Prüfliste der obligatorischen Dokumentation wie von ISO/IEC 27001 (Überarbeitung 2013) vorgeschrieben 1) Welche Dokumente und Aufzeichnungen sind zwingend erforderlich? Die nachfolgende Liste zeigt den Minimumsatz an Dokumenten und Aufzeichnungen auf, der von ISO/IEC 27001 in seiner Überarbeitung des Jahres 2013 vorgeschrieben ist: Dokumente* ISO 27001:2013 Abschnitt Nr. Anwendungsbereich des ISMS 4.3 Informationssicherheitsleitlinie und Zielvorgaben 5.2, 6.2 Methodik zur Risikoeinschätzung und behandlung 6.1.2 Erklärung zur Anwendbarkeit 6.1.3 d) Plan zur Risikobehandlung 6.1.3 e), 6.2 Bericht zur Risikoeinschätzung 8.2 Definition der Sicherheitsrollen und verantwortlichkeiten A.7.1.2, A.13.2.4 Inventar der Werte A.8.1.1 Zulässige Nutzung der Werte A.8.1.3 Zugangskontrollrichtlinie A.9.1.1 Betriebliche Verfahren zur IT-Verwaltung A.12.1.1 Prinzipien der systemtechnischen Sicherheit A.14.2.5 Richtlinie zur Lieferantensicherheit A.15.1.1 Verfahren zur Störfallverwaltung A.16.1.5 Verfahren zum betrieblichen Kontinuitätsmanagement A.17.1.2 Rechtliche, amtliche und vertragliche Anforderungen A.18.1.1 Aufzeichnungen* ISO 27001:2013 Abschnitt Nr. Aufzeichnungen zu Training, Fertigkeiten, Erfahrung und 7.2 Qualifikationen Überwachung und Messungsresultate 9.1 Internes Audit-Programm 9.2 2013 27001Academy www.iso27001standard.com Seite 1 von 10
Resultate interner Audits 9.2 Resultate der Managementprüfung 9.3 Resultate der Korrekturmaßnahmen 10.1 Protokolle über Anwenderaktivitäten, Ausnahmefälle und A.12.4.1, A.12.4.3 Sicherheitsereignisse *Maßnahmen aus Anhang A können ausgelassen werden, wenn die Organisation folgert, dass keine Risiken oder andere Anforderungen bestehen, welche die Umsetzung der jeweiligen Maßnahme erfordern würden. Dies ist jedoch keinesfalls eine definitive Liste an Dokumenten und Aufzeichnungen, die während der Umsetzung von ISO 27001 angewendet werden können. Der Standard erlaubt die Hinzufügung jeglicher anderer Dokumente zur Verbesserung der Informationssicherheit. 2) Allgemein übliche nicht-obligatorische Dokumente Weitere Dokumente, die oft verwendet werden, sind die nachfolgenden: Dokumente ISO 27001:2013 Abschnitt Nr. Verfahren zur Lenkung von Dokumenten 7.5 Maßnahmen zur Verwaltung von Aufzeichnungen 7.5 Verfahren für das interne Audit 9.2 Verfahren für Korrekturmaßnahmen 10.1 Bring dein eigenes Gerät -Richtlinie (BYOD) A.6.2.1 Mobilgerät- und Telearbeit-Richtlinie A.6.2.1 Richtlinie zur Informationsklassifizierung A.8.2.1, A.8.2.2, A.8.2.3 Kennwort-Richtlinie A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3 Richtlinie zur Entsorgung und Vernichtung A.8.3.2, A.11.2.7 Verfahren zum Arbeiten in Sicherheitsbereichen A.11.1.5 Richtlinie zum aufgeräumten Arbeitsplatz A.11.2.9 Richtlinie zur Änderungsverwaltung A.12.1.2, A.14.2.4 2013 27001Academy www.iso27001standard.com Seite 2 von 10
Backup-Richtlinie Richtlinie zur Informationsübertragung Geschäftsauswirkungsanalyse (GAA) Übungs- und Test-Plan Wartungs- und Überprüfungsplan Betriebliche Kontinuitätsstrategie A.12.3.1 A.13.2.1, A.13.2.2, A.13.2.3 A.17.1.1 A.17.1.3 A.17.1.3 A.17.2.1 3) Wie man die gebräuchlichsten Dokumente und Aufzeichnungen strukturiert Anwendungsbereich des ISMS Dieses Dokument ist üblicherweise ziemlich kurz gehalten und wird zu Beginn der Umsetzung von ISO 27001 verfasst. Normalerweise ist es ein eigenständiges (stand-alone) Dokument, obwohl es auch in eine Richtlinie zur Informationssicherheit mit eingearbeitet werden kann. Hier weiterlesen: Probleme mit der Festlegung des Anwendbarkeitsbereichs bei ISO 27001 Die Richtlinie zur Informationssicherheit und Zielvorgaben Die Richtlinie zur Informationssicherheit ist normalerweise ein kurzes, doch äußerst wichtiges Dokument, welches den Hauptzweck des ISMS beschreibt. Die Zielvorgaben für ISMS sind normalerweise in ein eigenständiges (stand-alone) Dokument, doch sie können auch in die Richtlinie zur Informationssicherheit mit eingearbeitet werden. Im Gegensatz zu ISO 27001 in dessen Überarbeitung aus dem Jahr 2005 besteht sind separate Richtlinien für ISMS und Informationssicherheit nicht mehr länger erforderlich; lediglich eine Richtlinie zur Informationssicherheit ist notwendig. Hier weiterlesen: Die Richtlinie zur Informationssicherheit Wie detailliert sollte sie ausfallen? 2013 27001Academy www.iso27001standard.com Seite 3 von 10
Die Methodik und der Bericht zur Risikoeinschätzung und -behandlung Die Methodik zur Risikoeinschätzung und behandlung ist normalerweise ein 4 bis 5 Seiten umfassendes Dokument und es sollte bereits vor der Durchführung der Risikoeinschätzung und -behandlung verfasst werden. Der Bericht zur Risikoeinschätzung und behandlung muss hingegen nach der Durchführung der Risikoeinschätzung und behandlung aufgesetzt werden, denn er fasst alle Resultate zusammen. Hier weiterlesen: ISO 27001 Risikoeinschätzung und -behandlung 6 Grundschritte Die Erklärung zur Anwendbarkeit Die Erklärung zur Anwendbarkeit (EzA) wird auf der Basis der Resultate der Risikobehandlung verfasst und sie ist ein zentrales Dokument innerhalb des ISMS, weil sie nicht nur beschreibt, welche Maßnahmen aus Anhang A anzuwenden sind, sondern auch, wie diese durchgeführt werden und wie deren gegenwärtiger Status aussieht. Man könnte die EzA auch als ein Dokument bezeichnen, welches das Sicherheitsprofil Ihrer Firma beschreibt. Hier weiterlesen: Die Wichtigkeit der Erklärung zur Anwendbarkeit für ISO 27001 Der Plan zur Risikobehandlung Dieses Dokument ist im Grunde genommen ein Maßnahmenplan, der festlegt, wie die in der EzA definierten, unterschiedlichen Maßnahmen umzusetzen sind. Der Plan wird dementsprechend auf der Basis der EzA entwickelt und wird im Verlauf der gesamten Umsetzung des ISMS aktiv angewendet und auch ständig aktualisiert. Manchmal wird der Plan auch in den Projektplan mit eingearbeitet. Hier weiterlesen: Der Plan zur Risikobehandlung und das Verfahren zur Risikobehandlung Was ist der Unterschied? 2013 27001Academy www.iso27001standard.com Seite 4 von 10
Sicherheitsrollen und -verantwortlichkeiten Die beste Methode ist es, wenn die Sicherheitsrollen und verantwortlichkeiten in allen Richtlinien und Verfahren so präzise wie möglich beschrieben werden. Man vermeidet dabei vage Phrasen wie sollte getan werden und verwendet stattdessen präzisere Phrasen wie "CISO führt xyz jeden Montag um zxy Uhr durch". Manche Unternehmen bevorzugen es, die Sicherheitsrollen und verantwortlichkeiten in ihre Arbeitsstellenbeschreibungen mit aufzunehmen; allerdings kann das zu viel Papierkram führen. Die Sicherheitsrollen und verantwortlichkeiten dritter Parteien sind in den entsprechenden Verträgen verankert. Inventar der Werte Falls man vor dem ISO 27001 Projekt nicht sowieso bereits ein solches Inventar geführt hat, erstellt man ein solches Dokument am besten, indem man sich direkt an den Resultaten der Risikoeinschätzung orientiert. Während der Risikoeinschätzung müssen alle Werte (Assets) und deren jeweiligen Eigentümer ohnehin identifiziert werden. Kopieren Sie deshalb ganz einfach die Resultate von dort in das Werteinventar-Dokument um. Zulässige Nutzung der Werte Dieses Dokument wird normalerweise in der Form einer Richtlinie verfasst und es kann eine sehr breite Palette an Themen umfassen, denn der Standard definiert Maßnahme nicht besonders präzise. Die beste Herangehensweise ist wohl die folgende: (1) Warten Sie zunächst bis zum Ende Ihrer ISMS-Umsetzung ab und (2) nehmen Sie in die Richtlinie sodann alle Bereiche und Maßnahmen auf, die in anderen Dokumenten bislang noch nicht abgedeckt sind und alle Mitarbeiter betreffen. Zugangskontollrichtlinie In diesem Dokument handeln Sie lediglich den betrieblichen Aspekt der Zugangsgenehmigung zu bestimmten Informationen und Systemen ab; oder auch die technische Seite der Zugangskontrolle. Desweiteren können Sie wahlweise die Regeln für 2013 27001Academy www.iso27001standard.com Seite 5 von 10
ausschließlich logischen Zugang oder auch für physischen Zugang definieren. Das Dokument sollte erst nach Abschluss Ihres Verfahrens zur Risikoeinschätzung und behandlung verfasst werden. Betriebliche Verfahren zur IT-Verwaltung Sie können dies als ein einzelnes Dokument verfassen oder auch als eine Serie von Richtlinien und Verfahren. Sind Sie nur ein kleineres Unternehmen, so ist die Tendenz, dass Sie nur eine kleinere Anzahl an Dokumenten haben. Normalerweise können alle Bereiche der Abschnitte A.12 und A.13 also Änderungsverwaltung, Drittparteien-Services, Backup, Netzwerksicherheit, Schadsoftware, Entsorgung und Vernichtung, Informationsübertragung, Systemüberwachung, usw. abgedeckt werden. Das Dokument sollte aber erst verfasst werden, nachdem Ihr Verfahren zur Risikoeinschätzung und behandlung abgeschlossen ist. Hier über IT-Verwaltung weiterlesen: ITIL & ISO 20000 Blog Prinzipien der systemtechnischen Sicherheit Dies ist eine neue Maßnahme bei ISO 27001:2013 und sie verlangt, dass sichere technische Prinzipien in der Form eines Verfahrens oder Standards dokumentiert werden und definieren sollten, auf welche Weise Sicherheitstechnik in alle Strukturschichten Geschäft, Daten, Anwendungen und Technik zu integrieren ist. Das kann Eingabedaten-Validierung, Fehlerbehebung (Debugging), Authentisierungstechniken, Maßnahmen für sichere Sessions (secure session controls), usw. mit einschließen. Richtlinie zur Lieferantensicherheit Dies ist ebenfalls eine neue Maßnahme bei ISO 27001:2013 und eine solche Richtlinie kann eine breite Palette an Maßnahmen abdecken: Wie potentielle Vertragsfirmen überprüft werden; wie die Risikoeinschätzung bei einem Lieferanten durchgeführt wird; welche Sicherheitsklauseln in den Vertrag aufzunehmen sind; wie die Erfüllung vertraglicher Sicherheitsklauseln beaufsichtigt wird; wie der Vertrag abgeändert wird; wie der Zugang nach Vertragsbeendigung entzogen wird, usw. 2013 27001Academy www.iso27001standard.com Seite 6 von 10
