Schlagwortarchiv für: ISO 27001

Die digitale Transformation hat die Art und Weise, wie Unternehmen Informationen verwalten, grundlegend verändert. Mit dem zunehmenden Einsatz von Technologien und der verstärkten Vernetzung von Geschäftsprozessen ist es entscheidend, dass Organisationen robuste Informationssicherheits-Managementsysteme (ISMS) implementieren. Die ISO 27001, eine international anerkannte Norm für Informationssicherheit, bietet einen Rahmen für die Entwicklung, Umsetzung, Überwachung und Verbesserung eines wirksamen ISMS. Interne Audits nach ISO 27001 spielen dabei eine Schlüsselrolle, um sicherzustellen, dass das ISMS effektiv funktioniert und den ständig wachsenden Bedrohungen standhält.

Warum sind interne Audits wichtig?

Interne Audits sind systematische und unabhängige Bewertungen von Prozessen, um sicherzustellen, dass diese den festgelegten Standards entsprechen. Im Kontext von ISO 27001 dienen interne Audits dazu, die Wirksamkeit des ISMS zu überprüfen und Schwachstellen aufzudecken, bevor sie zu ernsthaften Sicherheitsproblemen führen. Durch regelmäßige Audits wird eine kontinuierliche Verbesserung der Informationssicherheitsprozesse ermöglicht.

Planung ist der Schlüssel zum Erfolg

Bevor ein internes Audit durchgeführt wird, ist eine sorgfältige Planung erforderlich. Dies umfasst die Festlegung der Auditziele, die Auswahl qualifizierter Auditoren und die Festlegung des Prüfumfangs. Der Auditplan sollte alle relevanten Prozesse und Kontrollen abdecken, um ein umfassendes Bild der Informationssicherheitslage im Unternehmen zu erhalten.

Durchführung des internen Audits

Während des Audits bewerten die internen Auditoren die Umsetzung der ISO-27001-Anforderungen, die Effektivität der Sicherheitskontrollen und die allgemeine Konformität mit den festgelegten Richtlinien. Dies beinhaltet oft Interviews mit Mitarbeitern, Überprüfung von Dokumentationen und Analyse von Sicherheitsvorfällen. Das Ziel ist es, potenzielle Schwachstellen zu identifizieren und Empfehlungen für Verbesserungen auszusprechen.

Ergebnisse und Maßnahmenplanung

Nach Abschluss des internen Audits werden die Ergebnisse dokumentiert. Dies umfasst festgestellte Nonkonformitäten, positive Ergebnisse und mögliche Verbesserungsvorschläge. Basierend auf diesen Ergebnissen erstellt das Unternehmen einen Maßnahmenplan, um die identifizierten Schwachstellen zu beheben und das ISMS kontinuierlich zu verbessern.

Kontinuierliche Verbesserung und Anpassung an neue Herausforderungen

Interne Audits dienen nicht nur der Einhaltung von Standards, sondern fördern auch eine Kultur der kontinuierlichen Verbesserung. Die sich ständig ändernde Bedrohungslandschaft erfordert, dass Unternehmen flexibel bleiben und ihre Sicherheitspraktiken anpassen. Durch regelmäßige interne Audits können Unternehmen sicherstellen, dass ihr ISMS nicht nur aktuellen Standards entspricht, sondern auch auf neue Herausforderungen vorbereitet ist.

Fazit

Interne Audits nach ISO 27001 sind unverzichtbar für die Sicherheit von Unternehmensinformationen. Sie bieten eine systematische Methode, um die Effektivität des ISMS zu überprüfen, Schwachstellen aufzudecken und eine kontinuierliche Verbesserung zu fördern. Unternehmen, die diese Audits ernst nehmen, investieren nicht nur in ihre eigene Sicherheit, sondern auch in das Vertrauen ihrer Kunden und Partner. Ein gut durchgeführtes internes Audit ist somit nicht nur eine Pflichtübung, sondern ein strategisches Werkzeug zur Bewältigung der ständig wachsenden Herausforderungen im Bereich der Informationssicherheit.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Nachdem man sich Gedanken gemacht hat, warum, durch wen und nach welchem Standard ein ISMS eingeführt werden soll, sollte man nicht einfach wild drauf los starten. Besser ist es, sich schon am Anfang des ganzen Projektes grundlegende Gedanken zur Dokumentation, Klassifizierung, zum Risiko- und Assetmanagement zu machen.

In unserer Folge „ISMS mit Methode – erste Überlegungen“ gehen wir auf folgende Aspekte ein:

  • Grundlegende Überlegungen am Anfang eines ISMS-Projektes
  • Wichtigkeit der Methodik für Dokumentation, Klassifizierung und Dokumentenlenkung
  • Überlegungen zum Risiko- und Assetmanagement je nach Unternehmen
  • Wo finde ich Hilfen: Kapitel 4 und BSI Grundschutz Kompendium

Hier ein Paar Links zum Thema ISMS mit Methode – erste Überlegungen

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Man kann noch so gut planen und sich an Regeln halten, passieren kann trotzdem immer etwas. Aber wie geht man damit um, wann handelt es sich tatsächlich um einen Vorfall und wann nur um ein Ereignis, dass zwar beobachtet werden muss, aber noch kein wirkliches Problem darstellt?

In unserer Folge „Vorfälle in der Informationssicherheit– Pleiten, Pech und Pannen“ gehen wir auf folgende Aspekte ein:

  • Unterscheidung zwischen Schwachstelle, Ereignis und Vorfall
  • Wer meldet wann, was und an wen
  • Die Aufgaben des ISB’s in diesem Prozess

Hier ein Paar Links zum Thema Vorfälle in der Informationssicherheit:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

In einem vorangehenden Beitrag habe ich einen kurzen Überblick über die Messung der Wirksamkeit eines Informationssicherheits-Managementsystems (ISMS) und seiner Maßnahmen gegeben. Dieser Artikel vertieft die Funktion der “Internen Audits” bei der Überprüfung der Wirksamkeit des ISMS.

Interne Audits

Wie viele andere Aspekte eines ISMS findet man Interne Audits in allen bedeutenden Rahmenwerken zur Informationssicherheit, gleich ob ISO 27001, BSI IT-Grundschutz oder ein anderes Regelwerk. Interne Audits sind immer ein wichtiger Bestandteil der Bewertung der Leistung.

Die ISO 27001:2022 nennt, ebenso wie die Vorgängerversion ISO 27001:2013, in Kapitel 9 drei verpflichtende Handlungsfelder zur Bewertung der Leistung:

  1. Überwachung, Messung, Analyse und Bewertung
  2. Interne Audits
  3. Managementbewertung

Dem Punkt “Überwachung, Messung, Analyse und Bewertung” habe ich mich in der Vergangenheit in einigen Artikeln gewidmet. Das Thema “Managementbewertung” wird uns in einem späteren Artikel beschäftigen. Hier soll es um den zweiten Punkt “Interne Audits” gehen.

Die ISO 27001:2013 fordert: “Die Organisation muss in geplanten Abständen interne Audits durchführen, …”. Zweck ist es, sicherzustellen, dass sowohl die organisationseigenen Anforderungen an das ISMS als auch die Anforderungen der ISO 27001 selbst erfüllt werden.

Dazu sind ein oder mehrere Auditprogramme zu planen und umzusetzen.

Auditprogramm

Ein Auditprogramm plant ein oder mehrere Audits, wobei “mehrere” der Regelfall ist. Das Auditprogramm (meist ist es eins), das die Internen Audits einer Organisation plant, beschreibt mindestens folgende Aspekte der Audits:

  • Häufigkeit und zeitliche Lage der Audits
  • Methoden (Dokumentensichtung, Befragung vor Ort etc.)
  • Verantwortlichkeiten
  • Anforderungen an die Planung
  • Berichterstattung
  • Auditkriterien (gegen welche Norm oder sonstiges Regelwerk wird auditiert)
  • Auditoren

Das  Auditprogramm muss die Bedeutung der betroffenen Prozesse widerspiegeln. Dies kann u.a. durch eine geeignete Verteilung der zur Verfügung stehenden Auditzeit bzw. die Häufigkeit der Auditierung der einzelnen Prozesse umgesetzt werden.

Gleichfalls soll das Auditprogramm die Ergebnisse vorheriger Audits berücksichtigen. Dabei sind insbesondere aufgetretene Nichtkonformitäten zu betrachten.

In einem späteren Artikel werde ich mich näher mit der Managementbewertung nach Kapitel 9.3 beschäftigen.

Was Sie noch interessieren könnte…

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

In unserem Podcast “Wirksamkeitsmessung in der ISO 27001” informieren wir Sie in lockerer Art und Weise über folgende Aspekte:

  • Was fordert die ISO 27001 und die ISO 27004?
  • Wie findet man heraus, was gemessen werden sollte und mit welchen Methoden?
  • Worauf achten Auditoren?
  • Was sind beispielhafte Kenngrößen?

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Aller Anfang ist schwer – auch bei der Einführung eines ISMS stellen sich viele Fragen: warum, wie, wer? Einfach anfangen ist auch nicht ratsam, ein unstrukturiertes Vorgehen verschwendet nur unnötig Ressourcen. Aber wie beginnt man ein ISMS-Projekt nun richtig?

In unserer Folge „Erste Schritte im ISMS – mit dem Beginnen beginnen“ gehen wir auf folgende Aspekte ein:

  • Kommunikation ist alles – Vorbildfunktion der Geschäftsführung und Abholen aller Mitarbeiter
  • Überlegungen zur Scopefindung
  • Tipps zum Normverständnis
  • Vorteile einer Gap-Analyse
  • Alles zu seiner Zeit – Terminierung der Zertifizierung

Hier ein Paar Links zum Thema Erste Schritte im ISMS:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Informationssicherheitsbehandlung – Risikobehandlungsoptionen

Im ersten Teil unserer Serie zum Risikomanagement im ISMS haben wir uns allgemein über den Stellenwert des Risikomanagements im ISMS nach ISO 27001 unterhalten. Im zweiten Teil ging es um die Risikoidentifikation. Der dritte Teil beschäftigte sich mit der Beurteilung von Risiken.

In diesem Beitrag beschäftigen wir uns mit der Informationssicherheitsbehandlung im Sinne des Kapitels 6.1.3 der ISO 27001:2013, d.h. mit dem Planungsteil der Informationssicherheitsbehandlung. Der Umsetzung der Maßnahmen werden wir uns in einem späteren Beitrag widmen.

Informationssicherheitsoptionen

Zunächst fordert die ISO 27001:2013, dass für die Informationssicherheitsbehandlung angemessene Optionen unter Berücksichtigung der Ergebnisse der Risikobeurteilung auszuwählen. Es können also auch mehrere Optionen ausgewählt werden. Gelegentlich ist dies auch notwendig, da eine einzelne Option möglicherweise nicht zum gewünschten Ergebnis führt. Input dieses Prozessschrittes ist die priorisierte Risikoliste.

Die üblichen Risiokobehandlungsoptionen sind:

  • Risikovermeidung
  • Risikoverminderung
  • Risikoverlagerung
  • Risikoübernahme

Je nach Kontext finden sich leicht andere Bezeichnungen oder einzelne Optionen werden noch einmal in Untertype aufgeteilt. Was bedeuten nun die einzelnen Optionen:

Risikovermeidung (risk avoidance)

Dies klingt zunächst wie der Königsweg. Wenn man das Risiko vermeidet, ist es weg. Allerdings sind Risiken meist untrennbar mit unseren Tätigkeiten, Akticitäten und Prozessen verbunden. Risiken zu vermeiden bedeutet also die mit dem Risiko verbundenen Tätigkeit aufzugeben. Damit wird klar, dass diese Option nur für eine begrenzte Anzahl von Risiken in Frage kommt, möchte man den Geschäftsbetrieb nicht vollständig einstellen. Für einzelne Tätigkeiten oder Abläufe ist dies jedoch eine gute Wahl.

Beispiel:

  • Mit dem Verbieten der Nutzung von privaten Endgeräten zu dienstlichen Zwecken vermeide ich alle an einer solchen Arbeitsweise hängenden Rechtsrisiken, u.a. die datenschutzrechtlichen.

Risikoverminderung (risk modifikation)

Der Wunsch, ein Risiko zu vermindern, ist häufig unser erster Impuls. Wir reduzieren die Schwere der Folgen und / oder die Höhe der Eintrittswahrscheinlichkeit. Der englische Begriff “risk modification” weitet hier die Betrachtungsweise dahingehend, dass es in Einzelfällen auch sinnvoll sein kann, ein Risiko bewusst zu erhöhen, insbesondere um eine Chance wahrzunehmen.

Beispiele:

  • Nutzung eines unverschlüsselten Kommunikationskanals bei der Angebotsvorbereitung, um eine Ausschreibungsfrist einhalten zu können.
  • Etablierung eines Patchmangements, um die Wahrscheinlichkeit des Befalls durch Schadsoftware zu reduzieren.

Risikoverlagerung oder -abwälzung (risk sharing)

Der deutsche Begriff  Risikoabwälzung klingt sehr negativ, geradezu unlauter. Auch hier ist der englische Begriff “risk sharing” (Risikoteilung) etwas schöner. Wir teilen unser Risiko mit jemand anderen. Damit auf der Gegenseite die Bereitschaft vorhanden ist, zumindest einen Teil unseres Risikos zu übernehmen, wird diese üblicherweise hierfür entschädigt. Die Risikoübernahme ist Teil des Geschäftsmodells derjenigen, die die Risiken übernehmen.

Beispiele:

  • Abschluss einer Cyber-Versicherung: Die Versicherung übernimmt (zumindest einen Teil) der der finanziellen Folgen der Cyber-Risiken eines Unternehmens.
  • Outsourcing der IT-Infrastruktur: Ein Outsourcer übernimmt den IT-betrieb für seinen Kunden und damit auch die Risiken, die mit dem IT-Betrieb zusammenhängen. Er haftet seinem Kunden für den ordnungsgemäßen Betrieb und wird hierfür entsprechend vergütet.

Risikoübernahme oder Risikobeibehaltung (risk retention)

Das Risiko wird unverändert beibehalten. Dies gilt auch, wenn das Risiko oberhalb der festgelegten generellen Risikoakzeptanzschwelle liegt. Es handelt sich dabei um eine bewusste Entscheidung. Häufig erfolgt die Entscheidung zur Risikobeibehaltung zeitlich befristet.

Beispiel:

  • Der Patchplan sieht das Patchen eines Altsystems vor. Der Vorgang ist aufwendig und mit Betriebsunterbrechung verbunden. Das Ersetzen des Altsystems durch eine neue Anwendung ist für das übernächste Quartal geplant. Es wird entschieden, die Risiken, die sich aus dem Weiterbetrieb des ungepatchten System ergeben bis dahin zu übernehmen.

Maßnahmen zur Umsetzung der gewählten Optionen

Das Ergebnis sind zu jedem Risiko ausgewählte Risikobehandlungsoptionen. Im Anschluss sind entsprechend der gewählten Optionen Maßnahmen festzulegen. Dies wird Gegenstand des nächsten Blog-Artikels zum Risikomanagement im ISMS.

Was Sie noch interessieren könnte…

Seminar:

„Risikomanagement im ISMS“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Auch zur Risikoanalyse haben wir eine Folge für Sie aufgenommen. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Für ein zertifiziertes und funktionierendes ISMS nach ISO 27001 ist eine Risikobewertung und Risikobehandlung unverzichtbar. Im Anhang A werden viele Punkte aufgegriffen, die Risiken bergen können. Aber reicht es, diese Controls einfach abzuarbeiten? Und wie schafft man es bei der Fülle an Risiken nicht zu verzweifeln?

In unserer Folge „Die Risikoanalyse im ISMS – identifizieren, beurteilen, behandeln“ gehen wir auf folgende Aspekte ein:

  • Normvorgaben der ISO 27001
  • Wie werden Unternehmensrisiken gesammelt?
  • Wie werden Risiken priorisiert und Maßnahmen geplant?
  • Hilfestellungen aus dem IT-Grundschutz
  • Die Wichtigkeit von Asset-Owner und der Führung bei der Risikoanalyse

Hier ein Paar Links zum Thema Risikoanalyse im ISMS:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Kommunikation und Berichtswege im ISMS

In den ersten beiden Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzen eines Projektteams für die Einführung des ISMS sowie mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS beschäftigt. In diesem Beitrag soll es um die Berichtswege hin zur obersten Leitung eines Unternehmens gehen.

Zuweisung von Verantwortung und Befugnissen zum Berichten

Es ist die Aufgabe der obersten Leitung, also von Geschäftsführern und Vorständen, die Verantwortlichkeit und die Befugnisse für das Berichten über die Leistung des Informationssicherheits-Managementsystems an die oberste Leitung, also an sich selbst, zuzuweisen. Mit anderen Worten, wenn die oberste Leitung nichts aus dem ISMS hört, hat sie selbst etwas falsch gemacht. Lassen wir den Fall, dass genau dies beabsichtigt ist, einmal außen vor…

Die Geschäftsführer und Vorstände sollten also zumindest einer Person, meist dem CISO oder Informationssicherheitsbeauftragten, die Pflicht zur Berichterstattung auferlegen. Verbunden mit einem jederzeitigen und unmittelbaren Vortragsrecht sorgt dies dafür, dass die oberste Leitung auch in außergewöhnlichen Situationen, wie akuten Informationssicherheitsvorfällen jederzeit informiert ist. Aber auch andere Themen, die sonst in der Hierarchie und Bürokratie einer Organisation zu versickern drohen, kommen so “ganz oben” an. Kluge Informationssicherheitsbeauftragte werden von diesem Recht nur sehr dosiert Gebrauch machen, so dass die Befürchtung einer Überbeanspruchung der Führung in der Praxis meist unbegründet ist.

Kennzahlen

Kennzahlen bieten ein wichtiges Steuerungsinstrument. Die ISO 27001:2022 fordert dieses Instrument in Kapitel 9.1, der BSI-Standard 200-1 in Kapitel 4.1 “Aufgaben und Pflichten des Managements”. Sich wichtige Kennzahlen regelmäßig berichten zu lassen, ermöglicht es der Führung im Bilde zu bleiben und steuernd eingreifen zu können. Dabei sollten zwei Ebenen abgedeckt werden:

  1. Wirksamkeit des Informationssicherheits-Managementsystems
    Funktioniert mein Managementsystem? Werden alle notwendigen Aktivitäten durchgeführt, wie z.B. Kennzahlenerfassung, Rollenbesetzungen, Risikobewertungen?
  2. Informationssicherheitsleistung
    Was kommt für die Informationssicherheit hinten raus, z.B. wie häufig auf Links in Phishing-E-Mails geklickt wurde oder wie häufig unbegleitete “Fremde” auf dem Betriebsgelände angetroffen wurden?

Auditberichte

Die eigene Organisation sollte regelmäßig in Hinblick auf Informationssicherheit auditiert werden. Die resultierenden Auditberichte zeigen Nichtkonformitäten und Verbesserungspotentiale auf. Eine wichtige Informationsquelle für die Organisationsleitung.

Managementbewertung

In der Managementbewertung bewertet die Geschäftsführung bzw. der Vorstand ihr bzw. sein ISMS. Diese Sichtweise ist wichtig. Wenn es keine spezifischen Anforderungen gibt, so gehört es mindestens zu den allgemeinen Sorgfaltspflichten der Organisationsleitung für ein angemessenes Niveau der Informationssicherheit zu sorgen. Dieser Pflicht kommt sie nach, indem sie ein ISMS einrichtet bzw. einrichten lässt. In der Folge muss sie sich vergewissern, dass dieses System funktioniert und es daher bewerten.

In der Praxis sieht es meist so aus, dass der Informationssicherheitsbeauftragte (ISB) der obersten Leitung berichtet. Gegenstand des Berichts sind u.a. der Status von Maßnahmen als Folge vorheriger Managementbewertungen, Veränderungen bei verschiedenen das ISMS betreffenden Themen, Nichtkonformitäten und zugehörige Ursachenanalysen sowie Korrekturmaßnahmen, wichtige Kennzahlen, Auditergebnisse, Stand bei der Erreichung von Informationssicherheitszielen, Ergebnisse der Risikobeurteilung,  Umsetzungsgrad beschlossener Maßnahmen sowie allgemeine Möglichkeiten zur fortlaufenden Verbesserung. Auf all diese Dinge muss die Führung wertend reagieren. Notwendige Entscheidungen müssen von der obersten Leitung getroffen werden. Die Managementbewertung ist also nichts, was die oberste Leitung einfach konsumieren darf. Vielmehr ist es andersherum. Der Bericht des ISB liefert nur die Informationen, die als Grundlage für die Bewertung und Anpassung des ISMS durch die Geschäftsführung bzw. Vorstand dienen.

Damit wären die wesentlichen Teile der Kommunikation und Berichtswege an die oberste Leitung im ISMS beschrieben. Wie immer kommt es auch hier darauf an, dies möglichst gut in die Prozesse des Unternehmens zu integrieren. Integration in die Prozesse soll dann auch das Thema des nächsten Artikels dieser Serie werden.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Laut ISO 27001:2022 Kapitel 9.2 sind interne Audits ein verpflichtender Bestandteil eines funktionierenden ISMS. Jedoch sollte man diese Audits nicht als Zwang wahrnehmen, sondern eher als Möglichkeit, gezielt Schwachstellen aufzugreifen und rechtzeitig abzustellen.

In unserer Folge „Audits in der ISO 27001 – wie, wer, was?“ gehen wir auf folgende Aspekte ein:

  • Forderungen der ISO 27001:2022 Kapitel 9.2
  • Unterschied Auditprogramm und Auditplan
  • Die Schwierigkeiten eines dynamischen Auditprogramms
  • Aufgaben und Qualifikationen von Auditprogrammleitern und Auditoren

Hier ein Paar Links zum Thema interne Audits:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

In den ersten drei Artikeln dieser Serie ging es um eine kurze Einführung in die Struktur der ISO 27701:2021 und einen kurzen Überblick über die neuen Controls im Anhang der Norm. In diesem Artikel soll es um die Veränderungen bzw. Erweiterungen der Normkapitel der ISO 27001:2013 durch die ISO 27701:2021 gehen, insbesondere um den Kontext im DSMS.

Erweiterung der Normkapitel der ISO 27001:2013 – Kontext im DSMS

Kapitel 5 der ISO 27701 nennt die Erweiterungen der Normkapitel der ISO 27001 “PIMS-spezifische Anforderungen in Bezug auf ISO/IEC 27001”. PIMS ist die Abkürzung für Privacy Information Management System also für ein Datenschutzmanagementsystem (DSMS).

Die allgemeinste Anforderung ist, dass überall dort, wo die ISO 27001 von “Informationssicherheit” spricht, dies durch “Informationssicherheit und Datenschutz” zu ersetzen ist.

Spezifische Änderungen, bzw. weitergehende Anforderungen werden für die Kapitel 4 und 6 der ISO 27001:2013 aufgestellt. Die anderen Normkapitel bleiben, abgesehen von der Änderung von “Informationssicherheit” zu “Informationssicherheit und Datenschutz”, unberührt.

Anforderungen zu Kapitel 4 der ISO 27001:2013 “Kontext der Organisation”

Zunächst wird gefordert, dass die Organisation als Teil des Kontextes sich ihrer Rolle als verantwortliche Stelle, als gemeinsame verantwortliche Stelle oder als Auftragsverarbeiter bewusst wird. Eine Organisation kann mehrere dieser Rollen gleichzeitig einnehmen.

Weitere interne und externe Themen, die datenschutzrelevant sind, sind z.B. geltende Datenschutzgesetze, geltende Vorschriften, geltende Gerichtsentscheidungen, eigene Richtlinien und Verfahren oder vertragliche Anforderungen.

Anforderungen zu Kapitel 4 “Erfordernisse und Erwartungen interessierter Parteien”

Zusätzlich zu den im Bereich Informationssicherheit identifizierten interessierten Parteien (Stakeholder) müssen die Parteien identifiziert werden, die Interessen oder Verantwortlichkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten haben. Das betrifft insbesondere die betroffenen Personen im datenschutzrechtlichen Sinne (vgl. Art. 4 Abs. 1 DSGVO).
Zu den Anforderungen dieser interssierten Parteine können bestimmte technische und organisatorische Maßnahmen (TOMs) gehören oder auch die Forderung des nachweisbaren Betriebs eines DSMS.

Anforderungen zu Kapitel 4 “Festlegung des Anwendungsbereichs”

Bei der Festlegung des Anwendungsbereichs des DSMS muss die gesamte Verarbeitung personenbezogener Daten einbezogen sein. Das bedeutet, außerhalb des DSMS dürfen keine personenbezogenen Daten verarbeitet werden. Der Anwendungsbereich kann daher den des zugrundeliegenden ISMS übersteigen oder sich teilweise oder vollständig mit diesem Decken. Im Extremfall kann es auch zu vollständig überschneidungsfreien Anwendungsbereichen kommen, wenn das ISMS einen sehr speziellen und engen Scope hat. Aus praktischen Gründen sollten im Endausbau des ISMS und des DSMS beide Anwendungsbereiche deckungsgleich sein und die gesamte Organisation umfassen.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Schlagwortarchiv für: ISO 27001