IT- und Informationssicherheitsstandards wie ISO27001 oder der im vorhergehenden Artikel beschriebene TISAX können einen grossen Nutzen haben. Gerade für ein grundlegendes Verständnis der für eine ausreichende Sicherheit notwendigen Organisation, Prozesse und eigentlichen Massnahmen können solche Standards sehr hilfreich sein. Es macht zudem Sinn, die (mindestens beim ersten Hinschauen) oft ungewöhnlichen branchenspezifischen Bedürfnisse jeweils in branchenspezifischen Sicherheitsstandards abzudecken.
Unternehmungen mit unterschiedlichen Geschäftssparten müssen dann aber oft auch (gleichzeitig) die jeweiligen branchenspezifischen Standards einhalten und dies allenfalls sogar mittels einer Zertifizierung oder Attestierung nachweisen. Da viele dieser Sicherheitsstandards in grossen Teilen ähnliche Themen abdecken, gibt es dann zur Erfüllung bestimmter Sicherheitsziele auch entsprechend ähnliche Gruppen von Massnahmen. Das heisst dann am Schluss, dass das Unternehmen in einem oder allenfalls mehreren Managementsystem(en) die entsprechenden spezifischen aber doch sehr ähnlichen Massnahmen z.B. aus dem Grundschutzhandbuch, aus ISO27001, NIST Cyber Security usw. parallel führen muss.
Damit sich das nicht zu parallelen Scheinsicherheits-Welten entwickelt, ist eine gute Abstimmung aller im jeweiligen Unternehmen angewandten Standards extrem wichtig. Man benötigt ein Mapping von jedem zu jedem anderen der eingesetzten Standards. Gibt es Ähnlichkeiten wie im Beispiel von TISAX mit ISO27001, sind solche Mapping-Tabellen noch einigermassen klar und handlich – aber häufig nur auf den ersten Blick, verbirgt sich doch z.B. hinter der Norm ISO27000 eine «Familie» von 58 (!) nur teilweise wirklich gut aufeinander abgestimmten Normen, Subnormen, Guidelines usw. Und wir haben ja nicht nur die ISO27000er-Familie; auch die anderen erwähnten Frameworks sind eigentliche Ungetüme mit unzähligen Sicherheitsmassnahmen zu unterschiedlichsten Themen.
Das Ganze wird nochmals dadurch erschwert, dass dann die ähnlichen aber halt doch anders «verankerten» Standards durch verschiedene Gremien geprüft und zertifiziert/attestiert werden (müssen). Im obigen Artikel zu TISAX wird erwähnt, dass die Abnahme durch eine durch die ENX Association akkreditierte Prüfstelle gemacht werden muss – und unabhängig davon halt noch eine weitere Prüfung durch eine ISO-akkreditierte Prüfstelle usw.
Um das Mass definitiv zum Überlaufen zu bringen, sei noch Folgendes erwähnt: Einige dieser Standards kennen Verfahren für eine mögliche Selbsteinschätzung (CSA). Wenn man diese CSA-Methoden genauer anschaut, gibt es solche mit 2 Bewertungsstufen («erfüllt» und «nicht erfüllt»), solche mit 3, 4 oder z.B. wie bei TISAX mit 6 Stufen. Was soll man jetzt machen, wenn der eine Standard eine Bewertung mit 3 Stufen verlangt und der andere Standard eine Bewertung mit 5 Stufen – zwei Mal bewerten oder einmal und dann irgendwie umrechnen?
Es gibt keine einfachen Antworten auf obige Fragen. Zwar gibt es käufliche wie auch handgestrickte Mapping-Tabellen, aber ob es damit wirklich besser geht, wage ich zu bezweifeln. Hilfreich ist allenfalls, wenn man eine (nicht Normen-spezifische) «Querschnittsausbildung» im Bereich der IT- und Informationssicherheit besuchen kann, wie dies z.B. in den CAS verschiedener (Fach)Hochschulen oder im CISM-Prüfungsvorbereitungskurs angeboten wird. Hier werden oft gute Analysen und Vergleiche der verschiedenen Sicherheitsstandards aufgezeigt, was einem den beruflichen Umgang mit ihnen vereinfachen kann. Aber die eigentliche Bewertung und Abstimmung muss aktuell immer noch selber gemacht werden.
Neues CAS IT Audit & Assurance an der HSLU
Willst du die IT- und Informationssicherheit in deiner Firma oder bei deinen Providern selber aber wirklich gut (über)prüfen können? Dann mache doch eine seriöse Aus-/Weiterbildung im Rahmen des neuen CAS «IT Audit & Assurance» an der Hochschule Luzern (am Standort Rotkreuz)! 15 langjährige ISACA-Mitglieder sind aktuell daran, das neue CAS fertig zu stellen. Das Programm mit den meisten Details steht bereits, viele der Unterrichtsunterlagen sind auch schon fertig – aktuell wird noch am Feinschliff sowie an den Gruppenarbeiten usw. gearbeitet.
Das neue CAS startet am 30. August, läuft dann jeweils freitags/samstags und schliesst im November mit einer Abschlussarbeit (in kleinen Teams à 3–4 Personen) ab.
Komme doch in unseren neuen Kurs – wir Dozierenden freuen uns auf dich! Peter
Fragen bitte an: peter.bitterli@hslu.ch
Autor
Peter R. Bitterli; CISA, CISM, CGEIT, CRISC, CDPSE; ISACA Switzerland Chapter
ITACS Training AG