Verfahren zur Störfallverwaltung Dies ist eine wichtige Maßnahme, welche definiert, wie Sicherheitsschwachstellen, Ereignisse und Vorfälle berichtet, klassifiziert und behandelt werden. Die Maßnahme definiert außerdem, wie aus Informationssicherheitsvorfällen zu lernen ist, so dass sie beim nächsten Mal verhindert werden können. Die Maßnahme kann auch den Plan für betriebliches Kontinuitätsmanagement aufrufen, falls ein Vorfall eine langwierige Unterbrechung verursacht. Verfahren zum betrieblichen Kontinuitätsmanagement Dies sind üblicherweise Pläne für betriebliches Kontinuitätsmanagement, Störfallreaktionspläne, Wiederanlauf-Pläne (recovery plans) für die geschäftliche Seite der Organisation und Notfallpläne (Wiederanlauf-Pläne für IT-Infrastruktur). Sie gehören zu den am besten beschriebenen des ganzen ISO 22301 Standards, dem führenden internationalen Standard für betriebliche Kontinuität. Hier weiterlesen: Der Plan für betriebliches Kontinuitätsmanagement: Wie man ihn gemäß ISO 22301 strukturiert Rechtliche, amtliche und vertragliche Anforderungen Diese Liste sollte so frühzeitig wie möglich nach Projektbeginn erstellt werden, denn viele Dokumente werden auf der Basis dieser Eingaben entwickelt. Die Liste sollte nicht nur Verantwortlichkeiten für die Erfüllung gewisser Anforderungen enthalten, sondern auch deren Fristvorgaben. Aufzeichnungen zu Training, Fertigkeiten, Erfahrung und Qualifikationen Diese Aufzeichnungen werden normalerweise von der Personalabteilung unterhalten. Falls Ihr Unternehmen über keine verfügt, so sollte die Person, die üblicherweise die Personalakten verwaltet, diesen Job übernehmen. Im Grunde genommen tut es ein Ordner, in den alle relevanten Dokumente aufgenommen werden. 2013 27001Academy www.iso27001standard.com Seite 7 von 10
Überwachung und Messungsresultate Der einfachste Weg zu beschreiben, wie Maßnahmen zu messen sind, ist mittels Richtlinien und Verfahren, welche jede Maßnahme definieren. Normalerweise werden diese Beschreibungen am Ende jedes Dokuments eingefügt, wobei diese Beschreibungen die Art der wichtigen Leistungsindikatoren (Key-Performance-Indikatoren; KPIs) definieren, die für jede Maßnahme oder Gruppe von Maßnahmen zu messen sind. Sobald die Messmethode etabliert ist, müssen die Messungen entsprechend durchgeführt werden. Es ist dabei wichtig, die Resultate regelmäßig an jene Personen zu berichten, die mit deren Validierung beauftragt sind. Hier weiterlesen: Zielvorgaben von ISO 27001 Maßnahmen Weshalb sind sie so wichtig? Internes Audit-Programm Das interne Audit-Programm ist nichts anderes als ein Jahresplan für die Durchführung der Audits. Bei einem kleineren Unternehmen mag ein solches Audit nur einmal durchgeführt werden, während es bei größeren Organisationen gleich eine ganze Reihe z.b. 20 interne Audits pro Jahr sein kann. Das Programm sollte definieren, wer die Audits durchführt, welche Methodik angewendet wird, was die Audit-Kriterien sind, usw. Resultate interner Audits Ein interner Auditor stellt den Audit-Bericht zusammen, welcher die Ergebnisse des Audits festhält (Beobachtungen und Korrekturmaßnahmen). Der Bericht ist innerhalb von wenigen Tagen nach Abschluss eines internen Audits fertigzustellen. In manchen Fällen muss der interne Auditor überprüfen, ob alle Korrekturmaßnahmen wie erwartet durchgeführt worden sind. Resultate der Managementprüfung Diese Aufzeichnungen sind normalerweise in Form eines Besprechungsprotokolls. Sie müssen alle Materialien beinhalten, die während der Managementbesprechung vorgelegt, 2013 27001Academy www.iso27001standard.com Seite 8 von 10
