ISMS

ISMS

Information Security Management System

Das Informationssicherheits- Managementsystem gemäß ISO27001 ist ein Managementprozess, der in jedem Unternehmen weitreichende Folgen hat. Je nach bestehendem Organisations- und Sicherheitsniveau, Prozessen und Dokumentationsstand gestaltet ein ISMS das Unternehmen deutlich um. Damit dies auch effektiv und nachhaltig geschieht, müssen einige Basisdokumente vorab definiert werden. Eines dieser Basisdokumente ist der Anwendungsbereich oder Fokus, im Englischen auch Scope genannt. Der Scope hat seinen Ursprung im Projektmanagement: Damit ein Projekt, oder wie in diesem Fall ein Managementsystem, sauber und funktionell implementiert werden kann, muss es einen Fokus haben. Für diesen Fokus werden im späteren Projektverlauf die Ziele und Maßnahmen definiert; Dinge außerhalb des Fokus’ sollten nicht oder nur ausnahmsweise behandelt werden. Klar definierte Ziele, Maßnahmen und Grenzen sind die Grundlage für ein erfolgreiches ISMS. Ansonsten läuft ein Unternehmen Gefahr Arbeitspaket um Arbeitspaket, Maßnahme um Maßnahme ohne schlüssige Gesamtstrategie und Orientierung umzusetzen. Angewandt auf Sicherheitsmaßnahmen würden so Lücken gestopft, Konzepte und Richtlinien erstellt und trotzdem wäre das Unternehmen nicht gut geschützt. Solche unschlüssig strukturierten Projekte, die nicht zu einem gelebten ISMS führen, sind nicht selten. Ein solches ISMS würde nicht als laufendes und lebendiges Informationssicherheits-Managementsystem zertifiziert werden. Eine Zertifizierung wird jedoch in Zukunft gesetzliche Pflicht und um dieses Ziel zu erreichen, muss auf das für die Zertifizierung zentrale Basisdokument der ISO27001 besonderer Wert gelegt werden – der Anwendungsbereich oder »Scope«. Weiterhin müssen die zusätzlichen Anforderungen aus dem IT-Sicherheitskatalog berücksichtigt werden, da dieser für die Zertifizierung ebenfalls Berücksichtigung finden wird.

Der Scope ist also als Grundstein des ISMS zu betrachten. Alles, was im Scope liegt, wird als relevant für das ISMS und die Informationssicherheit im Unternehmen angesehen. Jedes Objekt (oder auch Asset), d. h. jeder Geschäftswert im Scope muss identifiziert und untersucht werden. Dabei wird ermittelt, welche Auswirkungen es auf die Informationssicherheit hat, wie wahrscheinlich die damit zusammenhängenden Risiken sind und welche Maßnahmen angewendet werden müssen, um das Risiko zu behandeln. Der Scope stellt dadurch auch einen unmittelbaren Zusammenhang zum Gesamtaufwand und zur Qualität des ISMS dar: Ist der Scope zu weit gefasst, müssen mehr Risiken als eigentlich notwendig betrachtet und mit entsprechenden Maßnahmen behandelt werden. Ist der Scope zu eng angesetzt, wurden eventuell Sicherheitsrisiken »ausgeblendet«, was die Effektivität und Plausibilität des ISMS unter Umständen gefährdet. Um diese Gefahr zu minimieren, sollte der Scope nicht als einzelnes Objekt angesehen werden, sondern als Prozess oder Leistungserbringung beschrieben werden. Dies stellt sicher, dass nicht nur Hardware, Systeme oder einzelne Organisationseinheiten betrachtet werden, sondern dass die erbrachte Funktion und die Menschen und Organisationen an allen Schnittstellen in den Vordergrund rücken. Nicht ohne Grund wählt die BNetzA im IT-Sicherheitskatalog für Energienetzbetreiber die Formulierung »alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Netzbetrieb notwendig sind« und spricht nicht einfach nur von »Leitstelle, Leittechnik, etc.« Beginnt man damit, den Scope zu definieren und zu dokumentieren, lohnt es sich gesetzliche und vertragliche Anforderungen zu identifizieren. In unserem konkreten Fall verpflichtet der IT-Sicherheitskatalog für Netzbetreiber, ein ISMS im Sinne der Norm ISO 27001 zu implementieren und zu zertifizieren. Streng genommen müsste man ein ISO 27001 ISMS nur für den Strom- und Gasnetzbetrieb anwenden. In vielen Fällen sind die Energieversorgungsunternehmen auch Wasser- und Abwasserversorger oder Betreiber von ÖPNV und Telekommunikationsnetzen: Allesamt Geschäftszweige, die potenzielle kritische Infrastrukturen (KRITIS) sind, welche aufgrund des IT-Sicherheitsgesetzes abgesichert werden müssten. Das IT-Sicherheitsgesetz, welches in seiner Formulierung wesentlich abstrakter ist, fordert von ihnen zur Absicherung dieser Infrastrukturen unter anderem Sicherheits- und Notfallkonzepte sowie deren Zertifizierung nach einem anerkannten Standard. All diese Anforderungen können bei Miteinbeziehung in den Scope auch durch das ISO 27001 ISMS erfüllt werden. Hier lohnt es sich also auch im Vorfeld genauer hinzuschauen und den Scope gegebenenfalls auszudehnen, um weitere Anforderungen (zum Beispiel Notfallkonzepte zur Vorlage bei Wirtschaftsprüfern), Verträge (zum Beispiel definierte Verfügbarkeiten in TK-Netzen, Servicelevel Agreement) oder Gesetze (zum Beispiel EnWG, KonTraG, GmbHG, BDSG) zu erfüllen. Allerdings kann hier noch keine Empfehlung zum genauen Vorgehen gegeben werden.

Mehr zum Thema

Facebook Twitter Google+ Pinterest
Telefon: +49 4609 97 99 69-0
An der Treene 20
24852 Langstedt
Germany
×

Log in