ISO 27001 - Inhalt der Norm

Dieser Beitrag zeigt auf, was in welchen Kapitel der ISO 27001 Norm enthalten ist. Wo ein Dokument Pflicht ist, ist dies erwähnt. Die einzelnen Artikel gehen auf die Details ein.

© Storyblocks, Registriert auf Andreas Wisler 

 4 Kontext der Organisation

Im «ersten» Kapitel geht es darum die eigene Firma vorzustellen. Was macht die Firma, wer sind die interessierten Parteien, was haben diese für Erwartungen. Weiter gilt es den Anwendungsbereich zu besprechen und wie das ISMS in der Firma geführt wird.

Der Anwendungsbereich muss als dokumentierte Information verfügbar sein.

5 Führung

Im Kapitel 5 wird aufgezeigt, wie das ISMS geführt wird, wie die Politik (sprich die Informationssicherheitsrichtlinie) aussieht, welche Rollen existieren, inkl. der Verantwortlichkeiten, Befugnissen, Rollentrennungen, 4-Augen-Prinzip, etc. Auch gehört die Zusage der Geschäftsleitung dazu.

Die Informationssicherheitspolitik muss als dokumentierte Information verfügbar sein.

6 Planung

Unter «Planung» wird aufgezeigt, wie die Risikoanalyse geplant und durchgeführt wird. Es geht NICHT um die Resultate, sondern um den Weg. Ebenfalls wie die Risikoakzeptanz aussieht und in welchen Rhythmus die Kontrollen durchgeführt werden. Weiter gilt es die Ziele und die Planung zur Erreichung dieser aussieht.

Die Organisation muss dokumentierte Information über den Informationssicherheitsrisikobeurteilungsprozess und den Informationssicherheitsrisikobehandlungsprozess aufbewahren.

7 Unterstützung

Wichtig ist die Unterstützung auf allen Stufen. Die notwendigen Ressourcen zur Verfügung zu stellen, die Kompetenz (d.h. die Ausbildung der involvierten Personen) nachzuweisen, das Bewusstsein bei allen im Anwendungsbereich befindlichen Personen zu gewährleisten (d.h. regelmässige Awareness-Massnahmen) sowie die interne und externe Kommunikation zu beschreiben. Weiter gehört die Dokumentation dazu. Wie wird diese erstellt und aktualisiert. Dazu gehört auch die revisionssichere Ablage (Dokumentenmanagement).

Über die Kompetenz muss ein Nachweis vorhanden sein.

8 Betrieb

Dieses Kapitel ist die Umsetzung der oben erwähnten Punkte. Die Resultate der Risikoanalyse sind hier aufzuzeigen. Ebenso wie die Risiken behandelt werden.

Die Prozesse müssen dokumentiert vorhanden sein. Weiter müssen die Resultate der Risikobeurteilung und Risikobehandlung schriftlich vorhanden sein.

9 Bewertung der Leistung

Das Kapitel 9 umfasst die Überwachung, Messung, Analyse und Bewertung. Dazu muss die Firma KPIs und die Methoden zur Messung definieren (Was, Wann, Wer). Ergänzend kommt das interne Audit dazu (die SOA überprüfen). Das interne Audit umfasst den Auditplan, unabhängige Auditoren, die Auditkriterien sowie die Präsentation an die zuständige Leitung. Der letzte Punkt umfasst das Management Review. Wichtig: die Inhalte sind in der Norm genau festgehalten.

Die Auditprogramme und -ergebnisse müssen aufbewahrt werden. Ebenso die Ergebnisse der Managementbewertung.

10 Verbesserung

Das letzte Kapitel umfasst die Nichtkonformitäten. Diese sind zu erfassen und zu behandeln. Entsprechende Schritte sind zu planen und zu kontrollieren. Idealerweise wird dies als Ticket geführt, damit keines vergessen geht und die Nachvollziehbarkeit möglich ist.

Die Nichtkonformitäten und die getroffenen Massnahmen sowie die Ergebnisse jeder Korrekturmassnahme müssen dokumentiert vorhanden sein.


A.5 Informationssicherheitsrichtlinien

Dieses Kapitel beschreibt ausführlich die Informationssicherheitsrichtlinie. Diese muss freigegeben und in geplanten Abständen überprüft werden. Es ist zu zeigen, dass diese den Anforderungen aus den Zielen und Grundsätzen der Firma abgeleitet wurde.