sowie alle Entscheidungen erwähnen, die gefällt wurden. Das Protokoll kann in Papier- oder Digitalformat sein. Resultate der Korrekturmaßnahmen Diese sind traditionell in den Korrekturmaßnahmen-Formularen enthalten. Allerdings ist es weitaus besser, wenn man diese Aufzeichnungen in irgendeiner Anwendung mit einschließt, die in der Organisation bereits als Help Desk Anwendung findet, denn Korrekturmaßnahmen sind nichts anderes als Aufgabenlisten (To-do-Listen) mit klar definierten Verantwortlichkeiten, Aufgaben und Aufgabenfristen. Protokolle über Anwenderaktivitäten, Ausnahmefälle und Sicherheitsereignisse Diese werden normalerweise in zwei Formen aufbewahrt: (1) in digitaler Form als automatisch oder halbautomatisch produzierte Protokolle unterschiedlicher IT- und anderer Systeme, sowie (2) in Papierform, wobei jede Aufzeichnung manuell verfasst wird. Verfahren zur Lenkung von Dokumenten Hierbei handelt es sich normalerweise um ein eigenständiges, 2 oder 3 Seiten langes Verfahren. Wenn Sie bereits einige andere Standards wie beispielsweise ISO 9001, ISO 14001, ISO 22301 oder ähnliche umgesetzt haben, können Sie das gleiche Verfahren für alle diese Verwaltungssysteme anwenden. Bisweilen ist es am besten, wenn man dieses Verfahren als das allererste Dokument innerhalb eines Projekts verfasst. Hier weiterlesen: Dokumentenverwaltung bei ISO 27001 & BS 25999-2 Maßnahmen zur Verwaltung von Aufzeichnungen Der einfachste Weg ist, die Maßnahmen für Aufzeichnungen für jede Richtlinie oder jedes Verfahren (oder andere Dokumente), die einer Aufzeichnung bedürfen, einzeln zu verfassen. Diese Maßnahmen werden normalerweise erst gegen Ende jedes Dokuments eingefügt und sind üblicherweise in Form einer Tabelle, in welcher beschrieben wird, wo die 2013 27001Academy www.iso27001standard.com Seite 9 von 10
Aufzeichnungen archiviert sind, wer Zugang hat, wie sie gesichert sind, für wie lange sie archiviert bleiben, usw. Verfahren für das interne Audit Dies ist normalerweise ein eigenständiges, 2 bis 3 Seiten langes Verfahren, welches vor Beginn des internen Audits verfasst werden muss. Genauso wie beim Verfahren zur Lenkung von Dokumenten, so kann auch ein einzelnes Verfahren für jede Art von Verwaltungssystem verwendet werden. Hier weiterlesen: Dilemmas mit internen Auditors für ISO 27001 & BS Verfahren für Korrekturmaßnahmen Dieses Verfahren sollte nicht mehr als 2 oder 3 Seiten umfassen und es kann gegen Ende des Umsetzungsprojekts verfasst werden, obwohl es besser ist, es bereits früher zu schreiben, damit die Mitarbeiter sich mit ihm vertraut machen können. Hier weiterlesen: Obligatorisch dokumentierte Verfahren, die von ISO 27001 vorgeschrieben sind 4) Proben für Dokumentations-Vorlagen Hier können Sie eine kostenlose Vorschau für das ISO 27001 & ISO 22301 Dokumentations- Paket herunterladen. In dieser kostenlosen Vorschau sehen Sie sowohl die Inhaltsangaben für jede der genannten Richtlinien und Verfahren als auch einige ausgewählte Abschnitte aus jedem Dokument. 2013 27001Academy www.iso27001standard.com Seite 10 von 10