Freitag, Dezember 19, 2008

Marcus Dahlen: ISO 27001 - Security ist mehr als Virenschutz und Firewalls

Hej igen!

In meinem letzten Blog habe ich über ein Projekt im Bereich „Security Risk Management“ erzählt, wo wir gezeigt haben, wie sicherheitsrelevante Probleme (keine übergreifende Koordination der Sicherheitsthemen, kein IT-Risikomanagement, etc.) durch ein ISMS (Informationssicherheitsmanagementsystem) mit ISO 27001 und IT-Grundschutz vom BSI (Bundesamt für Sicherheit in der Informationstechnik) bewältigt werden können.

Andere häufig vorkommende Sicherheitsprobleme, die viele Unternehmen betroffen sind u.a. „ineffektive“ Sicherheitsorganisationen, kein verbreitetes Verständnis für Informationssicherheit (Security Awareness) und keine standardisierten, bekannten und „gelebten“ Sicherheitsrichtlinien (Security Policies, Guidelines, Standards, etc) innerhalb des Unternehmens.

ISO 27001 ist mit anderen ISO Normen, wie ISO 14001 für Umweltmanagement und ISO 9001 für Qualitätsmanagement, verwandt und von der Vorgehensweise sehr ähnlich aufgebaut. Alle drei Normen bauen auf dem PDCA-Zyklus nach William Deming. (PDCA steht für Plan, Do, Check und Act). ISO 27001 (von 2005) beschreibt (hauptsächlich) Prozesse zur Einführung (Plan), Umsetzung (Do), Betrieb und Überwachung (Check) eines ISMS sowie deren kontinuierliche Verbesserung (Act). Eine Grundidee bei ISO27001 ist ein Framework zu bieten mit dem Prozesse, für das Management von Informationssicherheit, etabliert und gelebt werden können. Andere Schwerpunkte sind die Verantwortung für Informationssicherheit bei der Führungsebene in einer Organisation zu verankern und ein IT-Risikomanagementsystem zu etablieren.

Die Norm beinhaltet Themen wie Security Organization, IT Risk Management, Security Awareness, Security Policy, etc. Zu der ISO-Familie ISO 2700x gehört auch ISO 27002 (Code of Practice). In dieser Norm sind zehn Kapitel mit Maßnahmen, so genannte „Security Controls“, definiert. Das sind high-level Maßnahmen wie z.B. Erstellung und Review von Sicherheitsrichtlinien, Information Back-Up und Security of Network Services.

Wo IT-Grundschutz von BSI einen basisschutzorientierten Bottom-Up-Ansatz mit IT-Sicherheitsfokus hat, bietet ISO 27001 eher einen prozessorientierten, risikobasierten Top-Down-Ansatz für Informationssicherheit. Die IT-Grundschutz-Methodik vom BSI wurde 2005 in Deutschland weiterentwickelt, um ISO 27001-konform zu sein. In diesem Zusammenhang wurden die BSI-Standards (ISMS, IT-Grundschutz-Vorgehensweise, etc.) veröffentlicht, die zusammen mit den Gefährdungs- und Maßnahmen-Katalogen umfangreiche Informationen zur IT-Sicherheit beinhalten. Ein Unternehmen hat heute daher die Möglichkeit ein ISMS nach ISO 27001 auf Basis von IT-Grundschutz einzuführen.

Genau wie für ISO 9001 und ISO 14001 kann man ein komplettes Unternehmen oder ein Teil des Unternehmens (z.B. kritische Geschäftsprozesse) auch zertifizieren lassen. Ein Zertifikat kann z.B. einen Wettbewerbsvorteil bieten oder ein Maßstab für die Umsetzung von Sicherheitsmaßnahmen für das Unternehmen sein. Eine Zertifizierung ist eigentlich eine Momentaufnahme, aber weil ISO 27001 prozessorientiert ausgerichtet ist, wird bei der Zertifizierung geprüft, ob Prozesse etabliert sind, die auf Vorfälle geeignet reagieren kann und ob das Sicherheitsmanagement gelebt wird.

Hej då och God Jul! (Frohe Weihnachten!)

Marcus

Keine Kommentare: