IT-Dokumentation - Der Blog

ISMS nach ISO 27001 zertifizieren

Mo, 8. November 2021

Strebt ein Unternehmen eine Zertifizierung nach dem Standard ISO/IEC 27001 an, stehen für IT-Verantwortliche und IT-Administratoren eine Menge an Herausforderungen auf dem Programm. Und nicht immer sind bereits getroffene Vorkehrungen ausreichend, um auch der Zertifizierungsprüfung standzuhalten.

Bei der ISO/IEC 27001 handelt es sich um den internationalen Standard für Informationssicherheits-Managementsysteme (ISMS). Sie bietet für Unternehmen in allen Größenordnungen klar definierte Vorgaben für Planung, Umsetzung, Überwachung und Verbesserung der eigenen Informations- und IT-Sicherheit.

Obwohl man im Gesamten von der ISO 2700x spricht, erfolgt die eigentliche Zertifizierung auf Basis der ISO 27001-Norm. In dieser sind die Anforderungen an das ISMS (Information Security Management System) definiert. Nach diesen Kriterien wird eine autorisierte Zertifizierungsorganisation eine Prüfung durchführen und letztendlich bei erfolgreicher Absolvierung die Ausstellung des Zertifikats veranlassen.

Warum liest man immer von ISO 2700x?

Neben der eigentlichen ISO 27001 tummeln sich noch weitere ISO-2700x-Dokumente, die in direktem Zusammenhang mit der eigentlichen Zertifizierung stehen. So werden in ISO 27000 zum Beispiel ein Überblick geschaffen, eine Einführung gegeben und das verwendete Vokabular erklärt.

Im ISO 27002 befindet sich der ISMS-Leitfaden, in dem im Gegensatz zur ISO 27001 auch auf die notwendigen Maßnahmen näher eingegangen wird, die zum Erreichen des Ziels erforderlich sind. Zusammen mit dem ISO-27003-Dokument, dem Implementierungsleitfaden wird den Unternehmen bereits eine umfassende Anleitung in die Hand gelegt, wie sie ihre ISMS-Umgebung umgestalten und aufbauen müssen.

Weiters findet sich in den zugehörigen ISO-Dokumenten noch die ISO 27007 und ISO 27008, die sich mit den Audits befassen.

Aus rechtlichen Gründen dürfen wir an dieser Stelle keine detaillierten Informationen aus den einzelnen ISO-Dokumenten verwenden, denn mit Ausnahme der ISO 27000 (Überblick, Einführung und Vokabular) sind sämtliche Unterlagen kostenpflichtig bei der International Organization for Standardization (ISO) zu beziehen.

Die ISO-27001-Zertifzierung ist kein starrer Prozess

Anders als man vielleicht annehmen könnte, sind die Anforderungen für eine erfolgreiche Zertifizierung nicht starr ausgelegt. Ausgehend von einer Risikoanalyse, mit der die spezifischen Informationssicherheitsrisiken einer Organisation erhoben werden, wird das ISMS mit entsprechenden Maßnahmen umgesetzt und dabei direkt an die Anforderungen des jeweiligen Unternehmens angepasst. Insgesamt handelt es sich in den 14 Abschnitten um 35 Maßnahmenziele und 114 Maßnahmen. Wobei je nach Unternehmensart nicht jede dieser Maßnahmen als obligatorisch anzusehen sind. So wird zum Beispiel bei fehlenden externen Dienstleistern der Anforderungskatalog um die hierfür zutreffenden Maßnahmen gekürzt.

Von wem bekomme ich das Zertifikat?

Das begehrte ISO-27001-Zertifikat wird ausschließlich durch eine Prüfung durch eine staatlich akkreditierte Zertifizierungsorganisation durchgeführt und bietet damit einen rechtsgültigen Nachweis für die Güte der umgesetzten Sicherheitsmaßnahmen.

Der Zertifizierungsprozess unterteilt sich dabei normalerweise in folgende Ebenen:

Stage Review

Hierbei handelt es sich um eine freiwillige Vorbeurteilung des ISMS, wird aber von der Zertifizierungsorganisation durchgeführt.

System- und Risk-Review

Hierbei handelt es sich um eine Vorbegutachtung des ISMS durch die Zertifizierungsorganisation

Zertifizierungsaudit

Letztendlich kommt es durch das Audit zur Überprüfung des ISMS durch die Zertifizierungsorganisation

Wird das Zertifikat aufgrund des erfolgreich absolvierten Audits ausgestellt, hat es eine Gültigkeit von 3 Jahren, beginnend mit dem Datum der erstmaligen erfolgreichen Ausstellung.

Überwachungsaudit

Während der dreijährigen Gültigkeit des Zertifikats muss jährlich ein Überwachsungsaudit (Surveillance-Audit) durch die Zertifizierungsorganisation durchgeführt werden.

Re-Zertifizierungsaudit

Nach Ablauf der Gültigkeitsdauer kann das Zertifikat, durch ein erneutes Zertifizierungsaudit durch die autorisierte Zertifizierungsorganisation, für weitere drei Jahre erneuert werden.

Von der Theorie zur Praxis

Allein das Erfassen des Umfangs einer ISO-27001-Zertifizierung erfordert bereits einiges an Vorarbeit und vor allem auch Zeit. Aber nicht nur die Einarbeitung und das Verstehen der ISO-2700x-Dokumente bedeutet viel Aufwand. Auch die Vorbereitungen für das IT-Netzwerk können unter Umständen zu einer sehr großen Herausforderung werden.

Eine der Grundvoraussetzungen bei nahezu jeder möglichen Zertifizierung ist eine lückenlose Dokumentation der vorhandenen IT-Anlagen. Damit sind nicht nur die Hardware-Geräte im Netzwerk gemeint, sondern selbstverständlich auch die verwendete Software, die im Unternehmen eingesetzt wird.

Ist für die vorhandene IT noch keine Dokumentation, Inventarisierung oder Lizenzmanagement vorhanden, wird eine Zertifizierung kaum durchführbar sein. Sogar, wenn der enorme Aufwand betrieben werden sollte, sämtliche Informationen durch verschiedene Tools und von Hand zusammen zu tragen, scheitern solche Unternehmungen spätestens an den regelmäßig durchzuführenden Zertifizierungsaudits, die einmal im Jahr auf dem Programm stehen.

Regelmäßige Kontrolle

Der Sinn dieser Audits bezieht sich in erster Linie darauf, dass im Laufe der Zeit Änderungen an Systemen oder Anforderungen zur Informationssicherheit eintreten können und sich daher bisher verwendete Maßnahmen nicht mehr verwendet werden dürfen.

Hierbei kommt es unausweichlich dazu, dass sämtliche, zuvor aufwändig und umständlich von Hand zusammengetragenen Informationen, Dokumente und Lizenzen erneut inventarisiert und dokumentiert werden müssen. Weder das Unternehmen an sich, als auch die IT-Verantwortlichen dürften das als Spaß ansehen.

Wie die eigene Westentasche

Um auf sicheren Beinen zu stehen, ist es notwendig, auch bei der Dokumentation und Inventarisierung auf professionelle Hilfsmittel zurückzugreifen. Um dem Aufwand für jegliche Audits oder Zertifizierungsprüfungen bestmöglich gewappnet entgegenzutreten, sind mindestens folgende Punkte erforderlich.

Erfassung sämtlicher IT-Geräte

Sämtliche Geräte (Computer, Switches, Router, Access Points, Drucker, Notebook etc.) im Netzwerk müssen erfasst werden.

Kontrolle und Information über eingesetzte Software

Jegliche Software, die eingesetzt wird, muss katalogisiert werden. Zusätzlich muss stets Auskunft über die momentan eingesetzten Softwareversionen inklusive der installierten Patch-Stände verfügbar sein.

Optional manuelle Dateneingabe

Der Vollständigkeit halber müssen in einer professionellen Dokumentationslösung auch manuell Daten hinzufügbar sein. Dabei sollten Wartungs- und Garantieverträge mit in der Dokumentation aufscheinen können.

Lizenzmanagement

Ebenso muss auch ein Lizenzmanagement verfügbar sein, mit der die einzelnen Lizenzen auch Systemen zugeordnet werden können.

Automatisch Aktualisierung

Und zu guter Letzt einer der wichtigsten Punkte überhaupt: Die Daten müssen automatisch und in regelmäßigen Abständen aktualisiert werden.

Gerade mit dem letzten Punkt ist man in der Lage, stets auf den aktuellsten Datenbestand zuzugreifen. Damit sind jährliche Audits, wie sie in der ISO-27001-Zertifizierung gefordert sind, keine Frage mehr der Datenaktualität. Aber auch Berichte an Geschäftsführung oder Bereichsverantwortliche können so jederzeit mit aktuellsten Informationen praktisch auf Knopfdruck realisiert werden.

Komplette Information als Grundlage für ein ISMS

Im Grunde spielt es noch nicht mal eine Rolle, ob man sein internes ISMS für eine ISO-27001-Zertifizierung vorbereiten möchte oder man einfach selbst den umfassenden Überblick erhalten möchte. Ohne eine automatische IT-Dokumentation wird weder das eine noch das andere Ziel erreichbar sein. Vor allem wird dieser Umstand schnell klar, wenn man sich mit den einzelnen Anforderungen einer ISO-27001-Zertifizierung auseinandersetzt. Denn dort wird explizit eine lückenlose IT-Dokumentation gefordert. Und in vielen Bereichen werden ebenso regelmäßige Berichterstattungen an die Geschäftsleitung gefordert.

Bevor man sich an die ISO-27001-Zertifizierung heranwagen darf, sind diese Schritte unabhängig von den umfangreichen Forderungen bei den Audits keine Frage des Wollens. Denn nur, wenn der Überblick über die gesamte IT vorhanden ist, kann man Schwachstellen identifizieren und ausmerzen.

IT-Dokumentation nicht nur für Zertifizierungen

Es soll an dieser Stelle auch nicht verschwiegen werden, dass grundsätzlich eine professionelle IT-Dokumentation für jedes Unternehmen tiefgreifende Vorteile bietet. So lassen sich auf Basis der stets aktuellen Daten schnell komplette Netzwerkpläne erstellen, die auch Außenstellen und andere Standorte umfassen. Ebenso sind auf diese Weise komplette Notfallhandbücher, Wiederanlaufpläne, oder Topologiepläne zu erstellen. Auch wird jegliche Art von Budget- oder Umbauplanungen der IT deutlich einfacher und sicherer realisierbar.