Informationssicherheit mit System: So funktioniert die ISO 27001 Zertifizierung

von Patrick Schuh

| 11.10.2022

|
• Tools •
• Insights

Banken, Versicherung, Gesundheitswesen oder IT-Unternehmen – aufgrund unserer Kundenstruktur ist Informationssicherheit schon seit vielen Jahren ein zentrales Thema für brainbits. Dabei sind wir immer nach bestem Wissen und Gewissen vorgegangen und haben uns in vielen Bereichen bereits einen soliden Stand erarbeitet. Allerdings ist es ein komplexes Thema, und gefühlt wuchsen die weißen Flecken auf der Landkarte immer schneller, je genauer wir hinschauten. Der Trend zu Cloud-Services, immer mehr IT-Anwendungen und die steigende Zahl an Berichten über Cyber-Attacken erhöhten den Handlungsdruck weiter.

Wir wünschten uns einen systematischen Ansatz, der uns dabei unterstützt, die verschiedenen Aspekte der Informationssicherheit vollumfänglich zu erfassen und zu behandeln. Die ISO 27001 bietet sich hier als international standardisiertes Normenwerk an. Sie genießt allerdings auch den Ruf, ein ziemliches Bürokratiemonster zu sein. Am Rande stellten wir im Rahmen einer Kooperation tröstlich fest: Verglichen mit dem IT-Grundschutz des BSI  erscheint die ISO 27001 geradezu leichtgewichtig. Und so entschlossen wir uns vor eineinhalb Jahren, mit der Einführung eines Informationssicherheitsmanagementsystems (ISMS) zu beginnen.

Was bedeutet ISO 27001?

• weltweit etablierte DIN-Norm für Informationssicherheit

• definiert die Grundlagen für ein System (Informationssicherheitsmanagementsystem - ISMS) zum Schutz von Unternehmens- und Kundeninformationen

• zertifiziert, dass ein ISMS den Anforderungen entspricht

• veröffentlicht von der Internationalen Organisation für Standardisierung (ISO)

• Prüfung durchgeführt durch unabhängige Dritte

• Ziel: Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in einem Unternehmen

Informationssicherheit ist mehr als IT Security

Oft wird fälschlicherweise angenommen, die ISO 27001 konzentriere sich ausschließlich auf IT-Sicherheit. Tatsächlich geht es aber ganz grundsätzlich um die Sicherheit von Informationen – gleich, in welcher Form. Also auch um Informationen außerhalb von IT-Systemen, zum Beispiel auf Schreibtischen oder in Konferenzräumen. 

Dementsprechend breit ist das Handlungsfeld, das sich bei der Umsetzung der ISO 27001 ergibt. Neben der technischen Absicherung von IT-Systemen müssen beispielsweise auch die Zutrittskontrolle im Büro, das Vorgehen in allen erdenklichen Notfällen und der organisatorische Umgang mit Sicherheitsvorfällen betrachtet, entwickelt, dokumentiert und eingeführt werden. Wie die ISO 27001 Zertifizierung konkret abläuft, ist von Unternehmen zu  Unternehmen verschieden. Generell sind aber doch einige Schritte vonnöten, die wir gern mal auflisten.

Ablauf der ISO 27001 Zertifizierung

• Feststellung des Bedarfs im Unternehmen

• Kontakt mit Beratungshaus

• Überprüfung von internen und externen Sicherheitsvorgaben, Prozessen und Dokumenten

• Gap-Analyse

• Handlungsplan

• sukzessive Umsetzung von Korrekturmaßnahmen

• Entscheidung für ein Tool, Zusammenarbeit mit dem Tool-Partner

• Audit durch unabhängige Dritte (z.B. vom TÜV)

• Zertifizierung

Die Dimensionen ganzheitlicher Informationssicherheit

Es liegt auf der Hand, dass nicht alle Anforderungen der Informationssicherheit allein durch technische Mittel gesichert werden können. In der Regel müssen organisatorische und technische Maßnahmen ineinandergreifen, um einen umfassenden Schutz sicherstellen zu können. Dieses Zusammenwirken wird in Form von Vorgehensweisen und Richtlinien in sogenannten "Verfahren" definiert, dokumentiert und fortlaufend weiterentwickelt.

Entscheidend bei der Definition der Verfahren und Umsetzung der Maßnahme ist es, dass die Anforderungen der Norm an die individuellen Gegebenheiten der jeweiligen Organisation angepasst werden. Dabei spielt das Risikomanagement die zentrale Rolle. Hierbei werden alle spezifischen Risiken der Organisation erfasst und anschließend gemäß ihrer Priorität durch geeignete Maßnahmen bearbeitet – und nach und nach entschärft.

Dieses iterative Vorgehen ergibt sich aus der Überzeugung, dass Sicherheitsmanagement in einer fortwährend wandelnden Umgebung nie "fertig" ist, sondern ständig auf die sich verändernden Bedingungen angepasst werden muss.

Wie lange dauert die ISO 27001 Zertifizierung?

• die genaue Dauer von der Bedarfserkennung bis zum Zertifikat hängt von individuellen Faktoren wie der Unternehmensgröße, der Branche oder der Art der zu schützenden Informationen ab

• generell sollten Sie jedoch von einer durchschnittlichen Dauer von anderthalb bis zwei Jahren ausgehen

• unter Umständen (und mit viel Hochdruck) lässt sich die Zertifizierung auch früher erreichen, allerdings ist es nicht sinnvoll, zu hastig vorzugehen, da die Maßnahmen das gesamte Unternehmen durchdringen müssen

Was bringt die Einführung eines ISMS?

Kein Unternehmen kann ein Interesse daran haben, dass unternehmensinterne Informationen unkontrolliert nach außen gelangen. Ein ISMS hilft dabei, Prozesse und Verfahren zum Schutz von Informationen im Unternehmen einzuführen, zu überwachen und kontinuierlich zu verbessern. Da wir uns immer mehr in einer digitalen Arbeitswelt wiederfinden, sorgt die Beschäftigung mit Informationsschutz automatisch dafür, dass die IT-Sicherheit gründlich untersucht und nach und nach optimiert wird. Zu den Anforderungen eines ISMS gehört es darüber hinaus auch, externe Compliance-Vorgaben, gesetzliche Regularien und interne Richtlinien einzuhalten. Dazu zählt beispielsweise die DSGVO.

Mit Hilfe der im Rahmen einer ISO-Zertifizierung eingeführten Verfahren wird außerdem der Umgang mit den besonders schützenswerten personenbezogenen Daten systematisiert. Das stärkt das Vertrauen externer Interessensgruppen in das Unternehmen und minimiert die Haftungsrisiken.

Und schließlich verlangt die ISO 27001 auch, dass das Thema Informationssicherheit auch im Bewusstsein aller Mitarbeitenden präsent ist. Hierzu gehören beispielsweise regelmäßige Schulungsmaßnahmen, die für die Gefahren sensibilisieren, die sich durch die Nutzung digitaler Medien ergeben. Ziel ist es, eine Arbeitskultur zu entwickeln, in der Informationssicherheit stets mitgedacht wird.

Was bringt eine ISO 27001 Zertifizierung – für die Kunden und das zertifizierte Unternehmen?

Für viele unserer Kunden ist ein professionelles Informationssicherheitsmanagement bei ihren Partnern kein Nice-to-have, sondern vielmehr Grundvoraussetzung dafür, dass überhaupt eine Zusammenarbeit zustande kommen kann. Um den zunehmenden Bedrohungen adäquat begegnen zu können, definieren gesetzliche Vorgaben und interne Compliance-Regelungen immer strengere Anforderungen an die Informationssicherheit. 

Auch wenn entsprechende Nachweise oft auch Einzelfallweise erbracht werden können, vereinfacht eine ISO 27001 Zertifizierung den Nachweisprozess oft erheblich.

Kunden, die keinen derart strengen Regularien unterliegen, profitieren natürlich ebenfalls von unseren hohen Standards bei der Informationssicherheit. Sie können darauf vertrauen, dass unsere Verfahren und Maßnahmen von unabhängiger Stelle regelmäßig geprüft und für wirksam befunden werden.

ISO 9001 + 27001 = Integriertes Managementsystem 

brainbits ist bereits seit 2007 nach der Qualitätsmanagementnorm ISO 9001 zertifiziert, was sich mit Blick auf die ISO 27001 als ziemlicher Glücksfall herausstellte. Denn beide Normen sind weitgehend identisch strukturiert. 

Das betrifft insbesondere den organisatorischen Rahmen, also das eigentliche Managementsystem. Viele Anforderungen – beispielsweise an die Dokumentenlenkung, das Risikomanagement oder die Verantwortlichkeiten der Leitung – sind in beiden Normen gleich. Und auch die grundsätzliche Struktur der Normenkapitel stimmt in beiden Normen überein. Hier macht sich die Vereinheitlichung der Normenstruktur in der ISO-Welt bemerkbar und liefert handfeste Vorteile bei der praktischen Umsetzung. Denn die für die ISO 9001 bereits eingeführten und etablierten Grundlagen des Managementsystems konnten wir praktisch 1:1 übernehmen und beide Normen in einem integrierten Managementsystem verbinden.

Confluence & Jira als Plattform für ISM-Systeme

Seit 2005 setzen wir bei brainbits Atlassian-Tools ein. Damals starteten wir mit Jira, um die Software-Entwicklung für unsere Kunden besser zu koordinieren. Seitdem haben wir immer mehr Prozesse in Jira und Confluence abgebildet: Projekt- und Team-Dokumentation, Vertragsmanagement, Investitionsanträge, Urlaubsanträge, Krankmeldungen, Bewerbungsmanagement, Wissensmanagement und Corporate-Design-Datenbank – all das und noch viel, viel mehr ist bei uns in Confluence und Jira abgebildet. 

Und auch bei der Umsetzung der ISO 9001 haben wir mit den Atlassian-Tools sehr gute Erfahrungen gemacht. Es stand also außer Frage, dass wir für sie ISO 27001 die bestehende Tool-Architektur weiterführen und ausbauen würden, um den Anforderungen an ein integriertes Managementsystem gerecht zu werden. 

Vorteile von Confluence und Jira als ISMS

• moderne Benutzungsoberfläche

• einfache Anwendung

• viele Konfigurationsmöglichkeiten

• maximale Skalierbarkeit

• beliebige Abbildung von Prozessen wie dem Risiko- oder dem Vorfallsmanagement

• geschmeidige Workflows dank ausgereiftem Ticketsystem

• Erstellung und Verwaltung von erforderlichen Vorgabendokumenten

• revisionssichere Dokumentation in Confluence

• Aufbau eines Asset-Inventars

• hoher Integrationsgrad der Tools für die optimale kontextuelle Verknüpfung von Verfahren, Metadaten und Aufzeichnungen 

• schnelles Erkennen der Zusammenhänge zwischen Artefakten wie Normen, Controles, Richtlinien, Maßnahmen, Risiken und Service-Dokumentation

Nun ist es nicht weiter verwunderlich, dass wir als Atlassian-Begeisterte die Lösung ziemlich schick finden. Aber selbst die zu Nüchternheit tendierenden Auditoren ließen sich während unserer Zertifizierung zu der Aussage hinreißen:

Danke! :-)