Dejan Kosutic Wenn Sie mein Blog gelesen haben, so denken Sie sicher, ich sei davon überzeugt, dass ISO 27001 das vollkommenste Dokument sei, das jemals geschrieben worden sei. Tatsächlich stimmt das jedoch nicht. Bei der Arbeit mit meinen Kunden und bei Lehrveranstaltungen zu diesem Thema treten regelmäßig die gleichen Schwächen der Norm hervor. Hier stelle ich diese Schwächen vor, mit meinen Vorschlägen, wie sie behoben werden können:
Mehrdeutige Begriffe
Einige der Anforderungen in der Norm sind recht unklar:
- Abschnitt 4.3.1 c) verlangt, dass die ISMS-Dokumentation „Verfahren und Maßnahmen, die das ISMS unterstützen“, enthalten muss. Bedeutet das, dass für jede der angewendeten Maßnahmen ein Dokument verfasst werden muss (Anhang A enthält 133 Maßnahmen)? Aus meiner Sicht ist das nicht notwendig. In der Regel empfehle ich meinen Kunden, nur die Leitlinien und Verfahren schriftlich festzuhalten, die unter betrieblichen Gesichtspunkten und zur Verringerung der Risiken notwendig sind. Alle anderen Maßnahmen können in der Erklärung zur Anwendbarkeit kurz beschrieben werden, da diese Erklärung die Beschreibung aller umgesetzten Maßnahmen enthalten muss.
- (Nicht) dokumentierte Leitlinien und Verfahren – in vielen Maßnahmen in Anhang A werden Leitlinien und Verfahren ohne das Wort „dokumentiert“ genannt. Tatsächlich bedeutet das, dass diese Leitlinien und Verfahren nicht schriftlich festgehalten werden müssen. Allerdings ist dieser Umstand für 95 % der Leser der Norm nicht klar.
- Externe (Beziehungen) / Dritte – diese Begriffe werden synonym verwendet, was zu Verwechslungen führen kann. Es wäre viel besser, wenn nur ein Begriff verwendet würde.
Organisation der Norm
Einige der Anforderungen in der Norm finden sich verstreut wieder oder werden unnötigerweise doppelt genannt:
- Einige Maßnahmen befinden sich einfach an der falschen Stelle. Dies gilt zum Beispiel für den Abschnitt A.11.7 ‚Mobile Computing und Kommunikation‘, der sich unter A.11 ‚Zugangssteuerung‘ befindet. Obwohl man beim Umgang mit Mobile Computing, sich auch um Zutrittskontrolle kümmern muss, ist Abschnitt A.11 eigentlich nicht der richtige Ort, um Fragen bezüglich Mobile Computing und Kommunikation zu klären.
- Fragen zu externen Beziehungen sind auf verschiedene Abschnitte der Norm verstreut. Sie finden sie in Abschnitt A.6.2 (Externe Beziehungen), A.8 (Personelle Sicherheit) und A.10.2 (Management der Dienstleistungs-Erbringung von Dritten). Mit dem Voranschreiten von Cloud-Computing und anderer Arten des Outsourcings ist es empfehlenswert, sämtliche dieser Vorschriften in einem Dokument oder einer Reihe von Dokumenten zusammenzustellen, die sich mit externen Beziehungen bzw. Dritten befassen.
- Sensibilisierung der Mitarbeiter und Schulung werden sowohl in Abschnitt 5.2.2 des Hauptteils der Norm sowie in Maßnahme A.8.2.2 gefordert. Dies ist nicht nur eine unnötige Dopplung, sondern es stiftet auch zusätzliche Verwirrung – theoretisch könnte jeder Maßnahme aus dem Anhang A ausgenommen werden. So könnte es am Ende passieren, dass eine Anforderung ausgeschlossen wird, obwohl sie nicht ausgeschlossen werden kann, weil sie laut Hauptteil der Norm erforderlich ist. Das Gleiche geschieht mit dem internen Audit (Absatz 6 des Hauptteils der Norm) und der Maßnahme A.6.1.8 ‚Unabhängige Überprüfung der Informationssicherheit‘.
- Einige der Maßnahmen aus Anhang A können wirklich breit angewendet werden, und sie können weitere Maßnahmen umfassen – so ist zum Beispiel Maßnahme A.7.1.3 ‚Zulässiger Gebrauch von organisationseigenen Werten (Assets)‘ so allgemein, dass es A.7.2.2 (Kennzeichnung von und Umgang mit Informationen), A.8.3.2 (Rückgabe von organisationseigenen Werten), A.9.2.1 (Platzierung und Schutz von Betriebsmitteln), A.10.7.1 (Verwaltung von Wechselmedien), A.10.7.2 (Entsorgung von Medien), A.10.7.3 (Umgang mit Informationen) usw. abdeckt. In der Regel empfehle ich meinen Kunden, ein Dokument zu erstellen, das sämtliche dieser Maßnahmen abdeckt.
Problem oder nicht?
Die folgenden Fragen werden in der Regel als problematisch dargestellt, obwohl ich dem eigentlich nicht zustimme:
- Die Norm ist zu vage und geht nicht genug ins Detail. Würde sie hinsichtlich der einzusetzenden Technologie stärker ins Detail gehen, so wäre die Norm bald überholt. Würde sie hinsichtlich der Methoden und/oder organisatorischen Lösungen stärker ins Detail gehen, so könnte sie nicht auf alle Unternehmensgrößen und -typen angewendet werden. Eine Großbank muss ganz anders als eine kleine Marketingagentur organisiert werden. Trotzdem sollten beide in der Lage sein, ISO 27001 umzusetzen.
- Die Norm ermöglicht zu viel Flexibilität.Mit dieser Kritik ist das Konzept der Risikoeinschätzung gemeint, bei der bestimmte Sicherheitsmaßnahmen ausgeschlossen werden können, wenn es keine zugehörigen Risiken gibt. Also wird die Frage gestellt: „Wie kann es nur möglich sein, Back-ups oder einen Antivirenschutz auszuschließen?“ Beim derzeitigen Stand der Technologien wie zum Beispiel Cloud-Computing sollte diese Art von Schutz nicht in die Verantwortung des Unternehmens fallen, das ISO 27001 umsetzt. (Allerdings wären in einem solchen Fall die Risiken des Outsourcings ziemlich hoch, so dass andere Sicherheitsmaßnahmen erforderlich wären.)
Und was jetzt?
Diese Norm wird sicherlich geändert werden müssen. Die aktuelle Version der ISO/IEC 27001:2005 ist jetzt sechs Jahre alt, und die nächste Version (für das Jahr 2012 oder 2013 erwartet) wird hoffentlich die meisten der oben genannten Probleme lösen.
Obwohl diese Mängel oft zu Verwirrung führen können, glaube ich, dass die positiven Seiten der Norm die negativen in hohem Maße überwiegen. Und ja, ich bin wirklich davon überzeugt, dass diese Norm den bei weitem besten Rahmen für Informationssicherheit-Management darstellt.
Lesen Sie außerdem dieses eBook Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own, das jeden Schritt der ISO 27001 Implementierung erläutert.