A.6 Organisation der Informationssicherheit

Das Kapitel 6 umfasst die interne Organisation. Dies umfasst die Informationssicherheitsrollen und -verantwortlichkeiten. Nicht immer kann alles technisch gelöst werden, daher sind Aufgaben zu trennen. Weiter fordert die Norm Kontakt mit Behörden (Polizei, Feuerwehr, Behörden, etc.) und Interessensgruppen (Fachlich oder auch auf Informationssicherheit bezogen). Weiter ist zu zeigen, dass Informationssicherheit in jedem Projekt ein Thema ist. Dies sollte anhand von Beispielen bewiesen werden.

Der zweite Teil umfasst Richtlinien zum Umgang mit mobilen Geräten (Handy, Tablet, Laptop, etc.) und der Arbeit von Extern (Telearbeit, Anforderungen an den Heimarbeitsplatz, Arbeiten von Extern etc.).

A.7 Personalsicherheit

Die Personalsicherheit umfasst den ganzen Zyklus von Einstellung, während der Anstellung bis zum Austritt. Es ist zu zeigen, dass Sicherheitsprüfungen durchgeführt werden (z.B. Strafregister und/oder Betreibungsauszug) und in den Verträgen die Vertraulichkeit und Geheimhaltung geregelt sind. Dies umfasst auch Urheberrecht und Datenschutz. Hier sollten dem Auditor entsprechende Stichproben zur Verfügung gestellt werden.

Während der Anstellung ist zu gewährleisten, dass Leitfäden eingehalten, Rollen und Verantwortlichkeiten bekannt sind und ein Prozess für whistle blowing vorhanden ist. Die Angestellten sind regelmässig zu schulen. Ein entsprechender Nachweis (schriftliche Teilnehmerliste, keine Outlook-Einladung) ist aufzubewahren. Ein Massregelungsprozess (Disziplinarmassnahmen) ist vor einem möglichen Fall zu definieren (Prüfung, abgestufte Reaktion, korrekte und faire Behandlung).

Der dritte Teil umfasst die Beendung. Alle übergebenen Werte sind zurückzugeben. Die Vertraulichkeit muss auch nach Beendigung eingehalten werden.

A.8 Verwaltung der Werte

Über alle Werte (Hardware, Software, Wissen, Patente, etc.) sind zu inventarisieren. Dies kann eine Excel-Liste, die Anlagebuchhaltung oder ein anderes Mittel sein. Für jeden Wert muss eine Zuständigkeit definiert werden. In einer Richtlinie sollte der zulässige Gebrauch geregelt werden. Zudem muss sichergestellt werden, dass Werte auch wieder zurückgegeben werden.

Informationen müssen klassifiziert werden. Dazu sind entsprechende Vorgaben zu definieren. Ebenfalls, wie mit diesen Informationen umgegangen wird.

Der dritte Teil umfasst die Handhabung von Datenträger, der Transport sowie der Entsorgung (von Vorteil nach DIN-Norm 66399, damit ein Nachweis vorhanden ist).

A.9 Zugangssteuerung

Dieses Kapitel gibt Vorgaben an die Zugangssteuerung. Dazu gehören der Zugang zu Netzwerken und Netzwerkdiensten. Der zweite Teil umfasst die Registrierung und Deregistrierung von Benutzern. Dazu ist ein entsprechender Prozess zu definieren, wie dies gemacht wird. Es muss sichergestellt sein, dass Benutzer nach Verlassen der Firma deaktiviert und gelöscht werden. Ebenfalls ist zu definieren, wie Rechte auf Informationen vergeben und geändert werden, inkl. einer regelmässigen Kontrolle. Besonders wichtig sind privilegierte Rechte (z.B. Administrator).

Bei Systemen und Anwendungen sollen nur die Rechte vergeben werden, die notwendig sind. Auch sichere Anmeldeverfahren und die Verwaltung von Kennwörtern sind zu zeigen. Wichtig sind Hilfsprogramme, die erhöhte Rechte benötigen. Es muss klar gezeigt werden, wie dies in der Firma geregelt ist.

