In den vorangegangenen Videos hatten wir uns angeschaut, was ein Managementsystem ist - und natürlich auch, was ein Informationssicherheitsmanagementsystem ist: eine Menge an ineinander greifenden Vorgehensweisen, die Sie in Ihrer Firma etablieren, um das Ziel Informationssicherheit (also Vertraulichkeit, Integrität und Verfügbarkeit von wichtigen Informationen) sicherzustellen.
Die ISO 27001 lässt Ihnen zwar sehr viel Spielraum, was die Ausgestaltung eines eigenen ISMS angeht, aber bestimmte Bausteine erwartet sie eben doch.
Dieser Online-Videokurs ist so aufgebaut, dass er genau den durch die ISO 27001 verpflichtend vorgeschriebenen Bausteinen folgt.
Diese Bausteine - und gleichzeitig unser roter Faden durch diesen Kurs bis hin zur Zertifizierung sind die folgenden:
Einleitung und Erläuterung zu diesem Kurs
In diesem Teil befinden Sie sich gerade.
Die Informationssicherheitsleitlinie
Das Grundgesetz Ihres ISMS. Hier stehen die "Leitplanken", an denen Sie sich orientieren. Hier befinden sich die Ziele, die Sie sich selbst geben, wer Einfluss darauf nimmt und was Sie daraus machen möchten. Hier geht's zu Teil 2.
Risikomanagement
Ist eines der zentralen Themen in einem ISMS. Wir schauen uns gemeinsam an, wie man Risiken für Ihre selbst gegebenen Informationssicherheitsziele findet und wie Sie in der Lage sind, Risiken nach Ihrer Kritikalität zu bewerten und zu entscheiden, welche Gegenmaßnahmen Sie treffen, wenn Sie Risiken erkannt haben. Da dies ein arbeitsintensives Thema ist, adressieren wir es bereits sehr weit zu Anfang dieses Kurses. Hier geht's zu Teil 3.
Annex A / Anhang A
Im Anhang A (Annex A) bringt die ISO 27001 bereits ca. 120 verschiedene sehr sinnvolle, operative Maßnahmen mit, die dazu beitragen, Informationssicherheitsrisiken in jeder Organisation zu senken. Dieser Teil schließt sich sehr gut an das Risikomanagement an, denn häufig sind Risikominderungsmaßnahmen zufällig auch Maßnahmen, die in Annex A sowieso gelistet und empfohlen sind. Hier geht's zu Teil 4.
Dokumentenlenkung
Alles, was Sie sich im Rahmen unseres des ISO 27001-Projekts erarbeiten, wird irgendwann so viel, dass Sie es aufschreiben müssen. Hier stellen sich gleich eine Menge an Fragen: Wie bearbeiten Sie diese Dokumente? Wann sind Dokumente fertig? Was, wenn Sie ein fertiges Dokument nochmal ändern möchten? Wem müssen Sie Bescheid sagen, wenn Sie ein wichtiges Dokument geändert haben? Sollte das Dokument irgendjemand reviewen vor der Fertigstellung? All diese Dinge müssen gem. ISO 27001 geklärt werden. Hier geht's zu Teil 5. (Bitte beachten Sie auch unseren Hinweis zu den Dokumenten am Ende dieser Seite.)
Corrective Action, Preventive Action (CAPA)
In diesem Teil geht es darum, dass wir uns auf eine Vorgehensweise einigen, die wir anwenden, wenn es mal nicht nach Plan läuft. Wenn ein Informationssicherheitsvorfall passiert. Oder wenn wir merken, dass wir irgendetwas geregelt haben, aber es führt nicht zum Erfolg. Die ISO 27001 möchte, dass eine Organisation in solchen Fällen geplant vorgeht - und nicht jeder kopflos das macht, was ihm gerade in den Sinn kommt. Hier geht's zu Teil 6.
Internes Audit
Hier geht es darum, dass innerhalb einer Organisation gegenseitige Reviews und Feedbacks der vereinbarten Vorgehensweisen stattfinden - mit dem Ziel herauszufinden, ob man sich verbessern kann oder ob vielleicht an den Anforderungen der ISO 27001 "vorbeigearbeitet wird". Hier geht's zu Teil 7.
Leistungsmessung
Hier geht es darum, dass wir KPIs etablieren, an denen wir einfach ablesen können, wie gut es um die Informationssicherheit steht. Auch das ist eine zentrale Anforderung aus der ISO 27001. In diesem Teil zeigen wir, wie man für beliebige Teile des ISMS Messwerte und Kennzahlen ableitet, denen man schnell ansehen kann, wie gut es läuft. Hier geht's zu Teil 8.
Managementreview
Im "Managementreview" geht es darum, dass die richtigen Leute in der Organisation sich die wichtigen Punkte der Arbeit zum Thema Informationssicherheit regelmäßig anschauen: Wie steht es um die Internen Audits? Wie sind unsere KPIs? Was sind denn derzeit die größten Informationssicherheitsrisiken? - und darauf baserend Entscheidungen trifft. Hier geht's zu Teil 9.
Kompetenzaufbau
Informationssicherheit ist - wie jedes andere Thema auch - eine Frage der Kompetenz und des Knowhows. Daher verlangt die ISO 27001, dass jede Organisation überlegt, welche Personen welche Kompetenzen benötigen und wie diese aufgebaut werden könnten. Hier geht's zu Teil 10.
Das beste Dokumenten-System
Zu Anfang eines ISO 27001-Projekts stellen sich i.d.R. die folgenden beiden Fragen:
- In welchem System halten wir unsere Dokumente? Denn davon haben wir in der Regel ja demnächst eine ganze Menge.
- In welchem System halten wir unsere Aufgaben? Sowohl die im ISO 27001 Einführungsprojekt als auch später diejenigen, die im Rahmen der alltäglichen Arbeit mit unserem ISMS entstehen.
Wir bieten Ihnen in diesem Kurs zwei ausgereifte Möglichkeiten zur Wahl:
Microsoft Office
Die Dokumente liegen im Format Microsoft Word und Microsoft Excel vor. Für die aufgabenartigen Dokumente stehen Ihnen Dokumentenvorlagen zur Verfügung, die Sie instanziieren und benutzen können. Für die Risikotabelle stellen wir Ihnen eine Microsoft Excel Vorlage zur Verfügung, die auch bei der Bewertung von Risiken durch Makros unterstützt. Sie finden all diese Dokumente in Ihrem Download-Bereich.
Atlassian Confluence
Sie erhalten alle Dokumente in einer in Atlassian Confluence Cloud importierbaren Zip-Datei. Sie importieren diese und erhalten einen Confluence-Space, der Ihr komplettes ISMS (alle Dateien, alle Vorlagen als Page Templates) enthält. Um eine grafische Darstellung aller ISMS-Prozesse zu erhalten, benötigen Sie das Confluence-Plugin draw.io.
Unsere Empfehlung
Wenn Sie sowohl über eine Microsoft-Office-Infrastruktur verfügen (oder gerne auch Alternativen wie Open Office o.ä.) als auch über ein modernes Wiki-System (wie bspw. Atlassian Confluence) und beide Systeme bei Ihnen im Haus gängig sind und benutzt werden, empfehlen wir Ihnen, Ihr ISMS in einem Wiki umzusetzen. Es ist meist einfacher (und macht auch mehr Spaß).
Nur wenn Sie bisher noch kein Wiki-System etabliert haben und eher dateibasiert arbeiten, würden wir Ihnen zu einem Dokumentenmanagement über die Microsoft-Office-Dokumente raten.