Neun Schritte zum Erfolg
eBook - ePub

Neun Schritte zum Erfolg

Ein Überblick zur Implementierung der Norm ISO 27001:2013

  1. 128 Seiten
  2. German
  3. ePUB (handyfreundlich)
  4. Über iOS und Android verfügbar
eBook - ePub

Neun Schritte zum Erfolg

Ein Überblick zur Implementierung der Norm ISO 27001:2013

Angaben zum Buch
Buchvorschau
Inhaltsverzeichnis
Quellenangaben

Über dieses Buch

Schritt-für-Schritt-Anleitung für eine erfolgreiche ISO 27001-Implementierung

In sinnvoller, nicht technischer Sprache führt Sie dieser Leitfaden durch die wichtigsten Schritte eines ISO 27001-Projekts, um Ihnen den Erfolg desselben zu garantieren - von der Einführung bis hin zur Zertifizierung:

  • Projektmandat
  • Projektanbahnung
  • Initiierung eines ISMS
  • Management-Framework
  • Grundlegende Sicherheitskriterien
  • Risikomanagement
  • Implementierung
  • Maßnahme, Überwachung und Überprüfung
  • Zertifizierung

In dieser dritten Auflage und ausgerichtet auf ISO 27001: 2013 eignet sich das Handbuch ideal für alle jene, die sich zum ersten Mal mit der Norm beschäftigen.

"Es ist als hätten Sie einen $ 300 / h-Berater an Ihrer Seite, wenn Sie die Aspekte der Gewinnung von Management-Unterstützung, Planung, Problembestimmung (Scoping), Kommunikation etc. betrachten."

Thomas F. Witwicki

Mit Hilfe dieses Buches erfahren Sie wie Sie:

  • Unterstützung im Management und die Aufmerksamkeit des Vorstands erhalten;
  • Erstellen Sie ein Management-Framework und eine Gap-Analyse, um klar zu verstehen, was Sie bereits unter Kontrolle haben und worauf ihre Bemühungen abzielen sollen;
  • Strukturieren Sie Ihr Projekt und statten Sie es mit Ressourcen aus – einschließlich der Festlegung, ob Sie einen Berater verwenden werden oder die Tätigkeit selbst durchführen sowie der Überprüfung der vorhandenen Mittel und Ressourcen, die ihre Arbeit erleichtern werden;
  • Führen Sie eine fünfstufige Risikobewertung durch und erstellen Sie eine Aussage zur Anwendbarkeit sowie einen Risikoplan;
  • Integrieren Sie Ihr ISO 27001 ISMS mit einem ISO 9001 QMS und anderem Managementsystem;
  • Adressieren Sie die Dokumentationsherausforderungen, denen Sie im Rahmen der Erstellung von Geschäftsgrundsätzen, Verfahren, Arbeitsanweisungen und Datensätzen begegnen – einschließlich realisierbarer Alternativen zum kostspieligen Trial- und Error Ansatz
  • Kontinuierliche Verbesserung Ihres ISMS, einschließlich interner Prüfungen und Tests sowie Kontrollen durch das Management;

Dieses Buch liefert Ihnen die nötige Anleitung zum Verständnis der Anforderungen der Norm und zur Gewährleistung, dass ihr Implementierungsprojekt ein Erfolg wird. Dabei werden sechs Geheimtipps für den Erfolg gegeben.

Background

Die Erlangung und Aufrechterhaltung der akkreditierten Zertifizierung nach der internationalen Norm für Informationssicherheit-Management - ISO 27001 - kann ein kompliziertes Vorhaben darstellen, besonders dann, wenn die Norm für Sie noch neu ist.

Autor Alan Calder kennt ISO 27001 in- und auswendig: der Gründer und Vorstandsvorsitzende von IT Governance, er leitete die erste Implementierung eines nach BS 7799 zertifizierten Managementsystems - dem Vorläufer der ISO 27001 - und arbeitet seither mit der Norm und seinen Nachfolgern zusammen.

Hunderte Organisationen weltweit haben akkreditierte Zertifizierungen nach ISO 27001 mit der IT-Governance-Beratung erlangt- wie in diesem Buch zusammengefasst.