A.10 Kryptographie

Hier gilt es klare Regeln im Umgang mit kryptographischen Massnahmen zu zeigen. Eine entsprechende Richtlinie ist zu erstellen. Dies kann der sichere Zugriff auf Webseiten (HTTPS), wie auch verschlüsselte/signierte E-Mails, verschlüsselte Archive (z.B. ZIP-Dateien) und weitere Elemente umfassen.

Weiter gilt es zu Regeln, wie mit Schlüsseln umgegangen wird. Dies umfasst die Erzeugung, Ausstellung, Verteilung, Speicherung, Änderung und Widerruf. Achtung bei persönlichen Zertifikaten. Wie kann auch bei Verlassen eines Mitarbeiters wieder auf die Daten zugegriffen werden?

A.11 Physische und umgebungsbezogene Sicherheit

Dieses Kapitel umfasst ein Zonenkonzept (z.B. öffentlicher Bereich, Empfang, interne Bereiche, besonders schützenswerte Räume wie ein Serverraum, etc.). Der Zutritt zu diesen Räumen ist zu regeln (Schlüsselverwaltung, wer hat wo Zutritt). Weiter gehört dazu, wie Büros, Räume und Einrichtungen geschützt werden. Dies umfasst auch externe und umweltbedingte Bedrohungen. Für Arbeiten in Sicherheitsbereichen (Serverraum, Lager, etc.) sind Regeln zu definieren. Ein Augenmerk muss auch auf Anlieferungs- und Ladebereiche gelegt werden. Die Übergabe z.B. von Lieferanten, Post etc. gehört hier dazu.

Das zweite Unterkapitel umfasst die Platzierung und den Schutz von Geräten und Betriebsmitteln sowie die Versorgungseinrichtungen (Elektrizität, Telekommunikation, Wasser, Gas, Entsorgung, Klima etc.). Die Verkabelung muss sichergestellt sein (z.B. bei Leitungen durch öffentliche Bereich wie Tiefgarage, Steigzonen, etc.). Geräte dürfen nur über eine zentrale Stelle in Reparatur gegeben werden (Löschen von Daten). Werden Geräte ausserhalt der Firma betrieben, sind entsprechende Regeln zu definieren. Werden Geräte vernichtet, müssen ebenfalls Regeln definiert sein.

Eine zusätzliche Richtlinie für einen aufgeräumten Arbeitsplatz (Clear Desk) und Bildschirmsperren (Clear Screen) sollte erstellt und umgesetzt werden.

A.12 Betriebssicherheit

Arbeitsabläufe müssen als dokumentierte Information vorhanden sein. Dazu gehören die Installation und Konfiguration von Systemen, die Verarbeitung von Informationen, das Backup, Planung und Abhängigkeit von anderen Systemen (inkl. Capacity Management), Umgang mit Fehlern, Angaben zu System-Neustart und Wiederherstellung sowie Überwachungsverfahren. Entwicklungs-, Test- und Betriebsumgebungen müssen getrennt werden.

Das zweite Unterkapitel umfasst Massnahmen gegen Malware (Verbot unberechtigter Software, Installation und regelmässige Aktualisierung, Erkennung von Malware, regelmässige Überprüfung, etc.).

Das dritte Unterkapitel stellt Anforderungen an das Backup. Dies umfasst Anforderungen, Backupgeräte, Kopien, Wiederherstellungsverfahren, Umfang und Häufigkeit, Aufbewahrung an einem externen Ort, Schutz der Medien und allenfalls Verschlüsselung.

Das vierte Unterkapitel umfasst die Protokollierung vom Ereignissen (Benutzer, System, Änderungen, etc.) sowie den Schutz dieser. Speziell müssen die Protokolle vor Administratoren geschützt werden (damit der Administrator keine Veränderungen vertuschen kann). Zu den Protokollen gehört auch eine synchrone Zeit über alle Geräte.

Die weiteren Unterkapitel beinhalten die Installation von Software, die Handhabung von technischen Schwachstellen (Patch-Management), die Einschränkung von Installationen («Least Privilege») sowie Schutzmassnahmen vor Audits (technischen Audits, Penetration Tests, etc.).

A.13 Kommunikationssicherheit

Dieses Kapitel umfasst die Steuerung von Netzwerken sowie die Sicherheit dieser (Überwachung, Firewall, ICS, etc.). Unterschiedliche Netzwerke sollten getrennt werden. Für die Übertragung von Informationen ist eine Richtlinie zu erstellen (kann in die «Zulässiger Gebrauch» integriert werden), welche auch Vereinbarungen (Handhabung, Nachverfolgbarkeit, Nichtabstreitbarkeit, Mindeststandards, Hinterlegung, etc.), Elektronische Übermittlung und Vertraulichkeitsvereinbarung umfasst.

A.14 Anschaffung, Entwicklung und Instandhaltung von Systemen

Das Kapitel 14 umfasst die Analyse und Spezifikation von Informationssicherheitsanforderungen (Niveau, Prozesse, Information, Schutzmassnahmen, Prüfprozess, etc.), die Sicherung von Anwendungsdiensten, den Schutz von Transaktionen (z.B. mittels Signaturen, Benutzerauthentifizierung, Speicherung von Transaktionen, Protokolle, etc.).

Das zweite Unterkapitel umfasst die Entwicklungs- und Unterstützungsprozesse, Verfahren zur Verwaltung von Systemänderungen, technische Überprüfung von Anwendungen, die Beschränkung von Änderungen an Softwarepaketen, Grundsätze zur Analyse, Entwicklung und Pflege sicherer Systeme sowie sichere Entwicklungsumgebungen. Sollte die Entwicklung ausgegliedert sein, sind entsprechende Tätigkeiten beaufsichtigt und überwacht werden. Die Systemsicherheit sollte regelmässig getestet werden. Neue Systeme sind abzunehmen, bevor sie aktiv genutzt werden. Testdaten sollten geschützt werden (d.h. nicht mit scharfen Daten testen).

A.15 Lieferantenbeziehungen

Für die Beziehung mit Lieferanten sind entsprechende Richtlinien zu erstellen. Dabei muss die Sicherheit insbesondere behandelt werden (Beschreibung, Klassifizierung, gesetzliche und behördliche Anforderungen, Umsetzung von Massnahmen, Nutzungsregelunge, Namensliste, Handhabung von Vorfällen, Schulung und Sensibilisierung, Fehlerbehebung- und Konfliktlösung). Insbesondere das Recht auf Audit sollte nicht vergessen werden. Beachtet werden muss auch die Lieferkette (Subunternehmen des Lieferanten). Die Dienstleistungen der Lieferanten sind zu überwachen und zu überprüfen. Änderungen sind umgehend einzufliessen (Verbesserung, Weiterentwicklung, Modifikation, Aktualisierung, neue Produkte, etc.).

Achtung: dies ist ein wichtiger Punkt im Audit. Entsprechende Audits sind zu dokumentieren. Eventuell kann sogar ein Besuch bei einem wichtigen Lieferanten erfolgen (z.B. RZ-Betreiber)

A.16 Handhabung von Informationssicherheitsvorfällen

Dieses Kapitel umfasst Information Incidents. Dazu sind Verantwortlichkeiten und Verfahren im Vorfeld zu definieren (Überwachung, Erkennung, Analyse, Protokollierung, Umgang, Beurteilung, Reaktionsverfahren, etc.). Allen sollte bekannt sein, an wen sie sich wenden müssen. Beim Sammeln von Beweismaterial kann allenfalls eine spezialisierte Firma beigezogen werden.

A.17 Informationssicherheitsaspekte des BCM

Dieses Kapitel umfasst alle Schritte des Business Continuity Managements. Ein Schwerpunkt beinhaltet die Aufrechterhaltung der Informationssicherheit. Regelmässig sind entsprechende Kontrollen durchzuführen. Redundanzen können die Verfügbarkeit erhöhen.

A.18 Compliance

Der letzte Punkt umfasst die Einhaltung von gesetzlichen und vertraglichen Anforderungen. Dies muss schriftlich vorhanden sein. Berücksichtig werden müssen geistiges Eigentumsrecht, der Schutz von Aufzeichnungen sowie die Privatsphäre von personenbezogenen Daten. Werden kryptographische Massnahmen erstellt, gilt es Im- oder Export sowie die Anwendung sicherzustellen.

Das zweite Unterkapitel umfasst die unabhängige Überprüfung der Informationssicherheit. Sicherheitsrichtlinien und -standards sollten eingehalten werden.

×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

ISO 27001 – Kontext des Unternehmens
ISO 27001 – Ausweis für Ihre Informationssicherhei...

Related Posts

 

Comments

No comments made yet. Be the first to submit a comment
Freitag, 14. Februar 2025

Captcha Image