108
BEITRÄGE COMPLIANCE MANAGEMENT
Giebichenstein/Schirp: Step-by-step: Vorgehensweise und praktische Umsetzung der ISO 27001 für Unternehmen
CB-BEITRAG Dipl.-Wirtschaftsinformatiker Rüdiger Giebichenstein und Dipl.-Ing. Carsten Alexander Schirp
Step-by-step: Vorgehensweise und praktische Umsetzung der ISO 27001 für Unternehmen – IT-Sicherheitsgesetz (IT-SiG) und Sicherheitskatalog gem. § 11 Abs. 1a Energiewirtschaftsgesetz (EnWG) – Der folgende Beitrag führt Schritt für Schritt aus, wie eine Umsetzung der ISO/IEC 27001 für das Management von Informationssicherheit geplant werden sollte. Er zeigt auf, welche Rand- und Rahmenbedingungen dabei zu beachten sind und liefert praktische Hinweise für einen nachhaltigen und effizienten Projekterfolg. Es werden Hintergründe zum IT-Sicherheitsgesetz (IT-SiG) und Energiewirtschaftsgesetz (EnWG) in den Fokus der Betrachtungen gerückt und eine allgemeingültige Vorgehensweise zur Implementierung eines ISMS betrachtet. Dabei können auch spezifische Aspekte des IT-SiG oder EnWG und ergänzende Vorgaben aus anderen rechtlich-regulatorischen Bereichen und Branchen miteinbezogen werden. Der Beitrag vertieft den bereits im Artikel „Praktische Umsetzung der ISO 27001 im Rahmen von IT-SiG und Sicherheitskatalog gem. § 11 Abs. 1a EnWG“ (CB 3/2015) kurz vorgestellten Ansatz zur Umsetzung der ISO/IEC 27001. Einführung Für Unternehmen gibt es vielfältige Motive, sich mit einer Ausrichtung oder sogar Zertifizierung nach der ISO/IEC 27001:2013 (Vollständiger Titel: ISO/IEC 27001:2013 – Information technology -- Security techniques -- Information security management systems -- Requirements“) (im Folgenden ISO 27001) zu beschäftigen. Die Gesetzgebung sendet durch das IT-SiG und EnWG eindeutige Signale, welchen Stellenwert derzeit das Thema IT-Sicherheit einnimmt. Zusätzlich sind aus Sicht mit IT-nahen Dienstleistungen befasster Unternehmen die Wettbewerbsfähigkeit und Kundenorientierung weitere Treiber. In stark regulierten Branchen wie dem Finanzsektor stehen neben den gesetzlichen auch aufsichtsbehördliche Aspekte im Vordergrund. Die Industrie hingegen ist auf den Schutz ihres Know-hows angewiesen. Die Bundesregierung hat sich daher deutlichen Handlungsbedarf im Bereich der sog. Cybersicherheit in ihre digitale Agenda geschrieben und will kritische Infrastrukturen besser vor Cyberangriffen schützen. „Kritische Infrastrukturen sind Einrichtungen und Netze, die wesentlich für das öffentliche Leben sind und deren Ausfall dramatische Folgen haben könnte“ (vgl. Digitale Agenda – Bundesministerium des Innern (BMI)). Die Bundesregierung geht mit diesen Plänen offensiv auf die Wirtschaft zu. Sie verfolgt das Ziel, Deutschland als einen der weltweit sichersten digitalen Standorte zu etablieren. Die Ausgestaltung der Sicherheitsanforderungen, -audits, -prüfungen und Zertifizierungen soll allerdings nicht im Detail gesetzlich vorgegeben werden. Weil der Gesetzgeber im IT-SiG bewusst nicht alle technischen Gegebenheiten berücksichtigen kann, sollen branchenspezifische Mindeststandards (wie z. B. das EnWG) erhalten bleiben oder weiterentwickelt werden.
