Transcription of Implementierungsleitfaden ISO/IEC 27001:2013
1 Eine Ver ffentlichung des ISACA Germany Chapter InformationssicherheitImplementierungsle itfaden ISO/IEC 27001 : 2013 Ein Praxisleitfaden f r die Implementierung eines ISMS nach ISO/IEC 27001 :20132454 Cover ISACA-Leitfaden ISO IEC 10:18 Herausgeber:ISACA Germany Chapter Oberwallstra e 24 10117 Gerhard Funk (CISA, CISM), unabh ngiger Berater Julia Hermann (CISSP, CISM), Giesecke & Devrient GmbH Angelika Holl (CISA, CISM), Unicredit Bank AG Nikolay Jeliazkov (CISA, CISM), Union Investment Oliver Kn rle (CISA, CISM) Boban Krsic (CISA, CISM, CISSP, CRISC), DENIC eG Nico M ller, BridgingIT GmbH Jan Oetting (CISA, CISSP), Consileon Business Consultancy GmbH Jan Rozek Andrea Rupprich (CISA, CISM), usd AG Dr. Tim Sattler (CISA, CISM, CGEIT, CRISC, CISSP), Jungheinrich AG Michael Schmid (CISM), Hubert Burda Media Holger Schrader (CISM, CRISC)Die Inhalte dieses Leitfadens wurden von Mitgliedern des ISACA Germany Chapter erarbeitet und sind sorgf ltig recherchiert.
2 Trotz gr tm glicher Sorgfalt erhebt die vorliegende Publikation keinen Anspruch auf Vollst ndigkeit. Sie spiegelt die Auffassung des ISACA Germany Chapter wider. ISACA Germany Chapter bernimmt keine Haftung f r den jeweils aktuelle Leitfaden kann unter kostenlos bezogen werden. Alle Rechte, auch das der auszugsweisen Ver-vielf ltigung, liegen beim ISACA Germany Chapter bzw. der Risk Management Association : Mai 2016 (Final nach Review und berarbeitung durch ISACA-Fachgruppe Informationssicherheit)Implementierungsl eitfaden ISO/IEC 27001 : 2013 Ein Praxisleitfaden f r die Implementierung eines ISMS nach ISO/IEC 27001 : 2013 3 Implementierungsleitfaden ISO/IEC 27001 : 2013 Warum dieser Guide?Informationssicherheit ist unverzichtbar. Sie muss als Be-standteil der Unternehmensf hrung allerdings darauf aus-gerichtet sein, die Gesch ftsziele optimal zu unterst tzen.
3 Auch oder vielleicht gerade in Zeiten sogenannter Cyber-Bedrohungen und des vielerorts aufkommenden Begriffs der Cyber-Sicherheit bietet ein gut strukturiertes Infor-mationssicherheits-Managementsyste m (ISMS) nach inter-national anerkannten Standards die optimale Grundlage zur effizienten und effektiven Umsetzung einer ganzheitlichen der gew hlte Fokus auf die aus dem Internet stammenden Bedrohungen, den Schutz von geistigem Eigentum, die Erf l-lung von Regularien und vertraglichen Verpflichtungen oder die Absicherung von Produktionssystemen gelegt wird, h ngt von den Rahmenbedingungen (z. B. Branche, Gesch ftsmo-dell oder Risikoappetit) und den konkreten Sicherheitszielen der jeweiligen Organisation ab. Unabh ngig von der Na-mensgebung des gew hlten Ansatzes ist in allen F llen ent-scheidend, sich der in dem jeweiligen Kontext bestehenden Informationssicherheitsrisiken bewusst zu sein bzw.
