In der heutigen digitalen Welt ist die Notfallvorsorge in der IT von entscheidender Bedeutung. Cyberangriffe, Systemausfälle und andere unerwartete Ereignisse können Unternehmen erheblich schaden. Die neue NIS 2 Richtlinie, die im Januar 2023 in Kraft trat, stellt einen wichtigen Schritt zur Verbesserung der Cybersicherheit in der Europäischen Union dar und hat weitreichende Auswirkungen auf die Notfallvorsorge in der IT.

Die NIS 2 Richtlinie zielt darauf ab, die Sicherheitsanforderungen für Unternehmen, die kritische Infrastrukturen betreiben, zu erhöhen. Sie erweitert den Anwendungsbereich der vorherigen NIS-Richtlinie und umfasst nun auch kleinere Unternehmen und Anbieter von digitalen Diensten. Dies bedeutet, dass mehr Organisationen verpflichtet sind, robuste Sicherheitsmaßnahmen zu implementieren und Notfallpläne zu entwickeln.

Die NIS 2 Richtlinie (Richtlinie (EU) 2022/2555) befasst sich gleich in mehreren Kapiteln mit Notfallvorsorge und Resilienz.

Die wichtigsten Kapitel, die Notfallvorsorge und Resilienz behandeln, sind:

1. Kapitel II – Sicherheitsanforderungen: Dieses Kapitel legt die grundlegenden Sicherheitsanforderungen fest, die von den betroffenen Unternehmen und Organisationen eingehalten werden müssen. Es betont die Notwendigkeit, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Netz- und Informationssysteme zu gewährleisten. Dazu gehört auch die Entwicklung von Notfallplänen und die Durchführung von Risikobewertungen.

2. Kapitel III – Vorfallmanagement: In diesem Kapitel wird die Notwendigkeit eines effektiven Vorfallmanagements hervorgehoben. Unternehmen müssen Verfahren zur Erkennung, Meldung und Reaktion auf Sicherheitsvorfälle implementieren. Dies ist entscheidend für die Resilienz, da eine schnelle und koordinierte Reaktion auf Vorfälle die Auswirkungen auf die Organisation minimieren kann.

3. Kapitel IV – Zusammenarbeit und Informationsaustausch: Dieses Kapitel fördert die Zusammenarbeit zwischen den Mitgliedstaaten und den betroffenen Unternehmen. Der Austausch von Informationen über Bedrohungen und Sicherheitsvorfälle ist entscheidend für die Verbesserung der Resilienz und der Notfallvorsorge auf europäischer Ebene.

4. Kapitel V – Aufsicht und Durchsetzung: Hier werden die Aufsichtsmechanismen beschrieben, die sicherstellen sollen, dass die Sicherheitsanforderungen eingehalten werden. Die Durchsetzung dieser Anforderungen trägt zur allgemeinen Resilienz der kritischen Infrastrukturen bei.

Diese Kapitel zusammen bilden den Rahmen für eine umfassende Notfallvorsorge und Resilienz-Strategie, die Unternehmen dabei unterstützt, sich besser auf Cyberbedrohungen vorzubereiten und darauf zu reagieren.

Ein zentraler Aspekt der NIS 2 Richtlinie ist die Verpflichtung zur Risikobewertung und -management. Unternehmen müssen potenzielle Bedrohungen identifizieren und Strategien entwickeln, um diese zu minimieren. Dazu gehört auch die regelmäßige Durchführung von Notfallübungen, um sicherzustellen, dass alle Mitarbeiter im Ernstfall wissen, wie sie reagieren müssen.

Darüber hinaus fordert die NIS 2 Richtlinie eine engere Zusammenarbeit zwischen den Mitgliedstaaten und den betroffenen Unternehmen. Der Austausch von Informationen über Bedrohungen und Sicherheitsvorfälle wird gefördert, um eine schnellere Reaktion auf Cyberangriffe zu ermöglichen.

Insgesamt ist die NIS 2 Richtlinie ein wichtiger Schritt in Richtung einer besseren Notfallvorsorge in der IT. Unternehmen sollten diese Vorgaben ernst nehmen und ihre Sicherheitsstrategien entsprechend anpassen, um nicht nur gesetzliche Anforderungen zu erfüllen, sondern auch ihre eigene Resilienz zu stärken. In einer Zeit, in der Cyberbedrohungen allgegenwärtig sind, ist proaktive Notfallvorsorge unerlässlich.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

 

Im vorhergehenden Blog-Beitrag “Awareness – ein Konzept!” habe ich einen Überblick über eine strukturierte Vorgehensweise und The new Awareness Curve gegeben. In diesem Beitrag möchte ich auf den ersten Schritt der Awareness Curve die Sicherheits-Hygiene eingehen.

Sicherheits-Hygiene

Unter Sicherheits-Hygiene versteht man die routinemäßigen, alltagstauglichen Sicherheitspraktiken, die von Endbenutzern durchgeführt werden müssen, um ein Grundniveau an Sicherheit zu gewährleisten. Dabei ist Wert darauf zu legen, dass Maßnahmen so gestaltet sind, dass sie wenig kognitive Belastung oder Aufwand für die Menschen darstellen.  Sicherheitsmaßnahmen sollen praktikabel, intuitiv und mit den täglichen Arbeitsabläufen kompatibel sein.

