Die ISO 27001 ist eine sog. Managementsystem-Norm (so wie bspw. auch ihre eigentlich überall bekannte Schwester, die ISO 9001). Sie enthält Anforderungen an Organisationen – nicht an Produkte oder Dienstleistungen.
Im Fall der ISO 27001 geht es bei diesen Anforderungen um Informationssicherheit.
Was ist Informationssicherheit?
Informationssicherheit bedeutet im Rahmen der ISO 27001, dass Informationen
- vertraulich sind, also nur denjenigen zugänglich und einsehbar, die dazu berechtigt sind;
Beispiel: Sicherlich möchten Sie, dass Passworte vertraulich sind und niemandem außer Ihnen selbst bekannt sind. - integer sind, d.h. geschützt sind davor, unbeabsichtigt oder vorsätzlich von Unberechtigten verändert werden zu können;
Beispiel: Ihr Kontostand sollte außer durch Abbuchungen und Gutschriften nicht verändert werden können. - verfügbar sind, d.h. dann zugreifbar, wenn es erforderlich ist;
Beispiel: Wenn sie mit Ihrer EC-Karte bezahlen, dann möchten Sie, dass Ihr Kontostand für den Zahlungsvorgang verfügbar ist, so dass die ganze Zahlung auch funktioniert und nicht durch den Automaten zurückgewiesen wird, weil der nicht feststellen kann, ob Sie überhaupt genug Geld haben.
Bekannt ist hierfür auch das englische Akronym „CIA“ – steht in diesem Zusammenhang für „Confidentiality“ (Vertraulichkeit), „Integrity“ (Integrität) und „Availability“ (Verfügbarkeit).
Welche Informationen müssen denn nun „sicher“ sein?
Hier lässt Ihnen die ISO 27001 völlig freie Wahl. Sie können selbst auswählen, welche Informationen, die in Ihrer Organisation verarbeitet werden, die schützenswert bzgl. CIA sind.
Allerdings verpflichtet Sie die Norm dazu, sich selbst herzuleiten, welche Informationen es sind. Dies geschieht durch
- Feststellen des Kontextes, in dem Ihre Organisation arbeitet: welche externen Themen sind für unsere Organisation wichtig, welche internen?
- Wer ist daran interessiert, in welchem Maße unsere Organisation Informationssicherheit bietet?
- Was möchten diese Leute denn genau? Was verstehen sie unter Informationssicherheit?
- Welche konkreten Informationssicherheitsziele geben wir uns denn jetzt genau, nachdem wir das analysiert haben?
- Welche Bereiche in unserer Organisation betrifft das dem entsprechend denn überhaupt (und welche nicht).
Auf diese Art und Weise leiten Sie ab, welche Informationen sie sichern werden. Im Modul "Politik, Leitlinie, Informationssicherheitsziele, und Kerngeschäftsprozesse" gehen wir gemeinsam durch, wie das praktisch funktioniert und am Ende wissen Sie, welche Informationen für Sie die „wichtigsten“ sind.
Wie muss Informationssicherheit hergestellt werden?
Die ISO 27001 hat sich zum Ziel gesetzt, dass Informationssicherheit durch sorgfältige und gut ineinandergreifende Zusammenarbeit entsteht. Deswegen gehört die ISO 27001 zu den sog. Managementsystem-Normen.
Das bedeutet: die ISO 27001 hat v.a. Anforderungen an eine geregelte und verbindliche Zusammenarbeit.
Jede geregelte und verbindliche Zusammenarbeit wird „Prozess“ genannt. Dazu mehr in der nächsten Lektion.