Suche

» erweiterte Suche » Sitemap

International


» Bild vergrößern
» weitere Bücher zum Thema


» Buch empfehlen
» Buch bewerten
Produktart: Buch
Verlag: Diplomica Verlag
Erscheinungsdatum: 06.2015
AuflagenNr.: 1
Seiten: 144
Abb.: 20
Sprache: Deutsch
Einband: Paperback

Inhalt

In der Einführung erhält der Leser wichtige Informationen über die internationale Normung und Grundlagen im Bereich des Informationssicherheitsmanagements. Anschließend werden die wesentlichen Änderungen zwischen den beiden Versionen (ISO/IEC 27001:2005 und ISO/IEC 27001:2013) analysiert und aufgezeigt. Dabei wird die Frage beantwortet, was an einem bestehenden ISMS geändert bzw. ergänzt werden muss und welche Inhalte obsolet geworden sind. In diesem Buch wird die ISO/IEC 27001 sowie dessen Anhang A betrachtet. Außerdem werden Erfahrungen aus der Praxis und Einschätzungen von Experten hinsichtlich der ISO/IEC 27001:2013 durch eine Befragung ermittelt. Den größten Mehrwert für Organisationen bietet der entwickelte Handlungsleitfaden. Darin wird für Organisationen ein grober Leitfaden mit Empfehlungen aufgezeigt, welche Handlungsfelder wie und in welcher Reihenfolge bearbeitet werden sollten sowie was dabei zu beachten ist und mit welchen jeweiligen Aufwendungen ungefähr zu rechnen ist. Dieser Handlungsleitfaden unterstützt Organisationen bei der Umsetzung der geänderten Anforderungen und der Vorbereitung auf eine erfolgreiche Zertifizierung nach ISO/IEC 27001:2013.

