Schlagwortarchiv für: ISMS

,

“Geschäftsleitung fit für NIS2“, Teil 2

Die Umsetzung der NIS2-Richtlinie erfolgte in Deutschland durch ein sogenanntes Mantelgesetz. In diesem Mantelgesetz wurden mehrere andere gesetzliche Vorgaben entsprechend der  NIS2-Richtlinie angepasst. Der Großteil der NIS2-Anforderungen, die für NIS2-pflichtige Unternehmen relevant sind, finden sich daher im neu gefassten BSI-Gesetz (BSI-G). Im ersten Teil dieser Reihe von Blogartikeln zur Umsetzung der NIS2-Richtlinie in Deutschland hatten wir dargestellt, warum eine Schulungspflicht für Geschäftsleitungen im entsprechenden BSI-Gesetz (BSI-G) explizit mit aufgenommen worden ist. Doch es lassen sich noch weitere Aspekte der Informationssicherheit in den gesetzlichen Vorgaben finden.

Informationssicherheits-Managementsystem (ISO 27001)

Soll Informationssicherheit systematisch betrieben werden, so bauen viele Organisationen ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 auf. Und wie es das Wörtchen „Managementsystem“ schon andeutet – das Managementsystem soll für die Organisationsleitung Werkzeuge und Abläufe bereitstellen, mit deren Hilfe die Organisationsleitung das eigene Unternehmen zu Fragen der Informationssicherheit steuern kann. Eines der Kernelemente solcher Managementsysteme ist die „Managementbewertung“. Hier bewertet das Management (daher der Name) im Dialog mit dem Verantwortlichen für Informationssicherheit (meist ISB oder CISO genannt) die Lage des Unternehmens zur Informationssicherheit.

Managementbewertung

Die ISO 27001 sieht in einer solchen Managementbewertung z.B. vor, dass über identifizierte Risiken und den Status der Risikobehandlung berichtet wird, über sich ändernde Rahmenbedingungen oder über Informationssicherheitsvorfälle. Die Bewertung durch die Organisationsleitung gibt dem ISB und anderen Beteiligten wichtige Hinweise, ob die Maßnahmen zur Risikobehandlung aus Sicht der Organisationsleitung sinnvoll, angemessen und zielführend erscheinen. Natürlich ist eine Managementbewertung eine wiederkehrende Angelegenheit – über die Häufigkeit schweigt sich die ISO 27001 übrigens aus. Angemessen, je nach Informationsbedarf der Organisationsleitung und der konkreten Risikolage des Unternehmens, lautet die salomonische Antwort. In den meisten Fällen dürfte ein- bis viermal im Jahr ein passender Turnus sein.

Risikomanagementmaßnahmen

Nun fordert das BSI-Gesetz keine explizite Managementbewertung. Was jedoch von den Organisationsleitungen gefordert wird, ist die Überwachung der Umsetzung der zu ergreifenden Risikomanagementmaßnahmen (§38, Abs. 1 BSI-G). Es ist ein naheliegender Gedanke, für diese Tätigkeit auf etablierte und erprobte Abläufe zurückzugreifen. Und wenn man die Buchstaben des BSI-Gesetzes etwas genauer betrachtet, findet sich der Zusammenhang: Geschäftsleitungen sollen über das Risikomanagement geschult werden, damit (z.B. in Form einer Managementbewertung) eine fundierte Bewertung der Lage der Organisation erfolgen kann, inklusive der Lenkung des Unternehmens durch die Organisationsleitung.

Bei wem jetzt Informationsbedarf entstanden ist, findet auf unserer Webseite nicht nur das Seminar zur Schulung „Geschäftsleitung fit für NIS2“, sondern auch weitere Informationen, Schulungsangebote oder auch Podcasts zu einem ISMS oder der ISO27001. Und im kommenden Teil dieser Blogreihe wird es einen Blick hinter die Kulissen des Seminars „Geschäftsleitung fit für NIS2“ geben …

Was Sie auch interessieren könnte:

Seminar:

„Geschäftsleitung fit für NIS2“

Weitere Seminare finden Sie unter https://anmatho.de/seminare, diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.
Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Maßnahmensteuerung

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Erleben Sie praxisnahe Einblicke in die Welt der Maßnahmensteuerung im ISMS – speziell für Verantwortliche, Entscheider und Informationssicherheitsbeauftragte. Unser neues Podcast-Interview mit einem erfahrenen Informationssicherheitsberater zeigt, wie Sie Maßnahmen im Unternehmen sinnvoll initiieren, steuern und dokumentieren.

Inhalte dieser Episode “Maßnahmensteuerung”:

  • Klarheit über die Herkunft und Auswahl von Maßnahmen nach ISO 27001
  • Praktische Tipps zur Steuerung, Priorisierung und Dokumentation
  • Warum die SMART-Methode auch für Security-Maßnahmen Sinn macht
  • Tools und Prozesse für übersichtliche Verwaltung und Integration von Maßnahmen in den Alltag
  • Wie regelmäßige Meetings und Kennzahlen im Management helfen, Maßnahmen im Blick zu behalten

Warum reinhören?

Die Folge “Maßnahmensteuerung” bietet wertvolle Hinweise für alle, die ihr ISMS wirksamer und strukturierter gestalten möchten, von der Initialisierung bis zur Erfolgskontrolle. Lernen Sie, wie Prozesse, Tools und stimmige Dokumentation die Umsetzung und Nachverfolgung nachhaltig verbessern.

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast” und “Spotify” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, ,

Podcast – Security on Air – Heute Lieferantenmanagement

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Kaum ein Unternehmen kommt heute ohne externe Partner und Dienstleister aus. Doch genau hier lauern Risiken – für Qualität, Informationssicherheit und Datenschutz. In unserer neuen Podcast-Folge zeigen wir, warum Lieferantenmanagement in allen Managementsystemen eine entscheidende Rolle spielt und wie Unternehmen von einem integrierten Ansatz profitieren.

Unsere Experten zeigen, dass Lieferantenbewertungen weit über ein reines „Pflichtprogramm“ hinausgehen und als strategisches Element für den Unternehmenserfolg gelten. Nicht nur die ISO 9001 für Qualitätsmanagement, sondern auch die ISO 27001 für Informationssicherheit sowie die DSGVO stellen zentrale und verbindliche Anforderungen an Lieferanten, insbesondere bei der Verarbeitung sensibler und personenbezogener Daten. Dabei sind vielfältige Kriterien zu berücksichtigen: Von der Austauschbarkeit und Kritikalität eines Lieferanten bis hin zu Fragen wie dem Datentransfer ins Ausland sowie dem Umgang mit Service-Level-Agreements und Vertraulichkeitsvereinbarungen. Regelmäßige Audits sowie transparente Kommunikation und Leistungsüberwachung bilden die Basis für eine sichere und erfolgreiche Zusammenarbeit mit externen Partnern – sie helfen dabei, aktuelle Risiken frühzeitig zu erkennen und die Qualität und Sicherheit dauerhaft zu gewährleisten.

Die Episode lohnt sich für alle, die in Qualitätsmanagement, Informationssicherheit, Datenschutz, Einkauf oder Projektmanagement Verantwortung tragen – und die sicherstellen wollen, dass externe Partner wirklich Mehrwert schaffen und keine Risiken verursachen.

Hier ein Paar Links die zum Thema „Lieferantenmanagement – Schlüsselfaktor für Qualität, Informationssicherheit und Datenschutz“ nützlich sein können:

Hören Sie rein und erfahren Sie, wie Sie Lieferantenmanagement als strategischen Erfolgsfaktor nutzen können!

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil 6)

Die Managementbewertung

In den ersten Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzens eines Projektteams für die Einführung des ISMS, mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS, mit Berichtswegen, der Integration der ISMS-Prozesse in die Prozesse des Unternehmens und dem Auditprogramm als Steuerungsinstrument beschäftigt.

In diesem Teil soll es ausführlich um die Managementbewertung gehen, die wir in dem Artikel über die Berichtswege schon kurz angeschnitten hatten.

Pflichten der Geschäftsführung bzw. des Vorstands

Es gehört zu den originären Pflichten einer Geschäftsführung eine funktionierende Unternehmensorganisation sicherzustellen, Risiken zu überwachen und ggf. Maßnahmen zur Schadensprävention zu ergreifen. Dies ergibt sich u.a. aus dem StaRUG. Im Falle der Informationssicherheit kommt sie diesen Pflichten durch die Einrichtung eines wirksamen Informationssicherheits-Managementsystems (ISMS) in geeigneter Weise nach.

Nur in kleinen Unternehmen wird sich die Geschäftsführung selbst der ISMS-Einführung annehmen. Meist beauftragt sie einen Mitarbeiter mit der Einrichtung und dem Betrieb des ISMS. Dieser trägt dann den Titel Informationssicherheitsbeauftragter (ISB) , Chief Information Security Officer (CISO) oder eine andere vergleichbare Bezeichnung. Mit der Bestellung eines solchen Beauftragten ist die Arbeit für die oberste Leitung nicht erledigt. Sie muss sich angemessen davon überzeugen, dass die von ihr beauftragte Person diese Aufgabe auch in ihrem Sinne ausfüllt. Die Geschäftsführung bzw. der Vorstand müssen die Eignung, Angemessenheit und Wirksamkeit ihres ISMS feststellen.

Feststellung der Eignung, Angemessenheit und Wirksamkeit des ISMS

Zur Feststellung der Eignung, Angemessenheit und Wirksamkeit des ISMS muss die oberste Leitung ihr ISMS in geplanten Abständen bewerten. Diese Bewertung erfolgt oft in einem Meeting, das auch den Namen Managementbewertung (Management Review) trägt.