Kaufen Sie dieses Buch heute und erlernen Sie die neun Schritte für eine erfolgreiche ISO 27001 ISMS Implementierung.

Häufig gestellte Fragen

Gehe einfach zum Kontobereich in den Einstellungen und klicke auf „Abo kündigen“ – ganz einfach. Nachdem du gekündigt hast, bleibt deine Mitgliedschaft für den verbleibenden Abozeitraum, den du bereits bezahlt hast, aktiv. Mehr Informationen hier.
Derzeit stehen all unsere auf Mobilgeräte reagierenden ePub-Bücher zum Download über die App zur Verfügung. Die meisten unserer PDFs stehen ebenfalls zum Download bereit; wir arbeiten daran, auch die übrigen PDFs zum Download anzubieten, bei denen dies aktuell noch nicht möglich ist. Weitere Informationen hier.
Mit beiden Aboplänen erhältst du vollen Zugang zur Bibliothek und allen Funktionen von Perlego. Die einzigen Unterschiede bestehen im Preis und dem Abozeitraum: Mit dem Jahresabo sparst du auf 12 Monate gerechnet im Vergleich zum Monatsabo rund 30 %.
Wir sind ein Online-Abodienst für Lehrbücher, bei dem du für weniger als den Preis eines einzelnen Buches pro Monat Zugang zu einer ganzen Online-Bibliothek erhältst. Mit über 1 Million Büchern zu über 1.000 verschiedenen Themen haben wir bestimmt alles, was du brauchst! Weitere Informationen hier.
Achte auf das Symbol zum Vorlesen in deinem nächsten Buch, um zu sehen, ob du es dir auch anhören kannst. Bei diesem Tool wird dir Text laut vorgelesen, wobei der Text beim Vorlesen auch grafisch hervorgehoben wird. Du kannst das Vorlesen jederzeit anhalten, beschleunigen und verlangsamen. Weitere Informationen hier.
Ja, du hast Zugang zu Neun Schritte zum Erfolg von Alan Calder im PDF- und/oder ePub-Format sowie zu anderen beliebten Büchern aus Computer Science & Cyber Security. Aus unserem Katalog stehen dir über 1 Million Bücher zur Verfügung.

Information

Verlag
ITGP
Jahr
2017
ISBN
9781849288699
Thema
Computer Science
Thema
Cyber Security

KAPITEL 1: PROJEKTMANDAT

Es mag etwas klischeeartig sein, aber für Informationssicherheits-Managementsystem (ISMS)-Projekte ist es bestimmt richtig zu sagen: „Gut begonnen ist halb gewonnen“. Die mit der Leitung eines ISO / IEC 27001: 2013 ISMS-Projekts beauftragte Person muss etwas, das in Bezug auf Zeit und Ressourcen potenziell komplex, schwierig und teuer ist, auf etwas reduzieren, das jeder glaubt, in der zur Verfügung stehenden Zeit und mit den erlaubten Ressourcen erreichen zu können. Und dann müssen Sie sicherstellen, dass es auch tatsächlich geliefert wird!
Das bedeutet, dass der ISMS Projektleiter das Projekt auf eine Weise aufzustellen hat, dass dieses mit geeigneten Ressourcen versehen ist (darin eingeschlossen alles, was eventuell schief laufen kann) und dass jeder die Risiken im Projekt verstehen und die dafür entwickelten Kontrollmaßnahmen anwenden kann.
Beinahe jeder ist Veränderungen gegenüber ablehnend eingestellt. Nur sehr wenige Menschen finden es reizvoll, sich auf Neues einzulassen. Die meisten werden ein ISMS-Projekt als etwas sehen, das ihnen beides bringt: Veränderung und Unbekanntes für das Arbeitsleben und nicht jedem wird das gutheißen. Das ist normal und am Ende werden auch sie am Projekt teilnehmen.
Der Projektleiter ist in der ersten Phase des Projekts jene Person, an die sich alle anderen im Unternehmen zur Beratung und Überprüfung wenden werden. Sie sind die Person, die Enthusiasmus, Sicherheit und Verständnis gibt für das, worum es geht.
Das bedeutet, dass das Lernen in der Arbeit auf transparente Art nicht empfehlenswert ist. Es bedeutet aber nicht, dass Sie alle Antworten wissen müssen, denn das ist nicht realistisch. Solange Sie ein klares Verständnis über die strategischen Themen haben und praktisch gesehen wissen, wo Sie Rat und Leitlinien finden, können Sie effektiv sein - auch wenn Sie den anderen gegenüber nur einen oder zwei Tage mehr an detailliertem Wissen zum Projekt voraus sind.
Sie werden erstaunt darüber sein, wie oft jemand ohne besondere Ausbildung ein ISMS-Projekt gestartet hat, daran scheiterte, eine Reihe an Fragen oder Herausforderungen zu spezifischen Themen geeignet zu beantworten und dann überrascht war, dass das Projekt eher rasch an Glaubwürdigkeit verlor.
Die Unterstützung durch die Geschäftsführung ist sogar noch wichtiger als ihr eigenes Verständnis dahingehen, was Sie zu erreichen versuchen. Informationssicherheit ist beides: ein Thema für Management und Führungsebene. Eine erfolgreiche Implementierung eines ISMS ist absolut davon abhängig, ob es echte Unterstützung von der höchsten Unternehmensebene erhält. Damit haben sie echte Chancen auf Erfolg, ohne diese Unterstützung gar nicht. Sicherstellung echter Top-Management-Unterstützung – nicht bloß Lippenbekenntnisse – ist der Schlüssel zu einem ISO 2700-Erfolg. In diesem Zusammenhang spreche ich nicht notwendigerweise von der Geschäftsführung eines großen Unternehmens mit vielen Tochterfirmen; ich spreche hier über jene Person, die für den geschäftlichen Erfolg oder Misserfolg jenes Unternehmens verantwortlich ist, in dem die Norm ISO 27991 berücksichtigt wird. Das kann eine Handelsabteilung, eine Tochtergesellschaft, eine eigenständige Einheit oder ein virtuelles Unternehmen sein.
Es ist wichtig, die Bedeutung von "verantwortlich" in diesem Zusammenhang zu klären. Ich spreche über die Person, deren Arbeit und Karriere vom Erfolg des gesamten Geschäfts, das ISO 27001 berücksichtigt abhängt. Diese Person übt nicht immer formell die Funktion desjenigen aus, bei dem letztlich die Verantwortung liegt. In einem Unternehmen weiß jedoch jeder, bei wem letztlich die Verantwortung liegt und diese Person ist hier gemeint, wenn ich von Geschäftsführer spreche.
Strategische Ausrichtung
