, , ,

Datenschutz in ein bestehendes ISMS integrieren (Teil 5 – Führung und Planung)

In den ersten vier Artikeln dieser Serie ging es um eine kurze Einführung in die Struktur der ISO 27701:2021 und einen kurzen Überblick über die neuen Controls im Anhang der Norm. In diesem Artikel soll es um die Veränderungen bzw. Erweiterungen der Normkapitel der ISO 27001:2013 durch die ISO 27701:2021 gehen, insbesondere zur Planung im DSMS.

Die ISO 27001:2013 geht in ihr letztes Jahr. Die meisten Organisationen haben bereits auf die ISO 27001:2022 umgestellt. Zur ISO 27701 gibt es allerdings erst einen Entwurf einer Version mit Bezug zur ISO 27001:2022. Daher werde ich hier, wahrscheinlich ein letztes Mal, ausgehend von der ISO 27701:2021 Bezug auf die ISO 27001:2013 nehmen. Für die hier betrachteten Themen wird dies keinen Unterschied machen, da es hier wie da keine wesentlichen Unterschiede im Bezug auf diese Themen gibt bzw. geben wird.

Erweiterung der Normkapitel der ISO 27001:2013 im DSMS

Kapitel 5 der ISO 27701 nennt die Erweiterungen der Normkapitel der ISO 27001 “PIMS-spezifische Anforderungen in Bezug auf ISO/IEC 27001”. PIMS ist die Abkürzung für Privacy Information Management System, also für ein Datenschutzmanagementsystem (DSMS).

Die allgemeinste Anforderung ist, dass überall dort, wo die ISO 27001 von “Informationssicherheit” spricht, dies durch “Informationssicherheit und Datenschutz” zu ersetzen ist.

Spezifische Änderungen, bzw. weitergehende Anforderungen werden für die Kapitel 4 und 6 der ISO 27001:2013 aufgestellt. Die anderen Normkapitel bleiben, abgesehen von der Änderung von “Informationssicherheit” zu “Informationssicherheit und Datenschutz”, unberührt.

Anforderungen zu Kapitel 6 der ISO 27001:2013 “Planung”

Anforderungen zu Kapitel 6.1 “Maßnahmen zum Umgang mit Risiken und Chancen”

Dieses Kapitel erweitert das Risikomanagment um das Thema Datenschutz. Es sind also nicht nur Informationssicherheitsrisiken sondern auch Datenschutzrisiken zu betrachten.

Datenschutzrisiken unterscheiden sich von Informationssicherheitsrisiken dadurch, das zum einen ausschließlich personenbezogene Daten betrachtet werden. Zum anderen sind die Auswirkungen des Risikos auf den Betroffen im datenschutzrechtlichen Sinne zu betrachten (vgl. Art. 4 Abs. 1 DSGVO, Art. 32 Abs. 1 DSGVO und Art 35 DSGVO).

Bei der Gestaltung des Risikomangments für die Datenschutzrisiken kann also das Risikomanagment der Informationssicherheit verwendet werden. Es muss lediglich um das Schadensszenario Rechte und Freiheiten natürlicher Personen erweitert werden. Dabei ist darauf zu achten, dass bei der Berechnung des Risikoniveaus ein hoher Schadenswert für Rechte und Freiheiten natürlicher Personen nicht durch andere Schadensszenarien “weggemittelt” wird.

Auch die ausgewählten Maßnahmen sind so auszuwählen, dass sie das Risiko für die betroffenen Personen auf ein akzeptables Niveau senken. Was akzeptabel ist, ist dabei aus der perspektive der betroffenen Personen zu betrachten, nicht aus der Sicht der eigenen Organisation.

Die Anwendbarkeitserklärung (SoA) nach Kapitel 6.1.3 d) der ISO 27001:2013 ist um die Controls des Anhangs B der ISO 27701:2021 zu erweitern. Ausschlüsse sind hierbei weiterhin risikobasiert möglich oder wenn die Controlls nicht zutreffend sind, z.B. die Controls für Auftragsverarbeiter für Nicht-Auftragsverarbeiter. Auf die Einhaltung der jeweiligen Gesetze ist selbstverständlich zu achten. Viele der Controls gehen unmittelbar auf die DSGVO zurück und sind dann, sofern für die Organisation zutreffend, nicht ausschließbar.

