Informationssicherheitsmanagement und ISO/IEC 27001
Informationssicherheit bezieht sich auf den Schutz von Informationen und Daten vor unbefugtem Zugriff, Veränderung, Verlust oder Diebstahl. Dies umfasst Vertraulichkeit, Integrität und Verfügbarkeit von Informationen durch den Einsatz von Technologien, Verfahren, Richtlinien und Kontrollen. Ein effektives Informationssicherheitsmanagementsystem (ISMS) schützt sensible Informationen und stärkt das Vertrauen in die Geschäftsprozesse. In der digitalen Ära ist der Schutz sensibler Daten wichtiger denn je.
ISO/IEC 27001: Der Standard für Informationssicherheitsmanagementsysteme
Die DIN EN ISO/IEC 27001 ist eine internationale Norm, die Anforderungen an ISMS enthält, – also Anforderungen, die die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherstellen.
Organisationen können die Norm als Leitfaden verwenden und bei Erfüllung der Anforderungen eine Zertifizierung anstreben. Ein entscheidender Vorteil der ISO/IEC 27001:2024 ist ihre universelle Anwendbarkeit auf alle Informationsarten, unabhängig davon, ob sie elektronisch oder physisch vorliegen und aus gesetzlichen oder betrieblichen Gründen geschützt werden müssen.
ISM-System im S&P-Schalenmodell
Das S&P-Schalenmodell veranschaulicht den Aufbau eines Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001. Die Aktivitäten werden in drei Hauptkategorien unterteilt, um den umfassenden Aufbau und die effektive Umsetzung des Informationssicherheitsmanagements in der Organisation zu erleichtern.
1. Tätigkeiten an Strategien:
- Analyse des Organisationsumfelds: Analyse der internen und externen Faktoren, die die Informationssicherheit der Organisation beeinflussen, wie IT-Infrastruktur, gesetzliche Anforderungen, Branchenstandards, technologische Entwicklungen und mögliche Bedrohungslagen.
- Informationssicherheitspolitik: Erstellung und Dokumentation einer verbindlichen Informationssicherheitspolitik, die die Verpflichtung zur Sicherstellung der Informationssicherheit und zur Einhaltung gesetzlicher Anforderungen beinhaltet.
- Strategische Ziele: Festlegung langfristiger, messbarer Informationssicherheitsziele, die mit der Informationssicherheitspolitik der Organisation im Einklang stehen.
- Führungsverantwortung und Systembewertung: Sicherstellung, dass die Führungsebene Verantwortung übernimmt und Engagement für die Informationssicherheitsziele zeigt, einschließlich regelmäßiger Überprüfung und Bewertung des ISMS.
2. Tätigkeiten an Prozessen:
- Planung: Informationsrisikobeurteilung und -behandlung
- Informationsrisikobeurteilung: Strukturierter Prozess zur Identifizierung von Bedrohungen und Schwachstellen in der Informationssicherheit, der die Eintrittswahrscheinlichkeit und Auswirkungen von Vorfällen bewertet.
- Informationsrisikobehandlung: Festlegung von Maßnahmen auf Basis der Ergebnisse der Risikobeurteilung. Diese können sein:
- Organisatorisch: Maßnahmen zur Risikominimierung durch klare Strukturen, Verantwortlichkeiten und Prozesse. Sodass Informationssicherheit auf einer formalen und strategischen Ebene verankert wird. Sie sind darauf ausgerichtet, das Management und die Mitarbeitenden für Sicherheitsrisiken zu sensibilisieren, geregelte Abläufe zu schaffen und eine kontinuierliche Verbesserung der Informationssicherheit zu gewährleisten.
- Personenbezogen: Maßnahmen, die sicherstellen, dass Personen im Unternehmen über die notwendigen Kenntnisse und das Bewusstsein für Informationssicherheit verfügen.
- Physisch: Maßnahmen, die physische Sicherheitsbarrieren und Zutrittskontrollen betreffen, um Informationswerte vor unbefugtem Zugang zu schützen.
- Technologisch: Maßnahmen, die den Einsatz und die Verwaltung von Technologien betreffen, um Informationssicherheit zu gewährleisten, wie z.B. Verschlüsselung, Zugangskontrollen und Überwachungssysteme.
- Unterstützung: Bereitstellung der notwendigen Ressourcen in Form von Kompetenz und Bewusstsein, Durchführung gezielter Schulungsmaßnahmen, Förderung des Bewusstseins für Informationssicherheit unter den Mitarbeitenden, effektive Kommunikation der Informationssicherheitsziele und Verwaltung der erforderlichen Dokumentationen.
- Analyse/Bewertung: Regelmäßige Überwachung und Messung der Informationssicherheitsleistung zur Identifikation von Verbesserungsmöglichkeiten.
3. Tätigkeiten an Produkten und Dienstleistungen:
- Anforderungsermittlung: Identifizierung und Festlegung von Anforderungen an die Informationssicherheit für Produkte und Dienstleistungen, wie gesetzliche Vorgaben, Kundenanforderungen und interner Sicherheitsstandards.
- Entwicklung und Beschaffung: Integration von Informationssicherheitsaspekten in die Produktentwicklung und Beschaffung, z.B. Auswahl sicherer Technologien und Lieferanten und Umsetzung geeigneter Sicherheitsmaßnahmen.
- Steuerung von Nichtkonformität: Implementierung von Verfahren zur Identifizierung, Behandlung und Korrektur von Abweichungen in der Informationssicherheit.