ISO 27001 – Was möchte diese Norm eigentlich?

Die ISO 27001 ist eine sog. Managementsystem-Norm (so wie bspw. auch ihre eigentlich überall bekannte Schwester, die ISO 9001). Sie enthält Anforderungen an Organisationen – nicht an Produkte oder Dienstleistungen.

Im Fall der ISO 27001 geht es bei diesen Anforderungen um Informationssicherheit.

Was ist Informationssicherheit?

Informationssicherheit bedeutet im Rahmen der ISO 27001, dass Informationen

• vertraulich sind, also nur denjenigen zugänglich und einsehbar, die dazu berechtigt sind;
  Beispiel: Sicherlich möchten Sie, dass Passworte vertraulich sind und niemandem außer Ihnen selbst bekannt sind.
• integer sind, d.h. geschützt sind davor, unbeabsichtigt oder vorsätzlich von Unberechtigten verändert werden zu können;
  Beispiel: Ihr Kontostand sollte außer durch Abbuchungen und Gutschriften nicht verändert werden können.
• verfügbar sind, d.h. dann zugreifbar, wenn es erforderlich ist;
  Beispiel: Wenn sie mit Ihrer EC-Karte bezahlen, dann möchten Sie, dass Ihr Kontostand für den Zahlungsvorgang verfügbar ist, so dass die ganze Zahlung auch funktioniert und nicht durch den Automaten zurückgewiesen wird, weil der nicht feststellen kann, ob Sie überhaupt genug Geld haben.

Bekannt ist hierfür auch das englische Akronym „CIA“ – steht in diesem Zusammenhang für „Confidentiality“ (Vertraulichkeit), „Integrity“ (Integrität) und „Availability“ (Verfügbarkeit).

Welche Informationen müssen denn nun „sicher“ sein?

Hier lässt Ihnen die ISO 27001 völlig freie Wahl. Sie können selbst auswählen, welche Informationen, die in Ihrer Organisation verarbeitet werden, die schützenswert bzgl. CIA sind.

Allerdings verpflichtet Sie die Norm dazu, sich selbst herzuleiten, welche Informationen es sind. Dies geschieht durch

• Feststellen des Kontextes, in dem Ihre Organisation arbeitet: welche externen Themen sind für unsere Organisation wichtig, welche internen?
• Wer ist daran interessiert, in welchem Maße unsere Organisation Informationssicherheit bietet?
• Was möchten diese Leute denn genau? Was verstehen sie unter Informationssicherheit?
• Welche konkreten Informationssicherheitsziele geben wir uns denn jetzt genau, nachdem wir das analysiert haben?
• Welche Bereiche in unserer Organisation betrifft das dem entsprechend denn überhaupt (und welche nicht).

Auf diese Art und Weise leiten Sie ab, welche Informationen sie sichern werden. Im Modul "Politik, Leitlinie, Informationssicherheitsziele, und Kerngeschäftsprozesse" gehen wir gemeinsam durch, wie das praktisch funktioniert und am Ende wissen Sie, welche Informationen für Sie die „wichtigsten“ sind.

Wie muss Informationssicherheit hergestellt werden?

Die ISO 27001 hat sich zum Ziel gesetzt, dass Informationssicherheit durch sorgfältige und gut ineinandergreifende Zusammenarbeit entsteht. Deswegen gehört die ISO 27001 zu den sog. Managementsystem-Normen.

Das bedeutet: die ISO 27001 hat v.a. Anforderungen an eine geregelte und verbindliche Zusammenarbeit. Jede geregelte und verbindliche Zusammenarbeit wird „Prozess“ genannt.

Der Prozess

Ein Prozess ist eine Abfolge von Aktivitäten, die

• durch eine bestimmte Quelle ausgelöst werden;
• einen bestimmten Input benötigen;
• dann darauf aufbauend bestimmte Dinge tun;
• danach einen Output erzeugen;
• und ihn an einen „Nutzer“ übergeben.

Dieses fünfstufige Prinzip nennt sich „SIPOC“: Source-Input-Processing-Output-Consumer.