Compliance-Berater | 4/2015 | 7.4.2015
Nicht nur die Dienstleister und Unternehmen aus den vom IT-SiG unmittelbar betroffenen Branchen müssen sich mit ihrer IT-Sicherheit beschäftigen. Auch ein Schutz der gesamten Lieferkette ist notwendig. Daraus folgt, dass auch für Unternehmen, die nicht den kritischen Infrastrukturen zugeordnet sind, eine Verpflichtung zum Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS) erwachsen kann. Wenn bspw. ein externer IT-Dienstleister Kunden besitzt, die dem IT-SiG unterliegen, kann er ebenfalls auf die Einhaltung verpflichtet werden. Es empfiehlt sich daher, die Konkretisierung zum IT-SiG und EnWG aufmerksam zu verfolgen und bei sich konkretisierenden Anforderungen frühzeitig die notwendigen Vorbereitungen für eine ISMS-Implementierung einzuleiten (vgl. Giebichenstein/Schirp, „Neues IT-SiG und EnWG“, CB 3/2015).
Grundlegende Vorüberlegungen zum Aufbau eines ISMS Für die ISMS-Implementierung ist es wichtig, im Vorfeld wesentliche Rand- und Rahmenbedingungen zu betrachten. Fehler in den Vorbereitungen können am Ende des Projekts nur mit erheblichen Zusatzaufwänden und Anstrengungen wieder behoben werden. Im Folgenden werden wichtige Rand- und Rahmenbedingungen für eine erfolgreiche Implementierung beschrieben. Die Auswahl geeigneter Mitarbeiter Die Qualität eines ISMS wird in hohem Maße durch die mitwirkenden Personen beeinflusst. Daher sollte auf die Auswahl geeigneter Kandidaten, welche die Rollen und Verantwortlichkeiten bekleiden, großen Wert gelegt werden. Das Management beschreibt die Rollen
BEITRÄGE COMPLIANCE MANAGEMENT
Giebichenstein/Schirp: Step-by-step: Vorgehensweise und praktische Umsetzung der ISO 27001 für Unternehmen
entsprechend ihrer Aufgaben und Befugnisse und etabliert sie innerhalb der Organisation. Optimalerweise werden bereits während der Vorüberlegung geeignete Mitarbeiter mit entsprechender Qualifikation identifiziert. Diese sind sowohl in der Vorbereitung, als auch im späteren Projektverlauf und im Regelbetrieb für das ISMS mitverantwortlich. Der Mitarbeiter kann hierdurch sein Wissen mittels Training-on-theJob vertiefen und auf diese Weise im späteren Regelbetrieb eine größere operative Sicherheit erreichen. Die Auswahl der geeigneten Mitarbeiter ist ein herausfordernder Prozess. Falls sich keine geeigneten Kandidaten in der eigenen Organisation identifizieren lassen, müssen ggf. externe Ressourcen hinzugezogen werden. Die optimalen Qualifikationen umfassen dabei u. a. Kenntnisse des Projektmanagements, Experten-Know-how in den relevanten Regelwerken und Standards, Kommunikationsstärke und Wissen um die rechtlich-regulatorischen Kernanforderungen des Unternehmens. Weitere wichtige Eigenschaften sind technisches Verständnis sowie Erfahrung in der Gestaltung und Steuerung von Prozessen. Rückhalt im Management Ein offizielles und nachhaltiges Management Committment ist von essentieller Bedeutung, damit die ISMS-Implementierung möglichst reibungslos erfolgt (u. a. Qualität, Zeit, Budget). Die Herausforderungen eines Projektantrags liegen neben einer Beschreibung der Ziele in einer ersten Abschätzung der Zeitplanung und der personellen sowie monetären Ressourcen unter Berücksichtigung eines ersten groben Scopes, in dem das ISMS künftig betrieben werden soll. Gegebenenfalls ist auch der Einsatz externer Experten notwendig. Das Management muss weiterhin mit potentiell betroffenen Bereichen die Planungen abstimmen. Self-Assessment durch Standardfragebogen und GAP-Analyse Um Rahmenparameter valide einschätzen zu können, hat sich die Ermittlung des Status Quo i. V. m. einer sog. „Gap-Analyse“ als „Best-Practice“ bewährt. Innerhalb eines Vorprojektes wird dafür der personelle, prozessuale und organisatorische „Reifegrad“ des Unternehmens möglichst objektiv erhoben und bewertet. Dies geschieht mithilfe standardisierter Fragebögen, welche auf ISO-Standards, Best-Practices, rechtlich-regulatorischen und technisch-organisatorischen Anforderungen basieren.
