WIXLIB

Eine Veröffentlichung des ISACA Germany Chapter e.V.Fachgruppe /IEC 27001:2013Ein Praxisleitfaden für die Implementierung eines ISMSnach ISO/IEC 27001:2013

Herausgeber:ISACA Germany Chapter e.V.Oberwallstraße 2410117 Berlinwww.isaca.deinfo@isaca.deAutorenteam: Gerhard Funk (CISA, CISM), unabhängiger Berater Julia Hermann (CISSP, CISM), Giesecke & Devrient GmbH Angelika Holl (CISA, CISM), Unicredit Bank AG Nikolay Jeliazkov (CISA, CISM), Union Investment Oliver Knörle (CISA, CISM) Boban Krsic (CISA, CISM, CISSP, CRISC), DENIC eG Nico Müller, BridgingIT GmbH Jan Oetting (CISA, CISSP), Consileon Business ConsultancyGmbH Jan Rozek Andrea Rupprich (CISA, CISM), usd AG Dr. Tim Sattler (CISA, CISM, CGEIT, CRISC, CISSP), Jungheinrich AG Michael Schmid (CISM), Hubert Burda Media Holger Schrader (CISM, CRISC)Die Inhalte dieses Leitfadens wurden von Mitgliedern des ISACAGermany Chapter e.V. erarbeitet und sind sorgfältig recherchiert.Trotz größtmöglicher Sorgfalt erhebt die vorliegende Publikationkeinen Anspruch auf Vollständigkeit. Sie spiegelt die Auffassungdes ISACA Germany Chapter wider. ISACA Germany Chapter e.V.übernimmt keine Haftung für den Inhalt.Der jeweils aktuelle Leitfaden kann unter www.isaca.de kostenlosbezogen werden. Alle Rechte, auch das der auszugsweisen Vervielfältigung, liegen beim ISACA Germany Chapter e.V. bzw. derRisk Management Association e.V.Stand: Mai 2016 (Final nach Review und Überarbeitung durchISACA-Fachgruppe Informationssicherheit)

ImplementierungsleitfadenISO/IEC 27001:2013Ein Praxisleitfaden für die Implementierungeines ISMS nach ISO/IEC 27001:2013

3Warum dieser Guide?Informationssicherheit ist unverzichtbar. Sie muss als Bestandteil der Unternehmensführung allerdings darauf ausgerichtet sein, die Geschäftsziele optimal zu unterstützen.Auch oder vielleicht gerade in Zeiten sogenannter »CyberBedrohungen« und des vielerorts aufkommenden Begriffsder »Cyber-Sicherheit« bietet ein gut strukturiertes Informationssicherheits-Managementsystem (ISMS) nach international anerkannten Standards die optimale Grundlage zureffizienten und effektiven Umsetzung einer ganzheitlichenSicherheitsstrategie.Ob der gewählte Fokus auf die aus dem Internet stammendenBedrohungen, den Schutz von geistigem Eigentum, die Erfüllung von Regularien und vertraglichen Verpflichtungen oderdie Absicherung von Produktionssystemen gelegt wird, hängtvon den Rahmenbedingungen (z. B. Branche, Geschäftsmodell oder Risikoappetit) und den konkreten Sicherheitszielender jeweiligen Organisation ab. Unabhängig von der Namensgebung des gewählten Ansatzes ist in allen Fällen entscheidend, sich der in dem jeweiligen Kontext bestehendenInformationssicherheitsrisiken bewusst zu sein bzw. dieseaufzudecken und die notwendigen Strategien, Prozesse undSicherheitsmaßnahmen auszuwählen, umzusetzen und letztlich auch konsequent nachzuhalten.normkonformen ISMS werden klar herausgestellt. Insbesondere werden Praxisempfehlungen zur Etablierung bzw.Erhöhung des Reifegrads bestehender ISMS-Prozesse undtypische Umsetzungsbeispiele verschiedener Anforderungenaufgezeigt.DanksagungDas ISACA Germany Chapter e.V. bedankt sich bei derISACA- Fachgruppe Informationssicherheit und den Autoren für die Erstellung des Leitfadens: Gerhard Funk, JuliaHermann, Angelika Holl, Nikolai Jeliazkov, Oliver Knörle,Boban Krsic, Nico Müller, Jan Ötting, Jan Rozek, An dreaRupprich, Dr. Tim Sattler, Michael Schmid und HolgerSchrader.Projektleitung und Redaktion: Oliver KnörleDie konkrete Umsetzung eines ISMS erfordert Erfahrung,basiert zuvorderst allerdings auf der Entscheidung undVerpflichtung der obersten Leitungsebene gegenüber demThema. Ein klarer Managementauftrag und eine an die Geschäftsstrategie angepasste Sicherheitsstrategie sind zusammen mit kompetentem Personal und den letztlich immererforderlichen Ressourcen die Grundvoraussetzungen, ummit einem ISMS die Erreichung der Geschäftsziele optimalunterstützen zu können.Der vorliegende Implementierungsleitfaden ISO/IEC 27001:2013 (kurz: Implementierungsleitfaden) enthält praxisorientierte Empfehlungen und Hinweise für Organisationen, dieentweder bereits ein ISMS nach der internationalen ISO/IEC-Norm 27001:2013, Information technology — Security techniques — Information security management systems— Requirements, betreiben oder ein solches aufbauen wollen, unabhängig von vorhandenen oder etwaig angestrebtenZertifizierungen. Der Leitfaden bietet allen, die mit dem Aufbau und/oder Betrieb eines ISMS betraut sind, pragmatischeHilfestellungen und Herangehensweisen. Die Vorteile einesindividuell angepassten und, sofern notwendig, gleichzeitigDisclaimerDie hier vorliegenden Informationen sind nach bestem Wissen durch Praxisexperten der Informationssicherheit, Auditoren und Informationssicherheitsverantwortliche erstelltworden. Es wird an keiner Stelle ein Anspruch auf Vollständigkeit oder Fehlerfreiheit erhoben.Implementierungsleitfaden ISO/IEC 27001:2013

5Inhaltsverzeichnis1.Einleitung72.Aufbau des Leitfadens92.12.22.3Themenbereiche. 9Kapitelstruktur. 10Konventionen. 103. Bausteine eines ISMS nach ISO/IEC .133.1411Context of the Organization. 11Leadership and Commitment. 12IS Objectives.13IS Policy. 14Roles, Responsibilities and Competencies.15Risk Management. 17Performance Monitoring & KPIs. 22Documentation. 23Communication. 25Competence and Awareness. 27Supplier Relationships . 29Internal Audit. 31Incident Management. 35Continual Improvement. 437.Anlage 1:Mapping ISO/IEC 27001:2013 vs.ISO/IEC 27001:200544Anlage 2:Versionsvergleich ISO/IEC 27001:2013 vs.ISO/IEC 27001:200556Anlage 3:Interne ISMS-Audits – Mapping zurISO/IEC 19011:2011 und ISO/IEC 27007:2011588.9.Implementierungsleitfaden ISO/IEC 27001:2013

6 Inhaltsverzeichnis10. Anlage 4:Durchführung interner ISMS-Audits(Prozessschaubild)5911. Anlage 5:Bausteine eines ISMS nach ISO/IEC 27001:2013(deutsch)60Implementierungsleitfaden ISO/IEC 27001:2013

71. EinleitungDas systematische Management der Informationssicherheitnach ISO/IEC 27001:2013 soll einen effektiven Schutz vonInformationen und IT-Systemen in Bezug auf Vertraulichkeit,Integrität und Verfügbarkeit gewährleisten.1 Dieser Schutzist kein Selbstzweck, sondern dient der Unterstützung vonGeschäftsprozessen, der Erreichung von Unternehmenszielenund dem Erhalt von Unternehmenswerten durch eine störungsfreie Bereitstellung und Verarbeitung von Informationen. Dazu bedient sich ein ISMS in der Praxis folgender dreiSichtweisen:ZZ G – Governance-Sicht-- IT-Ziele und Informationssicherheitsziele, die aus denübergeordneten Unternehmenszielen abgeleitet sind(z. B. unterstützt von bzw. abgeleitet aus COSO oderCOBIT)ZZ R – Risiko-Sicht-- Schutzbedarf und Risikoexposition der Unternehmenswerte und IT-Systeme-- Risikoappetit des Unternehmens-- Chancen vs. RisikenZZ C – Compliance-Sicht-- Externe Vorgaben durch Gesetze, Regulatoren undNormen-- Interne Vorgaben und Richtlinien-- Vertragliche VerpflichtungenDiese Sichtweisen bestimmen, welche Schutzmaßnahmen angemessen und wirksam sind fürZZ die Möglichkeiten und Geschäftsprozesse der Organisation,ZZ den Schutzbedarf in Abhängigkeit von der Kritikalität derjeweiligen Unternehmenswerte sowieZZ die Einhaltung geltender Gesetze und Regularien.Technische und organisatorische MaßnahmenTechnische und organisatorische Maßnahmen (TOMs) zurErreichung und Aufrechterhaltung einer störungsfreien Informationsverarbeitung müssen einerseits wirksam (effektiv)sein, um ein erforderliches Schutzniveau zu erreichen. Gleichzeitig müssen sie auch wirtschaftlich angemessen (effizient)sein.1ISO/IEC 27001:2013 und die darin systematisch und ganzheitlich dargelegten TOMs, die – in unterschiedlicher Ausprägung und Güte – zum Betrieb eines jeden ISMS gehören,unterstützen die Erreichung der eingangs aufgeführten Zieleaus allen drei Sichten:ZZ Die Governance-Sicht bezieht sich auf die Steuerungsaspekte des ISMS, wie beispielsweise eine enge Einbeziehung der obersten Leitungsebene (vgl. Kapitel 3.2 Leadership and Commitment), eine Konsistenz zwischen denGeschäfts- und Informationssicherheitszielen (vgl. Kapitel3.3 IS Objectives), eine effektive und zielgruppengerechteKommunikationsstrategie (vgl. Kapitel 3.9 Communication) sowie angemessene Regelwerke und Organisationsstrukturen (vgl. Kapitel 3.5 Roles, Responsibilities andCompetencies).ZZ Die Risiko-Sicht, die unter anderem als Basis für einenachvollziehbare Entscheidungsfindung und Priorisierung von technischen und organisatorischen Maßnahmenfungiert, ist einer der Kernpunkte eines ISMS nach ISO/IEC 27001:2013. Sie wird durch das IS-Risikomanagement repräsentiert (vgl. Kapitel 3.6 Risk Management)und beinhaltet Vorgaben und Methoden für die Identifizierung, Analyse und Bewertung von Risiken im Kontextder Informationssicherheit, d. h. Risiken, die eine potenzielle Gefährdung für die Vertraulichkeit, Integrität und/oder Verfügbarkeit von IT-Systemen und Informationenund letztlich der davon abhängigen Geschäftsprozessedarstellen.ZZ Die Compliance-Sicht ist fest in der gesamten Norm verankert. Sie umfasst einerseits die Definition der erforderlichen (Sicherheits-)Vorgaben, was durch die empfohlenenMaßnahmen des Annex A unterstützt wird. Andererseitsbezieht sie sich auf die konkrete Erfüllung genau dieserVorgaben, was durch eine regelmäßige Kontrolle seitensdes Managements und der Informationssicherheitsverantwortlichen (vgl. Kapitel 3.7 Performance Monitoring &KPIs) sowie durch interne Audits sichergestellt werdenmuss (vgl. Kapitel 3.12 Internal Audit und 3.14 Continual Improvement). Eine angemessene Dokumentation (vgl.Kapitel 3.8 Documentation) und das vorhandene Sicherheitsbewusstsein von Mitarbeitern und Führungskräften(vgl. Kapitel 3.10 Competence and Awareness) sind fürdie Compliance-Sicht ebenfalls von wesentlicher Bedeutung.Authentizität, Verbindlichkeit und Nicht-Abstreitbarkeit können alsTeilziele der Integrität angesehen werden.Implementierungsleitfaden ISO/IEC 27001:2013

8 EinleitungGeschäftsleitungGovernanceUmsetzung & erichteComplianceRisikomanagementIdentifikation, Bewertung undBehandlung von RisikenZieleRegelnUmsetzung & Einhaltungregulatorischer, vertraglicherund gesetzlicher erungen (requirements, control objectives, policies)Controlling InformationssicherheitBO / ITInformationssicherheitsmaßnahmen (controls, measures)Betriebsorganisation und IT-ManagementAbbildung 1: Einbindung des ISMS in die Unternehmenssteuerung22Rechtliche undvertragliche VorgabenUnternehmensrisikenQuelle: Carmao GmbHImplementierungsleitfaden ISO/IEC 27001:2013Compliance- BerichteInformationssicherheits-Managementsystem (ISMS)Unternehmensziele