Ablauf der Managementbewertung

In der Praxis sieht es meist so aus, dass der Informationssicherheitsbeauftragte (ISB) der obersten Leitung berichtet. Gegenstand des Berichts sind u.a.

  • der Status von Maßnahmen als Folge vorheriger Managementbewertungen,
  • Veränderungen bei verschiedenen, das ISMS betreffenden Themen,
  • Nichtkonformitäten und zugehörige Ursachenanalysen sowie Korrekturmaßnahmen,
  • wichtige Kennzahlen,
  • Auditergebnisse,
  • Stand bei der Erreichung von Informationssicherheitszielen,
  • Ergebnisse der Risikobeurteilung,
  • Umsetzungsgrad beschlossener Maßnahmen sowie
  • allgemeine Möglichkeiten zur fortlaufenden Verbesserung.

Die Führung muss auf den Stand und die Entwicklung bei diesen Themen wertend reagieren. Notwendige Entscheidungen müssen von der obersten Leitung getroffen werden. Die Managementbewertung ist also nichts, was die oberste Leitung einfach konsumieren darf. Vielmehr ist es andersherum. Der Bericht des ISB liefert nur die Informationen, die als Grundlage für die Bewertung und Anpassung des ISMS durch die Geschäftsführung bzw. Vorstand dienen.

Häufigkeit der Managementbewertung

Die ISO 27001:2022 fordert eine Managementbewertung in geplanten Abständen. In der Praxis wird dies übersetzt in “mindestens jährlich”. Mindestens ist aber nicht gleichbedeutend mit angemessen. Was angemessen ist, muss jede Führung selbst festlegen. Gerade in der Einführungsphase eines ISMS können kürzere Abstände durchaus hilfreich und notwendig sein.

In kleineren Unternehmen ist die Geschäftsführung häufig so dicht am operativen Geschäft dran, dass alle oben genannten Themen von ihr ohnehin im Tagesgeschäft beachtet und bearbeitet werden. Hier könnte auch eine Vielzahl von unterschiedlichen Meetings und Formaten in der Summe als Managementbewertung betrachtet werden. Der ISB muss dabei darauf achten, dass im Laufe eines Jahres wirklich alle Pflichtpunkte der Managementbewertung behandelt wurden, dies dokumentiert wurde und ggf. im Audit auch darstellbar ist.

Entscheidet man sich für eine klassische Managementbewertung so hat diese in kleineren Unternehmen häufig den Charakter eines wiederholten Durchgehens bereits bearbeiteter Punkte. Auch in diesem Fall muss darauf geachtet werden, dass dies dokumentiert wird und das eine Bewertung der obersten Leitung bezüglich der Eignung, Angemessenheit und Wirksamkeit des ISMS erkennbar ist.

In mittleren Unternehmen hat sich eine Zahl von zwei bis vier Managementbewertungen im Kalenderjahr bewährt. Eine Führung, die wegen der Größe der eigenen Organisation nicht mehr mit allen Aspekten des Tagesgeschäftes befasst ist, kann sich so in angemessen Abständen mit dem Stand der Informationssicherheit im eigenen Unternehmen auseinandersetzen. Bei Fehlentwicklungen kann wirksam gegengesteuert werden.

Die angeratene Mindestzahl von zwei Managementbewertungen ergibt sich aus der Mindestzahl von Audits in zertifizierten Unternehmen. Einmal im Jahr kommt der Zertifizierungsauditor, mindestens einmal im Jahr findet ein internes Audit statt. Wenn diese gleichmäßig über das Jahr verteilt sind, bei zwei Audits also im Abstand von 6 Monaten, ergeben sich mit den Auditberichten zwei gute Gelegenheiten für die oberste Leitung sich mit dem Stand und der Entwicklung der Informationssicherheit auseinander zu setzen. Liegen die Audits zeitlich zu dicht beieinander, führt dies zu ähnlichen Auditberichten, die eine gesonderte Befassung unnötig erscheinen lassen.

In großen Organisation gibt es auch eine eigene Informationssicherheitsorganisation. Diese bearbeitet viele Aspekte der Informationssicherheit und des Informationssicherheitsmanagements selbstständig. Sie verfügt hierzu in der Regel über alle Kompetenzen und Ressourcen. In diesem Fall ist eine Befassung durch die oberste Leitung einmal jährlich meist ausreichend.

Teilnehmer der Managementbewertung

Im Sinne der ISO 27001 ist es ausreichend, wenn die Managementbewertung durch ein Mitglied der obersten Leitung durchgeführt wird. Geschäftsführungen und Vorstände sind allerdings kollektiv haftende Organe. Diese Haftung lässt sich beschränken, wenn es einen (hoffentlich dokumentierten und nicht nur gelebten) Geschäftsverteilungsplan gibt. Aber auch in diesem Fall bleibt die Gesamtverantwortung bestehen. Das heißt, die nicht für ein Ressort zuständigen Mitglieder der obersten Leitung  müssen die Arbeit ihrer Kollegen überwachen und bei erkennbaren Pflichtverletzungen einschreiten. Versäumen sie dies, ist eine Haftung weiterhin möglich.

Die Managementbewertung ist für die “nicht zuständigen” Mitglieder der Geschäftsführung eine sehr gute Möglichkeit, sich davon zu überzeugen, dass die Aufgabe Informationssicherheit bzw. Informationssicherheitsmanagement von ihrem zuständigen Kollegen angemessen organisiert und bearbeitet wird. Jeder Geschäftsführer ist daher gut beraten an der Managementbewertung zumindest teilzunehmen, auch wenn das Thema nicht in den eigenen Zuständigkeitsbereich fällt.

Wie es weiter geht?

Damit endet (vorerst) die Artikelreihe über die Aufgaben der obersten Leitung im ISMS. Sie haben noch Fragen? Nehmen Sie gerne Kontakt zu uns auf.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute das VVT

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

wir freuen uns, Ihnen unsere neueste Podcast-Folge vorzustellen! In dieser Episode widmen wir uns einem zentralen Thema des Datenschutzes: Dem Verzeichnis der Verarbeitungstätigkeiten (VVT).

Was ist das VVT?

Das VVT ist wie ein Tagebuch für Ihr Unternehmen. Es dokumentiert, welche personenbezogenen Daten verarbeitet werden, warum und wie damit umgegangen wird. Laut DSGVO ist die Führung eines VVTs für größere Unternehmen verpflichtend, aber auch kleinere Firmen müssen es führen, wenn sie regelmäßig personenbezogene Daten verarbeiten.

Warum ist das VVT wichtig?

Das VVT bietet mehr als nur die Erfüllung gesetzlicher Vorgaben. Es hilft Unternehmen:

  • Risiken zu identifizieren
  • Prozesse zu optimieren
  • Sich bei Kontrollen abzusichern

Wie erstellt man ein VVT?

Die Erstellung ist einfacher als gedacht. Oft reicht eine Excel-Tabelle mit folgenden Informationen:

  • Wer verarbeitet die Daten?
  • Welche Daten werden verarbeitet?
  • Zweck der Verarbeitung
  • Rechtsgrundlage
  • Speicherdauer
  • Technische und organisatorische Maßnahmen (TOMs)

Wer ist verantwortlich?

Die Erstellung wird vom Datenschutzbeauftragten oder -koordinator initiiert, der eng mit den Fachabteilungen zusammenarbeitet.

Regelmäßige Aktualisierung

Wir empfehlen das VVT mindestens jährlich zu überprüfen und zu aktualisieren.

Fazit

Das Verzeichnis der Verarbeitungstätigkeiten ist nicht nur eine gesetzliche Pflicht, sondern ein wertvolles Werkzeug zur Optimierung Ihrer Prozesse und zum Schutz personenbezogener Daten.

Hier ein Paar Links zum Thema „Verzeichnis der Verarbeitungstätigkeiten“

Jetzt reinhören!

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Ratgeber Informationssicherheit für Geschäftsführung

Warum Sie diesen Ratgeber Informationssicherheit für Geschäftsführung und Vorstände nicht verpassen sollten:

Ob Datenschutz-Grundverordnung (DSGVO), das IT-Sicherheitsgesetz (IT-SiG), das NIS2-Umsetzungsgesetz oder branchenspezifische Vorgaben – die rechtlichen Anforderungen an den Schutz von Informationen sind vielfältig und streng. Diese Vorgaben nicht nur zu kennen, sondern sie systematisch in die Unternehmensprozesse zu integrieren, ist eine der größten Herausforderungen für die Unternehmensleitung. Ein effektives Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bietet die ideale Grundlage, um diese Anforderungen zu erfüllen.

Unser neuer Ratgeber zeigt Ihnen, kurz und übersichtlich was Sie bei der Implementierung, Überwachung und kontinuierlichen Verbesserung eines ISMS beachten sollten – praxisnah und verständlich.

Was bietet Ihnen unser “Ratgebers Informationssicherheit für die Geschäftsführung”:

1. Aufbau eines kompetenten Projektteams und klarer Rollenverteilung: Ein starkes Team und klare Verantwortlichkeiten sind die Basis für die erfolgreiche Umsetzung eines ISMS.

2. Kennzahlen und Wirksamkeitsmessung: Definieren und überwachen Sie Kennzahlen, um die Effektivität Ihres ISMS gezielt zu messen und zu optimieren.

3. Interne Audits & Auditprogramme: Audits decken Schwachstellen auf und fördern die kontinuierliche Verbesserung Ihres ISMS.