Abbildung 1: Vorgehensweise zur Gap-Analyse
109
Vorgehensmodell zur Implementierung eines ISMS Auf Grundlage des ermittelten Status Quo (Ergebnis des Self-Assessments bzw. der GAP-Analyse) kann mit den Detailplanungen für das ISMS-Projekt begonnen werden. Die erforderlichen Schritte werden anhand des Phasenmodells zur ISMS-Implementierung beispielhaft aufgezeigt. Es ist in fünf aufeinander aufbauende Phasen gegliedert. Hieraus können Arbeitspakete und eine dedizierte Planung sowie Steuerung abgeleitet werden (siehe Abbildung 2).
1
Phase 1 – Kontext der Organisation und Geltungsbereich des ISMS (Scope) festlegen
Im ersten Schritt wird der eigene Kontext der Organisation analysiert, in der das ISMS betrieben werden soll. Dies geschieht zielführend auch anhand einer Checkliste. Die Themen zur Checkliste liefert Kap. 4 der ISO 27001, welches konkretisierend dann auf ISO 31000:2009, Kap. 5.3.1 verweist. Die zu untersuchenden Punkte werden z. B. mittels Interviews oder Workshops zusammengetragen. Dabei müssen insbesondere auch die rechtlichen und vertraglichen Anforderungen beachtet werden. Auch die Schnittstellen zu externen beteiligten Parteien müssen berücksichtigt werden. Zu diesen externen Parteien zählen u. a. Kunden, Dienstleister, Lieferanten und Behörden. Exkurs: Schnittstellen Schnittstellen sind diejenigen Verbindungen, an denen ein Informationsaustausch stattfindet. Sie müssen „gemanaged“ werden. Dies geschieht organisatorisch mittels SLA, OLA, LOI oder einer sonstigen adäquaten verbindlichen Regelung. Das gilt für ALLE Schnittstellen, egal ob diese unternehmensintern (z. B. zu HR) oder extern (z. B. zu IT-Dienstleistern) ausgerichtet ist. Die ISO 27001 unterscheidet deren Behandlung formal gesehen nicht. Die aus der Kontextbetrachtung gewonnenen Erkenntnisse bilden die Grundlage für die nachfolgenden Überlegungen zur Ermittlung des Geltungsbereichs (Scope). Damit dieser Norm-konform ist, erfordert es eine umfassende Ermittlung und Beurteilung der äußeren und inneren Rahmenbedingungen. Reine Einschätzungen des Unternehmens reichen nicht aus. Es hat sich bewährt, anhand einer strukturierten Liste mit u. a. folgenden relevanten Punkten vorzugehen: – Welche Organisationseinheiten im Unternehmen sollen vom ISMS künftig abgedeckt werden und welche nicht (Grenzen)? – Welches sind die (informationsverarbeitenden) Prozesse und die dazu gehörigen Datenflüsse? Wo liegen diese? – Welche externen Parteien („Dritte“) sind zu berücksichtigen (Kunden, Mitarbeiter, Dienstleister, Lieferanten, Behörden, …)? – Welche expliziten und impliziten Anforderungen und Erwartungen stellen diese „Dritten“ an die Organisation bzw. das ISMS? – Welche externen Einflussfaktoren (u. a. rechtlich-regulatorische Vorgaben, Wettbewerbssituation, Marktstellung, Branchenspezifika) sind zu berücksichtigen? Ein integriertes und aufeinander abgestimmtes Dokumentationsrahmenwerk sollte schon frühzeitig geplant und erstellt werden. Die Dokumentationsregeln müssen Anforderungen an die Prozesse zur Erstellung, Veröffentlichung, Speicherung, Änderung, Versionierung und Entsorgung erfüllen (Revisionssicherheit). Überwiegend werden
Compliance-Berater | 4/2015 | 7.4.2015
110
BEITRÄGE COMPLIANCE MANAGEMENT
Giebichenstein/Schirp: Step-by-step: Vorgehensweise und praktische Umsetzung der ISO 27001 für Unternehmen
Abbildung 2: Phasenmodell zur ISMS-Implementierung
