Unser Weg zur ISO 27001 Zertifizierung – Die Umsetzung

Kürzlich wurde im Blog-Beitrag zur ISO 27001 Zertifizierung bereits der strategische Ablauf beschrieben. Aber wie wurden die Anforderungen nun konkret in der TO umgesetzt?


Die Norm ISO 27001 an sich beinhaltet alle geforderten Maßnahmen, welche für die Zertifizierung umgesetzt werden müssen. Die Anforderungen lassen sich grob in 4 Umsetzungsmaßnahmen unterteilen: Richtlinien, Prozesse, organisatorische und technische Maßnahmen.
Die Norm stellt den Rahmen für alle zu behandelnden Thematiken. Durch die „Controls“ wird eine Art Wegweiser aufgezeigt welche Anforderungen in diesem Themenkomplex umgesetzt werden müssen. Die detaillierte Umsetzung obliegt dem Handlungsspielraum der einzelnen Unternehmen, hierzu gibt die Norm keine genauen Regelungen vor.
Dies ermöglicht den Unternehmen eine individuelle Umsetzung, sodass die Neuerungen an die Abläufe und die Struktur des Unternehmens angepasst werden können. Für die erfolgreiche Etablierung des ISMS ist dies unerlässlich. Die Anforderungen müssen so umgesetzt werden, dass die Mitarbeiter arbeitsfähig bleiben und die Prozesse und Richtlinien, ohne Blockaden, praktizierbar sind.

Grundlagen und Vorbereitung

Die Umsetzungsmaßnahmen bauen grundlegend auf den Ergebnissen der Gap-Analyse auf.
In dieser Analyse wurde der aktuelle Status-Quo des Unternehmens ermittelt.
So wurde ein Überblick geschaffen, welche Ressourcen bereits vorhanden sind und welche Maßnahmen neu eingeführt werden müssen, um ein ISMS gemäß der ISO 27001 zu etablieren.
Oftmals werden mithilfe der Gap-Analyse auch Möglichkeiten für Mischformen zwischen bestehenden Prozessen und der Einführung neuer Maßnahmen aufgezeigt. Beispielsweise hat ein Unternehmen bereits vorab Prozesse im Unternehmen eingeführt, welche mit Thematiken der Norm vergleichbar sind. Meist sind diese nicht in vollem Maße der Norm konform. In solchen Fällen bietet es sich an diese Prozesse zu nutzen und sie, der Norm gerecht, anzupassen.
Häufig lebt ein Unternehmen auch nach ungeschriebenen Regeln, d.h. jeder Mitarbeiter hält sich an diese Regelungen, obwohl diese nicht festgeschrieben sind. Im besten Fall entsprechen diese bereits der Norm ISO 27001, so müssen diese Regelungen lediglich in Dokumentenform festgehalten werden.

Bei der TO hatten wir glücklicherweise bei einigen Themenbereichen die Möglichkeit auf Vorleistungen zurückzugreifen und diese der Norm konform anzupassen.

Zur Verdeutlichung, einige Beispiele wie wir bei der TO konkret die Maßnahmen umgesetzt haben:

Zwischen Konformität und Anwendbarkeit

Uns war es besonders wichtig Dokumente zu erstellen, welche nicht nur in der Schublade liegen, sondern im Arbeitsalltag problemlos anwendbar sind. Leider gestaltet sich dies meist nicht so simpel, wie zu Beginn angenommen…
Während der gesamten Umsetzungsphase gab es immer wieder Zerwürfnisse der ersten Fassungen. Nach Verabschiedung einzelner Richtlinien wurde im Arbeitsalltag deren Untauglichkeit festgestellt. Kollegen war es nicht mehr möglich problemlos ihrer Arbeit nachzugehen, da diese von den Richtlinien erschwert oder sogar blockiert wurde. Demnach mussten wir diese Richtlinien bis zur Zertifizierung so überarbeiten, dass sie perfekt in die Abläufe der TO integriert werden konnten.

Richtlinien

Unter dem Abschnitt A.8.2 behandelt die Norm die Klassifizierung von Informationen. Im Control wird angegeben, dass die Dokumente nach Kritikalität gekennzeichnet sein müssen. Wir haben für diese Anforderung eine Richtlinie erstellt, welche die Kennzeichnungspflicht für jegliche Dokumente beinhaltet. Gleichzeitig regelt diese Richtlinie wer Zugang je Kritikalität erhält. Je niedriger ein Dokument eingestuft wird, desto mehr Mitarbeiter haben Zugriff darauf.

Im Absatz A.18.1 geht es um die Thematik Compliance. Als Beispiel hierfür eignet sich besonders eine Reiserichtlinie. Diese fiel zu Beginn unter die zuvor erläuterte Anwendbarkeit Problematik. In unserer Richtlinie werden Bestimmungen für eine Reise in Länder außerhalb der EU thematisiert. Besonders für die Länder USA und Neuseeland benötigen Unternehmen besondere Regelungen. Reisende müssen in diesen Ländern darauf vorbereitet sein, dem dortigen Flughafenpersonal Zugang zu den mitgeführten Geräten zu verschaffen. Unabhängig davon, ob es sich um geschäftliche oder private Endgeräte handelt, andernfalls kann die Einreise verweigert werden. Bei privaten Geräten ist das selbstverständlich jedem selbst überlassen, bei geschäftlichen Geräten stellt dies allerdings ein Problem dar. Auf diesen Geräten befinden sich sensible Daten, welche keinesfalls außerhalb des Unternehmens kommuniziert oder eingesehen werden dürfen. Diesbezüglich eine Richtlinie zu erstellen hatte sich schwieriger gestaltet als zu Beginn angenommen. Reist ein Mitarbeiter zu einem Kunden außerhalb der EU kann die Gefahr einer Rückreise bei nicht Offenbarung der Daten nicht riskiert werden. Der Zugriff auf diese Geräte stellt allerdings ein zu hohes Risiko dar. Letztendlich wurden hier die ersten Fassungen verworfen, da sie in dieser Art und Weise keine Anwendung finden konnten. Schließlich wurde eine neue, überarbeitete Richtlinie verabschiedet, welche alle Bereiche zufrieden stellt.

In Absatz A.11.2.8 fordert die Norm eine Richtlinie zum Schutz von unbeaufsichtigtem Equipment.
An dieser Stelle konnte die TO ihre „ungeschriebenen Regeln“ nutzen. Bereits vor der Einführung des ISMS wurden die Bildschirme beim Verlassen des Arbeitsplatzes von den Mitarbeitern gesperrt. Zusätzlich wurde durch eine automatische Sperrung nach einer gewissen Zeit Inaktivität abgesichert. Diese Regelung war bis dahin nicht schriftlich festgehalten, dennoch wurde sie einheitlich im Unternehmen praktiziert. Um der Norm gerecht zu werden, mussten sich die Mitarbeiter keinen neuen Richtlinien beugen, sondern konnten ihr gewohntes Verhalten beibehalten. Lediglich die Schriftform fehlte, diese konnte jedoch schnell und unproblematisch nachgeholt werden.
Die Verabschiedung dieser Richtlinien allein reicht allerdings nicht aus. Durch interne Audits muss regelmäßig deren Einhaltung überprüft werden.

Prozesse

Unter A.16.1 fordert die Norm einen Prozess, welcher das Verhalten im Security Incident Fall beschreibt. Hierzu muss vorab geklärt werden, welche Unternehmensbereiche involviert sind, wer welche Verantwortungsbereiche betreut, wer weisungsbefugt ist und an welche Stellen gemeldet werden muss. All diese Zusammenhänge müssen sowohl in Schriftform als Prozesseschreibung, aber auch als Prozessablaufdiagramm festgehalten werden. Ein Dokument allein reicht an dieser Stelle keinesfalls aus. Bis von einer Etablierung gesprochen werden kann, muss jeder Prozess regelmäßig eingeübt werden. Dies sollte mindestens zweimal im Jahr unter möglichst realen Testbedingungen erfolgen. Nur so kann ein koordiniertes Handeln im Ernstfall gewährleistet werden.

Organisatorische Maßnahmen

Unter den organisatorischen Maßnahmen verstehen sich organisatorische Abhandlungen im Unternehmen, welche im Zusammenhang mit der Zertifizierung durchzuführen sind. Dazu gehören beispielsweise Schulungsmaßnahmen, ein Informationssicherheits-Newsletter oder Risikoworkshops. Eine ausführliche Erläuterung finden Sie im vorherigen Blog-Beitrag zur ISO 27001.

Technische Maßnahmen

Die Norm gibt sehr wenige technische Maßnahmen vor. Eine dieser seltenen Fälle findet sich in A.12.4. An dieser Stelle fordert die Norm die Einführung eines Logmanagements. Die Logfiles von sicherheitsrelevanten Systemen müssen an einer zentralen Stelle abgesichert gesammelt werden. Zudem darf der Zugriff nur sehr stark eingeschränkt erfolgen.

Für die Umsetzung eines ISMS mit dem Ziel einer erfolgreichen Zertifizierung ist der Einsatz eines jeden Mitarbeiters im Unternehmen erforderlich. Jeder einzelne im Unternehmen spielt eine wichtige Rolle für die Einhaltung und Umsetzung der Maßnahmen. Stoßen die Maßnahmen auf dauerhafte und überwiegende Ablehnung ist die erfolgreiche Etablierung eines ISMS fast unmöglich. Zweifelsohne können nicht nur die Mitarbeiter die Umsetzung erschweren: ein auftretendes Problem kann sich auch in den Managementebenen der Unternehmen befinden. Soll ein ISMS eingeführt werden, muss die Unterstützung der oberen Ebene dauerhaft gegeben sein. Problematisch hierbei kann zum Beispiel sein, dass die Zertifizierung zwar vom Management gewünscht wird, jedoch wenig Bereitschaft entgegen gebracht wird, diese in Form von Budget oder Kapazität zu unterstützen.
Darüber hinaus hat das Management eine Vorbildfunktion für alle Mitarbeiter. Ist für diese keine Unterstützung ersichtlich, so überträgt sich diese Einstellung automatisch auf die Mitarbeiter.
Bei der TO hatten wir glücklicherweise keinerlei Probleme mit dieser Thematik. Das Management unterstützte uns tadellos bei der Umsetzung!

Vorteile der Zertifizierung

Aus meiner Sicht profitieren gleich mehrere Parteien von der ISO 27001 Zertifizierung.

Unternehmerische Vorteile

Besonders als Dienstleister im Bereich IT-Security wird eine solche Zertifizierung als besonders wichtig angesehen. Da es sich bei der Norm ISO 27001 um einen internationalen Standard handelt, welcher zudem hohe Anerkennung auf internationaler Ebene genießt, entsteht durch die Zertifizierung ein entscheidender Wettbewerbsvorteil.
Des Weiteren sinkt das Risiko eines schwerwiegenden Informationssicherheitsvorfalls, durch ein strukturiertes und stetig verbessertes ISMS, signifikant.
Darüber hinaus schafft der Weg zur Zertifizierung enorme Transparenz im gesamten Unternehmen. Für eine erfolgreiche Zertifizierung war es wichtig unseren CISO über alle Abläufe im Unternehmen in Kenntnis zu setzen, auch wenn diese zu dem damaligen Zeitpunkt noch nicht der Norm entsprachen. Jeder Mitarbeiter war sehr bemüht der Zertifizierung nicht im Wege zu stehen. Bei Unsicherheiten wurde der CISO informiert, sodass die Gegebenheiten geklärt und wenn notwendig angepasst werden konnten. Viele Abläufe waren im Detail allein den einzelnen Bereichen bekannt. Im Zuge der Zertifizierung konnte so das Black-Box-Phänomen gelöst werden und gleichzeitig wurde intern deutlich mehr Transparenz geschaffen.

Vorteile für unsere Kunden

Unsere Kunden bringen uns einen enormen Vertrauensvorschuss entgegen. Diesem können wir nun im besonderen Maße, durch den Nachweis der Zertifizierung, gerecht werden.
Gleichzeitig ist die Zertifizierung als ein Qualitätsmerkmal für unsere Arbeit anzusehen. Wir haben so gezeigt, dass wir Informationssicherheit können! Dies ermöglicht unseren Kunden eine optimale Grundlage ein ISMS auch bei ihnen einzuführen: Unsere Experten beraten nicht nur, sondern erleben und leben selbst täglich den Umgang mit einem ISMS. Sie wissen dadurch ganz genau wie ein arbeitsfähiges ISMS zu etablieren ist und was der Umgang im Arbeitsalltag damit bedeutet.
Die bereits genannte Senkung des Risikos eines schwerwiegenden Informationssicherheitsvorfalls stellt nicht nur einen unternehmerischen Vorteil dar, sondern gewährleistet gleichzeitig, dass wir unsere Kunden und Partner dauerhaft bedienen können. Unsere Zuverlässigkeit und Verfügbarkeit werden somit nachhaltig gesteigert.

Vorteile für uns als Mitarbeiter

Auch wenn es auf den ersten Blick bei all diese Maßnahmen mit den einhergehenden Veränderungen nicht den Anschein erweckt, bringt die Zertifizierung des ISMS auch einige Vorteile für die Mitarbeiter mit sich.
Eine sicher gestaltete und dennoch komfortabel nutzbare Informationslandschaft sorgt, gerade im IT-Security Umfeld, für zufriedene Mitarbeiter. Bekanntlich erhöht sich somit die Mitarbeiterbindung, welche wiederum den Geschäftserfolg begünstigt.
Des Weiteren wurde durch die zahlreichen Schulungs- und Umsetzungsmaßnahmen das Bewusstsein im Umgang mit Informationen bei jedem Mitarbeiter gestärkt. Auch IT-fremde Unternehmensbereiche beschäftigen sich seit der Umsetzungsphase mit dieser Thematik. Die Richtlinien und Prozesse wurden verinnerlicht und stellen somit eine Sicherheit für jeden Mitarbeiter dar, jedem ist nun bewusst, wie in welchen Situationen gehandelt werden muss. Unsicherheiten konnten so aufgelöst werden.

„Die Anforderungen, die auf dem Weg zur ISO 27001 Zertifizierung bei uns im Unternehmen umgesetzt wurden, entlasten uns bei unserer täglichen Arbeit und geben uns Sicherheit. An Stellen, wo wir früher bezüglich Datenschutz unsicher waren, wie z.Bsp. bei der Durchführung von Umfragen bei Kunden, wissen wir nun auf was wir konkret achten müssen. Falls doch Fragen auftauchen, wissen wir wo wir nachschauen bzw. an wen wir uns wenden können.“ – Tina Grüner, Marketing TO

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *