Der Blick auf den Geltungsbereich
Mit dem Geltungsbereich (auch Scope genannt) wird die Grenze des ISMS festgelegt. Innerhalb dieses Geltungsbereichs müssen alle relevanten Assets, Prozesse, Schnittstellen und interne sowie externe Interessensgruppen ermittelt und dokumentiert werden. Es sollte jedoch darauf geachtet werden, dass der Geltungsbereich weitreichend genug ist, so dass kein Asset, Prozess oder ähnliches außerhalb des Geltungsbereiches eine erhebliche Auswirkung auf den Geltungsbereich hat. Stellt man also IT-Dienstleistungen bereit, sollte auch das Gebäude und der Zutrittsschutz im Geltungsbereich definiert sein.
Der Geltungsbereich wird bei einer Zertifizierung auf dem Zertifikat hinterlegt, deshalb sollte dieser ausreichend formuliert sein. Sie sind in der Beschreibung des Geltungsbereichs grundsätzlich frei, dennoch sollte die Formulierung nicht zu high-level aber auch nicht zu detailliert sein.
Ein Beispiel für ein IT-Unternehmen, welches Beratung und Umsetzung von IT-Projekten anbietet sowie dessen Hosting im angemieteten Rechenzentrum:
Beratung sowie Umsetzung von IT- und Managed Services-Projekten, Unterstützung im Fehlerfall und beim Infrastruktur-Betrieb
Beispiel für ein IT-Beratungsunternehmen
Beratung zu IT- und IT-Security-Projekten sowie Unterstützung im Fehlerfall
Der Überblick über die Rollen und Verantwortlichkeiten
In der Regel betrifft das ISMS alle Bereiche in der Organisation, deshalb ist die Stelle des Informationssicherheitsbeauftragen (ISB oder engl. Chief Information Security Officer, kurz CISO) als Stabsstelle in der Organisation zu integrieren.
Eine Linienintegration führt in der Regel zu einer Abweichung beim Audit. Da der ISB ebenfalls in seiner Tätigkeit weisungsfrei handelt, würde die Integration in die Linie auch nur für unnötige Reibungspunkte sorgen, was die Effektivität des ISMS negativ beeinträchtigen würde.
Das Top-Management muss sämtliche Führungskräfte abholen und in die Sicherheitspolitik unterweisen. Das Commitment aller Management-Ebenen und Führungskräfte ist für eine erfolgreiche Umsetzung unerlässlich.
Die Führungskräfte haben zudem die Aufgabe, die Informationssicherheit innerhalb ihres Wirkungskreises zu etablieren und ihre Mitarbeitenden für das Thema zu sensibilisieren. Letztlich ist jeder einzelne Mitarbeitende für den Erfolg entscheidend.
Der ISB übernimmt dabei die Aufgabe des zentralen Ansprechpartners, unterstützt die ausführenden Abteilungen in der konkreten Ausgestaltung von z. B. Handlungsanweisungen oder hilft bei der Interpretation der Anforderungen. Der ISB koordiniert und überwacht alle im Rahmen des ISMS anfallenden Aufgaben und berichtet direkt an die Leitungsebene.
Richtlinien und Dokumentenlenkung
Die Norm fordert, dass alle den Geltungsbereich des ISMS betreffende Prozesse dokumentiert und gelenkt werden müssen. Die Anforderungen werden in der Regel aus dem Annex der ISO abgeleitet und gliedern sich in die drei Bereich "Leitlinie", "Allgemeine Konzepte" und "Handlungsanweisungen" auf. Die Pyramide zeigt dabei auf, in welcher Hierarchie diese zu verstehen sind, so sind die Anforderungen der Leitlinie immer anzuwenden und z. B. auch bei den Allgemeinen Konzepten zu berücksichtigen. Der definierte Rahmen der vorherigen Ebene darf dabei nicht unterschritten werden, jedoch weiter verschärft werden. Die vorherige Ebene setzt also einen Mindeststandard für die weiteren Ebenen.
In Abhängigkeit der Größe der Organisation empfiehlt sich womöglich auch eine größere Pyramide mit bspw. fünf statt drei Ebenen. So können von oben bereits umfangreichere Definitionen getroffen werden, welche in der Ebene vier aber konkreter auf den jeweiligen Standort oder das Land bezogen werden können. So lässt sich die Informationssicherheit konkreter und granularer an die örtlichen Gegebenheiten anpassen. Damit lassen sich in der Regel Aufwand und Kosten deutlich reduzieren.
Die in der Leitlinie hinterlegten Anforderungen und Ziele sind sehr offen definiert und werden in den Ebenen darunter immer konkreter.
In den Allgemeinen Konzepten werden die Anforderungen der Leitlinie näher präzisiert und erste Anforderungen und Maßnahmen zur Einhaltung dargelegt. Dies kann z. B. beim Kryptokonzept die Festlegung der verwendbaren Ciphers sein.
In den Handlungsanweisungen sind auch die konkreten technischen Details definiert. Diese geben dem Mitarbeitenden also direkt vor, wie etwas umzusetzen ist.
Sie möchten weitere Informationen zum Thema Informationssicherheit oder einen Beratungstermin vereinbaren? Dann hier entlang: Beratung zu ISO-Normen.