dafür einfache Content Management Systeme wie WIKIs oder strukturierte Dateiablagen genutzt. An der Spitze der Dokumentation steht die Leitlinie der Informationssicherheit. Diese ist ein Pflichtbestandteil des ISMS mit folgenden Inhalten: – Benennung der Sicherheitsziele bzw. einer Methodik, um diese zu definieren – Definition, Festschreibung, Messung und Planung von Sicherheitszielen – die Selbstverpflichtung zur Herstellung von Informationssicherheit im Unternehmen – die Selbstverpflichtung zur kontinuierlichen Verbesserung des ISMS (KVP). Ein Richtlinienrahmenwerk wird optimalerweise schon von Anfang an mit aufgebaut. Im Rahmen der weiteren Phasen wird es kontinuierlich konkretisiert. Die hierfür relevanten und aufzunehmenden Inhalte können in Form eines übergeordneten Rahmenwerks alle Richtlinien abbilden. So können verschiedene aus der Norm geforderte Inhalte strukturiert und in übergreifenden Dokumenten thematisch abgebildet werden. Ein Beispiel könnte wie folgt aussehen:
Abbildung 3: Struktur eines Rahmenwerks
vorzuhalten. Dies gilt insbesondere im Falle einer angestrebten Zertifizierung. Eine Auflistung aller zusätzlich für die Zertifizierung notwendigen Pflichtdokumente samt Erläuterungen lässt sich aus der ISO ableiten. Das neu aufgenommene Kapitel „Führung“ im Standard stellt die Verantwortung des Managements im ISMS deutlich heraus. Dazu werden die Verantwortlichkeiten mittels dedizierter Aufgaben konkretisiert. Praktisch ist zu beachten, dass das „zum ISMS passende Management“ mit ins Boot geholt werden muss (dies muss nicht zwingend die Geschäftsleitung/der Vorstand sein). Die ergänzend erforderlichen Festlegungen von Rollen und Verantwortlichen sowie Ressourcen sind hier ebenfalls festgeschrieben.
2
Phase 2 – Schutzbedürftige Informationen und Assets identifizieren
Im zweiten operativen Schritt werden die schutzbedürftigen Geschäftsinformationen (primäre Assets) und die zugehörigen sekundären Assets erfasst. Zu den sekundären Assets zählen die informationsverarbeitenden IT-Anwendungen, Server- und Speichersysteme, Netzwerke und infrastrukturelle Einrichtungen sowie Arbeitsmittel oder auch Mitarbeiterrollen. Mittels einfacher Anwendungen (z. B. Exceltools) kann eine Wirkungskette für jedes Asset zusammengestellt und dokumentiert werden. Welche Geschäftsinformationen im definiertem Scope der Organisation von Bedeutung sind, ergibt sich durch Interviews mit den verantwortlichen Leitungsebenen. Nachfolgend ist der Aufbau eines Assetregisters exemplarisch dargestellt.
Abbildung 4: Aufbau eines Assetregisters
Weiterhin sind das prägnante und kurz formulierte „Scope Statement“ sowie die nachvollziehbaren Informationen zu seiner Ermittlung
Compliance-Berater | 4/2015 | 7.4.2015
Giebichenstein/Schirp: Step-by-step: Vorgehensweise und praktische Umsetzung der ISO 27001 für Unternehmen
Als verbindendes Strukturelement erfolgt die Zuordnung der sekundären Assets zu den primären Assets. Die Zielsetzung ist hier eine Identifizierung mit Bewertung der Risiken für die Assets im Rahmen der Schutzbedarfs- und Risikoanalyse vorzubereiten. Eine Inventarisierung in einem Assetregister fungiert dabei als dokumentarisches Bindeglied zwischen dem gewählten Scope, den Geschäftsprozessen mit den schutzbedürftigen Informationen und der Anwendung entsprechender Schutzmaßnahmen aus dem Annex A im Risikomanagement.