Informationssicherheit wird oft als zusätzliche Belastung für den Menschen wahrgenommen, insbesondere wenn sie als zu kompliziert oder störend empfunden wird. Die Sicherheits-Hygiene muss daher einfach und effizient gestaltet sein. Sie muss selbstverständlich sein, wie das Händewaschen in der körperlichen Hygiene.

In der Sicherheits-Hygiene sind daher zunächst die eigenen Regelungen auf tatsächliche und praktische Umsetzbarkeit zu prüfen. Niemandem darf zugemutet werden, Regeln zu befolgen, die im Kontext der eigenen Tätigkeit nicht oder nur unter erheblichen Erschwernissen umzusetzen sind. Dies gilt auch für die Benutzung von Werkzeugen, wie z.B. ein VPN. Die Benutzung darf im Ergebnis die Menschen kognitiv nicht mehr anstrengen als Händewaschen. Nur dann besteht eine gute Chance, dass elementare Regeln eingehalten und aus Sicherheitsperspektive notwendige Werkzeuge und Methoden auch wirklich eingesetzt werden. Anderenfalls wird es immer wieder zu Umgehungshandlungen kommen.

Die Sicherheits-Hygiene bildet damit die Grundlage für weiterführende Awareness-Maßnahmen. Sie stellt sicher, dass die grundlegenden Sicherheitspraktiken einfach verstanden und praktikabel gelebt werden können. Erst in der Folge können komplexere Themen angegangen werden. Die Sicherheits-Hygiene zielt darauf ab, ein Basisniveau an Sicherheitsbewusstsein und -verhalten in der gesamten Organisation zu etablieren. Durch die Fokussierung auf diese grundlegenden Aspekte wird eine solide Basis für die Entwicklung einer umfassenderen Sicherheitskultur geschaffen. Die Sicherheits-Hygiene ist somit der notwendige erster Schritt auf der Security Awareness Curve.

Wie es weiter geht?

Der nächste Blog-Artikel zum Thema Awareness wird sich mit dem nächsten Schritt der Awarenss Curve der Information der Mitarbeiter beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In den ersten vier Artikeln dieser Serie ging es um eine kurze Einführung in die Struktur der ISO 27701:2021 und einen kurzen Überblick über die neuen Controls im Anhang der Norm. In diesem Artikel soll es um die Veränderungen bzw. Erweiterungen der Normkapitel der ISO 27001:2013 durch die ISO 27701:2021 gehen, insbesondere zur Planung im DSMS.

Die ISO 27001:2013 geht in ihr letztes Jahr. Die meisten Organisationen haben bereits auf die ISO 27001:2022 umgestellt. Zur ISO 27701 gibt es allerdings erst einen Entwurf einer Version mit Bezug zur ISO 27001:2022. Daher werde ich hier, wahrscheinlich ein letztes Mal, ausgehend von der ISO 27701:2021 Bezug auf die ISO 27001:2013 nehmen. Für die hier betrachteten Themen wird dies keinen Unterschied machen, da es hier wie da keine wesentlichen Unterschiede im Bezug auf diese Themen gibt bzw. geben wird.

Erweiterung der Normkapitel der ISO 27001:2013 im DSMS

Kapitel 5 der ISO 27701 nennt die Erweiterungen der Normkapitel der ISO 27001 “PIMS-spezifische Anforderungen in Bezug auf ISO/IEC 27001”. PIMS ist die Abkürzung für Privacy Information Management System, also für ein Datenschutzmanagementsystem (DSMS).

Die allgemeinste Anforderung ist, dass überall dort, wo die ISO 27001 von “Informationssicherheit” spricht, dies durch “Informationssicherheit und Datenschutz” zu ersetzen ist.

Spezifische Änderungen, bzw. weitergehende Anforderungen werden für die Kapitel 4 und 6 der ISO 27001:2013 aufgestellt. Die anderen Normkapitel bleiben, abgesehen von der Änderung von “Informationssicherheit” zu “Informationssicherheit und Datenschutz”, unberührt.

Anforderungen zu Kapitel 6 der ISO 27001:2013 “Planung”

Anforderungen zu Kapitel 6.1 “Maßnahmen zum Umgang mit Risiken und Chancen”

Dieses Kapitel erweitert das Risikomanagment um das Thema Datenschutz. Es sind also nicht nur Informationssicherheitsrisiken sondern auch Datenschutzrisiken zu betrachten.

Datenschutzrisiken unterscheiden sich von Informationssicherheitsrisiken dadurch, das zum einen ausschließlich personenbezogene Daten betrachtet werden. Zum anderen sind die Auswirkungen des Risikos auf den Betroffen im datenschutzrechtlichen Sinne zu betrachten (vgl. Art. 4 Abs. 1 DSGVO, Art. 32 Abs. 1 DSGVO und Art 35 DSGVO).

Bei der Gestaltung des Risikomangments für die Datenschutzrisiken kann also das Risikomanagment der Informationssicherheit verwendet werden. Es muss lediglich um das Schadensszenario Rechte und Freiheiten natürlicher Personen erweitert werden. Dabei ist darauf zu achten, dass bei der Berechnung des Risikoniveaus ein hoher Schadenswert für Rechte und Freiheiten natürlicher Personen nicht durch andere Schadensszenarien “weggemittelt” wird.

Auch die ausgewählten Maßnahmen sind so auszuwählen, dass sie das Risiko für die betroffenen Personen auf ein akzeptables Niveau senken. Was akzeptabel ist, ist dabei aus der perspektive der betroffenen Personen zu betrachten, nicht aus der Sicht der eigenen Organisation.

Die Anwendbarkeitserklärung (SoA) nach Kapitel 6.1.3 d) der ISO 27001:2013 ist um die Controls des Anhangs B der ISO 27701:2021 zu erweitern. Ausschlüsse sind hierbei weiterhin risikobasiert möglich oder wenn die Controlls nicht zutreffend sind, z.B. die Controls für Auftragsverarbeiter für Nicht-Auftragsverarbeiter. Auf die Einhaltung der jeweiligen Gesetze ist selbstverständlich zu achten. Viele der Controls gehen unmittelbar auf die DSGVO zurück und sind dann, sofern für die Organisation zutreffend, nicht ausschließbar.

Wie in der Einführung zu dieser Artikelserie angekündigt ergeben sich also erhebliche Synergien. Es bedarf nur eines einheitlichen Risikomanagements für Informationssicherheit und Datenschutz, sofern dieses wie dargestellt an die spezifischen Bedürfnisse des Datenschutzes angepasst ist.

Anforderungen zu Kapitel 6.2 “Informationssicherheitsziele und Planung zu deren Erreichung”

Beim Thema Ziele gibt es keine spezifischen Erweiterungen. Lediglich die allfällige Forderung, dass neben Informationssicherheitszielen auch Datenschutzziele für relevante Funktionen und Ebenen festgelegt sowie Pläne zum erreichen dieser Ziele aufgestellt werden müssen.

Wie es weiter geht

Der nächste Artikel dieser Serie zur ISO 27701 wird sich mit den Neuerungen der dann erschienen DIN EN ISO/IEC 27701:2024 (oder 2025?) beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Nicht erst seit der Corona Pandemie taucht der Begriff HomeOffice in der öffentlichen Diskussion des Öfteren auf. Daher verwundert es nicht, wenn man entsprechende Anforderungen auch im VDA-ISA-Katalog (TISAX®) findet – allerdings unter der Bezeichnung „Mobiles Arbeiten“ …

Mobiles Arbeiten bezeichnet in der Informationssicherheit das Arbeiten außerhalb des eigenen Firmenstandortes. Die Arbeitsleistung kann dabei sowohl in der Privatwohnung („HomeOffice“) als auch außerhalb der Privatwohnung erbracht werden, z.B. beim Treffen in den Räumlichkeiten von Kunden, während der Bahnfahrt oder im Hotel. Wesentlich sind hier die unterschiedlichen Möglichkeiten des mobil Arbeitenden, Einfluss auf seine Umgebung zu nehmen. In der eigenen Wohnung kann man die Arbeitsumgebung meist sicher gestalten, z.B. mit abschließbaren Ablagen für Papiere oder Modelle, oder indem das Mithören von Gesprächen durch geschlossene Türen und Fenster verhindert wird. Genau diese Möglichkeit, die Umgebung, in der die dienstliche Tätigkeit erbracht wird, zu Gunsten der Informationssicherheit zu gestalten, hat man in der Bahn oder beim Treffen mit Kunden meist nicht.

TISAX® – Risiko Reise

Viele der Gefährdungen entstehen dadurch, dass Informationswerte (Assets – siehe Beitrag Asset Management) bei der Reise mitgeführt und durch sehr verschiedenartige Szenarien bedroht werden. Der Verlust durch Diebstahl ist dabei ein recht offensichtliches Szenario. Verletzungen der Vertraulichkeit können aber auch durch Einsichtnahme geschehen, z.B. durch Behörden beim Grenzübertritt oder durch die Nutzung von nicht ausreichend abgesicherten Kommunikationsverbindungen. Letztlich kann eine Offenlegung aber auch durch eine unbedachte Nutzung durch den eigenen Mitarbeiter erfolgen – Stichworte wären hier „Lautes Telefonieren in der Öffentlichkeit“ oder „Einsichtnahme von Bildschirminhalten in dar Bahn oder in Flugzeugen“ … Daher werden diese Szenarien (Offenlegung bei Reisen, Verhalten bei Grenzübertritten, Vorkehrungen gegen Diebstahl u.v.a.m.) auch im VDA-ISA-Katalog, in dem Control zum mobilen Arbeiten, thematisiert.

Mögliche Maßnahmen

Die genannten Beispiele zeigen, dass es gerade beim mobilen Arbeiten in hohem Maße auf die Verlässlichkeit der eigenen Mitarbeiter ankommt, und zwar sowohl durch die Beachtung der Vorgaben des Unternehmens für das mobile Arbeiten, als auch durch das bewusste „Mitdenken“ von Gefährdungen der Informationssicherheit, die in den Vorgaben vielleicht nicht genannt sind.

Von Seiten des Arbeitgebers sollten die mobil Arbeitenden hinsichtlich der bestehenden Gefährdungen angemessen sensibilisiert werden, z.B. durch Schulungen, durch Vorgaben zum Arbeiten im HomeOffice, zum Verhalten während einer Dienstreise oder auch zu Reisen ins Ausland. Die Sensibilisierung sollte dabei auch durch Checklisten, Reisehinweise, Notfallkontakte und ähnliche Materialien unterstützt werden. Und aus diesem Grund findet sich das Thema “Sensibilisierung und Awareness” nicht nur im VDA-ISA-Katalog, sondern eigentlich in allen Standards zur Informationssicherheit.

Bei genauer Betrachtung wird man feststellen, dass viele der genannten Aspekte eine mehr oder weniger starke Verbindung zu anderen Elementen des ISMS haben, und sich daher an einigen Stellen des VDA-ISA-Kataloges wiederfinden lassen. So könnte man z.B. das HomeOffice als eine mögliche Zone im Zonenkonzept betrachten. Auch das Asset Management könnte sich wiederfinden lassen, z.B. beim Mitführen von Informationswerten oder der Vernichtung von Datenträgern (Papier) im HomeOffice. Oder bei der Umsetzung der Klassifizierung …

Der Aspekt der physischen Sicherheit, der in diesem Artikel an einigen Stellen angerissen wurde, wird im Mittelpunkt des nächsten Blogartikels stehen.

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In unserem vorangegangenen Beitrag „Die Bedeutung interner Audits…“ haben wir einen kurzen Überblick gegeben, warum interne Audits wichtig für die Informationssicherheit im Unternehmen ist. Im heutigen Beitrag gehen wir darauf ein, welche Inhalte bei einer Ausbildung zum Auditor geschult werden.

Die Inhalte der Ausbildung für interne Auditoren, insbesondere im Kontext der ISO 27001, vermittelt den Teilnehmern eine Vielzahl von Kenntnissen und Fähigkeiten, die für die Durchführung effektiver Audits im Bereich Informationssicherheit erforderlich sind. Hier sind einige der wichtigsten Inhalte:

  1. Grundlagen der ISO 27001
    Grundsätzliches Verständnis der ISO 27001-Norm und ihrer Anforderungen.
    Überblick über das Informationssicherheitsmanagementsystem (ISMS) und dessen Bedeutung.
  2. Der Auditprozess
    Die Phasen des Auditprozesses: Planung, Durchführung, Berichterstattung und Nachverfolgung.
    Die Erstellung von Auditplänen und -Checklisten.
  3. Auditmethoden und -techniken
    Verschiedene Auditmethoden (z. B. Dokumentenprüfung, Interviews, Beobachtungen).
    Welche Techniken eignen sich zur Datensammlung und -analyse.
  4. Risikomanagement
    Die Grundlagen des Risikomanagements im Kontext der Informationssicherheit. Wie läuft die Identifikation und Bewertung von Risiken.
  5. Kommunikationsfähigkeiten
    Wie kommuniziert man im Audit zielführend mit den beteiligten Stakeholdern und wie präsentiere ich die Ergebnisse des Audits verständlich und nachvollziehbar
  6. Dokumentation und Berichterstattung
    Erstellung von Auditberichten und Dokumentation der Ergebnisse. Wie wird die Nachverfolgung von Maßnahmen zur Behebung von festgestellten Mängeln durchgeführt.
  7. Rechtliche und regulatorische Anforderungen
    Verständnis der relevanten gesetzlichen und regulatorischen Anforderungen im Bereich Informationssicherheit.
  8. Verhaltens- und Ethikrichtlinien
    Bedeutung von Integrität und Objektivität im Auditprozess und der Umgang mit Interessenkonflikten.
  9. Kontinuierliche Verbesserung
    – Methoden zur Identifikation von Verbesserungsmöglichkeiten im ISMS.
    – Implementierung von Änderungen basierend auf Audit-Ergebnissen.
  10. Praktische Übungen
    Durchführung von Rollenspielen oder Simulationen, um die erlernten Fähigkeiten in der Praxis anzuwenden.

Die Ausbildung zum internen Auditor ist darauf ausgelegt, Auditoren nicht nur mit dem notwendigen Wissen auszustatten, sondern auch praktische Fähigkeiten zu vermitteln, die sie benötigen, um effektive und objektive Audits durchzuführen.

Weitere Beiträge aus dieser Reihe behandeln die nachfolgenden Punkte:

  • Unterschiede zwischen internen und externen Audits (Teil 3)
  • Erstellung eines Auditprogrammes (Teil 4)
  • Aufbau und Planung von internen Audits (Teil 5)
  • Durchführung interner Audits (Teil 6)
  • Berichterstattung und Nachverfolgung (Teil 7)
  • Herausforderungen und Best Practices (Teil 8)

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Auditprogramme als Steuerungsinstrument

In den ersten drei Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzens eines Projektteams für die Einführung des ISMS, mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS und mit Berichtswegen beschäftigt. Im vierten Teil ging es um die Integration der ISMS-Prozesse in die Prozesse des Unternehmens.

In diesem Beitrag geht es um Auditprogramme als Steuerungsinstrument.

Verantwortung für die Auditprogramme

Die ISO 27001:2022 fordert ein oder mehrere Auditprogramme zu planen, aufzubauen, zu verwirklichen und aufrechtzuerhalten. Für diese Auditprogramme sollte eine verantwortliche Person, bzw., wenn es sinnvoll erscheint, verschiedene Personen für die unterschiedlichen Programme benannt werden. Im Folgenden spreche ich der Einfachheit halber nur noch im Singular von dem Auditprogramm und der für das Auditprogramm verantwortlichen Person. Wir behalten im Hinterkopf, dass es jeweils auch der Plural sein kann.

Die für das Auditprogramm verantwortliche Person sollte mit Bedacht ausgewählt werden. Von ihr hängt maßgeblich die Wirksamkeit des Auditprogramms und damit eines der drei Pfeiler der Bewertung der Leistung des gesamten ISMS ab.

Aufgaben der für das Auditprogramm verantwortlichen Person

Zu den Aufgaben der verantwortlichen Person für das Auditprogramm gehören u.a.:

  • Ausmaß des Auditprogramms festlegen
  • Auswahl der Auditteams
  • Koordinierung und Zeitplanung aller Audits des Auditprogramms
  • Festlegung der Auditziele
  • Festlegung des Auditumfangs
  • Festlegung Auditkriterien
  • Bestimmung der Auditmethoden
  • Berichterstattung an den Auditauftraggeber (die oberste Leitung)
  • Überwachung des Auditprogramms

Bestimmen der verantwortlichen Person für das Auditprogramm

Der Rolleninhaber sollte mindestens die folgenden Fähigkeiten mitbringen:

  • gute Kenntnisse von Auditprinzipien,  -methoden und -prozessen
  • gute Kenntnisse der relevanten Normen und Referenzdokumente
  • gute Kenntnisse der auditierten Organisation und deren Kontext
  • gute Kenntnisse geltender gesetzlicher, behördlicher und sonstiger Anforderungen
  • gute Kenntnisse zu Informationssicherheit und des Informationssicherheitsmanagements

Nur wer sich gut in den genannten Bereichen auskennt, ist in der Lage ein wirksames und an die eigene Organisation angepasstes Auditprogramm zu erstellen, umzusetzen und zu verbessern. In der Praxis sieht man oft ein Auditprogramm, dass dem des Zertifizierers nachempfunden ist. Das ist schade, wird doch gerade der Vorteil, den ein Insider bei der Gestaltung des Auditprogramms hätte, vergeben. Der Insider kennt oder ahnt zumindest die Schwachstellen der Organisation. Er kennt die Risiken und weiß, wo eine Überprüfung (Auditierung) besonders wichtig wäre. Er kann daher besonders wirkungsvoll Schwerpunkte setzen.

Auftraggeber des Auditprogramms

In KMU wird das Auditprogramm in der Regel von der Geschäftsführung bzw. dem Vorstand selbst in Auftrag gegeben. Damit bestimmt diese oberste Leitung auch die verantwortliche Person für das Auditprogramm. Geschäftsführung bzw. Vorstand sind daher auch in der Lage, dem Auditprogramm Richtung und Schwerpunkte vorzugeben. Das Auditprogramm wird zum Werkzeug, zur wirkungsvollen Überprüfung der Umsetzung und zur Durchsetzung von Vorgaben der obersten Leitung innerhalb der Organisation.

In großen Organisationen kann die Aufgabe zur Bestimmung der verantwortlichen Person für das Auditprogramm auch delegiert werden, z.B. an die Leitung der Revision.

Abschluss und Fazit

Die Auditprogramme sind ein wirkungsvolles Werkzeug, um Vorgaben im Unternehmen durchzusetzen. Die oberste Leitung sollte sich dieses Instruments angemessen bedienen. Eine enge und direkte Verbindung zur Person, die für das Auditprogramm verantwortlich ist, ist daher sehr hilfreich.

Damit wären die wesentlichen Aspekte der Integration der Anforderungen und Prozesse des ISMS in die Prozesse des Unternehmen beschrieben. Damit endet die Artikelreihe über die Aufgaben der obersten Leitung im ISMS.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

sowie „Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In einem vorangehenden Beitrag habe ich einen kurzen Überblick über die Messung der Wirksamkeit eines Informationssicherheits-Managementsystems (ISMS) und seiner Maßnahmen gegeben. Dieser Artikel erläutert die Funktion der “Managementbewertung” bei der Überprüfung der Wirksamkeit des ISMS.

Managementbewertung

Wie viele andere Aspekte eines ISMS findet man auch die Forderung nach einer Bewertung des ISMS durch die oberste Leitung einer Organisation in allen bedeutenden Rahmenwerken zur Informationssicherheit, gleich ob ISO 27001, BSI IT-Grundschutz oder ein anderes Regelwerk. Die Bewertung durch die eigene Leitung ist immer ein wichtiger Bestandteil.

Die ISO 27001:2022 nennt, ebenso wie die Vorgängerversion ISO 27001:2013, in Kapitel 9 drei verpflichtende Handlungsfelder zur Bewertung der Leistung:

  1. Überwachung, Messung, Analyse und Bewertung
  2. Interne Audits
  3. Managementbewertung

Dem Punkt “Überwachung, Messung, Analyse und Bewertung” sowie “Interne Audits” habe ich mich in vergangenen Artikeln bereits gewidmet. Hier soll es jetzt um den letzten Punkt die Managementbewertung gehen.

Die ISO 27001:2022 fordert: “Die oberste Leitung muss das Informationssicherheitsmanagementsystem der Organisation in geplanten Abständen bewerten …”  Zweck ist es, die fortdauernde Eignung, Angemessenheit und Wirksamkeit des ISMS sicherzustellen.