4. Managementbewertung: Prüfen Sie regelmäßig die Leistung Ihres ISMS und treffen Sie fundierte strategische Entscheidungen.

5. Integration in bestehende Unternehmensprozesse: Integrieren Sie Ihr ISMS nahtlos in die täglichen Abläufe, um es effizient und nachhaltig zu gestalten.

Fazit: Die Führungsebene ist für ein erfolgreiches ISMS essenziell

Insgesamt erfordert die erfolgreiche Implementierung und Verwaltung eines ISMS nach ISO 27001 das Engagement und die Unterstützung der Geschäftsführung auf allen Ebenen. Durch die konsequente Anwendung der im Ratgeber beschriebenen Prinzipien und Maßnahmen können Sie nicht nur die Informationssicherheit in Ihrem Unternehmen stärken, sondern auch Vertrauen bei Kunden und Partnern aufbauen und gesetzliche sowie regulatorische Anforderungen erfüllen.

Sichern Sie sich jetzt den Ratgeber und übernehmen Sie die Führung in Sachen Informationssicherheit!

Adobe Stock | 968083173 | KI generiert

Ratgeber Informationssicherheit für Geschäftsführung

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Geschäftsführer und Vorstände“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute KI im ISMS

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Künstliche Intelligenz ist mittlerweile aus dem Unternehmensalltag kaum noch wegzudenken. Die Nutzung von Chatbots, Unterstützung bei der Erstellung oder Analyse von Dokumenten und Informationen oder sogar die Entwicklung von KI in den eigenen Produkten – die Möglichkeiten des Einsatzes von KI im Unternehmen sind immens.

In dieser Episode sprechen wir über das Thema „KI im ISMS“ und inwieweit KI zum einen die Informationssicherheit im Unternehmen unterstützen kann aber auch welche Schwachstellen die Nutzung von künstlicher Intelligenz im Unternehmen eröffnen kann.

Hier ein Paar Links zum Thema „KI im ISMS – eine gute Idee?“

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

“Domain Storytelling” von Stefan Hofer und Henning Schwentner, eine Rezension

Cover Buch Domain StorytellingAm 29.06.2023 ist im dpunkt.verlag auf 254 das Buch Domain Storytelling von Stefan Hofer und Henning Schwentner erschienen.

Das Buch richtet sich nach eigenen Angaben an Softwarearchitekten, Softwareentwickler, Projektverantwortliche, Business Analysten, IT-Consultants und das IT-Management. Damit liege ich als Berater für Informationssicherheit eigentlich nicht in der Zielgruppe.

Allerdings stehen wir in der Beratung zum Informationssicherheitsmanagement vor ähnlichen Herausforderungen, wenn es darum geht, organisatorische Abläufe zu verdeutlichen, zu diskutieren und abzustimmen. Unsere Berater sind daher immer wieder auf der Suche nach geeigneten Methoden hierfür. Möglicherweise werden wir beim Domain Storytelling fündig. Domain Storytelling ist eine grafische Modellierungstechnik, die veranschaulicht, wie Menschen zusammenarbeiten. Fachexperten beschreiben Softwareexperten, wie sie Tätigkeiten in ihrem Anwendungsbereich ausführen. Dies wird gemeinsam visualisiert und hilft den Softwareexperten bei der Entwicklung der Software.
In der Beratung ist es ganz ähnlich. Berater beschreiben, wie die Abläufe sein sollen. Sie sind Fachexperten, in unserem Fall für Informationssicherheit. Die Beratungskunden haben dabei die Rolle, die sonst den Softwareexperten zukommt. Sie müssen die Abläufe in ihrer Organisation implementieren.

Das Buch führt in seinem ersten Teil in das Domain Storytelling ein. Die Methode verspricht eine einfache, unmittelbar eingängige, bildliche Darstellung von Abläufen. Dem Betrachter erklären sich die Abläufe von selbst, ohne dass er sich zuvor in die Methode einarbeiten muss. Das sind gute Voraussetzungen für einen schnellen Start. Die Autoren verdeutlichen das an eingängigen Beispielen.

Der Zweite Teil des Buches ist dem praktischen Einsatz der Methode gewidmet. Erläutert wird dies ebenfalls an zahlreichen Beispielen.

Domain Storytelling zwingt zum Formulieren im Aktiv. Bei Tätigkeiten wird klar, wer eine Tätigkeit ausführt. In Audits und in der Beratung sehen meine Kollegen und ich immer wieder Vorgabedokumente, die Passivformulierung verwenden und damit im Unklaren lassen, wer für die Umsetzung verantwortlich ist.
Ein Beispiel: In Richtlinien finden sich oft Sätze wie “Die Zugangsrechte müssen regelmäßig überprüft werden.” Die Verwendung des Passivs “muss geprüft werden” lässt offen, wer die Prüfung durchführen soll. Die Folge ist, dass ein entsprechende Prüfung mit hoher Wahrscheinlichkeit nicht stattfinden wird. Daher sind Formulierungen im Aktiv wie “Der Teamleiter IT-Administration sorgt für die Überprüfung der Zugangsrechte.” die besseren Formulierungen. Die Nutzung von Domain Storytelling zwingt nun dazu, darüber nachzudenken, zu entscheiden und entsprechend zu dokumentieren, wer was machen muss. Ein echter Gewinn.

Gut gefallen hat mir auch der Blick der Autoren nach rechts und links. So wird das Verhältnis des Domain Storytellings zu acht anderen Modellierungswerkzeugen wie beispielsweis UML und BPMN erläutert. Das ist sicherlich hilfreich für alle, die entsprechende Werkzeuge bereits im Einsatz haben.

Ein online bereitstehender Editor macht es möglich, das Gelesene sofort auszuprobieren.

Zusammenfassend kann man sagen, dass die Autoren anschaulich und mit vielen Beispielen mit dem Domain Storytelling in eine Methode einführen, die in Beratung und Schulung von großem Nutzen sein kann. Ich jedenfalls werde die Methode in meinen nächsten Schulungen und auch in der Beratung probeweise verwenden und zu einem späteren Zeitpunkt über meine Erfahrungen berichten.

/von
,

Wirksamkeitsmessung im ISMS – Managementbewertung

In einem vorangehenden Beitrag habe ich einen kurzen Überblick über die Messung der Wirksamkeit eines Informationssicherheits-Managementsystems (ISMS) und seiner Maßnahmen gegeben. Dieser Artikel erläutert die Funktion der “Managementbewertung” bei der Überprüfung der Wirksamkeit des ISMS.

Managementbewertung

Wie viele andere Aspekte eines ISMS findet man auch die Forderung nach einer Bewertung des ISMS durch die oberste Leitung einer Organisation in allen bedeutenden Rahmenwerken zur Informationssicherheit, gleich ob ISO 27001, BSI IT-Grundschutz oder ein anderes Regelwerk. Die Bewertung durch die eigene Leitung ist immer ein wichtiger Bestandteil.

Die ISO 27001:2022 nennt, ebenso wie die Vorgängerversion ISO 27001:2013, in Kapitel 9 drei verpflichtende Handlungsfelder zur Bewertung der Leistung:

  1. Überwachung, Messung, Analyse und Bewertung
  2. Interne Audits
  3. Managementbewertung

Dem Punkt “Überwachung, Messung, Analyse und Bewertung” sowie “Interne Audits” habe ich mich in vergangenen Artikeln bereits gewidmet. Hier soll es jetzt um den letzten Punkt die Managementbewertung gehen.

Die ISO 27001:2022 fordert: “Die oberste Leitung muss das Informationssicherheitsmanagementsystem der Organisation in geplanten Abständen bewerten …”  Zweck ist es, die fortdauernde Eignung, Angemessenheit und Wirksamkeit des ISMS sicherzustellen.

In der Regel hat die Geschäftsführung einen Mitarbeiter mit dem Aufbau und dem Betrieb des ISMS beauftragt, den Informationssicherheitsbeauftragten (IS-Beauftragter). Die konkrete Benennung kann hiervon abweichen, darauf kommt es hier nicht an. Wesentlich ist, dass die Geschäftsführung eine Aufgabe, die eigentlich die ihre ist, an einen Mitarbeiter übertragen hat. Sie muss sich daher in angemessener Weise davon überzeugen, dass diese Aufgabe von ihrem Beauftragten angemessen und wirksam wahrgenommen wird. in der ISO 27001 (Kapitel 9.3) dient die dort sogenannte  Managementbewertung (engl. Management Review) dazu, die Eignung, Angemessenheit und Wirksamkeit des ISMS festzustellen.

Da es sich um eine eigenständige Leistung der Geschäftsführung handelt, könnte diese theoretisch die Bewertung alleine durchführen. In der Praxis besteht die Managementbewertung fast immer aus einem Vortrag des IS-Beauftragten, gefolgt von einer wertenden Reaktion der Geschäftsführung. Die Wertung ist dabei der eigentlich wichtige Teil  der Veranstaltung. Kenntnisnahme ist keine Wertung und genügt nicht.

Häufigkeit der Managementbewertung

Die ISO 27001:2022 schreibt “in geplanten Abständen” vor. Dies wird nun üblicherweise mit mindestens einmal jährlich interpretiert und in die Praxis in einmal im Kalenderjahr übersetzt. Die Frage, ob das gewählte Intervall angemessen und zielführend ist, wird dabei häufig nicht gestellt. Das ist schade.

In sehr großen Unternehmen, die eine ausgewachsene Informationssicherheitsorganisation betreiben, ist dies einmal jährlich oft ausreichend. In mittelständischen Unternehmen, in den die oberste Leitung  auch sonst noch häufiger operative Entscheidungen trifft, sollten die Abstände verkürzt werden. Man kann sich dabei gerne an anderen Bereichen des Unternehmens orientieren. Wie oft tragen beispielsweise der Vertrieb, das Marketing, das Personalwesen oder der Datenschutz bei der Geschäftsführung vor und holen sich deren Entscheidungen ab? Die Managementbewertung nach ISO 27001 beansprucht dabei kein eigenes Meeting. Sie kann gerne als ein Tagesordnungspunkt in einer ohnehin stattfinden Runde stattfinden. Wichtig ist, das inhaltlich alle im Kapitel 9.3 aufgeführten Punkte auch behandelt werden.

Ergebnisse der Managementbewertung

Die Geschäftsführung muss im Ergebnis die fortdauernde Eignung, Angemessenheit und Wirksamkeit des ISMS feststellen oder entsprechende Maßnahmen einleiten, um diese herzustellen.

Weiterhin bedarf es Entscheidungen zu Möglichkeiten der Verbesserung des ISMS. Dies können z.B. Entscheidungen zur Einführung bestimmter Systeme, zur Ressourcenanpassung oder zur Zuweisung von Befugnissen sein.

Die Ergebnisse der Managementbewertung müssen dokumentiert werden.

Damit findet diese kleine Serie von Artikeln zu den Forderungen des Kapitel 9 der ISO 27001 seinen Abschluss. Zukünftige Artikel werden konkrete Möglichkeiten der Umsetzung skizzieren.

Was Sie noch interessieren könnte…

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

In unserem Podcast “Wirksamkeitsmessung in der ISO 27001” informieren wir Sie in lockerer Art und Weise über folgende Aspekte:

  • Was fordert die ISO 27001 und die ISO 27004?
  • Wie findet man heraus, was gemessen werden sollte und mit welchen Methoden?
  • Worauf achten Auditoren?
  • Was sind beispielhafte Kenngrößen?

Hören Sie rein!

/von
,

Awareness – ein Konzept!

Nachdem mein Kollege Andreas Lange in seiner Artikelserie “Awareness – Maßnahme oder Konzept?” den Blick auf die Wichtigkeit der konzeptionellen Ebene gelenkt hat, möchte ich hier ein konkretes Konzept vorstellen. Wir wollen weg von einer Aneinanderreihung von Einzelmaßnahmen, hin zu einem planvollen, auf die Ziele des Informationssicherheitsmanagementsystems (ISMS) abgestimmten Vorgehen. Dieser Artikel soll einen ersten Überblick geben. In folgenden Blog-Artikeln werden die einzelnen Schritte detaillierter beschrieben.

Zum Vorgehen bei der Security Awareness gibt es viele Ansätze. Wir haben uns entschieden, bei unserer Arbeit einem Ansatz zu folgen, der u. a. am Lehrstuhl für Human-Centered Security am Horst-Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum entwickelt wurde. In diesen Ansatz betten wir die Vorgehensweise eines ISMS nach ISO 27001 ein.

Der Ansatz hat seinen Weg in die Praxis gefunden und wird neben unseren eigenen Seminaren u. a. auch im Kurs IT-Security-Beauftragter der TÜV-Rheinland-Akademie gelehrt. Damit hat der Ansatz den Weg aus Forschung und Lehre gefunden und darf als Stand der Technik gesehen werden.

Ausgangslage

Von Mitarbeitern wird erwartet, dass sie bei ihrer täglichen Arbeit alle informationssicherheits-­relevanten Regeln und Vorschriften einhalten. Wenn diese Regelungen lange eingeübten, weitgehend automatisierten Handlungen zuwiderlaufen, wird dies nur schwer gelingen. Es bedarf daher neuer „sicherer“ Routinen. Diese können nicht allein angeordnet, sondern müssen eingeübt werden. Überdies muss ein Grundverständnis bei den Mitarbeitern erzeugt werden, damit sie die Maßnahmen langfristig und nachhaltig umsetzen.

Vorgehensweise

Organisationen müssen dafür sorgen, dass Mitarbeiter sowie weitere Personen, die unter der Aufsicht der Organisation Tätigkeiten ausüben, ihre Tätigkeiten unter Beachtung der Informationssicherheitsregeln ausführen. Bewusstsein und Wissen allein reichen hierfür nicht aus. Benötigt werden neue sichere Verhaltensweisen. Diese müssen eingeübt und als neue Routine im täglichen Arbeiten verankert werden. Überdies sollte die Leitung als gutes Vorbild vorangehen und diese Routinen vorleben.