3
BEITRÄGE COMPLIANCE MANAGEMENT
111
Abbildung 5: Beispiel einer BIA Referenztabelle
Phase 3 – Schutzbedarfs- und Risikoanalyse durchführen
Exkurs: Risiko, Risikoanalyse & -management Unter einem Risiko versteht man den zu erwartenden Schaden bei Eintritt eines bestimmten Ereignisses. Um diesen Wert zu ermitteln, muss dafür die Eintrittswahrscheinlichkeit mit der maximalen Schadenshöhe multipliziert werden. Die Risikoanalyse beinhaltet die Identifizierung von potentiell bedrohlichen Ereignissen sowie deren Bewertung hinsichtlich ihrer Eintrittswahrscheinlichkeit und Schadenspotentiale. Das Risikomanagement umfasst den planvollen Umgang mit Risiken. Es werden anhand der Bewertungen Abwägungen getroffen, ob und in welchem Umfang Gegenmaßnahmen getroffen oder Risiken akzeptiert werden. Um zu bestimmen, welches Schutzniveau für einen bestimmten Geschäftsprozess inklusive seiner zugehörigen IT-Services und sekundären Assets angemessen ist, müssen Prozesse und Assets zunächst bewertet werden. Ein anerkanntes Instrument hierfür ist die Business Impact Analyse (BIA) (vgl. BSI-Standard 100-4: Notfallmanagement). Sie beinhaltet in der Praxis ein strukturiertes Interview auf Basis eines standardisierten und strukturierten Fragenkataloges, welches mit den vom Scope eingeschlossenen Fachbereichen geführt wird. Die Zielsetzung der BIA ist, die maximale Schadenshöhe durch Verletzungen der Schutzziele der Informationssicherheit innerhalb der einzelnen Geschäftsprozesse aus fachlicher Sicht zu identifizieren. Gleichzeitig wird auch die allgemeine Risikotoleranz ermittelt. Daraus können später die individuellen Schutzbedarfsanforderungen abgeleitet werden. Als strukturelles Hilfsmittel zur Einstufung in der BIA können die folgenden Kategorien genutzt werden: – Finanzielle Auswirkungen – Compliance-Auswirkungen – Operative Auswirkungen – Außen- und Innenwirkung Die Schadenspotentiale müssen für jedes der Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) konkretisiert werden. Bei der Beantwortung des Fragebogens werden die Schadenspotentiale in Kategorien eingeteilt. Hierbei gilt es darauf zu achten, dass mit wenigen unternehmensindividuellen Kategorien gearbeitet wird. Ein Beispiel sieht folgendermaßen aus: – A – kritisch ab 1 Mio. Euro – B – hoch 500 000 Euro bis 1 Mio. Euro – C – mittel 100 000 Euro bis 500 000 Euro – D – niedrig bis 100 000 Euro
Gefährdungsanalyse Eine strukturierte Gefährdungsanalyse ermöglicht eine umfassende Sicht auf Bedrohungen und Schwachstellen (in Kombination als Gefährdungen bezeichnet) von Assets und deren Eintrittswahrscheinlichkeit. Ausgewählte Bedrohungen und Schwachstellen werden zu Gefährdungen zusammengeführt, um eine vereinfachte Bewertungsmöglichkeit zu schaffen. Eine umfangreiche Gefährdungsliste liefert bspw. das BSI (vgl. BSI-Gefährdungskataloge) oder die ISO 27005. Bei der Beurteilung der Gefährdungen hinsichtlich ihrer Eintrittswahrscheinlichkeit sollen bereits vorhandene oder geplante Maßnahmen berücksichtigt werden. Für eine fundierte Gefährdungsanalyse empfiehlt es sich, diese im Rahmen einer Expertenrunde durchzuführen, um die Fragestellung durch auskunftsfähige Experten klären zu können.
Abbildung 6: Gefährdungskategorien
Die ermittelten und bewerteten Gefährdungen werden während eines Interviews am besten in einer Tabellenstruktur dokumentiert. Die eigentliche Risikobeurteilung kommt hierbei derart zu Stande, dass die durch die BIA ermittelten Schadensauswirkungen je Geschäftsprozess nun mit der ermittelten Eintrittswahrscheinlichkeit einer Gefährdung zusammengeführt werden, was dann ein bewertetes Risiko als Ergebnis liefert. Damit ist die Risikobewertung erfolgt und der Stand der Maßnahmen ermittelt. Fehlende, unvollständig oder unzureichend implementierte Maßnahmen können somit als Abweichungen bestimmt werden.