In der Regel hat die Geschäftsführung einen Mitarbeiter mit dem Aufbau und dem Betrieb des ISMS beauftragt, den Informationssicherheitsbeauftragten (IS-Beauftragter). Die konkrete Benennung kann hiervon abweichen, darauf kommt es hier nicht an. Wesentlich ist, dass die Geschäftsführung eine Aufgabe, die eigentlich die ihre ist, an einen Mitarbeiter übertragen hat. Sie muss sich daher in angemessener Weise davon überzeugen, dass diese Aufgabe von ihrem Beauftragten angemessen und wirksam wahrgenommen wird. in der ISO 27001 (Kapitel 9.3) dient die dort sogenannte  Managementbewertung (engl. Management Review) dazu, die Eignung, Angemessenheit und Wirksamkeit des ISMS festzustellen.

Da es sich um eine eigenständige Leistung der Geschäftsführung handelt, könnte diese theoretisch die Bewertung alleine durchführen. In der Praxis besteht die Managementbewertung fast immer aus einem Vortrag des IS-Beauftragten, gefolgt von einer wertenden Reaktion der Geschäftsführung. Die Wertung ist dabei der eigentlich wichtige Teil  der Veranstaltung. Kenntnisnahme ist keine Wertung und genügt nicht.

Häufigkeit der Managementbewertung

Die ISO 27001:2022 schreibt “in geplanten Abständen” vor. Dies wird nun üblicherweise mit mindestens einmal jährlich interpretiert und in die Praxis in einmal im Kalenderjahr übersetzt. Die Frage, ob das gewählte Intervall angemessen und zielführend ist, wird dabei häufig nicht gestellt. Das ist schade.

In sehr großen Unternehmen, die eine ausgewachsene Informationssicherheitsorganisation betreiben, ist dies einmal jährlich oft ausreichend. In mittelständischen Unternehmen, in den die oberste Leitung  auch sonst noch häufiger operative Entscheidungen trifft, sollten die Abstände verkürzt werden. Man kann sich dabei gerne an anderen Bereichen des Unternehmens orientieren. Wie oft tragen beispielsweise der Vertrieb, das Marketing, das Personalwesen oder der Datenschutz bei der Geschäftsführung vor und holen sich deren Entscheidungen ab? Die Managementbewertung nach ISO 27001 beansprucht dabei kein eigenes Meeting. Sie kann gerne als ein Tagesordnungspunkt in einer ohnehin stattfinden Runde stattfinden. Wichtig ist, das inhaltlich alle im Kapitel 9.3 aufgeführten Punkte auch behandelt werden.

Ergebnisse der Managementbewertung

Die Geschäftsführung muss im Ergebnis die fortdauernde Eignung, Angemessenheit und Wirksamkeit des ISMS feststellen oder entsprechende Maßnahmen einleiten, um diese herzustellen.

Weiterhin bedarf es Entscheidungen zu Möglichkeiten der Verbesserung des ISMS. Dies können z.B. Entscheidungen zur Einführung bestimmter Systeme, zur Ressourcenanpassung oder zur Zuweisung von Befugnissen sein.

Die Ergebnisse der Managementbewertung müssen dokumentiert werden.

Damit findet diese kleine Serie von Artikeln zu den Forderungen des Kapitel 9 der ISO 27001 seinen Abschluss. Zukünftige Artikel werden konkrete Möglichkeiten der Umsetzung skizzieren.

Was Sie noch interessieren könnte…

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

In unserem Podcast “Wirksamkeitsmessung in der ISO 27001” informieren wir Sie in lockerer Art und Weise über folgende Aspekte:

  • Was fordert die ISO 27001 und die ISO 27004?
  • Wie findet man heraus, was gemessen werden sollte und mit welchen Methoden?
  • Worauf achten Auditoren?
  • Was sind beispielhafte Kenngrößen?

Hören Sie rein!

– Business Continuity Management (BCM) nach BSI-Grundschutz bei einem Cyber-Angriff auf eine öffentliche Einrichtung –

Wer in den letzten Tagen und Wochen die Berichterstattung verfolgt hat wird auch vom Angriff auf die Stadt und den Landkreis Fürth gelesen haben. Sogenannte DDos-Angriffe von verschiedenen IP-Adressen aus unterschiedlichen Ländern haben zu einer starken Belastung des Servers geführt. Die Angriffe konnten bisher aber erfolgreich abgewehrt werden.

In einer zunehmend digitalisierten Welt sind öffentliche Einrichtungen und Behörden verstärkt Cyber-Angriffen ausgesetzt. Diese Angriffe können erhebliche Auswirkungen auf den Betrieb und die Sicherheit dieser Institutionen haben. Daher ist es von entscheidender Bedeutung, dass sie über robuste Business Continuity Management (BCM)-Maßnahmen verfügen, um sich gegen solche Angriffe zu verteidigen und im Falle eines Vorfalls schnell wieder handlungsfähig zu werden.

BCM nach BSI IT-Grundschutz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit seinem Grundschutzkonzept eine bewährte Methode, um die Informationssicherheit in öffentlichen Einrichtungen zu gewährleisten. Business Continuity Management ist ein integraler Bestandteil dieses Konzepts und umfasst Maßnahmen, um die Auswirkungen von Cyber-Angriffen zu minimieren und die Kontinuität des Betriebs sicherzustellen.

Ein entscheidender Schritt im BCM ist die Risikoanalyse, bei der potenzielle Bedrohungen und Schwachstellen identifiziert werden. Im Falle eines Cyber-Angriffs kann dies bedeuten, die Anfälligkeiten der IT-Infrastruktur und der verwendeten Software zu untersuchen sowie potenzielle Angriffsvektoren zu identifizieren. Auf dieser Grundlage können dann gezielte Sicherheitsmaßnahmen ergriffen werden, um die Risiken zu minimieren.

Ein weiterer wichtiger Aspekt des BCM ist die Erstellung eines Notfallplans. Dieser Plan sollte detaillierte Verfahren enthalten, die im Falle eines Cyber-Angriffs umgesetzt werden müssen. Damit soll der Betrieb aufrecht erhalten und die Auswirkungen des Vorfalls minimiert werden. Dazu gehört beispielsweise die Einrichtung eines Krisenreaktions-Teams, das für die Koordination der Reaktion auf den Vorfall verantwortlich ist. Des weiteren ist die Festlegung von Kommunikationsverfahren wichtig, um die betroffenen Parteien zu informieren.

Ein zentraler Bestandteil des BCM nach BSI-Grundschutz ist auch die regelmäßige Schulung und Sensibilisierung der Mitarbeiter für das Thema Informationssicherheit. Indem die Mitarbeiter über die Risiken von Cyber-Angriffen informiert und für die Erkennung verdächtiger Aktivitäten sensibilisiert werden, können sie dazu beitragen, Sicherheitsvorfälle frühzeitig zu erkennen und angemessen darauf zu reagieren.

Darüber hinaus ist es wichtig, dass öffentliche Einrichtungen und Behörden über ein angemessenes Incident-Response-Management verfügen.

Dies umfasst:

  • die schnelle Reaktion auf Sicherheitsvorfälle
  • die Untersuchung des Vorfalls
  • die Wiederherstellung der betroffenen Systeme und Daten
  • sowie die Durchführung einer umfassenden Nachanalyse, um Lehren aus dem Vorfall zu ziehen und zukünftige Angriffe zu verhindern.

Insgesamt ist Business Continuity Management nach BSI-Grundschutz ein entscheidender Bestandteil der Informationssicherheitsstrategie öffentlicher Einrichtungen und Behörden. Indem sie proaktiv Maßnahmen ergreifen, um sich gegen Cyber-Angriffe zu verteidigen und im Falle eines Vorfalls schnell wieder handlungsfähig zu werden, können sie die Kontinuität ihrer Dienstleistungen sicherstellen und das Vertrauen der Bürger in die Institutionen wahren.

Hinweis für die Abfallwirtschaft

Interessant wird es an dieser Stelle zukünftig für die Abfallwirtschaft, da diese als kritischer Sektor eingestuft ist und jetzt auch verpflichtet ist ein Informationssicherheits-Managementsystem einzuführen. Da kommt einiges an Arbeit auf die öffentlichen Einrichtungen zu.

Was Sie auch zum BCM interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Nachdem in den vorherigen Beiträgen zum Thema TISAX® das Zusammenspiel zwischen den drei wesentlichen ISMS-Elementen Asset Management, Klassifizierung und Risikomanagement dargestellt wurde, wird in diesem Artikel der Einfluss der wichtigsten „nicht-technischen Komponente“ betrachtet – der Einfluss des Menschen.

Wie in eigentlich allen anderen Standards für Informationssicherheit auch, ist das Themengebiet Awareness und Schulung auch bei TISAX® zu finden. Diese generell sehr präsente Herangehensweise beruht auf der Einsicht, dass genaugenommen nur drei mögliche Schwachstellen einen Informationssicherheitsvorfall erst möglich machen: technische Schwächen (wie z.B. Softwarefehler), organisatorische Schwächen (z.B. fehlende Regelungen für das mobile Arbeiten) und menschliche Fehlhandlungen (z.B. das Öffnen eines Mailanhang mit einer Schadsoftware).

Um ein angemessenes Niveau der Informationssicherheit zu erreichen, müssen alle drei Bereiche der möglichen Schwachstellen behandelt werden. Daher finden sich in einem guten Awareness-Konzept vielfältige Maßnahmen, durch deren Zusammenwirken ein sicheres Verhalten der beteiligten Personen erreicht werden soll.

Der erste Schritt – Regelungen treffen

Genaugenommen startet Awareness auf der Seite des Unternehmens. Der Arbeitgeber muss aufzeigen, was im konkreten Unternehmen unter „sicherem Verhalten“ zu verstehen ist und was von den Mitarbeitern erwartet wird. Diese Vorgaben finden sich in den verschiedenen Richtlinien und Anweisungen. Damit sie aber von den Mitarbeitern auch angewandt werden können, müssen diese Vorgaben nicht nur fixiert, sondern auch mitgeteilt werden. Dies geschieht zumeist in Schulungen, in eLearnings oder beim Firmeneintritt eines neuen Mitarbeiters. Inhaltlich findet man an dieser Stelle oft Regelungen für den Gebrauch von Systemen und Anwendungen, den Umgang mit Passworten oder anderen Authentifizierungsmitteln und auch Belehrungen und Verpflichtungen zur Verschwiegenheit.

Als Besonderheit in der Automobilindustrie kommt hinzu, dass Unternehmen häufig mit Informationswerten von Kunden umgehen, oftmals in Form von Projekten. Daher müssen den Projektbeteiligten nicht nur die Vorgaben des eigenen Unternehmens bekannt sein, sondern auch die Vorgaben der Kunden, mit deren Informationswerten im Zuge des Projektes umgegangen wird.

Die Rolle des Mitarbeiters

Die Mitarbeiter haben außerdem noch an einer anderen Stelle einen Einfluss auf das Niveau der Informationssicherheit, neben dem Beachten der Vorgaben des Unternehmens. Es wird von ihnen erwartet, dass sie beobachtete oder vermutete Vorfälle der Schwachstellen dem Verantwortlichen im Unternehmen, zumeist dem Informationssicherheitsbeauftragten (ISB) melden. Das setzt voraus, dass solche Meldewege und Kontakte bei den Mitarbeitern auch bekannt sind. Das Erkennen und Melden von Informationssicherheitsvorfällen sollte daher ebenfalls in Schulungen vorkommen.

An dieser Stelle noch zwei kleine Hinweise zum Melden von Vorfällen. Das Melden der Vorfälle wird von den Mitarbeitern erwartet – nicht aber das Bewerten oder gar das Beheben des gemeldeten Zustands. Diese Bewertung, Entscheidung und weitere Verfolgung wird zumeist beim ISB gesehen. Außerdem freuen sich die meisten Menschen, wenn sie auf einen Hinweis hin zumindest ein kleines positives Feedback bekommen … Schließlich möchten der ISB und auch das Unternehmen, dass dieses Verhalten auch weiterhin gezeigt wird.

Die Gedanken in diesem Artikel zeigen, warum sich in dem VDA ISA Katalog neben vielen eher technischen Aspekten auch Forderungen zur Schulung und Sensibilisierung der Mitarbeiter finden. Natürlich gibt es auch Forderungen, die sowohl die technischen als auch die personellen Aspekte zeitgleich betreffen, wie zum Beispiel das mobile Arbeiten. Doch dazu mehr im nächsten Artikel …

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Die Folge 14 TISAX® – „Informationssicherheit in der Automobilindustrie“ sowie die Folgen 4 und 5 Security Awareness liefern Ihnen hier interessante Informationen zum Thema.

Hören Sie rein!

 

 

 

 

 

Integration der ISMS-Prozesse in die Prozesse des Unternehmens

In den ersten beiden Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzens eines Projektteams für die Einführung des ISMS sowie mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS beschäftigt. Im dritten Teil ging es um die Berichtswege hin zur obersten Leitung eines Unternehmens.

In diesem Beitrag ist die Integration in die Prozesse das Thema.

Verantwortung für die Integration der Anforderungen des ISMS in die Prozesse des Unternehmens

Prozesse spielen eine große Rolle in einem ISMS nach ISO 27001. Diese Prozessorientierung hat in der aktuellen Version ISO 27001:2022 noch zugenommen.

Es ist die Verantwortung der obersten Leitung, also der Geschäftsführer und Vorstände, dass alle Anforderungen des ISMS in die Prozesse der Organisation integriert werden (vergl. ISO 27001:2022 Kap. 5.1 b). Diese Pflicht beschränkt sich also nicht nur auf das Mitglied der Unternehmensführung, in dessen Geschäftsbereich das ISMS als solches verantwortet wird. Begründet wird eine Pflicht für alle Geschäftsführungsmitglieder, dafür Sorge zu tragen, dass  in ihrem jeweiligen Verantwortungsbereich die Anforderungen des ISMS nicht nur umgesetzt werden, sondern integraler Bestandteil der Prozesse und Abläufe in ihrem Verantwortungsbereich sind.

Diese Integration kann man sich analog zur Verantwortung für andere Themen wie beispielsweise Datenschutz oder Arbeitssicherheit vorstellen. Auch hierfür gibt es jeweils Spezialisten im Unternehmen. Trotzdem ist jeder verpflichtet, in seinem Verantwortungsbereich auf die Einhaltung der entsprechenden Regeln zu achten und die eigenen Prozesse so anzupassen, dass ein regelkonformes Verhalten durch die üblichen Abläufe (die Prozesse) nicht nur nicht behindert, sondern gefördert wird.

Messung und Auditierung der Prozesse

Die Überwachung und  Messung der Wirksamkeit der etablierten Prozesse ist fester Bestandteil des ISMS (vergl. ISO 27001:2022 Kap. 9.1. a). Beim Aufbau und der Umsetzung des Audiprogramms ist die Bedeutung der Prozesse zu berücksichtigen (vergl. ISO 27001:2022 Kap. 9.2.2). Beides kann nur erfolgreich durchgeführt werden, wenn die Prozesse und Abläufe der Informationssicherheit in die Prozesse und Abläufe des Unternehmens integriert sind.

Abschluss und Fazit

Das ISMS wird nur gut funktionieren und damit für ein echtes Mehr an Informationssicherheit sorgen, wenn es integraler Bestandteil der Organisation ist. Es ist die Aufgabe der obersten Leitung, dies zu fördern und diese Unterstützung durch ihr tägliches Handeln sichtbar zu machen.

Damit wären die wesentlichen Aspekte der Integration der Anforderungen und Prozesse des ISMS in die Prozesse des Unternehmen beschrieben. Im nächsten Teil beschäftigen wir uns mit der Steuerung der (internen) Auditprogramme.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!