einführung in das Risikomanagement

Grundlegende Sicherheitskontrollen

Risikobewertung

Fünf-Schritte-Risikobewertungsverfahren

Risikoworkshop

Auwirkungen

Kontrollen

Risikobewertungsinstrumente

Kontrollen

Art der Kontrollen

Kontrolle Auswahlkriterien

Erklärung zur Anwendbarkeit

Plan zur Risikobewältigung

Kapitel 7: Implementierung

Kompetenzen

Die ‘Alle Personen’-Anforderung

Bewusstsein des Personals

Ausgelagerte Prozesse

Kapitel 8: Maßnahme, Überwachung und Überprüfung

Internes Audit und Tests

Managementbewertung

Kapitel 9: Zertifizierung

ISO 27001 Ressourcen

ITG Ressourcen

EINFÜHRUNG

Cyber-Risiko hat sich zu einem kritischen Business-Problem entwickelt und setzt das Senior Management zunehmend unter Druck - von Seiten der Kunden, Regulierungsbehörden und Partner - welche gewährleisten wollen, dass ihre Organisation in der Lage ist, sich dagegen zu wehren, entsprechend zu reagieren und sich vom Cyber-Angriff zu erholen.

Der Widerstand gegen Cyberattacken macht eine Organisation notwendig, die in der Lage ist, mehr als nur eine reine digitale Abwehr einzurichten; ein beachtlicher Prozentsatz erfolgreicher Angriffe entsteht in der analogen, physischen Welt oder wird durch physikalische und ökologische Anfälligkeiten unterstützt und verschärft. Eine wirksame Cyber-Sicherheit erfordert daher ein umfassendes, systematisches und starkes System für Informationssicherheitsmanagement; Vorstände, Kunden und Aufsichtsbehörden wollen sicherstellen, dass Informationsrisiken festgestellt und behoben werden.

Die internationale Norm ISO/IEC 27001:2013 Informationstechnologie – Sicherheitstechniken – Informationssicherheit-Managementsysteme – Anforderungen ist die Grundlage für die Verwaltung der Informationssicherheit im Einklang mit den geschäftlichen, vertraglichen und aufsichtsrechtlichen Anforderungen einer Organisation und ihrer Risikoneigung. Informationssicherheit ist seit jeher ein internationales Thema und diese Version der Norm spiegelt die in acht Jahren erlangten Verbesserungen im Verständnis eines effektiven Informationssicherheitsmanagements wider. Es wird auch auf die Entwicklung der Cyber-Bedrohungslandschaft im Laufe dieser Zeitspanne Rücksicht genommen und dies ermöglicht viele Best-Practice-Kontrollen.

Informationssicherheit ist nun auch ein Thema für Management und eine Verantwortung der Führungsebene. Design und Implementierung eines Informationssicherheitsmanagement-Systems (ISMS) ist Aufgabe des Managements und nicht der Technologie. Es erfordert den vollen Einsatz der Managementfähigkeiten und -attribute, vom Projektmanagement und von der Priorisierung durch Kommunikation, über Verkaufsfähigkeiten und Motivation zur Delegation bis hin zur Überwachung und Disziplin. Ein fähiger Manager, der keine technologischen Background oder Einsicht in das Thema hat, kann eine erfolgreiche ISMS-Implementierung führen, aber ohne entsprechende Managementkenntnisse scheitert selbst der technologisch anspruchsvollste Informationssicherheitsexperte an der Aufgabe.

Dies gilt insbesondere dann, wenn die Organisation einen maximalen, langfristigen Unternehmenswert aus der Umsetzung eines ISMS ableiten will. Die Erlangung externer Zertifizierungen entwickelt sich zunehmend zu einer Standardausgabe für die Geschäftstätigkeit. Das Bewusstsein für die Informationssicherheit und eine gut funktionierende interne Vorgehensweise, die es einer Organisation ermöglicht, sicher im stürmischen Meer des Informationszeitalters zu surfen, erfordern einen grundlegenden Kulturwandel: die Umstellung von industriellen auf nachindustriellen Tätigkeiten.

Ich weiß das deswegen, weil mein Background jener eines General Managers ist und nicht der eines Technologen. Ich kam 1995 zur Informationssicherheit, da ich über die Risiken in der Informationssicherheit eines Unternehmens besorgt war, dessen Geschäftsführer ich damals war. Wenn man Geschäftsführer ist und das Interesse dafür aufbringt, kann man ein ISMS zustande bringen – wie ich es mehrmals tat. Während dieses Buch die Lernkurve für andere Geschäftsführer in vergleichbarer Position verkürzt, richtet es sich tatsächlich an den Manager - oft ein IT- oder Informationssicherheitsmanager, manchmal ein Qualitätsmanager -, der mit der Umsetzung einer ISO 27001-Implementierung beauftragt wird und verstehen möchte, wie der Weg zu einem positiven Ergebnis führt. Es basiert auf den Erfahrungen vieler ISO 27001-Implementierungen und spiegelt die neunstufige Implementierungsmethodik wider, die nun alle ISO 27001 Produkte und Services unterstützt, auf die zugegriffen werden kann IT Governance Ltd, das Unternehmen, das ich 2005 gegründet habe. Diese neun Schritte funktionieren in jeder Organisation - öffentlicher Sektor, Freiwilligensektor oder privater Sektor - weltweit. Technologieinfrastruktur, Geschäftsmodell, Organisationsarchitektur und regulatorische Anforderungen liefern alle den Kontext für die Implementierung eines ISO 27001 ISMS, beschränken jedoch deren Anwendbarkeit nicht. Wir haben geholfen, ein ISO 27001 ISMS in Unternehmen mit weniger als zwei Personen, in Mammut-, Multi-Land-globalen Unternehmen und in Organisationen aller Größen und Typen zu implementieren.

Die zweitgrößte Herausforderung für einen Technologen für Informationssicherheit besteht meiner Meinung nach überall auf der Welt darin, die Aufmerksamkeit der Vorstände zu bekommen und diese zu erhalten. Die größte Herausforderung ist das Erlangen – und Beibehalten – des Interesses und der Anwendung auf das Projekt. Die permanente Presse und Aufmerksamkeit für Cyber-Risiken bringt das Thema auf die Tagesordnung und wenn Vorstände endlich verstehen, dass sie systematisch und umfassend gegen Sicherheitsrisiken vorgehen müssen, beginnen sie sich für Informationen von ihren Sicherheitsspezialisten zu interessieren. Sie entwickeln sogar Interesse daran, organisatorische Dollars in Hardware- und Softwarelösungen zu investieren und die Entwicklung eines neuen ISMS oder die Verschärfung eines bestehenden ISMS in Auftrag zu geben.

Ein erfolgreiches ISMS-Projekt stammt von und stützt sich auf eine echte Top-Management-Unterstützung. Der Fortschritt ist schneller, wenn das Projekt als glaubwürdige Geschäftsnotwendigkeit betrachtet wird: zum Beispiel, um ein Outsourcing oder einen anderen Kundenvertrag zu gewinnen oder eine öffentliche Finanzierungspflicht einzuhalten, die Wettbewerbsfähigkeit zu verbessern oder regulatorische Compliance-Kosten und Risiken zu reduzieren.

Als wir uns das erste Mal dem Thema Informationssicherheit widmeten war das, als mein Unternehmen im Jahr 1995 sowohl die ISO 9001-Zertifizierung als auch die Investor in People (IiP)-Anerkennung als Bedingung für ihre Branding- und Handelslizenz erfüllen musste. Wir wollten auch Informationssicherheits- und Umweltmanagementservices verkaufen und - aus der Absicht, das zu predigen, was wir gepredigt hatten, sowie aus der Entschlossenheit, die identifizierbaren Vorteile der Bewältigung all dieser Geschäftskomponenten zu erreichen - haben wir uns für BS 7799 und ISO 14001 zur