Compliance-Berater | 4/2015 | 7.4.2015
112
BEITRÄGE COMPLIANCE MANAGEMENT
Abbildung 7: Klassen-Eintrittswahrscheinlichkeit
Giebichenstein/Schirp: Step-by-step: Vorgehensweise und praktische Umsetzung der ISO 27001 für Unternehmen
Zeitgleich müssen die Monitoring- und Reportingprozesse etabliert sowie entsprechende Kennzahlen (KPI) entwickelt werden. Messund Kontrollpunkte sind zu aktivieren, welche zur Überprüfung der ISMS-Performance und Wirksamkeit herangezogen werden sollen. Eventuelle Dienstleister (externe Parteien) sind hierbei ebenfalls mit zu berücksichtigen.
5
Aus den ermittelten Werten für Ausmaß und Eintrittswahrscheinlichkeit ergibt sich eine Einordnung in Form einer Matrix, der sog. Risikomatrix. Wenn dies für jede relevante Gefährdung erfolgt ist, ist die Risikoanalyse abgeschlossen. Anhand der Liste können die bewerteten Risiken priorisiert werden und ein Risiko-Owner festgelegt werden, der sich u. a. um die Behandlung kümmert.
4
Phase 4 – Maßnahmen zur Risikobehandlung ermitteln und etablieren
Exkurs: Annex A Im Anhang A der ISO 27001 befindet sich eine umfangreiche, aber nicht erschöpfende Auflistung möglicher Maßnahmenziele und zugehöriger Maßnahmen. Die ISO 27002 enthält konkrete Ratschläge zur Anwendung und Implementierung. Im Anschluss an die Risikoanalyse wird festgelegt, wie diese Risiken behandelt werden sollen. Es erfolgt die Zuordnung der Maßnahmen aus dem Annex A oder aus weiteren Maßnahmenkatalogen für jede Gefährdung (1:n Beziehung von Gefährdungen zu Maßnahmen). Es entsteht somit ein Risikobehandlungsplan. Dieser umfasst die noch zu erledigenden Maßnahmen, um das ISMS zu etablieren. Jede Maßnahme wird dann i. S. e. Projektierung priorisiert, ausgearbeitet und einem Verantwortlichen zur Umsetzung (z. B. RisikoOwner) übertragen. Dieser steuert und überwacht die Durchführung bis zur Fertigstellung. Bei den Maßnahmen ist aus praktischer Sicht zu berücksichtigen, dass neben der inhaltlichen Planung einer Maßnahme auch Randbedingungen wie Wirtschaftlichkeit, Unternehmenskultur usw. zu beachten sind. Weiterhin sollten die die Maßnahme umsetzenden Personen sich den entsprechenden Rückhalt und die Mittel beim Management zusichern lassen. Überdies sollten auch diejenigen Mitarbeiter in die Planung einbezogen werden, die später im Regelbetrieb z. B. Kontrollhandlungen im Rahmen der Maßnahmen durchführen müssen. Mit der Umsetzung der Maßnahmen aus der Schutzbedarfs- und Risikoanalyse kann auch das für eine Zertifizierung erforderliche Statement of Applicability (SOA) fertiggestellt werden. Spätestens während der Überführung in den Regelbetrieb sollten ebenfalls die abschließend erforderlichen Kommunikations-, Trainings- und Awareness-Maßnahmen geplant und sukzessive umgesetzt werden. Alle im ISMS agierenden Mitarbeiter können so ihre Aufgaben besser verstehen und i. S. d. Vorgaben ausführen.
Compliance-Berater | 4/2015 | 7.4.2015
Phase 5 – ISMS messen, steuern und Verbesserungen durchführen
In der letzten Phase wird davon ausgegangen, dass die Umsetzung der Maßnahmen und die steuernden ISMS-Prozesse weitgehend eingeführt sind und sich bereits in der Stabilisierungsphase befinden. Weiterhin sind nun regelmäßig Auditaktivitäten durchzuführen, die sowohl interne präventive Überprüfungen, als auch Audits von Dienstleistern und Lieferanten umfassen. Ggf. müssen dafür die Dienstleister- und Lieferantenverträge angepasst werden. Es werden nun auch Sicherheitsvorfälle gemeldet und analysiert sowie Service-Level-Reports, Berichte der Revision oder anderer Externer Prüfer erstellt und ausgewertet. Allen diesen Aktivitäten ist aus dem ISMS heraus gemein, dass diese Anhaltspunkte für potentielle Abweichungen im ISMS zu identifizieren helfen. Diese sind sodann aus Risikosicht zu bewerten und mit Maßnahmen zur Verbesserung zu hinterlegen, die geeignet sind, Abweichungen zu korrigieren. Dies ist eine unmittelbare Voraussetzung für den kontinuierlichen Verbesserungsprozesses (KVP). Ein für den KVP auch im Kontext des ISMS anerkannter und bewährter Prozess ist der Deming-Cyle (mit den Phasen: Plan, Do Check, Act, kurz auch PDCAZyklus), der seitens der ISO hier methodisch herangezogen wird. Aus der Praxiserfahrung sei angemerkt, dass ein Zertifizierer i. d. R. nicht erwartet, dass alle initial ermittelten Maßnahmen zu einer Erstzertifizierung bereits zu 100 Prozent umgesetzt worden sind. Jedoch sind ausstehende Arbeiten nachvollziehbar zu steuern, und es sollten sich darunter keine signifikanten Maßnahmen befinden, die Zweifel an der systemischen Funktionsfähigkeit des ISMS aufkommen lassen (z. B. fehlender/nicht angewendeter Prozess zum Risikomanagement). Die Dokumentationslage (z. B. Richtlinien, Verfahrensanweisungen, Nachweise durchgeführter Kontrollhandlungen, etc.) wird im Rahmen der Nachvollziehbarkeit das Mittel sein, welches gegenüber dem Zertifizierer oder anderen Parteien die Basis für die Bewertung der Funktionsfähigkeit eines ISMS bildet – weshalb es sich empfiehlt, auch bei den Dokumentationsprozessen hohe Qualitätsansprüche zu formulieren und umzusetzen.
Projektdauer bis zur Zertifizierung Eine häufig gestellte praktische Frage ist die nach der Dauer eines ISMS-Einführungsprojektes. Diese Frage ist naturgemäß nicht eindeutig zu beantworten und hängt von einer Reihe zumeist unternehmensspezifischer Rahmenparametern ab. Diese umfassen typischerweise Aspekte wie den aktuellen Reifegrad von Prozessen und Dokumentationen im Unternehmen bis zur allgemeinen Unternehmenskultur in Sachen Sicherheitsbewusstsein, Compliance-konformen Verhalten oder dem sog. „Tone at the Top“. Auch die Branche und das damit verbundene rechtlich-regulatorische Umfeld haben Einfluss, da z. B. Banken (in einer hoch regulierten Branche) in der Compliance-Kultur
Giebichenstein/Schirp: Step-by-step: Vorgehensweise und praktische Umsetzung der ISO 27001 für Unternehmen
weit fortgeschritten sind im Vergleich zu anderen Branchen. Abschließend hat sich in der Praxis gezeigt, dass mit Beginn eines ISMSProjektes mindestens zwölf Monate, je nach Größe und Komplexität der Organisation aber auch 18–24 Monate, zu Grunde zu legen sind. Eine praktische Stabilisierungsphase, in der der Regelbetrieb läuft, Nachweise generiert und Feinjustierungen am Ablauf erfolgen, sollte dabei ggf. zusätzlich berücksichtigt werden. Dies ist vor dem Hintergrund wichtig, dass es Maßnahmen bzw. Kontrollen aus dem Annex A gibt, deren Frequenz z. B. eine jährliche Durchführung vorsieht (u. a. Testing von Notfallplänen nach A.17.1.3, sowie Überprüfung, Überarbeitung und Auswertung der Kontinuität der Informationssicherheit). Diese sind häufig in einer Stabilisierungsphase von z. B. drei Monaten nicht durchführbar.
BEITRÄGE COMPLIANCE MANAGEMENT
113
Um ein ISMS erfolgreich und effektiv zu implementieren, müssen verschiedene Herausforderungen gemeistert werden. Der Artikel soll einen Leitfaden vorgeben, anhand dessen sich Umsetzungsverantwortliche orientieren können, um diesen Herausforderungen zu begegnen. Das Element der vorgeschalteten Gap-Analyse hat sich nachhaltig bewährt, um auf Basis des Status Quo eine Standortbestimmung durchzuführen und die Projektfeinplanung auf eine valide Basis zu stellen. Für die Umsetzung empfiehlt sich die Vorgehensweise gemäß dem vorgestellten Phasenmodell, aus dem sich Arbeitsschritte und Arbeitspakete ableiten lassen. Die Zielsetzungen und wesentlichen Aufgaben innerhalb der Arbeitspakete sind in den einzelnen Phasen zusammengestellt. In jedem Falle ist es für die Projektverantwortlichen sehr wichtig, sich mit den genannten Standards eingehend zu beschäftigen, um den komplexen Sachverhalt zu strukturieren und zu vertiefen.
Berücksichtigung von Branchenspezifika am Beispiel des Energiesektors AUTOREN Da die ISO 27001 für Organisationen jeder Art und Größe anwendbar ist (vgl. ISO/IEC 27001:2013 Kap. 1), sind branchenspezifische Vorgaben daher prinzipiell höher zu priorisieren, da sie individuelle Gegebenheiten und Voraussetzungen betrachten. Zudem unterscheiden sich bspw. die Sicherheitsanforderungen des Energiesektors fundamental von denen anderer Branchen. Speziell bei den Steuerungsnetzen steht die Verfügbarkeit der IT-Service an oberster Stelle, um die Stromversorgung zu gewährleisten. In der ISO 27001 ist explizit vorgesehen, dass erforderliche Schutzmaßnahmen neben dem mitgelieferten Annex A auch explizit aus anderen Quellen verwendet werden dürfen. Dieses eröffnet die Möglichkeit, die erforderlichen branchenspezifischen Standards und Regelungen im Kontext des ISMS entsprechend mitzuberücksichtigen. Auch bei einer Zertifizierung (siehe ISO 27001, Kap. 6.1.3 b) können Maßnahmen nach Bedarf gestaltet oder vorgefertigte Maßnahmen aus anderen Quellen gewählt werden. Folglich können in der Praxis über diesen Weg die vorgeschlagenen Empfehlungen und Maßnahmen aus der DIN SPEC 27019 (DIN SPEC 27019 – Informationstechnik – Sicherheitsverfahren – Leitfaden für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung) im ISMS ergänzend berücksichtigt werden, sollten aber im Rahmen des Risikobehandlungsplans dann mit einer Quellenangabe gekennzeichnet werden, um die Nachvollziehbarkeit zu gewährleisten.
Fazit IT-SiG und der Sicherheitskatalog gem. § 11 Abs. 1a EnWG erfordern kurzfristigen Handlungsbedarf in den betroffenen Unternehmen. Die praktische Antwort auf die rechtlich-regulatorischen Vorgaben und Anforderungen ist die Einführung eines ISMS.
Rüdiger Giebichenstein, Dipl.-Wirtschaftsinformatiker, ist Partner bei der WTS Consulting GmbH und Steuerberatungsgesellschaft mbH mit den Beratungsschwerpunkten (IT-) Compliance und (IT-) Governance, Informationssicherheit, Risikomanagement, Datenschutz und Datensicherheit, Business Continuity Management und Qualitätsmanagement. Rüdiger Giebichenstein ist u. a. zertifizierter ISO/ IEC 27001 Lead Auditor sowie zertifizierter Datenschutzbeauftragter und hat sehr viele Beratungsprojekte bei nationalen und internationalen Unternehmen durchgeführt. Carsten Alexander Schirp, Dipl. Ing., ist als Senior Manager und Prokurist bei der WTS Consulting GmbH und Steuerberatungsgesellschaft mbH mit den Schwerpunkten Informationssicherheit, Risikomanagement, Datenschutz und (IT-) Compliance tätig. Er studierte Ingenieurwissenschaften an der BUGH Wuppertal und ist u. a. ISO/IEC 27001 Lead Auditor, lizenzierter Audit Teamleiter auf der Basis von IT-Grundschutz, IT Service Manager (ITIL), zertifizierter Datenschutzbeauftragter sowie Certified Information Systems Auditor (CISA). Carsten Schirp hat sehr viele Beratungsprojekte bei nationalen und internationalen Unternehmen durchgeführt.
Compliance-Berater | 4/2015 | 7.4.2015
