ISO 27001Anforderungen
Über ISO 27001 Anforderungen
Der ISO 27001-Standard ist seit 2005 verfügbar, aber viele Compliance-Beauftragte haben immer noch Schwierigkeiten, die Auswirkungen der ISO 27001 Anforderungen auf ihren spezifischen situativen Kontext zu verstehen. Der Standard wird überarbeitet und die neueste Version ist ISO 27001:2013. Obwohl es sich um einen „lebenden“ Standard handelt, der eine kontinuierliche Verbesserung im Laufe der Zeit ermöglicht, gibt es einige Bausteine, die seit der Veröffentlichung des Standards unverändert geblieben sind.
Im Folgenden sind die wichtigsten ISO 27001 Anforderungen des Standards aufgeführt, die Compliance-Beauftragte bei der Entwicklung eines Informationssicherheits-Managementsystems (ISMS) gemäß ISO 27001:2013-Standards berücksichtigen sollten:
- Informationssicherheitsrichtlinien
- Organisation der Informationssicherheit
- Personalsicherheit
- Vermögensverwaltung
- Zugangskontrolle
- Kryptographie
- Physische und Umweltsicherheit
- Betriebssicherheit
- Kommunikationssicherheit
- Systembeschaffung, Entwicklung und Wartung
- Lieferantenbeziehungen
- Management von Informationssicherheitsvorfällen
- Informationssicherheitsaspekte des Business Continuity Managements
- Einhaltung
Organisation der Informationssicherheit: – Dieser Abschnitt der ISO 27001 Anforderungen bezieht sich darauf, wie Ihre Organisation die Informationssicherheit in Ihrer Organisation betrachtet und kommuniziert. Der Fokus liegt hauptsächlich darauf, wie Informationssicherheit auf der Managementebene gemanagt und kommuniziert wird. Die Organisation sollte über eine dokumentierte Richtlinie zur Informationssicherheit verfügen, diese allen Mitarbeitern und Dritten mitteilen, Verantwortlichkeiten für das Management der Informationssicherheit zuweisen, ein Register der ISMS-Elemente führen, sicherstellen, dass sie ihre Richtlinien einhalten und deren Einhaltung überwachen, um nachzuweisen, dass sie diese ISO 27001 Anforderung erfüllen.
Planung der Informationssicherheit: – Planungsprozess der Informationssicherheit, einschließlich der Bewertung von Risiken für Ihre Geschäftsprozesse und der Implementierung von Kontrollen, die diese mindern. Dies ist eine der wichtigsten ISO 27001 anforderungen, um die Risiken zu verstehen, die sich auf die Organisation auswirken könnten.
Unterstützung der Informationssicherheit: – Festlegen eines angemessenen Sicherheitsniveaus für Betriebssysteme, die für die Verarbeitung und Speicherung Ihrer Daten verwendet werden. Eine ISO 27001-konforme Organisation sollte auch die unternehmensweiten Risiken berücksichtigen, die sich auf mehrere Geschäftsprozesse und -systeme auswirken würden, und Kontrollen einrichten, um diese als Teil der Erfüllung dieser ISO 27001 Anforderung zu reduzieren.
Betriebsmanagement der Informationssicherheit: – Die gesamte tägliche Betriebssicherheit sowie das Vorfallmanagement, dh der Prozess zur Verwaltung von Sicherheitsverletzungen, müssen gemäß dieser ISO 27001 Anforderung behandelt werden. Hier muss der Compliance-Beauftragte sicherstellen, dass in allen Betriebssystemen angemessene Sicherheitskontrollen implementiert sind und bei früheren Audits oder bei regelmäßigen Kontrollen festgestellte Abweichungen behoben werden.
Messung: – Messung Ihrer Unternehmensleistung basierend auf Informationssicherheitsstandards und stellt außerdem sicher, dass Sie Ihre Fortschritte überprüfen und der Geschäftsleitung darüber berichten. Dies ist Teil der ISO 27001 Anforderung, dem Management über den Umsetzungsgrad, die Stärken und Schwächen sowie die Maßnahmen zu berichten, einschließlich der Planung der Haushalts anforderungen für die Zukunft.
Verbesserung der Informationssicherheit: – Dieser Abschnitt der ISO 27001 Anforderungen ist von entscheidender Bedeutung, da er sicherstellt, dass Ihr Unternehmen seine Informationssicherheitsstandards kontinuierlich verbessert.
In diesem Abschnitt gibt es drei Haupt ISO 27001 anforderungen:
- Sicherstellen, dass Sie alle möglichen Risiken berücksichtigen, Ihre bestehenden Kontrollen überwachen und diese basierend auf neuen erkannten Bedrohungen und Schwachstellen verbessern;
- geeignete Maßnahmen zum Umgang mit Risiken und Nichtkonformitäten definieren und umsetzen,
- Um sicherzustellen, dass Ihre Kontrollen wirksam sind, müssen Sie sie regelmäßig mit internen oder externen Experten evaluieren.
Obligatorische ISO 27001 Anforderungen
Die beiden wichtigsten Aktivitäten bei der Implementierung von ISO 27001 sind:
Abschnitt 4.3, Umfang Ihres ISMS, in dem Sie darlegen, welche Informationen geschützt werden müssen; und
In Abschnitt 6.12 beschreiben Sie, wie Sie eine Risikoanalyse durchführen und einen Ansatz zur Behandlung von Informationsrisiken festlegen würden (der die ersten sechs Absätze umfasst).
ISO 27001 Anforderungen nach Klauseln:
- Informationssicherheitspolitik und -ziele (Ziffern 5.2 und 6.2)
- Informationsrisikobehandlungsprozess (Abschnitt 6.1.3)
- Risikobehandlungsplan (Ziffern 6.1.3 e und 6.2)
- Risikobewertungsbericht (Ziffer 8.2)
- Aufzeichnungen über Ausbildung, Fähigkeiten, Erfahrungen und Qualifikationen (Ziffer 7.2)
- Überwachungs- und Messergebnisse (Ziffer 9.1)
- Internes Auditprogramm (Ziffer 9.2)
- Ergebnisse interner Audits (Ziffer 9.2)
- Ergebnisse der Managementbewertung (Ziffer 9.3)
- Ergebnisse der Korrekturmaßnahmen (Abschnitt 10.1)
Anhang A Kontrollen?
Anhang A beschreibt die Kontrollen, die gemäß den ISO 27001 anforderungen mit verschiedenen Risiken verbunden sind. Anhang A enthält die folgenden Textarten:
- Kontrollziele
- die Kontrollaktivität (zu ergreifende Maßnahmen); und
- Die Kontrolle zur Unterstützung bei der Risikobewertung (Definition des Geltungsbereichs).
Dokumente, die erforderlich sind, um nachzuweisen, dass die Kontrollen, die Ihre Organisation unterhält, Sie außerdem dokumentieren müssen:
- Definition von Sicherheitsrollen und Verantwortlichkeiten (Abschnitte A.7.1.2 und A.13.2.4);
- Inventar der Vermögenswerte (Abschnitt A.8.1.1);
- Akzeptable Nutzung von Vermögenswerten (Abschnitt A.8.1.3);
- Zugangskontrollrichtlinie (Abschnitt A.9.1.1);
- Arbeitsanweisungen für das IT-Management (Abschnitt A.12.1.1);
- Prinzipien der sicheren Systemtechnik (Abschnitt A.14.2.5);
- Sicherheitspolitik des Lieferanten (Abschnitt A.15.1.1);
- Incident-Management-Verfahren (Abschnitt A.16.1.5);
- Geschäftskontinuitätsverfahren (Abschnitt A.17.1.2);
- Gesetzliche, behördliche und vertragliche ISO 27001 Anforderungen (Ziffer A.18.1.1); und
- Protokolle von Benutzeraktivitäten, Ausnahmen und Sicherheitsereignissen (Klauseln A.12.4.1 und A.12.4.3).
ISO 27001 Anforderungen und -Dokumentation
Alle ISO 27001 Anforderungen, -Systeme, -Sicherheitsrichtlinien und -Verfahren sollten dokumentiert werden. Da diese Informationen für die Einhaltung von ISO 27001 in Ihrem Unternehmen von entscheidender Bedeutung sind, müssen Sie sicherstellen, dass sie aktuell und genau sind.
