Was ist ein ISO 27001-Audit und braucht mein Unternehmen eines?
In unserer Welt der standardisierten Daten müssen die Cybersicherheitsstandards himmelhoch und gestochen scharf sein. Die meisten Unternehmen, auch wenn sie nicht unmittelbar technologiebezogen sind, werden irgendwann die Notwendigkeit haben, sich von innen heraus zu rüsten.
Vor mehr als einem Jahrzehnt hat die International Organization of Standards eine Spezifikation namens ISO 27001 verabschiedet. Was genau ist das? Was kann uns ein ISO 27001-Audit über die inneren Machenschaften einer Organisation sagen? Und wie entscheiden Sie, ob Ihr Unternehmen auditiert werden soll?
Was ist ein Informationssicherheits-Managementsystem (ISMS)?
Ein Informationssicherheits-Managementsystem (ISMS) ist die wichtigste Verteidigungslinie eines Unternehmens gegen Datenschutzverletzungen und andere Arten von Cyberbedrohungen von außen.
Ein wirksames ISMS stellt sicher, dass die zu schützenden Informationen vertraulich und sicher bleiben, der Quelle treu bleiben und für die Personen zugänglich sind, die die Berechtigung haben, damit zu arbeiten.
Ein häufiger Fehler ist die Annahme, dass ein ISMS lediglich eine Firewall oder andere technische Schutzmaßnahmen darstellt. Stattdessen ist ein vollintegriertes ISMS ebenso in der Unternehmenskultur und in jedem Mitarbeiter, ob Ingenieur oder sonstwie, präsent. Es geht weit über die IT-Abteilung hinaus.
Der Anwendungsbereich dieses Systems umfasst nicht nur offizielle Richtlinien und Verfahren, sondern auch die Fähigkeit des Teams, das System zu verwalten und zu verfeinern. Die Ausführung und die Art und Weise, wie das Protokoll tatsächlich angewendet wird, sind von größter Bedeutung.
Dies beinhaltet einen langfristigen Ansatz für das Risikomanagement und die Risikominderung. Die Auftraggeber eines Unternehmens müssen mit allen Risiken, die mit der Branche verbunden sind, in der sie speziell tätig sind, genau vertraut sein. Ausgestattet mit dieser Erkenntnis werden sie die Mauern um sich herum entsprechend bauen können.
Was ist ISO 27001 genau?
Im Jahr 2005 überarbeiteten die International Organization for Standardization (ISO) und die International Electrotechnical Commission (IEC) den BS 7799, einen Sicherheitsmanagementstandard, der erstmals 10 Jahre zuvor von der BSI-Gruppe aufgestellt wurde.
Die ISO 27001, die jetzt offiziell als ISO/IEC 27001:2005 bekannt ist, ist ein internationaler Compliance-Standard, der an Unternehmen verliehen wird, die im Informationssicherheitsmanagement vorbildlich sind.
Im Wesentlichen handelt es sich um eine rigorose Sammlung von Standards, gegen die das Informationssicherheits-Managementsystem eines Unternehmens gehalten werden kann. Dieser Rahmen ermöglicht es den Prüfern, die Beharrlichkeit des Systems als Ganzes zu bewerten. Unternehmen können sich für ein Audit entscheiden, wenn sie ihren Kunden und Kunden versichern möchten, dass ihre Daten in ihren Wänden sicher sind.
In dieser Sammlung von Bestimmungen sind enthalten: Spezifikationen zu Sicherheitsrichtlinien, Anlagenklassifizierung, Umgebungssicherheit, Netzwerkmanagement, Systemwartung und Planung der Geschäftskontinuität.
Die ISO hat all diese Facetten aus der ursprünglichen BSI-Charta verdichtet und sie in die Version destilliert, die wir heute kennen.
Eintauchen in die Richtlinie
Was genau wird bewertet, wenn sich ein Unternehmen einem ISO 27001-Audit unterzieht?
Ziel des Standards ist es, eine effektive und sichere Informationspolitik international zu formalisieren. Es fördert eine proaktive Haltung, die versucht, Probleme zu vermeiden, bevor sie auftreten.
Die ISO betont drei wichtige Aspekte eines sicheren ISMS:
1. Ständige Analyse und Anerkennung von Risiken : Dies umfasst sowohl aktuelle Risiken als auch Risiken, die sich in der Zukunft darstellen können.
2. Ein robustes und sicheres System : Dies umfasst das System, wie es im technischen Sinne existiert, sowie alle Sicherheitskontrollen, die die Organisation verwendet, um sich gegen die oben genannten Risiken zu schützen. Diese werden je nach Unternehmen und Branche sehr unterschiedlich aussehen.
3. Ein engagiertes Führungsteam : Dies sind die Leute, die tatsächlich Kontrollen zur Verteidigung der Organisation durchführen. Das System ist nur so effektiv wie diejenigen, die am Ruder arbeiten.
Die Analyse dieser drei entscheidenden Faktoren hilft dem Prüfer, ein vollständigeres Bild von der Fähigkeit eines bestimmten Unternehmens, sicher zu arbeiten, zu zeichnen. Nachhaltigkeit wird einem ISMS vorgezogen, das nur auf brachialer technischer Gewalt beruht.
Es gibt ein wichtiges menschliches Element, das vorhanden sein muss. Die Art und Weise, wie Menschen innerhalb des Unternehmens die Kontrolle über ihre Daten und ihr ISMS ausüben, steht im Vordergrund. Diese Kontrollen sind es, die die Daten tatsächlich schützen.
Was ist Anhang A von ISO 27001?
Spezifische Beispiele für "Kontrollen" hängen von der Branche ab. Anhang A von ISO 27001 bietet Unternehmen 114 offiziell anerkannte Kontrollmöglichkeiten für die Sicherheit ihres Betriebs.
Diese Kontrollen fallen in eine von vierzehn Klassifikationen:
A.5— Informations- und Sicherheitsrichtlinien : die institutionalisierten Richtlinien und Verfahren, die ein Unternehmen befolgt.
A.6— Organisation der Informationssicherheit : die Zuweisung der Verantwortung innerhalb der Organisation in Bezug auf den Rahmen des ISMS und seine Umsetzung. Dazu gehört seltsamerweise auch die Richtlinie zur Telearbeit und zur Nutzung von Geräten im Unternehmen .
A.7— Human Resource Security : Betrifft Onboarding, Offboarding und Rollenwechsel von Mitarbeitern innerhalb der Organisation. Auch Screening-Standards und Best Practices in der allgemeinen und beruflichen Bildung werden hier beschrieben.
A.8— Asset Management : umfasst die Verarbeitung der Daten. Assets müssen inventarisiert, gewartet und privat gehalten werden, in einigen Fällen sogar über Abteilungsgrenzen hinweg. Das Eigentum an jedem Vermögenswert muss eindeutig nachgewiesen werden; Diese Klausel empfiehlt Unternehmen, eine für ihre Branche spezifische „Richtlinie zur akzeptablen Nutzung“ zu erstellen.
A.9— Zugriffskontrolle : Wer darf mit Ihren Daten umgehen und wie beschränken Sie den Zugriff auf autorisierte Mitarbeiter? Dies kann die bedingte Berechtigungsvergabe im technischen Sinne oder den Zugang zu verschlossenen Gebäuden auf Ihrem Firmengelände umfassen.
A.10 – Kryptographie : befasst sich hauptsächlich mit Verschlüsselung und anderen Möglichkeiten zum Schutz von Daten während der Übertragung. Diese Präventivmaßnahmen müssen aktiv gemanagt werden; Die ISO rät Unternehmen davon ab, Verschlüsselung als eine universelle Lösung für all die tiefgreifenden Herausforderungen im Zusammenhang mit der Datensicherheit zu betrachten.
A.11— Physische und Umgebungssicherheit : Bewertet die physische Sicherheit überall dort, wo sich sensible Daten befinden, sei es in einem tatsächlichen Bürogebäude oder in einem kleinen, klimatisierten Raum voller Server.
A.12— Betriebssicherheit : Wie lauten Ihre internen Sicherheitsregeln für den Betrieb Ihres Unternehmens? Dokumentationen, die diese Verfahren erläutern, sollten regelmäßig gepflegt und überarbeitet werden, um neue, aufkommende Geschäftsanforderungen zu erfüllen.
Change Management, Capacity Management und die Trennung verschiedener Abteilungen fallen unter diese Rubrik.
A.13— Netzwerksicherheitsmanagement : Die Netzwerke, die jedes System in Ihrem Unternehmen verbinden, müssen dicht sein und sorgfältig gepflegt werden.
Catch-All-Lösungen wie Firewalls werden noch effektiver, wenn sie beispielsweise durch häufige Überprüfungspunkte, formalisierte Übertragungsrichtlinien oder das Verbot der Nutzung öffentlicher Netzwerke beim Umgang mit Ihren Unternehmensdaten ergänzt werden.
A.14— Systembeschaffung , Entwicklung und Wartung : Wenn Ihr Unternehmen noch kein ISMS hat, erklärt dieser Abschnitt, was ein ideales System mit sich bringt. Es hilft Ihnen sicherzustellen, dass der Umfang des ISMS jeden Aspekt Ihres Produktionslebenszyklus abdeckt.
Eine interne Richtlinie zur sicheren Entwicklung gibt Ihren Ingenieuren den Kontext, den sie benötigen, um ein konformes Produkt zu entwickeln, vom Tag an, an dem ihre Arbeit beginnt.
A.15— Lieferantensicherheitsrichtlinie : Welche Vorkehrungen werden bei Geschäften mit Drittanbietern außerhalb Ihres Unternehmens getroffen, um Lecks oder Verletzungen der an sie weitergegebenen Daten zu verhindern?
A.16— Management von Informationssicherheitsvorfällen : Wenn etwas schief geht, bietet Ihr Unternehmen wahrscheinlich einen Rahmen dafür, wie das Problem in Zukunft gemeldet, angegangen und verhindert werden sollte.
Die ISO sucht nach Vergeltungssystemen, die es den Autoritätspersonen im Unternehmen ermöglichen, nach dem Erkennen einer Bedrohung schnell und vorurteilsfrei zu agieren.
A.17— Aspekte der Informationssicherheit des Business Continuity Managements : Im Falle einer Katastrophe oder eines anderen unwahrscheinlichen Vorfalls, der Ihren Betrieb unwiderruflich unterbricht, muss ein Plan aufgestellt werden, um das Wohlergehen des Unternehmens und seiner Daten zu bewahren, bis das Geschäft läuft wie gewohnt weiter.
Die Idee ist, dass eine Organisation eine Möglichkeit braucht, die Kontinuität der Sicherheit in Zeiten wie diesen zu wahren.
A.18— Compliance : Schließlich kommen wir zum eigentlichen Vertrag der Vereinbarungen, die ein Unternehmen eingehen muss, um die Anforderungen für die ISO 27001-Zertifizierung zu erfüllen. Ihre Verpflichtungen werden vor Ihnen ausgelegt. Sie müssen nur noch auf der gestrichelten Linie unterschreiben.
Die ISO verlangt nicht mehr, dass konforme Unternehmen nur Kontrollen verwenden, die in die oben aufgeführten Kategorien passen. Die Liste ist jedoch ein guter Ausgangspunkt, wenn Sie gerade erst damit beginnen, den Grundstein für das ISMS Ihres Unternehmens zu legen.
Sollte mein Unternehmen auditiert werden?
Das hängt davon ab. Wenn Sie ein sehr kleines Start-up sind, das in einem Bereich arbeitet, der nicht sensibel oder risikoreich ist, können Sie wahrscheinlich warten, bis Ihre Pläne für die Zukunft sicherer sind.
Später, wenn Ihr Team wächst, können Sie sich in einer der folgenden Kategorien wiederfinden:
- Möglicherweise arbeiten Sie mit einem wichtigen Kunden zusammen, der um eine Bewertung Ihres Unternehmens bittet, um sicherzustellen, dass er bei Ihnen sicher ist.
- Vielleicht möchten Sie in Zukunft zu einem Börsengang übergehen.
- Sie sind bereits Opfer einer Sicherheitsverletzung geworden und müssen die Art und Weise, wie Sie die Daten Ihres Unternehmens verwalten und schützen, überdenken.
Prognosen für die Zukunft sind nicht immer einfach. Auch wenn Sie sich in keinem der oben genannten Szenarien wiederfinden, schadet es nicht, proaktiv zu sein und einige der von der ISO empfohlenen Praktiken in Ihr Regime aufzunehmen.
Die Macht liegt in Ihren Händen
Die Vorbereitung Ihres ISMS auf ein Audit ist so einfach wie die Durchführung einer Due Diligence, auch wenn Sie heute arbeiten. Die Dokumentation sollte immer gepflegt und archiviert werden, um Ihnen den Nachweis zu liefern, den Sie benötigen, um Ihre Kompetenzansprüche zu untermauern.
Es ist wie in der Mittelschule: Du machst die Hausaufgaben und bekommst die Note. Die Kunden sind gesund und munter und Ihr Chef ist sehr zufrieden mit Ihnen. Dies sind einfache Gewohnheiten, die Sie lernen und beibehalten können. Du wirst es dir später danken, wenn endlich der Mann mit der Zwischenablage anruft.