Kommen wir zur ISO 27001 dem Kernstück der ISO 2700x-Reihe und damit der wichtigsten Norm, wenn es um die Zertifizierung eines ISMS einer Organisation geht.

Was ist die ISO 27001?

Die ISO 27001 heißt in der deutschen Fassung ‚Informationssicherheits-Managementsysteme – Anforderungen‘ und definiert damit dem Namen nach die Anforderungen an ein ISMS. Will sich eine Organisation ihr ISMS zertifizieren lassen lautet das am Ende ausgestellt Zertifikat ‚… nach ISO 27001‘. Damit beschreibt dieses Schriftstück also die wichtigsten Punkte für eine Zertifizierung.

Aber erwartet nicht, dass hier konkret gesagt wird: „Stelle eine Passwortrichtlinie mit mindestens 8 Zeichen für die User und 14 Zeichen für die Administratoren auf!“. Die ISO 27001 formuliert Anforderungen auf einem sehr hohen Level… Aber erstmal nach und nach:

Die Punkte 3. – 5. der ISO 27001

Die Punkte 1 und 2 sind nicht erwähnenswert. Hier wird nur der übliche ISO-Vortext abgehandelt. Punkt 3 verweist lediglich auf die ISO 27000. Im Punkt 4 werden die Vorbereitungen im Bezug auf den Kontext den Organisation (4.1) und der Stakeholder (4.2) beschrieben. Der Punkt 4.3 definiert den Geltungsbereich (engl. Scope). Dies ist relativ wichtig, da man hier erstmal mit einem kleinen Teil einer Organisation starten kann. Außerdem ist es wichtig zu schauen, wie der Scope eines Zertifikats einer anderen Organisation ist. Nur der Spruch ‚Wir sind ISO 27001 zertifiziert‘ heißt nicht nichts, wichtig ist, was der Scope ist! Punkt 5 definiert die Anforderungen an die Führung und die Politik. Interessant wird wieder in Punkt 6:

Punkt 6 der ISO 27001

Punkt 6 der ISO 27001 beschreibt eines der Kernelemente: die Risikoanalyse. Kurz und knapp müssen dabei zuerst die Risiken beurteilt werden (6.1.2), wobei dabei auch der Risikoappetit und die Kriterien für die Risikoanalyse festgelegt werden müssen, um dann die Risiken zu identifizieren, analysieren und zu bewerten. Das hört sich vielleicht einfach an, ist aber eine Aktivität die extrem viel Zeit in Anspruch nehmen kann/wird!

Wenn die Risiken beurteilt sind, müssen anhand der Risikoakzeptanzkriterien (Welches Risiko ist für die Organisation noch tolerabel?) Maßnahmen zur Reduktion der nicht-akzeptablen Risiken festgelegt werden.

Wenn man hier eine etwas konkretere Vorgehensweise braucht, kann man die ISO 27005 zu rate ziehen.

Punkte 7 bis 10 der ISO 27001

Die Punkte 7 bis 9 sind auf die Unterstützung zur Umsetzung (7) – eher schwammig -, den Betrieb des ISMS – hier wird nur die Umsetzung der geplanten Aktivitäten aus Punkt 6 gefordert – und Punkt 9. Punkt 9 fordert eine regelmäßige Bewertung des ISMS und ein Kennzahlensystem. Das haben alle ISOs gemein: Überwachung, Messung und Bewertung findet man in jeder ISO irgendwo.

Punkt 10 beschreibt dann was passiert wenn eine Abweichung oder ‚Nicht-Konformität‘ auftritt: Dies kann innerhalb einer Frist behoben werden oder führt zum Entzug des Zertifikats.

Annex A der ISO 27001

Da der Annex A ebenfalls sehr interessant und wichtig ist, werde ich einen eigenen Beitrag dazu machen anstatt mich hier jetzt kurz fassen zu müssen 😉 Der Beitrag ist schon lang genug!


2 Kommentare

Überblick Informationssicherheitsmanagement – Maxanit Consulting · Oktober 2, 2020 um 6:04 pm

[…] ISO 27001 […]

ISO 27000 – Maxanit Consulting · Oktober 2, 2020 um 6:05 pm

[…] hat, und formuliert einige Grundlagen für ISMSe. Wenn man ernsthaft an eine Zertifizierung nach ISO 27001 denkt oder Auditor oder Ähnliches werden will, ist die ISO 27000 schon […]

Schreibe einen Kommentar zu Überblick Informationssicherheitsmanagement – Maxanit Consulting Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.