Leseprobe

Textprobe: Kapitel 6.1, Feststellung von Änderungen: An der ISO/IEC 27001:2013 wurde eine Vielzahl von Änderungen im Vergleich zur ISO/IEC 27001:2005 vorgenommen, die in den folgenden Abschnitten näher erläutert werden. Grundlage für die nachfolgenden Ausführungen sind eigene Textanalysen sowie die Tabellen, welche im Dokument JTC 1/SC 27/SD3 – Mapping Old-New Editions of ISO/IEC 27001 and ISO/IEC 27002 (kurz: SD3, dt. JTC 1/SC 27/SD3 – Zuordnung der alten und neuen Editionen der ISO/IEC 27001 und ISO/IEC 27002 ) dargestellt sind. Dieses Dokument wurde von der JTC 1/SC 27 am 25. Oktober 2013 herausgegeben. Das Dokument SD3 soll insbesondere für diejenigen Leser interessant sein, die ihr ISO/IEC 27001:2005-konformes ISMS auf die neue Version migrieren wollen. In der im SD3-Dokument enthaltenen Vergleichstabelle (Tabelle A), in der die beiden ISO/IEC 27001-Versionen verglichen werden, sind für die neue Version im Vergleich zur alten Norm 29 neue und 15 weggefallene Anforderungen genannt. Im Wesentlichen enthält das SD3-Dokument drei Tabellen: 1. Tabelle A: Vergleich der ISO/IEC 27001:2013 mit der ISO/IEC 27001:2005. 2. Tabelle B: Vergleich der ISO/IEC 27002:2005 mit der ISO/IEC 27002:2013. 3. Tabelle C: Vergleich der ISO/IEC 27002:2013 mit der ISO/IEC 27002:2005. Auf einen wichtigen Hinweis zum Dokument SD3 wird in dessen Einleitung aufmerksam gemacht. Mit der Nennung einer Beziehung zwischen den Anforderungen der beiden Norm-Versionen in den Tabellen wird nicht ausgesagt, dass die gegenübergestellten Anforderungen identisch sind. Vielmehr muss der Leser die Bedeutung bzw. den Grad der Veränderungen selbst bewerten. Eine solche Analyse mit anschließender Bewertung wurde vorgenommen. Die Ergebnisse werden in den folgenden Abschnitten erläutert. Dabei wurden auf Basis der Tabelle A des SD3-Dokuments insbesondere alle dort genannten Einträge untersucht. Wurde bei der Analyse festgestellt, dass die Anforderungen in der neuen Norm mit denen der alten Norm weitestgehend identisch sind, wird darauf in diesem Buch nicht näher eingegangen. Sind die Einträge jedoch signifikant verschieden oder neu in die neue Norm hinzugekommen, werden die Unterschiede bzw. Neuerungen genannt und erläutert. Sollte ich bei der Untersuchung zu anderen Ergebnissen, als denen im SD3-Dokument aufgeführten, kommen, so wird dies ebenfalls aufgezeigt und das Resultat ausführlich begründet. Außerdem sind in den folgenden Abschnitten auch Ergebnisse aus dem durchgeführten Dokumentenvergleich enthalten, die nicht auf der Basis des SD3-Dokuments beruhen. Sie sind das Ergebnis einer intensiven Dokumentenanalyse der beiden Versionen der ISO/IEC 27001. 6.2, Änderungen in der Anwendung der Norm: Eine Klarstellung betrifft die Norm als Ganzes. So war es für unerfahrene Leser der Norm nicht offensichtlich, in welcher Reihenfolge die Anforderungen implementiert werden müssen. D. h. es gab Leser, die aus der Reihenfolge der Anforderungen eine einzuhaltende Implementierungsreihenfolge schlossen. Diese Unklarheit adressiert die neue ISO/IEC 27001 eindeutig. In Abschnitt 0.1 dieser Norm wird ausgeführt, dass die Anforderungen in beliebiger Reihenfolge eingeführt werden können und die Reihenfolge der Nennung darüber hinaus keine Rangfolge oder Wertigkeit darstellt. 6.3, Änderungen in Kapitel 4: In diesem Abschnitt werden die geänderten Inhalte der neuen ISO/IEC 27001:2013 hinsichtlich des Verständnisses der Organisation und ihres Umfeldes näher erläutert. Die Vorgaben zur Definition des Geltungsbereichs werden in der ISO/IEC 27001:2013 deutlich erweitert. So wurden Anforderungen zur Darlegung des Verständnisses der Organisation und ihrer Rahmenbedingungen sowie des Verständnisses von Bedürfnissen und Erwartungen von interessierten Dritten, wie zum Beispiel Stakeholdern, ergänzt (Abschnitt 4.1). Das Dokument SD3 stellt dieser Anforderung den Abschnitt 8.3 der alten Norm gegenüber. In diesem Abschnitt sollen die Ursachen potenzieller Abweichungen identifiziert und durch entsprechende Präventivmaßnahmen vermieden werden. In Abschnitt 4.2.1 a) der alten Norm muss der Geltungsbereich des ISMS festgelegt werden. Die neue Norm fordert in Abschnitt 4.1 hingegen, dass alle internen und externen Aspekte ermittelt werden, welche das ISMS positiv und/oder negativ beeinflussen. Die neue Norm verweist dabei in einer Anmerkung auf den Abschnitt 5.3 der ISO 31000. Nach Humphreys sollen unter Anwendung der Vorgaben aus dieser Norm sowohl der interne (5.3.2) als auch der externe (5.3.3) Kontext einer Organisation bestimmt werden. Darüber hinaus muss das ISMS die Erreichung der beabsichtigten Ziele unterstützen (Abschnitt 4.1). Für den Erfolg des Managementsystems ist es deshalb nach Brewer notwendig, die Organisation und ihr Umfeld zu verstehen. Die Norm erwartet also, dass vor der Etablierung eines ISMS der Kontext der Organisation verstanden wurde. Beispiele derartiger Aspekte sind: Politische und finanzielle Rahmenbedingungen, Wettbewerbsumfeld, Beziehungen zu externen Teilhabern. Grundsätzlich beinhaltet der Managementteil der ISO/IEC 27001:2013 mehr Forderungen zur Orientierung des ISMS an den Forderungen der interested parties (dt. interessierte Parteien ) des ISMS (Abschnitt 4.2). Die interessierten Parteien, welche Relevanz für das ISMS haben, müssen zunächst ermittelt werden (Abschnitt 4.2 a)). Interested parties können zum Beispiel Kunden, Lieferanten, Aufsichtsbehörden oder Muttergesellschaften sein. Eine derartige Anforderung existiert in der ISO/IEC 27001:2005 nicht. Des Weiteren muss gemäß Abschnitt 4.2 b) der Bedarf dieser interessierten Parteien verstanden werden. Dieser Bedarf bzw. die Erwartungen können sich beispielsweise in Gesetzen, Verträgen oder sonstigen Regularien manifestieren, aber auch in nicht schriftlicher Form bestehen. Die ISO/IEC 27001:2013 fordert in Abschnitt 4.3, dass Organisationen die Grenzen und den Anwendungsbereich (engl.: scope ) des ISMS ermitteln. Dabei sind die eruierten Informationen aus den Abschnitten 4.1 und 4.2 (neue Norm) sowie die Schnittstellen und Abhängigkeiten aufgrund von Outsourcing-Konstellationen unbedingt zu berücksichtigen. Diese Schnittstellen und Abhängigkeiten mit einzubeziehen, ist neu in der Norm ISO/IEC 27001. Bei der alten ISO/IEC 27001 lag der Fokus auf der Abgrenzung des ISMS Asset-bezogen innerhalb der eigenen Organisation (Abschnitt 4.2.1 a)). Hierdurch wird ein wesentlicher Unterschied der beiden Normen deutlich: Die neue Norm bezieht das Umfeld der Organisation deutlich stärker in das ISMS mit ein. Der Scope des ISMS muss dokumentiert sein. Nach Brewer jedoch nicht der Kontext, die interessierten Parteien und ihre Anforderungen. Brewer macht in diesem Zusammenhang einen wichtigen Hinweis: Der Begriff Top Management bezieht sich in der Norm auf das ISMS. Das Top Management des ISMS muss nicht mit dem Top Management der Organisation übereinstimmen. Sollte das Top Management der Organisation die in der ISO/IEC 27001:2013 für sie vorgesehenen Aufgaben nicht erfüllen können bzw. sollen, sollte die Organisation hinsichtlich des ISMS als Untermenge der (Gesamt )Organisation (z. B. eines Unternehmens) definiert werden. Hierbei handelt es sich zwar nicht um eine Neuerung. Die neue Norm ist diesbezüglich jedoch deutlich einfacher verständlich und präziser in ihren Formulierungen, was in der Praxis zu mehr Klarheit führen dürfte. Das Dokument SD3 listet für das Kapitel 4 folgende neue Anforderungen für die ISO/IEC 27001:2013 im Vergleich zur alten Norm auf: 1. 4.2 a) Bestimmen der interessierten Parteien, die für das ISMS relevant sind 2. 4.3 c) Schnittstellen und Abhängigkeiten zu anderen Organisationen. Die Bestimmung der für das ISMS einer Organisation interessierten Parteien ist in der alten ISO/IEC 27001 nicht enthalten. Auch die Anforderung die Schnittstellen und Abhängigkeiten zu anderen Organisationen, welche Aktivitäten für die eigene Organisation durchführen, ist neu in der ISO/IEC 27001:2013. Ich bin der Meinung, dass der in Abschnitt 4.1 der neuen Norm formulierten Anforderung keine Entsprechung in der alten Norm gegenübersteht. Eine Organisation wird in diesem Abschnitt verpflichtet, die internen und externen Fragestellungen zu bestimmen, die für die Organisation relevant sind und die Zielerreichung des ISMS beeinflussen können. Eine derartige Anforderung kann ich dem Abschnitt 8.3 der alten Norm, wie es im Dokument SD3 notiert ist, nicht entnehmen. Dort sind die Anforderungen an Präventivmaßnahmen, insbesondere im Zusammenhang mit Abweichungen, dokumentiert. Bei den Anforderungen zur Bestimmung des Geltungsbereichs des ISMS in Abschnitt 4.3 a) interne und externe Fragestellung sowie in Abschnitt 4.3 b) die Anforderungen der Bedürfnisse und Erwartungen der interessierten Parteien zu berücksichtigen, handelt es sich meiner Meinung nach ebenfalls um neue Anforderungen. In der alten Norm ISO/IEC 27001:2005 lassen sich solche Forderungen nicht finden. Die im Dokument SD3 genannten Abschnitte enthalten diese Anforderungen nicht: Für Abschnitt 4.3 a) der neuen Norm die Abschnitte 4.2.1 a) und 4.2.3 f): Letztere beziehen sich auf den Geltungsbereich und die Abgrenzung des ISMS beziehungsweise auf die regelmäßige Überprüfung des ISMS. Für Abschnitt 4.3 b) der neuen Norm den Abschnitt 4.2.3 f), welcher die regelmäßige Überprüfung des ISMS beinhaltet. 6.4, Änderungen in Kapitel 5: In diesem Abschnitt werden die Änderungen an der ISO/IEC 27001 bezüglich der Führung durch das Top Management aufgezeigt. Laut Humphreys sind die Managementunterstützung und -verpflichtung für ein ISMS Schlüsselfaktoren zur Erreichung eines erfolgreichen und effektiven ISMS. Mit der neuen Version wurde ein Kernelement der ISO/IEC 27001 verstärkt. Dies wird insbesondere anhand der neuen Anforderungen an ein ISMS im Abschnitt 5.1 b) deutlich. Demgemäß hat das Top Management zu gewährleisten, dass die ISMS-Anforderungen in die Prozesse der Organisation integriert werden. Darüber hinaus sind noch weitere Anforderungen bezüglich der Managementunterstützung und verpflichtung zumindest erweitert und/oder präzisiert worden. Dies betrifft z. B. die folgenden Anforderungen der neuen Norm, nach denen das Top Management dazu verpflichtet wird: sicherzustellen, dass die Informationssicherheitsziele kompatibel mit den strategischen Zielen der Organisation sind, sicherzustellen, dass das ISMS die vorgesehenen Ergebnisse erzielt und ihre Führung durch die Unterstützung von relevanten Managern zu demonstrieren. Weitere Änderungen ergeben sich durch die ISO/IEC 27001:2013 für die Policy bzgl. Informationssicherheit. Die neue Norm spricht dabei nicht mehr von einer ISMS policy (alte Norm, Abschnitt 4.3.1 a)), sondern verweist namentlich auf eine information security policy (Abschnitt 5.2). Der Schwerpunkt dieser Richtlinie liegt mit der neuen Norm, anders als es der Name vermuten lässt, stärker auf dem Managementsystem selbst. Eine nennenswerte Änderung ist die Art der Formulierung. In der alten Norm musste das Management seine Verpflichtung nachweisen können (Abschnitt 5.1). Die neue Norm hingegen verlangt vom Top Management, dass es bezüglich der Informationssicherheit die Führung übernimmt und dies sichtbar werden muss (Abschnitt 5.1). Demgegenüber sind die Anforderungen der information security policy in der neuen Norm generischer gehalten, als diejenigen an die ISMS policy der alten Norm. So muss die information security policy lediglich dem Zweck der Organisation angemessen sein (neue Norm, Abschnitt 5.2 a)). Die ISMS policy hingegen muss detaillierter beschriebenen Kriterien gerecht werden z. B. geschäftliche, rechtliche und regulatorische Anforderungen (alte Norm, Abschnitt 4.2.1 b) 2)). In Abschnitt 5.3 der ISO/IEC 27001:2013 lassen sich ebenfalls Änderungen gegenüber der vorherigen Version ausmachen. So wird in der neuen Norm zwingend verlangt, dass das Top Management die Verantwortlichkeiten und Befugnisse für Rollen im Bereich Informationssicherheit zugewiesen hat und diese kommuniziert werden. In der alten Norm hingegen mussten die Rollen zwar durch das Management etabliert (Abschnitt 5.1 c)), jedoch nicht mitgeteilt werden. Außerdem muss die Verantwortlichkeit für den Bericht der Leistungseinschätzung des ISMS, welcher an das Top Management übermittelt wird, festgelegt sein (neue Norm, Abschnitt 5.3 b)). Eine entsprechende explizite Forderung hierzu ist in der alten Norm nicht zu finden.

Über den Autor

Stefan Beck wurde 1974 in Nürnberg geboren, ist verheiratet und wohnt in der Nähe von Nürnberg. Er studierte Betriebswirtschaftslehre mit Schwerpunkt Wirtschaftsinformatik und Organisation an der FH Ansbach (Diplom-Betriebswirt (FH)) und Security Management (M.Sc.) mit dem Schwerpunkt Forensik an der FH Brandenburg. Im Bereich Informationssicherheit ist Herr Beck seit mehr als zehn Jahren beruflich tätig. Er ist Manager bei Sopra Steria Consulting in der Abteilung Information Security Solutions und als Experte für Informationssicherheit und Datenschutz tätig. Schwerpunkte seiner Tätigkeit sind die Einführung und Weiterentwicklung von Informationssicherheits-Managementsystemen (ISMS), die Erstellung von Sicherheitskonzepten sowie die Durchführung von Risikoanalysen und Audits. Darüber hinaus besitzt er umfangreiche Erfahrungen in unterschiedlichen Branchen und berät namhafte Kunden in Deutschland. Zahlreiche Fachartikel (z. B. <kes>) unterstreichen seine Expertise und Erfahrungen im Bereich Informationssicherheit und Cyber-Security. Herr Beck verfügt über ein sehr gutes Netzwerk zu Informationssicherheits-Experten, IT-Sicherheitsbeauftragten, Datenschutzbeauftragten sowie Organisationen im Bereich IT-Security. Folgende Zertifizierungen hat er erfolgreich bestanden: • ISMS ISO/IEC 27001 Auditor/Lead Auditor • Auditteamleiter für ISO 27001 Audits auf der Basis von IT-Grundschutz (BSI) • IS-Revisions- und IS-Beratungsexperte auf der Basis von IT-Grundschutz (BSI) • Cyber Security Practitioner (ISACA) • Datenschutzbeauftragter DSB-TÜV (TÜV Süd) • Foundation Certificate in IT Service Management (ITIL) • SAP Security

weitere Bücher zum Thema

Bewerten und kommentieren

Bitte füllen Sie alle mit * gekennzeichenten Felder aus.