Wie in der Einführung zu dieser Artikelserie angekündigt ergeben sich also erhebliche Synergien. Es bedarf nur eines einheitlichen Risikomanagements für Informationssicherheit und Datenschutz, sofern dieses wie dargestellt an die spezifischen Bedürfnisse des Datenschutzes angepasst ist.

Anforderungen zu Kapitel 6.2 “Informationssicherheitsziele und Planung zu deren Erreichung”

Beim Thema Ziele gibt es keine spezifischen Erweiterungen. Lediglich die allfällige Forderung, dass neben Informationssicherheitszielen auch Datenschutzziele für relevante Funktionen und Ebenen festgelegt sowie Pläne zum erreichen dieser Ziele aufgestellt werden müssen.

Wie es weiter geht

Der nächste Artikel dieser Serie zur ISO 27701 wird sich mit den Neuerungen der dann erschienen DIN EN ISO/IEC 27701:2024 (oder 2025?) beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

“Domain Storytelling” von Stefan Hofer und Henning Schwentner, eine Rezension

Cover Buch Domain StorytellingAm 29.06.2023 ist im dpunkt.verlag auf 254 das Buch Domain Storytelling von Stefan Hofer und Henning Schwentner erschienen.

Das Buch richtet sich nach eigenen Angaben an Softwarearchitekten, Softwareentwickler, Projektverantwortliche, Business Analysten, IT-Consultants und das IT-Management. Damit liege ich als Berater für Informationssicherheit eigentlich nicht in der Zielgruppe.

Allerdings stehen wir in der Beratung zum Informationssicherheitsmanagement vor ähnlichen Herausforderungen, wenn es darum geht, organisatorische Abläufe zu verdeutlichen, zu diskutieren und abzustimmen. Unsere Berater sind daher immer wieder auf der Suche nach geeigneten Methoden hierfür. Möglicherweise werden wir beim Domain Storytelling fündig. Domain Storytelling ist eine grafische Modellierungstechnik, die veranschaulicht, wie Menschen zusammenarbeiten. Fachexperten beschreiben Softwareexperten, wie sie Tätigkeiten in ihrem Anwendungsbereich ausführen. Dies wird gemeinsam visualisiert und hilft den Softwareexperten bei der Entwicklung der Software.
In der Beratung ist es ganz ähnlich. Berater beschreiben, wie die Abläufe sein sollen. Sie sind Fachexperten, in unserem Fall für Informationssicherheit. Die Beratungskunden haben dabei die Rolle, die sonst den Softwareexperten zukommt. Sie müssen die Abläufe in ihrer Organisation implementieren.

Das Buch führt in seinem ersten Teil in das Domain Storytelling ein. Die Methode verspricht eine einfache, unmittelbar eingängige, bildliche Darstellung von Abläufen. Dem Betrachter erklären sich die Abläufe von selbst, ohne dass er sich zuvor in die Methode einarbeiten muss. Das sind gute Voraussetzungen für einen schnellen Start. Die Autoren verdeutlichen das an eingängigen Beispielen.

Der Zweite Teil des Buches ist dem praktischen Einsatz der Methode gewidmet. Erläutert wird dies ebenfalls an zahlreichen Beispielen.

Domain Storytelling zwingt zum Formulieren im Aktiv. Bei Tätigkeiten wird klar, wer eine Tätigkeit ausführt. In Audits und in der Beratung sehen meine Kollegen und ich immer wieder Vorgabedokumente, die Passivformulierung verwenden und damit im Unklaren lassen, wer für die Umsetzung verantwortlich ist.
Ein Beispiel: In Richtlinien finden sich oft Sätze wie “Die Zugangsrechte müssen regelmäßig überprüft werden.” Die Verwendung des Passivs “muss geprüft werden” lässt offen, wer die Prüfung durchführen soll. Die Folge ist, dass ein entsprechende Prüfung mit hoher Wahrscheinlichkeit nicht stattfinden wird. Daher sind Formulierungen im Aktiv wie “Der Teamleiter IT-Administration sorgt für die Überprüfung der Zugangsrechte.” die besseren Formulierungen. Die Nutzung von Domain Storytelling zwingt nun dazu, darüber nachzudenken, zu entscheiden und entsprechend zu dokumentieren, wer was machen muss. Ein echter Gewinn.

Gut gefallen hat mir auch der Blick der Autoren nach rechts und links. So wird das Verhältnis des Domain Storytellings zu acht anderen Modellierungswerkzeugen wie beispielsweis UML und BPMN erläutert. Das ist sicherlich hilfreich für alle, die entsprechende Werkzeuge bereits im Einsatz haben.

Ein online bereitstehender Editor macht es möglich, das Gelesene sofort auszuprobieren.

Zusammenfassend kann man sagen, dass die Autoren anschaulich und mit vielen Beispielen mit dem Domain Storytelling in eine Methode einführen, die in Beratung und Schulung von großem Nutzen sein kann. Ich jedenfalls werde die Methode in meinen nächsten Schulungen und auch in der Beratung probeweise verwenden und zu einem späteren Zeitpunkt über meine Erfahrungen berichten.

/von
,

TISAX® – Informationssicherheit im Detail, Teil 5

Nicht erst seit der Corona Pandemie taucht der Begriff HomeOffice in der öffentlichen Diskussion des Öfteren auf. Daher verwundert es nicht, wenn man entsprechende Anforderungen auch im VDA-ISA-Katalog (TISAX®) findet – allerdings unter der Bezeichnung „Mobiles Arbeiten“ …

Mobiles Arbeiten bezeichnet in der Informationssicherheit das Arbeiten außerhalb des eigenen Firmenstandortes. Die Arbeitsleistung kann dabei sowohl in der Privatwohnung („HomeOffice“) als auch außerhalb der Privatwohnung erbracht werden, z.B. beim Treffen in den Räumlichkeiten von Kunden, während der Bahnfahrt oder im Hotel. Wesentlich sind hier die unterschiedlichen Möglichkeiten des mobil Arbeitenden, Einfluss auf seine Umgebung zu nehmen. In der eigenen Wohnung kann man die Arbeitsumgebung meist sicher gestalten, z.B. mit abschließbaren Ablagen für Papiere oder Modelle, oder indem das Mithören von Gesprächen durch geschlossene Türen und Fenster verhindert wird. Genau diese Möglichkeit, die Umgebung, in der die dienstliche Tätigkeit erbracht wird, zu Gunsten der Informationssicherheit zu gestalten, hat man in der Bahn oder beim Treffen mit Kunden meist nicht.

TISAX® – Risiko Reise

Viele der Gefährdungen entstehen dadurch, dass Informationswerte (Assets – siehe Beitrag Asset Management) bei der Reise mitgeführt und durch sehr verschiedenartige Szenarien bedroht werden. Der Verlust durch Diebstahl ist dabei ein recht offensichtliches Szenario. Verletzungen der Vertraulichkeit können aber auch durch Einsichtnahme geschehen, z.B. durch Behörden beim Grenzübertritt oder durch die Nutzung von nicht ausreichend abgesicherten Kommunikationsverbindungen. Letztlich kann eine Offenlegung aber auch durch eine unbedachte Nutzung durch den eigenen Mitarbeiter erfolgen – Stichworte wären hier „Lautes Telefonieren in der Öffentlichkeit“ oder „Einsichtnahme von Bildschirminhalten in dar Bahn oder in Flugzeugen“ … Daher werden diese Szenarien (Offenlegung bei Reisen, Verhalten bei Grenzübertritten, Vorkehrungen gegen Diebstahl u.v.a.m.) auch im VDA-ISA-Katalog, in dem Control zum mobilen Arbeiten, thematisiert.

Mögliche Maßnahmen

Die genannten Beispiele zeigen, dass es gerade beim mobilen Arbeiten in hohem Maße auf die Verlässlichkeit der eigenen Mitarbeiter ankommt, und zwar sowohl durch die Beachtung der Vorgaben des Unternehmens für das mobile Arbeiten, als auch durch das bewusste „Mitdenken“ von Gefährdungen der Informationssicherheit, die in den Vorgaben vielleicht nicht genannt sind.

Von Seiten des Arbeitgebers sollten die mobil Arbeitenden hinsichtlich der bestehenden Gefährdungen angemessen sensibilisiert werden, z.B. durch Schulungen, durch Vorgaben zum Arbeiten im HomeOffice, zum Verhalten während einer Dienstreise oder auch zu Reisen ins Ausland. Die Sensibilisierung sollte dabei auch durch Checklisten, Reisehinweise, Notfallkontakte und ähnliche Materialien unterstützt werden. Und aus diesem Grund findet sich das Thema “Sensibilisierung und Awareness” nicht nur im VDA-ISA-Katalog, sondern eigentlich in allen Standards zur Informationssicherheit.