4 Diese aufzudecken und die notwendigen Strategien, Prozesse und Sicherheitsma nahmen auszuw hlen, umzusetzen und letzt-lich auch konsequent nachzuhalten. Die konkrete Umsetzung eines ISMS erfordert Erfahrung, basiert zuvorderst allerdings auf der Entscheidung und Verpflichtung der obersten Leitungsebene gegen ber dem Thema. Ein klarer Managementauftrag und eine an die Ge-sch ftsstrategie angepasste Sicherheitsstrategie sind zusam-men mit kompetentem Personal und den letztlich immer erforderlichen Ressourcen die Grundvoraussetzungen, um mit einem ISMS die Erreichung der Gesch ftsziele optimal unterst tzen zu k vorliegende Implementierungsleitfaden ISO/IEC 27001 : 2013 (kurz: Implementierungsleitfaden ) enth lt praxisorien-tierte Empfehlungen und Hinweise f r Organisationen, die entweder bereits ein ISMS nach der internationalen ISO/IEC -Norm 27001 : 2013 , Information technology Securi-ty techniques Information security management systems Requirements, betreiben oder ein solches aufbauen wol-len, unabh ngig von vorhandenen oder etwaig angestrebten Zertifizierungen.
5 Der Leitfaden bietet allen, die mit dem Auf-bau und/oder Betrieb eines ISMS betraut sind, pragmatische Hilfestellungen und Herangehensweisen. Die Vorteile eines individuell angepassten und, sofern notwendig, gleichzeitig normkonformen ISMS werden klar herausgestellt. Insbe-sondere werden Praxisempfehlungen zur Etablierung bzw. Erh hung des Reifegrads bestehender ISMS-Prozesse und typische Umsetzungsbeispiele verschiedener Anforderungen ISACA Germany Chapter bedankt sich bei der ISACA- Fachgruppe Informationssicherheit und den Auto-ren f r die Erstellung des Leitfadens: Gerhard Funk, Julia Hermann, Angelika Holl, Nikolai Jeliazkov, Oliver Kn rle, Boban Krsic, Nico M ller, Jan tting, Jan Rozek, An drea Rupprich, Dr. Tim Sattler, Michael Schmid und Holger und Redaktion: Oliver Kn rleDisclaimerDie hier vorliegenden Informationen sind nach bestem Wis-sen durch Praxisexperten der Informationssicherheit, Au-ditoren und Informationssicherheitsverantwortliche erstellt worden.
6 Es wird an keiner Stelle ein Anspruch auf Vollst n-digkeit oder Fehlerfreiheit 5 Implementierungsleitfaden ISO/IEC 27001 :20131. Einleitung 72. Aufbau des Leitfadens Themenbereiche .. Kapitelstruktur .. Konventionen ..103. Bausteine eines ISMS nach ISO/IEC 27001 : 2013 Context of the Organization .. Leadership and Commitment .. IS IS Policy .. Roles, Responsibilities and Competencies .. Risk Management .. Performance Monitoring & KPIs .. Communication .. Competence and Awareness .. Supplier Relationships .. Internal Audit .. Incident Management .. Continual Improvement ..384. Glossar 405. Referenzen 426. Abbildungsverzeichnis 437. Anlage 1: Mapping ISO/IEC 27001 : 2013 vs. ISO/IEC 27001 :2005 448. Anlage 2: Versionsvergleich ISO/IEC 27001 : 2013 vs. ISO/IEC 27001 :2005 569. Anlage 3: Interne ISMS-Audits Mapping zur ISO/IEC 19011:2011 und ISO/IEC 27007:2011 586 InhaltsverzeichnisImplementierungsleitfa den ISO/IEC 27001 :201310.
7 Anlage 4: Durchf hrung interner ISMS-Audits (Prozessschaubild) 5911. Anlage 5: Bausteine eines ISMS nach ISO/IEC 27001 : 2013 (deutsch) 60 7 Implementierungsleitfaden ISO/IEC 27001 :20131. EinleitungDas systematische Management der Informationssicherheit nach ISO/IEC 27001 : 2013 soll einen effektiven Schutz von Informationen und IT-Systemen in Bezug auf Vertraulichkeit, Integrit t und Verf gbarkeit gew Dieser Schutz ist kein Selbstzweck, sondern dient der Unterst tzung von Gesch ftsprozessen, der Erreichung von Unternehmenszielen und dem Erhalt von Unternehmenswerten durch eine st -rungsfreie Bereitstellung und Verarbeitung von Informatio-nen.
8 Dazu bedient sich ein ISMS in der Praxis folgender drei Sichtweisen: ZZG Governance-Sicht Z-IT-Ziele und Informationssicherheitsziele, die aus den bergeordneten Unternehmenszielen abgeleitet sind (z. B. unterst tzt von bzw. abgeleitet aus COSO oder COBIT)ZZR Risiko-Sicht Z-Schutzbedarf und Risikoexposition der Unterneh-menswerte und IT-SystemeZ-Risikoappetit des UnternehmensZ-Chancen vs. RisikenZZC Compliance-Sicht Z-Externe Vorgaben durch Gesetze, Regulatoren und NormenZ-Interne Vorgaben und Richtlinien Z-Vertragliche VerpflichtungenDiese Sichtweisen bestimmen, welche Schutzma nahmen an-gemessen und wirksam sind f r ZZdie M glichkeiten und Gesch ftsprozesse der Organisation,ZZden Schutzbedarf in Abh ngigkeit von der Kritikalit t der jeweiligen Unternehmenswerte sowieZZdie Einhaltung geltender Gesetze und und organisatorische Ma nahmenTechnische und organisatorische Ma nahmen (TOMs) zur Erreichung und Aufrechterhaltung einer st rungsfreien In-formationsverarbeitung m ssen einerseits wirksam (effektiv) sein, um ein erforderliches Schutzniveau zu erreichen.
9 Gleich-zeitig m ssen sie auch wirtschaftlich angemessen (effizient) sein. 1 Authentizit t, Verbindlichkeit und Nicht-Abstreitbarkeit k nnen als Teilziele der Integrit t angesehen 27001 : 2013 und die darin systematisch und ganz-heitlich dargelegten TOMs, die in unterschiedlicher Aus-pr gung und G te zum Betrieb eines jeden ISMS geh ren, unterst tzen die Erreichung der eingangs aufgef hrten Ziele aus allen drei Sichten: ZZDie Governance-Sicht bezieht sich auf die Steuerungsas-pekte des ISMS, wie beispielsweise eine enge Einbezie-hung der obersten Leitungsebene (vgl. Kapitel Lea-dership and Commitment), eine Konsistenz zwischen den Gesch fts- und Informationssicherheitszielen (vgl. Kapitel IS Objectives), eine effektive und zielgruppengerechte Kommunikationsstrategie (vgl. Kapitel Communica-tion) sowie angemessene Regelwerke und Organisations-strukturen (vgl.)
10 Kapitel Roles, Responsibilities and Competencies). ZZDie Risiko-Sicht, die unter anderem als Basis f r eine nachvollziehbare Entscheidungsfindung und Priorisie-rung von technischen und organisatorischen Ma nahmen fungiert, ist einer der Kernpunkte eines ISMS nach ISO/IEC 27001 : 2013 . Sie wird durch das IS-Risikomanage-ment repr sentiert (vgl. Kapitel Risk Management) und beinhaltet Vorgaben und Methoden f r die Identifi-zierung, Analyse und Bewertung von Risiken im Kontext der Informationssicherheit, d. h. Risiken, die eine poten-zielle Gef hrdung f r die Vertraulichkeit, Integrit t und/oder Verf gbarkeit von IT-Systemen und Informationen und letztlich der davon abh ngigen Gesch ftsprozesse Compliance-Sicht ist fest in der gesamten Norm ver-ankert. Sie umfasst einerseits die Definition der erforderli-chen (Sicherheits-)Vorgaben, was durch die empfohlenen Ma nahmen des Annex A unterst tzt wird.