Die Herangehensweise der Organisation an das Thema Awareness sollte strukturiert erfolgen. Die folgenden Schritte legen ein mögliches Vorgehen fest:

  1. Auswahl der Themen bzw. Themenbereich
  2. Festlegen der Ziele der Awareness-Kampagne(n)
  3. Umsetzung und Überprüfung der Wirksamkeit

Bei der Auswahl der Themen bzw. Themenbereich sollten zuvorderst die Ergebnisse des eigenen Risikomanagements und die eigenen Informationssicherheitsziele berücksichtigt werden. Auch weitere Aspekte wie Informationssicherheitsvorfälle in der eigenen oder bei vergleichbaren Organisationen der gleichen Branche, eine Betrachtung der eigenen Informationswerte („Kronjuwelen“), die eigene Unternehmenskultur, Anforderungen wichtiger Stakeholder, die Analyse und Bewertung der eigenen Informationssicherheitskennzahlen sowie die Ergebnisse von Audits sollten in die Auswahl einfließen.

Die Ziele der Awareness-Kampagne(n) sollten als konkrete, operative Ziele formuliert sein. Das heißt sie müssen spezifisch, messbar, erreichbar, relevant und mit einem Zeitrahmen versehen sein (SMART). Messbarkeit erfordert Kriterien, anhand derer bestimmt werden kann, ob oder in welchem Grad das Ziel erreicht wurde (Zielerreichungskriterien). Die Ziele sind vor dem Start der Umsetzung festzulegen und zu dokumentieren. Zudem sollten die Ziele den Mitarbeitern bekannt gemacht werden, wenn es der Zielerreichung dienlich ist.

The new Awareness Curve

Die Umsetzung erfolgt in neun größtenteils aufeinander aufbauenden Schritten:

  1. Sicherheits-Hygiene: In der Sicherheits-Hygiene sind zunächst die eigenen Regelungen auf tatsächliche und praktische Umsetzbarkeit zu prüfen. Niemandem darf zugemutet werden, Regeln zu befolgen, die im Kontext der eigenen Tätigkeit nicht oder nur unter erheblichen Erschwernissen umzusetzen sind.
  2. Information: Mitarbeiter brauchen Informationen über die bestehenden Regelungen, d.h. die Regeln müssen bekannt gemacht werden und für den Mitarbeiter verfügbar sein.
  3. Sensibilisierung: Die Mitarbeiter müssen sensibilisiert werden. Dabei sollten keine Bedrohungsmodelle genutzt werden, keine Angst erzeugt, sondern motiviert werden.
  4. Wissen und Verstehen: Mitarbeiter müssen wissen und grundlegend verstehen, wie ihr derzeitiges „unsicheres“ Verhalten durch die Bedrohungen ausgenutzt werden kann.
  5. Zustimmung: Mitarbeiter sollen aktiv und möglichst freiwillig zustimmen, ihren Teil zu leisten, d.h. ihr eigenes Verhalten ggfs. zu ändern.
  6. Selbstwirksamkeitserwartung: Die Mitarbeiter sollen eine Selbstwirksamkeitserwartung entwickeln. Das bedeutet, überzeugt zu sein, dass man das erwünschte Verhalten tatsächlich leisten kann und dass man hierdurch einen wichtigen Beitrag leistet.
  7. Fähigkeiten implementieren: Daraufhin werden die neuen Fähigkeiten implementiert. Das erwünschte neue Verhalten wird eingeübt. Dabei werden die Mitarbeiter daran erinnert, dass sie den neuen Verhaltensweisen zugestimmt haben, wie das alte Verhalten aussah und warum es nicht mehr ausgeübt wird.
  8. Verankerung: Das neue Verhalten muss verankert, ein Rückfall in alte Gewohnheiten unterbunden werden.
  9. Sicheres Verhalten: Im letzten Schritt ist das neue sichere Verhalten zur Routine geworden.

Zu jedem Schritt sind geeignet Werkzeuge und Methoden zur Unterstützung zu wählen. Bei der Auswahl von externen Dienstleistern und Services sollte darauf geachtet werden, dass alle Teilschritte des dargestellten Umsetzungsprozesses abgedeckt sind. Ggfs. müssen diese durch weitere Maßnahmen ergänzt werden.

Alle Maßnahmen sollten entsprechend der Bedürfnisse der verschiedenen Adressaten (SW-Entwickler, IT, Personalabteilung, Marketing, Vertrieb etc.) zielgruppengerecht ausgewählt und umgesetzt werden.

Um sicher zu gehen, dass die Voraussetzungen für die Durchführung des jeweils nächsten Prozessschrittes gegeben sind und das Erreichen der definierten Ziele insgesamt zu gewährleisten, sollte nach jedem Prozessschritt eine Wirksamkeitsprüfung durchgeführt werden. Ggfs. ist der Schritt zu wiederholen bzw. zu vertiefen.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Schlagwortarchiv für: ISMS

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

Wir sind zertifiziert nach ISO27001:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen