Österreich
Secure Your Business
 

Neue ISO 27003 – praxisnahes Werkzeug Für die Implementierung

„Bauanleitung“ mit Strukturplan: Informationssicherheit auf internationalem Niveau
 

(NL Juni 2010) - Informationssicherheit implementieren - aber wie? Dieser Frage stellten sich bereits mehr als 7.200 Unternehmen weltweit, die heute nach dem internationalen Security-Standard ISO/IEC 27001 eHGeyerrfolgreich zertifiziert sind. Mit der vor kurzem veröffentlichten Subnorm ISO/IEC 27003 hat die International Organization for Standardization nun einen praxisnahen Implementierungsleitfaden erarbeitet, der einen strukturierten Projektplan beinhaltet, so dass Einsteiger eine greifbare und verständliche Umsetzungshilfe darin finden. „Eine Chance auch für kleine und mittlere Unternehmen, Informationssicherheit bis zur Zertifizierungsreife Schritt für Schritt normkonform einzuführen“, betont CIS-Auditor Dipl.-Ing. Herfried Geyer. Während der Zertifizierungsstandard ISO 27001 mit seinen Spezifikationen für ein Managementsystem die Frage nach dem „Was“ beantwortet, umfasst der auf Kontrollziele und Maßnahmen fokussierte Praxisleitfaden ISO 27002 die Frage nach dem „Womit“. Ergänzend dazu beantwortet die ISO 27003 auf 70 Seiten mit Checklisten und Beispielen die Frage nach dem „Wie“. Ihr inhaltliche Rahmen erstreckt sich auf die Einführungsphase – nicht auf den Betrieb von Informationssicherheits-managementsystemen (ISMS) – und umfasst folgende Kapitel:

1. Scope
2. Normative references
3. Terms and definitions
4. Structure of this international standard
5. Obtaining management approval for initiating an ISMS project
6. Defining ISMS scope, boundaries and ISMS policy
7. Conducting information security requirements analysis
8. Conducting risk assessment and planning risk treatment
9 Design the ISMS
Annex A: An ISMS implementation checklist
Annex B: Roles and responsibilities for information security
Annex C: Information about internal auditing
Annex D: Information security policy structure
Annex E: Monitoring and measuring the ISMS


Sauberes Scoping über kritische Geschäftsprozesse

Salopp formuliert könne man bei ISO 27003 von einer gelungenen „Bauanleitung mit Strukturplan“ sprechen, mit dem die Implementierung von Informationssicherheit paketweise abgearbeitet werden könne ohne Elemente zu übersehen, meint Herfried Geyer. Dabei wird die Thematik durchaus kontroversiell mit detaillierten Fragestellungen und verschiedensten Überlegungen abgehandelt, was darrow_istockphotoen Leser bei der Bearbeitung zentraler Fragen unterstützt: "Welche Punkte sollten in welcher Tiefe ausgearbeitet werden und warum“. Generell liegt der Fokus der neuen Subnorm darauf, Informationssicherheit an Business Prozessen auszurichten. „Informationssicherheit soll kein Selbstzweck sein, sondern die Unternehmensziele unterstützen. Dieser Gedanke kommt in ISO 27003 klar zum Ausdruck“, betont der CIS-Auditor. Dies beginnt laut Kapitel 6 bereits bei einer sauberen Definition des zu zertifizierenden Bereiches: Der Anwender wird aufgefordert, kritische Geschäftsprozesse in das Scpoing aufzunehmen, auch wenn sie Abteilungs- oder Unternehmensgrenzen überschreiten wie etwa bei Budgeting und Accounting, Zulieferung oder Auslieferung. „Im englischsprachigen Raum ist das Prozessdenken stärker verankert. In Europa wird immer noch gern in Bereichsgrenzen gedacht, was für die betriebliche Informationssicherheit in einer zunehmend vernetzten Welt weniger zielführend ist. Immer mehr Unternehmen gehen dazu über, auch Zulieferer in die Informationssicherheit einzubeziehen. Wer diesen Weg einschlagen will, findet in der ISO 27003 das passende Werkzeug“, erklärt Herfried Geyer.
 

Business Analyse als Fundament für Risk Assessment
In Kapitel 7 zum Thema „requirement analysis“ findet sich eine Anleitung für die Business Analyse, die das Fundament für eine anschließende Risikoanalyse bilden soll. Demnach sind Kerntätigkeiten des Unternehmens
in Form von Geschäftsprozessen aufzulisten, zu klassifizieren und zu priorisieren. So soll wiederum sichergestellt werden, dass die Informationssicherheit nah an den Unternehmenszielen ausgerichtet wird. Erst dann erfolgt die in Kapitel 8 beschriebene Risikoanalyse, die in vielen Aspekten auf die Subnorm ISO 27005 für „information security risk management“ verweist. Im Rahmen des Implementierungsleitfadens ISO 27003 wird vor allem auf Risk Assessment und die Planung der Risikominimierung eingegangen.
 

Strukturplan mit Teilschritten
Zur Sache geht es schließlich in Kapitel 9 zum Thema „Design the ISMS“. Dazu gehören das Definieren von ISMS-Prozessen und Policies, Awareness-Bildung, die Umsetzung technischer und organisatorischer Maßnahmen, die Durchführung von Management Reviews sowie Monitoring und Measuring. Letzterer Aspekt klärt die Fragen „welche Ergebnisse welcher Maßnahmen sind zu bewerten und warum“ und verweist für konkrete Methoden auf die Subnorm ISO 27004 für Measurement. „Im Anhang wird auch ein Implementierungsplan für Security-Maßnahmen geliefert und erklärt, der es ermöglicht, Projektschritte
parallel oder seriell strukturiert abzuarbeiten“, führt Herfried Geyer aus und ergänzt: „Jeder Projektschritt ist übersichtlich in Teilschritte untergliedert. Für jeden Teilschritt finden sich die Unterpunkte Input / Abwicklung / Output. Insgesamt dient ISO 27003 als unterstützendes Instrumentarium, um strukturiert und professionell Informationssicherheit auf internationalem Niveau zu implementieren.“
steps500

 

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB