Newsfeed abonnieren
Mit der Anfang dieses Jahres veröffentlichten Subnorm ISO/IEC 27003 hat die International Organization for Standardization einen praxisnahen Implementierungsleitfaden erarbeitet, der einen strukturierten Projektplan beinhaltet, so dass Einsteiger eine greifbare und verständliche Umsetzungshilfe darin finden.
"Das ist eine Chance, dass auch kleine und mittlere Unternehmen Informationssicherheit bis zur Zertifizierungsreife Schritt für Schritt normkonform einführen können", betont Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS. Während der Dach-Standard ISO 27001 mit Spezifikationen zur Zertifizierung von Managementsystemen die Frage nach dem "Was" beantwortet, umfasst die auf Kontrollziele und Maßnahmen fokussierte Guideline ISO 27002 die Frage nach dem "Womit". Ergänzend dazu beantwortet die ISO 27003 auf 70 Seiten mit Checklisten und Beispielen die Frage nach dem "Wie".
Ihr inhaltlicher Rahmen erstreckt sich auf die Einführungsphase - nicht auf den Betrieb von Informationssicherheitsmanagementsystemen (ISMS) - und umfasst Kapitel wie :
- Scoping und ISMS Policy
- Anforderungsanalyse
- Risk Assessment / Planung
- ISMS-Design
- Implementation Checklist
- Internes Auditing
- Monitoring and Measuring
Salopp formuliert könne man bei ISO 27003 von einer "Bauanleitung mit Strukturplan" sprechen, mit dem die Implementierung von Informationssicherheit paketweise abgearbeitet werden könne ohne Elemente zu übersehen, erklärt CIS-Auditor Herfried Geyer. Dabei wird die Thematik kontroversiell mit detaillierten Fragestellungen und verschiedensten Überlegungen abgehandelt, was den Leser bei der Bearbeitung zentraler Fragen unterstützt: "Welche Punkte sollten in welcher Tiefe ausgearbeitet werden und warum". Generell liegt der Fokus der neuen Subnorm darauf, Informationssicherheit an Business Prozessen auszurichten. "Informationssicherheit soll kein Selbstzweck sein, sondern die Unternehmensziele unterstützen. Dieser Gedanke kommt in ISO 27003 klar zum Ausdruck", erläutert Herfried Geyer.
Das beginnt bereits bei einer sauberen Definition des zu zertifizierenden Bereiches: Der Anwender wird aufgefordert, kritische Geschäftsprozesse in das Scpoing aufzunehmen, auch wenn sie Abteilungs- oder Unternehmensgrenzen überschreiten wie etwa bei Budgeting und Accounting, Zulieferung oder Auslieferung.
CIS-Chef Scheiber: "Im englischsprachigen Raum ist das Prozessdenken stärker verankert. In Europa wird immer noch gern in Bereichsgrenzen gedacht, was für die betriebliche Informationssicherheit in einer zunehmend vernetzten Welt weniger zielführend ist. Daher gehen immer mehr Unternehmen dazu über, auch Zulieferer in die Informationssicherheitssysteme einzubeziehen. Wer diesen Weg einschlagen will, findet in der ISO 27003 das passende Werkzeug."
1/2012
8/2011
7/2011
Mag. Christoph Weiss, i2s consulting, Leiter Büro Österreich: Magister und Textil-Fachingenieur. Führungserfahrung als IT-Leiter im Bereich technischer Grosshandel. Mehrfach Linien- verantwortlicher für ERP-Einführungen. Lehrbeauftragter an der Fachhochschule Technikum Wien. Vorstandsmitglied der Arbeitsgemeinschaft für Datenverarbeitung (ADV) 