Bei genauer Betrachtung wird man feststellen, dass viele der genannten Aspekte eine mehr oder weniger starke Verbindung zu anderen Elementen des ISMS haben, und sich daher an einigen Stellen des VDA-ISA-Kataloges wiederfinden lassen. So könnte man z.B. das HomeOffice als eine mögliche Zone im Zonenkonzept betrachten. Auch das Asset Management könnte sich wiederfinden lassen, z.B. beim Mitführen von Informationswerten oder der Vernichtung von Datenträgern (Papier) im HomeOffice. Oder bei der Umsetzung der Klassifizierung …

Der Aspekt der physischen Sicherheit, der in diesem Artikel an einigen Stellen angerissen wurde, wird im Mittelpunkt des nächsten Blogartikels stehen.

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Podcast – Security on Air – Heute NIS2 & Co.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

In dieser Episode sprechen wir über zentrale Regularien und Gesetze im Bereich der Informationssicherheit: NIS2, KRITIS-Dachgesetz, DORA, Finanzmarktdigitalisierungsgesetz und dem Cyberresilienz Act. Wir beleuchten die Gemeinsamkeiten, Ergänzungen und Dopplungen dieser Vorschriften und diskutieren, wie sie zusammenspielen, um den Schutz kritischer Infrastrukturen zu stärken. Dabei gehen wir insbesondere auf die Maßnahmen ein die Unternehmen zukünftig umsetzen müssen. Ein spannender Überblick für alle, die mit Cybersecurity und regulatorischen Anforderungen zu tun haben!

Hier ein Paar Links zum Thema „NIS2 & Co – Gemeinsamkeiten, Ergänzungen, Dopplungen“

https://www.consilium.europa.eu/de/policies/cybersecurity/

https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-Richtlinien/nis-richtlinie_node.html

https://germany.representation.ec.europa.eu/news/strengere-regeln-fur-cybersicherheit-und-die-resilienz-kritischer-einrichtungen-der-eu-kraft-2023-01-16_de

https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html

https://european-union.europa.eu/institutions-law-budget/law/types-legislation_de

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Interne Audits – die Ausbildung zum Auditor – Teil 2

In unserem vorangegangenen Beitrag „Die Bedeutung interner Audits…“ haben wir einen kurzen Überblick gegeben, warum interne Audits wichtig für die Informationssicherheit im Unternehmen sind. Im heutigen Beitrag gehen wir darauf ein, welche Inhalte bei einer Ausbildung zum Auditor geschult werden.

Die Inhalte der Ausbildung für interne Auditoren, insbesondere im Kontext der ISO 27001, vermittelt den Teilnehmern eine Vielzahl von Kenntnissen und Fähigkeiten, die für die Durchführung effektiver Audits im Bereich Informationssicherheit erforderlich sind. Hier sind einige der wichtigsten Inhalte:

  1. Grundlagen der ISO 27001
    Grundsätzliches Verständnis der ISO 27001-Norm und ihrer Anforderungen.
    Überblick über das Informationssicherheitsmanagementsystem (ISMS) und dessen Bedeutung.
  2. Der Auditprozess
    Die Phasen des Auditprozesses: Planung, Durchführung, Berichterstattung und Nachverfolgung.
    Die Erstellung von Auditplänen und -Checklisten.
  3. Auditmethoden und -techniken
    Verschiedene Auditmethoden (z. B. Dokumentenprüfung, Interviews, Beobachtungen).
    Welche Techniken eignen sich zur Datensammlung und -analyse.
  4. Risikomanagement
    Die Grundlagen des Risikomanagements im Kontext der Informationssicherheit. Wie läuft die Identifikation und Bewertung von Risiken.
  5. Kommunikationsfähigkeiten
    Wie kommuniziert man im Audit zielführend mit den beteiligten Stakeholdern und wie präsentiere ich die Ergebnisse des Audits verständlich und nachvollziehbar
  6. Dokumentation und Berichterstattung
    Erstellung von Auditberichten und Dokumentation der Ergebnisse. Wie wird die Nachverfolgung von Maßnahmen zur Behebung von festgestellten Mängeln durchgeführt.
  7. Rechtliche und regulatorische Anforderungen
    Verständnis der relevanten gesetzlichen und regulatorischen Anforderungen im Bereich Informationssicherheit.
  8. Verhaltens- und Ethikrichtlinien
    Bedeutung von Integrität und Objektivität im Auditprozess und der Umgang mit Interessenkonflikten.
  9. Kontinuierliche Verbesserung
    – Methoden zur Identifikation von Verbesserungsmöglichkeiten im ISMS.
    – Implementierung von Änderungen basierend auf Audit-Ergebnissen.
  10. Praktische Übungen
    Durchführung von Rollenspielen oder Simulationen, um die erlernten Fähigkeiten in der Praxis anzuwenden.

Die Ausbildung zum internen Auditor ist darauf ausgelegt, Auditoren nicht nur mit dem notwendigen Wissen auszustatten, sondern auch praktische Fähigkeiten zu vermitteln, die sie benötigen, um effektive und objektive Audits durchzuführen.

Weitere Beiträge aus dieser Reihe behandeln die nachfolgenden Punkte:

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Ratgeber HomeOffice

In den letzten Jahren hat das Arbeiten von zu Hause aus eine ganz neue Bedeutung erlangt. Für viele von uns ist das HomeOffice mittlerweile nicht mehr nur eine vorübergehende Lösung, sondern fester Bestandteil unseres Arbeitsalltags. Doch während flexible Arbeitszeiten und der Komfort des eigenen Zuhauses verlockend sind, birgt das HomeOffice auch erhebliche Herausforderungen, insbesondere wenn es um die Sicherheit von Daten geht.

Hier kommt unser Ratgeber „Informationssicherheit & Datenschutz im HomeOffice“ ins Spiel!

Warum ist Informationssicherheit im Homeoffice so wichtig?

In einer zunehmend digitalen Welt sind Daten ein wertvolles Gut. Im Homeoffice ist die Gefahr von Sicherheitslücken besonders groß, da private Netzwerke oft weniger geschützt sind als die Infrastruktur in einem Büro. Cyberangriffe, Phishing und Datenverluste können nicht nur für Sie, sondern auch für Ihr Unternehmen schwerwiegende Konsequenzen haben. Daher ist es entscheidend, dass Sie die richtigen Maßnahmen ergreifen, um sensible Informationen zu schützen.

Was bietet Ihnen unser Homeoffice-Ratgeber?

  1. Einführung in das Thema HomeOffice: Welche Unterschiede gibt es im rechtlichen Sinne und welche Vorteile und Herausforderungen bietet das HomeOffice.
  2. Grundlagen der Informationssicherheit und des Datenschutzes: Worum geht es, was ist rechtlich zu beachten und welche Risiken ist man im HomeOffice ausgesetzt.
  3. Technische und Organisatorische Maßnahmen: Erfahren Sie, welche technischen und organisatorischen Maßnahmen getroffen werden sollten, um ein sicheres Arbeiten zu gewährleisten.
  4. Datenschutzaspekte: Im Homeoffice wird oft mit vertraulichen Informationen gearbeitet. Wir zeigen, wie diese sicher gespeichert, übertragen und nach Gebrauch ordnungsgemäß entsorgt werden.
  5. Schulung und Sensibilisierung von Mitarbeitern: Wir beleuchten die Bedeutung der Mitarbeiterfortbildung, bieten Methoden und Best Practices für Schulungen.
  6. Herausforderungen für die Zukunft: Hier werden aktuelle Trends und die Technologien und Arbeitsmodelle der Zukunft aufgezeigt.
  7. Regeln für Arbeitnehmer und Arbeitgeber: Eine Checkliste zeigt, was zu bedenken ist.

Für wen ist der Ratgeber geeignet?

Es richtet sich sowohl an Unternehmen, die ihre Mitarbeiter auf die Arbeit von zu Hause aus vorbereiten und unterstützen möchten, als auch an Einzelpersonen, die die Grundlagen und Best Practices für sicheres Arbeiten von zu Hause aus kennenlernen möchten. Dieser Ratgeber bietet umfassende Informationen, um das digitale Arbeitsumfeld sicher zu gestalten.

Fazit: Investieren Sie in die Sicherheit im Homeoffice

Das HomeOffice ist nicht nur ein Ort der Produktivität, sondern auch ein potenzielles Ziel für Cyberangriffe. Mit unserem Ratgeber „Informationssicherheit & Datenschutz im HomeOffice“ erhalten Sie wertvolle Anleitungen und Tipps, um die sensiblen Daten vor Bedrohungen zu schützen und ein sicheres Arbeitsumfeld zu schaffen.

