Standards zur Datensicherung

Standards zur Datensicherung

Artikel erschienen in IT Magazine 2008/22

Wie ein ISMS funktioniert

Wie bereits aus anderen Bereichen bekannt, verwenden auch die ISO-2700X-Normen das PDCA-Modell (Plan-Do-Check-Act) von William Edwards Deming (siehe dazu Grafik). Demnach muss ein Informationssicherheits-Managementsystem immer folgendermassen aufgebaut sein und angewendet werden:


Als erstes gilt es, die ISMS-Leitlinie, -Ziele, -Prozesse und -Verfahren festzulegen, die für das Risikomanagement und die Verbesserung der Informationssicherheit notwendig sind, um Ergebnisse im Rahmen aller Grundsätze und Ziele einer Organisation zu erreichen. Danach müssen das Umsetzen und Durchführen der ISMS-Leitlinie, Massnahmen, Prozesse und Verfahren definiert werden. Schliesslich folgen das Einschätzen und gegebenenfalls Messen der Prozessleistung an der ISMS-Leitlinie, den ISMS-Zielen und praktischen Erfahrungen sowie das Berichten der Ergebnisse an das Management zwecks Überprüfung. Abschliessend folgen das Handeln, das Ergreifen von Korrekturmassnahmen und Vorbeugungsmassnahmen, basierend auf den Ergebnissen von internen ISMS-Audits und das Überprüfen des Managements und anderen wesentlichen Informationen zur ständigen Verbesserung des ISMS.


Aufbau von ISO 27001

Schauen wir uns die ISO-Norm 27001, die in mehrere Kapitel unterteilt ist, noch ein bisschen genauer an. Der erste grosse Teil der Norm beschreibt die allgemeinen Anforderungen an ein ISMS. Ein wichtiger Aspekt gilt, das haben wir uns ja bereits näher angeschaut, dem Festlegen und dem anschliessenden Umsetzen und Durchführen. Dazu gehören die Definition des Anwendungsbereichs und der Grenzen, die Identifizierung der Risiken inklusive einer Analyse und Bewertung sowie die Optionen für die Risikobehandlung mit anschliessender Auswahl der Massnahmen zur Risikobehandlung. Die Norm verlangt hier unter anderem klar, dass ein Programm zur Schulung und Bewusstseinsbildung umgesetzt wird.


Weiter gehört zu einem ISMS nach ISO 27001 auch das Überwachen und Überprüfen in regelmässigen Abständen dazu. Die Norm verlangt, dass mindestens einmal pro Jahr interne beziehungsweise eigene Audits erfolgen müssen. Diese «internen» Audits dürfen an externe, spezialisierte Firmen in Auftrag gegeben werden. Dies kann sich sicherlich lohnen, kommt doch eine unabhängige Drittmeinung dazu. Alle drei Jahre ist die Zertifizierung zu wiederholen. Sollten in den internen und externen Audits Mängel festgestellt werden, sind diese instand zu stellen und zu verbessern.


Ein weiteres Kapitel im ersten Teil beschreibt die Dokumentationsanforderungen. Die Dokumentationen müssen Aufzeichnungen von Managemententscheidungen enthalten, sicherstellen, dass sich Aktivitäten auf Managemententscheidungen und Grundsätze zurückverfolgen lassen, und sicherstellen, dass die aufgezeichneten Ergebnisse reproduzierbar sind. Es ist wichtig, dass es möglich ist, die Beziehung von den ausgewählten Massnahmen zurück zu den Resultaten des Risikoeinschätzungs- und Risikobehandlungsprozesses nachzuweisen und weiterhin zurück zu der ISMS-Leitlinie und den -Zielen.


Neuen Kommentar erfassen

Anti-Spam-Frage Aus welcher Stadt stammten die Bremer Stadtmusikanten?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER