Informationssicherheits-Managementsystem (ISMS) ISO 27001

Auswahl der Strategie/des Rahmens für ein Informationssicherheits-Managementsystem (ISMS): Bestimmung des optimalen Ansatzes für die Entwicklung eines ISMS im Hinblick auf die Industrie, die Einhaltung von Vorschriften und Zertifizierungsanforderungen.

Bestimmung und Optimierung des ISMS-Umfangs: Die Bestimmung des Umfangs ist entscheidend für eine erfolgreiche ISO 27001 Zertifizierung. Der Geltungsbereich muss breit genug sein, um sicherzustellen, dass die wichtigsten Stakeholder (z.B. Kunden, Aktionäre) zufrieden gestellt werden, aber eng genug, um sicherzustellen, dass der anfängliche Aufwand überschaubar bleibt.

Risikobewertung: Risikobewertung/-management ist für ein ISMS von grundlegender Bedeutung. Wir glauben, dass ISO 27005 gegenüber vielen anderen Normen zur Risikobewertung den Vorteil hat, dass sie sich gut für einen nicht vermögensbasierten Ansatz eignet. Dieser Ansatz „Informationen und die Prozesse, die auf sie einwirken“ führt zu einem viel intuitiveren Prozess, der in kürzerer Zeit einen weitaus größeren Wert schafft.

Entwicklung eines Risikobehandlungsplans: Der Risikobehandlungsplan definiert die ISO 27002 Controls, die erforderlich sind, einschließlich des erforderlichen Umfangs und der erforderlichen Strenge, um Risiken auf ein Niveau zu behandeln (zu mindern), das vom Management als akzeptabel erachtet wird. Er ist ein grundlegendes ISMS-Artefakt und bildet die Basis/den Standard für die Lückenbeurteilung.

ISMS-GAP-Analyse: Das Verständnis der Lücke zwischen dem aktuellen und dem gewünschten Zustand des Informationssicherheits-Managementsystems (z.B. ISO 27001) ist ein wichtiger Beitrag zu einer „Priorisierten Roadmap“ (Aktionsplan).

Bewertung der Lücke bei Sicherheitskontrollen: Das Verständnis der Lücke zwischen dem aktuellen und dem gewünschten Zustand der Kontrollpraktiken ist ein Schlüsselelement für eine „Priorisierte Roadmap“ (Plan zur Behebung der GAPs). ISO 27002 Gap Assessments werden außerhalb der ISO 27001 Zertifizierungsanstrebungen häufig als „Best Security Practices“-Gap Assessment verwendet.

Definition priorisierter Roadmaps: Fahrpläne definieren die Aktivitäten, den Ansatz und die Zuständigkeiten, die erforderlich sind, um identifizierte Lücken im Zeitrahmen, der zur Erreichung der Projektziele einschließlich der Zertifizierung erforderlich ist, zu schließen.

Sicherheitsmetriken: Sicherheitsmetriken sind für den optimalen Betrieb eines ISMS von entscheidender Bedeutung, da sie wesentlich dazu beitragen, die Prinzipien der kontinuierlichen Verbesserung aufzuzeigen, die den meisten ISMS inhärent sind. Diese Dienstleistung konzentriert sich auf die Vereinfachung des Mess- und Berichterstattungsprozesses und damit auf die systematische Verbesserung der ISMS-Effektivität. Unabhängig davon, welcher Sicherheitsrahmen genutzt wird, bietet ISO 27004 eine ausgezeichnete Anleitung zu Sicherheitsmetriken.

Unterstützung von Policy, Standards und Procedures (PSP): PSPs bilden das Rückgrat eines jeden ISMS. Bemerkenswert ist, dass PSPs zwar die grundlegendsten Elemente eines ISMS sind, aber auch zu den komplexesten gehören, die effektiv umgesetzt werden können. Dies ist weitgehend auf den umfassenden und voneinander abhängigen Charakter der PSPs zurückzuführen. Entscheidende Entscheidungspunkte, die es vor Beginn eines PSP-Projekts zu berücksichtigen gilt:

• Die Struktur: Im Idealfall sind Richtlinien, Standards und Verfahren voneinander getrennt, was die laufende Verwaltung und das Versionsmanagement vereinfacht. Die meisten Organisationen kombinieren sie jedoch, was zu Komplexität führt, wenn ein bestimmtes Verfahren integraler Bestandteil mehrerer Standards und/oder Verfahren ist.
• Präsentation: Die meisten Organisationen verwenden ein lineares Dokumentformat für PSPs, das ihre hierarchische Beschaffenheit und ihre gegenseitigen Abhängigkeiten nur schlecht vermittelt. Zunehmend werden Wikis, SharePoints und/oder dedizierte ISMS-Managementsysteme eingesetzt, um dieser Herausforderung zu begegnen.
• Das Publikum: PSPs haben oft mehrere Zielgruppen (z.B. Mitarbeiter, IT-Personal, Auftragnehmer, Berater, Management). Zielgruppe, Struktur und Präsentation sind eng miteinander verknüpft und entscheidend dafür, dass PSPs verstanden und befolgt werden. Wenn das gewünschte Publikum nicht EINFACH alle relevanten Informationen zu einem bestimmten Thema finden kann, das es ansprechen möchte, ist eine Nichtübereinstimmung so gut wie sicher.
• Geschäftlich: Die Größe des Unternehmens, die Risiko-/Risikotoleranz, das interne Fachwissen, die Verfügbarkeit von Ressourcen, das Budget und der aktuelle Reifegrad der PSPs haben einen erheblichen Einfluss auf den Aufwand.
• Extern: Die Vorschriften und externen Geschäftskontexte können den Aufwand erheblich beeinflussen.
• Versionskontrolle: Es ist von entscheidender Bedeutung, dass Mechanismen vorhanden sind, die sicherstellen, dass alle erforderlichen Genehmigungen für Änderungen prüfbar sind, Versionshistorien aufbewahrt werden und nur aktuelle Versionen leicht zugänglich sind.
• ISMS Interne Revision: Integraler Bestandteil des PDCA-Modells der meisten ISMS ist die Durchführung einer internen Revision, um festzustellen, ob die Kontrollziele, Kontrollen, Prozesse und Verfahren ihres ISMS eingehalten werden.

Unterstützung bei Zertifizierungsaudits: Viele Organisationen glauben, dass die Anwesenheit eines ISMS Managers & Auditors vor Ort während einer oder beider Phasen des Zertifizierungsaudits den Prozess vereinfacht und das Risiko verringert, dass Nichtkonformitäten angeführt werden.

27001-Zertifikatsverlängerung: Wir setzen uns oft dafür ein, dass Organisationen den anfänglichen Umfang ihres ISO 27001 Zertifikats minimieren, um den Grad der Unterbrechung der Geschäftstätigkeit zu begrenzen. Die Verlängerung des Zertifikats während Überwachungsaudits ist der einfachste Ansatz zur schrittweisen Erweiterung des Umfangs eines ISMS.

Laufende Mitgliedschaft im Risikomanagement-Team: Die Aufrechterhaltung einer optimalen Zusammensetzung des Risikomanagement-Komitees gewährleistet die laufende Wirksamkeit der Risikomanagement-Funktion, die für die laufende Wirksamkeit des ISMS entscheidend ist. Viele Organisationen bevorzugen die Einbeziehung einer unabhängigen und objektiven Drittpartei mit organisationsübergreifendem/branchenübergreifendem Fachwissen, um den Betrieb des Risikomanagementausschusses zu optimieren.