Im Umfeld von Darstellungen von Prozessen sind Ablaufdiagramme wie das obige sehr üblich und wir werden in diesem Kurs in den einzelnen Prozessdarstellungen mit diesen Diagrammen arbeiten – ein Bild sagt einfach mehr als tausend Worte. Es gibt einige normierte grafische „Symbolsprachen“, in denen Ablaufdiagramme verfasst werden können. Zwei sehr bekannte sind bspw. die BPMN („Business Process Model and Notation“) und UML Activity Diagram („Unified Modelling Language Activity Diagram”). Wir werden in diesem Kurs eine vereinfachte Form der BPMN verwenden.

Wir haben die Erfahrung gemacht, dass diese Diagramme so selbsterklärend sind, dass sie auch von unkundigen Lesern intuitiv richtig verstanden werden und daher ohne viel Lernaufwand das Verständnis die Beschreibung eines Prozesses enorm verbessern.

Die einzelnen Aktivitäten (hier: „Geld einstecken“, „Brötchen kaufen“) werden natürlich noch genauer beschrieben durch

• eine textuelle Erklärung;
• die Beschreibung, wer für die Aktivität verantwortlich ist;
• optional: ob jemand mithilft, informiert wird, reviewt oder prüft, ob alles richtig gemacht wurde.

Abschließend kann man also sagen: ein Prozess ist eine Darstellung eines verbindlich festgelegten und beschriebenen Arbeitsablaufs. Aufgrund der Beschreibung wird sichergestellt, dass er auch von anderen Personen in ähnlicher Art und Weise ausgeführt werden kann. Ein Prozess bringt also eine Art „Standardisierung“ in eine Arbeit.

An dieser Stelle Vorsicht: Man kann es mit den Prozessen auch übertreiben, wenn man sie zu genau und zu minutiös beschreibt. Dann tendieren die Personen, die sich an die Prozesse halten müssen, dazu, „abzuschalten“ und sich blind auf den Prozess zu verlassen. Das ist nicht ratsam. Es führt dazu, dass das Befolgen des Prozesses dann im Vordergrund steht – und nicht mehr die Informationssicherheit. Nachdenken ist immer richtig und wenn es die Situation erfordert, muss es auch in Ordnung sein, vom Prozess abzuweichen. Im Jargon der Managementsysteme nennt man das „Comply or explain“ – auf Deutsch: „Entweder so machen, wie es aufgeschrieben ist oder eine gute Erklärung haben, warum es anders gemacht wurde.“

Das Prinzip „PDCA“

Als nächstes stellt sich die Frage „Welche Prozesse werden denn nun in einem ISMS benötigt?“

Dazu ist es notwendig, sich einmal „von oben“ anzusehen, wie die ISO 27001 ein Ineinandergreifen der einzelnen Prozesse sieht.

Die ISO 27001 geht davon aus, dass ein einmalig erreichter Stand in der Informationssicherheit kein Status Quo sein sollte, auf dem man sich zu lange ausruhen kann. Es ist konstant notwendig, danach zu streben, besser zu werden. Zum einen schlafen die Mitbewerber nicht – und zum anderen gibt es immer übel meinende Zeitgenossen, die aus welchen Gründen auch immer versuchen werden, die Informationssicherheit der eigenen Organisation zu kompromittieren.

Der Grundgedanke hier ist also, unsere Tätigkeiten zur Informationssicherheit so miteinander zu verzahnen, dass man kontinuierlich daran arbeitet, besser zu werden.

Diese Erkenntnis geht zurück auf W. E. Deming und W. A. Shewhart, die den sog. „Deming-Cycle“ (Deming-Rad, Deming-Kreis) formulierten. Der Deming-Kreis war zunächst für Qualitätsmanagement formuliert, es stellte sich aber heraus, dass man mit der dahinterliegenden Denkweise beliebige Verbesserungen ansteuern kann.

Dieser Kreis wird kontinuierlich abgearbeitet und er hat vier Phasen (PDCA):

• „Plan“: Wir planen etwas – in diesem Fall bestimmte Aktivitäten zur Verbesserung der Informationsicherheit.
• „Do“: Wir setzen die geplanten Dinge um.
• „Check“: Wir schauen uns an, wie gut das funktioniert hat.
• „Act“: Wir steuern an den Stellen nach, an denen es nicht funktioniert hat. Und weiter geht es danach wieder mit 1.

Die Prozesse im Überblick

Die Prozesse, die die ISO 27001 etabliert sehen möchte, lassen sich in das PDCA-Schema einordnen. Das PDCA-Schema zeigt an, wie sie ineinandergreifen und durch die iterative Bearbeitung eine kontinuierliche Verbesserung erzielt wird.

In den Phasen werden grob die folgenden Prozesse angesiedelt:

Der Weg zur Zertifizierung

In diesem Abschnitt stellen wir dar, wie der Weg zu der ersten ISO 27001-Zertifizierung aussehen wird. Wenn Sie Ihr Unternehmen nach ISO 27001 zertifizieren lassen möchten, so geschieht dies typischerweise in der folgenden Art und Weise:

1. Suchen Sie sich einen „Zertifizierer“. Das ist eine Organisation, die berechtigt ist, ISO 27001-Zertifikate auszustellen. Dazu muss sie bei der Deutschen Akkreditierungsstelle (DAkkS) akkreditiert sein. Sie können die DAkkS-Datenbank nach den akkreditierten Zertifizierern auf dieser Webseite durchsuchen.
2. Nehmen Sie frühzeitig Kontakt zu einem oder mehreren Zertifizierern auf und fragen Sie nach möglichen Zertifizierungsterminen – es kann sein, dass Sie erst Termine mit vielen (9-12) Monaten Vorlauf erhalten und sich letztlich Ihr Projektplan zur Zertifizierung daraus ableitet. Darüber hinaus: zum Jahresende sind Zertifizierer häufig stark ausgelastet – wenn es möglich ist, planen Sie daher ihr Projekt so, dass Sie nicht zum Jahresende fertig werden.
3. Um ein Angebot erstellen zu können, wird ein Zertifizierer Sie fragen, wie groß der geplante Anwendungsbereich („Scope“) ist – der Anteil Ihres Unternehmens, den Sie zertifizieren möchten. Daraus leitet sich beim Zertifizierer ab, wie viele Zertifizierungsauditoren für wie lange eingeplant werden müssen. Im Kursteil 2 gehen wir darauf ein, wie Sie diesen Anwendungsbereich festlegen.
4. Zertifizierer bieten i.d.R. ein „Vor-Audit“ an. Dies ist nicht Teil des offiziellen Zertifizierungsprozesses und in jedem Fall für Sie freiwillig. Hierbei möchte der Zertifizierer feststellen, ob eine Zertifizierungsreife zum angestrebten Audittermin überhaupt realistisch ist. Darüber hinaus vermitteln Zertifizierer im Anschluss gerne Beratungsleistungen ihrer Partner, um die gefundenen Lücken zu schließen.
5. Das eigentliche Zertifizierungsaudit ist dann zweistufig. Die erste Stufe ist das sogenannte „Stage-1-Audit“ (Prüfung aller Dokumente): das Auditteam prüft die Dokumentation, die Sie für Ihr Informationssicherheits-Managementsystem angelegt haben. Die Prüfung erfolgt i.d.R. nicht vor Ort – Sie senden die Dokumente normalerweise elektronisch zum Auditteam.
6. Nach wenigen Wochen folgt das „Stage-2-Audit“ (Vor-Ort-Prüfung): das Auditteam reist zu allen Standorten Ihrer Organisation, die im Anwendungsbereich liegen und prüft diese. Dabei finden Interviews mit Mitarbeitern statt, örtliche Gegebenheiten werden in Augenschein genommen und Arbeitsabläufe werden begutachtet.
7. Am Ende des Stage-2-Audits erfahren Sie im Abschlussgespräch, ob der Zertifizierung etwas entgegensteht.
8. Das Auditteam erstellt danach den Auditbericht, der beim Zertifizierer einer internen Prüfung unterzogen wird.
9. Sie erhalten den Bericht im Anschluss zugeschickt. Es kann sein, dass der Bericht mit Auflagen verbunden ist, die Sie noch erfüllen müssen, bevor Sie das ISO 27001-Zertifikat erhalten.
10. Schließlich erhalten Sie das Zertifikat zugesandt (i.d.R. kostenfrei als PDF – oder gegen Gebühr als wertigen Ausdruck).

Aber Achtung: Nach dem Audit ist vor dem Audit – das ISO 27001-Zertifikat können Sie für Ihre Organisation nur dann aufrechterhalten, wenn Sie jährlich ein sog. Überwachungsaudit (auch: Aufrechterhaltungsaudit) durch ein externes Auditorenteam bei sich durchführen lassen und spätestens nach Ablauf von drei Jahren nach Erst-Zertifizierung ein Rezertifizierungsaudit durchführen lassen.