Laden Sie sich jetzt den Ratgeber herunter und sorgen Sie dafür, dass das HomeOffice sicher und effizient bleibt!

Ratgeber Informationssicherheit und Datenschutz im HomeOffice

Ratgeber Informationssicherheit und Datenschutz im HomeOffice

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil 5)

Auditprogramme als Steuerungsinstrument

In den ersten drei Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzens eines Projektteams für die Einführung des ISMS, mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS und mit Berichtswegen beschäftigt. Im vierten Teil ging es um die Integration der ISMS-Prozesse in die Prozesse des Unternehmens.

In diesem Beitrag geht es um Auditprogramme als Steuerungsinstrument.

Verantwortung für die Auditprogramme

Die ISO 27001:2022 fordert ein oder mehrere Auditprogramme zu planen, aufzubauen, zu verwirklichen und aufrechtzuerhalten. Für diese Auditprogramme sollte eine verantwortliche Person, bzw., wenn es sinnvoll erscheint, verschiedene Personen für die unterschiedlichen Programme benannt werden. Im Folgenden spreche ich der Einfachheit halber nur noch im Singular von dem Auditprogramm und der für das Auditprogramm verantwortlichen Person. Wir behalten im Hinterkopf, dass es jeweils auch der Plural sein kann.

Die für das Auditprogramm verantwortliche Person sollte mit Bedacht ausgewählt werden. Von ihr hängt maßgeblich die Wirksamkeit des Auditprogramms und damit eines der drei Pfeiler der Bewertung der Leistung des gesamten ISMS ab.

Aufgaben der für das Auditprogramm verantwortlichen Person

Zu den Aufgaben der verantwortlichen Person für das Auditprogramm gehören u.a.:

  • Ausmaß des Auditprogramms festlegen
  • Auswahl der Auditteams
  • Koordinierung und Zeitplanung aller Audits des Auditprogramms
  • Festlegung der Auditziele
  • Festlegung des Auditumfangs
  • Festlegung Auditkriterien
  • Bestimmung der Auditmethoden
  • Berichterstattung an den Auditauftraggeber (die oberste Leitung)
  • Überwachung des Auditprogramms

Bestimmen der verantwortlichen Person für das Auditprogramm

Der Rolleninhaber sollte mindestens die folgenden Fähigkeiten mitbringen:

  • gute Kenntnisse von Auditprinzipien,  -methoden und -prozessen
  • gute Kenntnisse der relevanten Normen und Referenzdokumente
  • gute Kenntnisse der auditierten Organisation und deren Kontext
  • gute Kenntnisse geltender gesetzlicher, behördlicher und sonstiger Anforderungen
  • gute Kenntnisse zu Informationssicherheit und des Informationssicherheitsmanagements

Nur wer sich gut in den genannten Bereichen auskennt, ist in der Lage ein wirksames und an die eigene Organisation angepasstes Auditprogramm zu erstellen, umzusetzen und zu verbessern. In der Praxis sieht man oft ein Auditprogramm, dass dem des Zertifizierers nachempfunden ist. Das ist schade, wird doch gerade der Vorteil, den ein Insider bei der Gestaltung des Auditprogramms hätte, vergeben. Der Insider kennt oder ahnt zumindest die Schwachstellen der Organisation. Er kennt die Risiken und weiß, wo eine Überprüfung (Auditierung) besonders wichtig wäre. Er kann daher besonders wirkungsvoll Schwerpunkte setzen.

Auftraggeber des Auditprogramms

In KMU wird das Auditprogramm in der Regel von der Geschäftsführung bzw. dem Vorstand selbst in Auftrag gegeben. Damit bestimmt diese oberste Leitung auch die verantwortliche Person für das Auditprogramm. Geschäftsführung bzw. Vorstand sind daher auch in der Lage, dem Auditprogramm Richtung und Schwerpunkte vorzugeben. Das Auditprogramm wird zum Werkzeug zur wirkungsvollen Überprüfung der Umsetzung und zur Durchsetzung von Vorgaben der obersten Leitung innerhalb der Organisation.

In großen Organisationen kann die Aufgabe zur Bestimmung der verantwortlichen Person für das Auditprogramm auch delegiert werden, z.B. an die Leitung der Revision.

Abschluss und Fazit

Die Auditprogramme sind ein wirkungsvolles Werkzeug, um Vorgaben im Unternehmen durchzusetzen. Die oberste Leitung sollte sich dieses Instruments angemessen bedienen. Eine enge und direkte Verbindung zur Person, die für das Auditprogramm verantwortlich ist, ist daher sehr hilfreich.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

sowie „Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Kennzahlen im ISMS

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Die ISO 27001 gibt in Kapitel 9 vor, dass Überwachung, Messung, Analyse und Bewertung des ISMS stattfinden muss – und ist damit eine klare Aufforderung Kennzahlen zu erheben. Aber wie findet man nun am welche, die aussagekräftig sind und nicht nur mittels Raketenwissenschaft erhoben werden können?

Dieser Podcast richtet sich an die Informationssicherheitsbeauftragten im Unternehmen, weitere Verantwortliche im ISMS und natürlich an die Geschäftsführung, die das ISMS verantwortet.

In unserer Folge „Kennzahlen im ISMS gehen wir auf folgende Aspekte ein:

  • Tipps zum Finden von Kennzahlen
  • Hilfe in der ISO 27004
  • Kennzahlen, interne Audits, Managementbewertung – ein Kreislauf
  • Sinnvolle Kennzahlen im ISMS
  • Umgang mit den Ergebnissen

Hier ein Paar Links zum Thema 

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Podcast – Security on Air – Heute Projektteam im ISMS

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Zu viele Köche verderben den Brei – aber wie viele Köche braucht man eigentlich, um einen wirklich schmackhaften Brei zu bekommen? Eine ähnliche Frage kann man sich bei der Zusammenstellung des Projektteams für die Einführung eines ISMS stellen: wer sollte unbedingt dabei sein, damit alle Aspekte des Unternehmens sich auch im ISMS widerspiegeln?

In unserer Folge „Einführung eines ISMS – Zusammenstellung des Projektteams“ gehen wir auf folgende Aspekte ein:

  • Grundlage Kapitel 7 der ISO 27001 „Unterstützung“
  • Bestimmung des notwendigen Personenkreises
  • Gründe zum Einbinden von Personal und IT
  • Lokale ISB / Sicherheitskoordinatoren – „Helferlein“ für den besseren Kommunikationsfluss
  • Hilfestellung durch die ISO 27002 bzw. den Anhang A der ISO 27001

Dieser Podcast richtet sich an die Verantwortlichen im ISMS, die für die Zusammenstellung der Projektgruppe zuständig sind, sowie die Geschäftsleitung, die das gesamte ISMS verantwortet.

Hier ein Paar Links zum Thema „Einführung eines ISMS – Zusammenstellung des Projektteams“  

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Podcast – Security on Air – Heute Richtlinien im Unternehmen

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

In allen Managementsystemen wie einem ISMS oder QMS sind Richtlinien als dokumentierter Nachweis wie Prozesse laufen sollen, essenziell.

In diesem Podcast wollen wir darauf eingehen, wie man Richtlinien möglichst einfach, einheitlich und verständlich erstellt und im Unternehmensalltag integriert. Dabei ist es auch wichtig, Richtlinien nicht als Hürde oder bürokratische Zeitfresser zu sehen, sondern als sinnvolle Leitplanken, die im Arbeitsalltag, bei Unklarheiten und bei Haftungsfragen hilfreich sind.

Dieser Podcast richtet sich an die Unternehmensleitung und an alle die für die Erstellung und den Lebenszyklus von Richtlinien zuständig sind.

In unserer Folge „Richtlinien im Unternehmen – Tipps bei der Erstellung und Umsetzung“ gehen wir auf folgende Aspekte ein:

  • Hinweise vor dem Erstellen von Richtlinien
  • Zusammenhang Richtlinien und gelebte Prozesse
  • Verständlich, prägnant, prozessnah – Tipps zum Schreiben von Richtlinien
  • Lebenszyklus von Richtlinien – Richtlinienmanagement und kontinuierlicher Verbesserungsprozess
  • Wie bekommt man die Richtlinien zu den Mitarbeitern?

Hier ein Paar Links zum Thema Richtlinien im Unternehmen – Tipps bei der Erstellung und Umsetzung“  

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen