High Level Struktur, Annex A und warum die 16 keine 12 ist

Unsere Teamleiterin Informationssicherheit bei der lmbit Bettina Schwarz gibt zu, der Titel des Beitrages ist erstmal verwirrend. Aber warum sind ISO-Normen eigentlich so aufgebaut, wie sie sind und warum ist die Struktur der Maßnahmen und Ziele eigentlich in dieser Reihenfolge?

Wenn Bettina mit Projekten startet, hört sie oft, die ISO 27001 ist doch fern von der Realität, aber ist es wirklich so? Normen verstehen und auf das Unternehmen anwenden ist eine „Kunst für sich“. Dabei geht es um das Gesamtkonzept und wie es in den vorhandenen Strukturen anzuwenden ist, so Bettina. Aber zurück zum eigentlichen Thema: der Aufbau von Normen.

High Level Struktur beschreibt die Grundstruktur für Managementsysteme, um diese weitestgehend zu vereinheitlichen. Angefangen immer mit dem Kontext der Organisation: Ich muss meine Organisation verstehen und den Anwendungsbereich meines Managementsystems festlegen. Nur dann kann ich auch meine Ziele festlegen, Risiken, die auf meine Ziele Einfluss haben identifizieren, minimieren bzw. beseitigen. Und nur so macht das Ganze auch einen Sinn.

Genauso verhält es sich auch mit den Referenzmaßnahmenzielen und Maßnahmen aus dem Anhang A. Im Gesamtkonzept ergibt es Sinn und ist auch realitätsecht, wie folgendes Beispiel veranschaulicht:

Die Maßnahmen fordern „Handhabung von technischen Schwachstellen (A.12)“. Man sollte sich über aktuelle technische Schwachstellen auf dem Laufenden halten, diese für die Organisation bewerten und ggf. Maßnahmen ergreifen, um die Schwachstellen zu verhindern. Dies funktioniert nur, wenn ich auch meine Werte (Inventarisierung der Werte (A.8.)) kenne. Habe ich z.B. die Software im Einsatz, die von einer Schwachstelle betroffen ist, welche Version ist betroffen und habe ich diese in meiner Organisation installiert?

Doch in der Praxis kann nie ausgeschlossen werden, dass Sicherheitsvorfälle auftreten. Kommt es dazu, sollte meine Organisation vorbereitet und die „Handhabung von Informationssicherheitsvorfällen (A.16)“ abgestimmt sein. Meldeketten müssen schnell und geeignet funktionieren, Beurteilungen und Entscheidungen müssen getroffen werden, um angemessen reagieren zu können.

Kommt es jetzt ganz schlimm und der Sicherheitsvorfall wird zu einer Krise oder Katastrophe sollten Prozesse, Verfahren und Maßnahmen festgelegt sein, um auf diese Situation richtig reagieren zu können und die Informationssicherheit aufrecht zu erhalten (Informationssicherheitsaspekte beim Business Continuity Management (A.17).

Fazit: Wenn eine widrige Situation auftritt, hat es schon bei 12 begonnen, wird zur 16 und hoffentlich nicht zu einer 17. Richtig vorbereiten kann ich mich aber nur mit einer 8.

Ob ich jetzt meine Prioritäten bei der Implementierung anders setze, ist die „Kunst für sich“. Ich muss die Organisation verstehen und deren Ziele kennen. Gleichzeitig ist es wichtig, das Zusammenspiel der einzelnen Anforderungen eines Managementsystems zu verstehen.