Der erste Grund, warum der Geschäftsführer Sie und das ISMS-Projekt zur Gänze unterstützen muss, liegt darin, dass es sich um ein Business- und nicht um ein IT-Projekt handelt. Es hat gänzlich mit dem Business-Modell, der Business-Strategie und den Zielen übereinzustimmen, für das Business priorisiert zu werden und mit einer angemessenen Menge an Ressourcen ausgestattet zu sein. Obgleich es unwahrscheinlich ist, dass der Geschäftsführer der ISMS-Projektleiter sein wird, ist er dennoch die einzige Person, die das Thema der Cyber-Sicherheit tatsächlich priorisieren kann. Kein einzelner Projektleiter wird sich in der Position befinden, klar in Bezug auf die strategischen Bedürfnisse und Ziele des Unternehmens zu sein; da es ein strategisches Projekt ist, das jeden betrifft, müssen Sie "in der Schleife", d.h. ins Geschehen involviert und informiert sein, um ihre eigenen Pläne so maßgenau erarbeiten zu können, dass diese die vom Unternehmen gesetzten Geschäfts-Prioritäten erfüllen.
Sie haben auch die strategischen Risiken des Unternehmens zu kennen und auf welche Weise diese in den Informationssicherheitsrisiken reflektiert und priorisiert sind. Es gibt viele mögliche Fragen, deren Antworten für Ihren Ansatz und detaillierten Plan von Bedeutung sein werden. Ist etwa das Risiko für einen Diebstahl geistigen Eigentums - mit größeren potenziellen Auswirkungen - stärker ausgeprägt als das Risiko eines drei Tage umfassenden Geschäftsabschlusses? Ist die Erfüllung gesetzlicher Auflagen mehr oder weniger wichtig als die Verringerung der Umsatzkosten? Werden Informationssicherheit und Erfüllung gesetzlicher Auflagen für Outsourcing-Lösungen wichtig werden (oder bei einer Auswahl zwischen Option mit niedrigeren Kosten, aber weniger sicher und einer sichereren, aber teureren Outsourcing-Option, welche davon wird das Unternehmen wählen)? Wie ist ein Konflikt zwischen den gesetzlichen Anforderungen zwei verschiedener Gerichtszuständigkeiten zu lösen, wenn das Unternehmen in beiden tätig ist? Wie soll der Ausgleich zwischen der den Tochtergesellschaften zuerkannten betrieblichen Flexibilität und der Umsetzung eines konstanten Mindestmaßes an Informationssicherheit und Zuverlässigkeit von IT-Services erfolgen? Welche sind die langfristigen Pläne für spezifische Unterstützungsdienste (wenn diese ausgelagert werden, werden Sie dann die ISMS-Implementierung anders angehen, als wenn sie im Haus bleiben)? Es gibt viele solcher Fragen, deren Antwort Sie kennen müssen bevor Sie zu planen beginnen, denn im Laufe des Projektes werden viele weitere auftauchen.
Priorisierung und Bestätigung
Der zweite, von Ihnen zu erreichende Punkt auf Unterstützungsbene, damit das Projekt erfolgreich verläuft. Es ist nicht ausreichend, dass CEO und Geschäftsleitung bloß wissen, dass das Projekt wichtig ist. Es ist nicht genug, dass sie darüber sprechen. Es reicht nicht, die Prioritäten in Bezug auf Unternehmensstrategien zu kennen und in der Lage zu sein, das Projekt auf den Business-Plan abzustimmen.
Wenn es wirklich geschehen soll, müssen die Führungskräfte miteinbezogen werden und diese haben wirklich entschlossen zu sein, das Ziel zu erreichen. Ein Engagement von Seiten des Top Managements bedeutet, dass das Projekt die notwendigen finanziellen und menschlichen Ressourcen erhält. Es erhält die Übersicht, ‘Face Time’ und notwendige, interne Kommunikation. Selbst wenn Sie über diese Art von Engagement verfügen, wird es viele Dinge geben, die Menschen im gesamten Unternehmen mit höherer Priorität einschätzen werden als Ihr Projekt. Selbstverständlich wird es einige Dinge geben, die höhere Priorität besitzen; was Sie benötigen ist eine klare Priorisierung, die im gesamten Unternehmen verstanden und von der Geschäftsführung unterstützt wird.
Es ist notwendig, dass die Priorisierung für ihr Projekt klar verstanden wird. In diesem Zusammenhang braucht es die fixe und kompromisslose Befürwortung des CEO. Mit „Bestätigung“ meine ich, wenn gelegentlich unnotwendigerweise interne Barrieren auftauchen, diese Worte: “Das ist ein vom CEO bestätigtes/beauftragtes Projekt“. Sie sollten ausreichen, um diesen zu begegnen.
Änderungsmanagement
Der dritte Grund, warum Sie die Unterstützung durch die Geschäftsführung benötigen ist, dass das ISMS-Projekt voraussichtlich ein Änderungsmanagement-Projekt sein wird. Die Implementierung eines ISMS ist keine Tätigkeit, die nur wenige Auswirkungen zeigt. Es kann Änderungen in der Form, wie Computer-Nutzer eine Reihe von Dingen durchzuführen haben, nach sich ziehen, aber auch auf Aspekte des täglichen Managements auswirken. Ein erfolgreiches ISMS-Projekt ist in anderen Worten ein zurückhaltendes, aber dennoch breit gefächertes Änderungs-Management-Projekt, das Sie aus der Erfahrung erfolgreicher Änderungs-Management-Programme lernen können.
Es gibt viele Bücher zum Thema Änerungsmanagement. Viele dieser Projekte scheitern daran, jene Vorteile, die zur Rechtfertigung der Anfangs- und Umsetzungskosten aufgewendet wurden, auch tätsächlich hervorzubringen. Eine erfolgreiche ISMS-Implementierung benötigt kein detailliertes, strategisches Änderungmanagement-Programm und insbesondere keines, das von externen Beratern entwicklt und geleitet wird. Was es erfordert ist die vollständige Klarheit im Senior Management: wer dafür verantwortlich ist, das Projekt voranzubringen, wessen Arbeitsweisen davon betroffen sein werden, warum die Änderung notwendig ist, wie das Endergebnis auszusehen hat und warum dieses so wichtig ist. Die Aspekte der Veränderung im Management stellen den dritten Grund dar, warum die Unterstützung und der Rückhalt durch die Geschäftsführung so wichtig ist: Sie möchten, dass er das Beispiel für alle anderen abgibt, wie eine bestimmte Sache zu machen ist.
Es ist nun mal so, dass die Norm selbst dieses Niveau an Unterstützung fordert. So ist es nicht möglich, dass eine Zertifizierungsstelle ein ISMS zertifizieren wird, ohne nicht zuvor festgestellt zu haben, dass sich die Führungskräfte entsprechend engagiert haben. Der Grund dafür liegt auf der Hand: Wenn das Engagement fehlt, ist das ISMS nicht angemessen. Die Risiken für das Unternehmen wurden nicht richtig erkannt oder nicht vollständig behandelt. Die strategischen Geschäftsziele und damit verbundenen zukünftigen Anforderungen an die Informationssicherheit wurden wahrscheinlich kaum berücksichtigt.
Die Funktion des CEO
Idealerweise sollte der CEO die treibende Kraft hinter dem Programm sein und die Erlangung der ISO 27001-Zertifizierung sollte ein klar definiertes Ziel im aktuellen Businessplan darstellen. Der CEO hat die strategischen Themen rund um IT Governance und Informationssicherheit vollständig zu verstehen und den Wert einer erfolgreichen Zertifizierung für das Unternehmen. Der CEO hat imstande zu sein, diese an den Vorstand und das obere Management weiter zu geben, aber auch mit Einwänden und Problemstellungen zurecht zu kommen Vor allem muss er über diesen Teil des Businessplans hinweg ausreichend Kenntnisse besitzen, um ihn auf dem richtigen Weg zu seinen strategischen Zielen beibehalten zu können.
Vorsitzender und Gremium sollten der Überwachung der Fortschritte in der Umsetzung des ISO 27001-Programms genauso viel Aufmerksamkeit schenken wie allen sonstigen Unternehmenszielen. Ziffer 5.1 der Norm verweist ausdrücklich auf einen Nachweis dieses Engagements von oben: “Das obere Management hat die Leitung und das Engagement in Bezug auf das Informationssicherheits-Managementsystem nachzuweisen”. Wenn CEO, Vorsitzender und Vorstand nicht hinter diesem Projekt stehen, dann wird es wenig Fortschritte im Verfahren geben; denn eine Zertifizierung wird ohne eindeutigen Hinweis auf ein derartiges Engagement nicht ausgestellt werden. Dieses Führungsprinzip von oben ist selbstverständlich auch für alle anderen Projekte mit wesentlichen Änderungen grundlegend.
Wenn Sie der CEO des Unternehmens sind, dann tun Sie gerade genau das Richtige indem Sie dieses Buch lesen, um sich auf das Projekt für Informationssicherheit selbst vorzubereiten. Sind Sie nicht der CEO, dann haben Sie sicherzustellen, die Art von Engagement und Unterstützung zu erhalten, wie ich sie oben beschreibe.
Der ideale Leiter eines ISMS-Projekts ist ein Business Leader - ein COO (Chief Operating Officer) oder ein Geschäftsführer; Die Aufnahme eines ISMS stellt ein Business-Projekt dar und die Unternehmensführung ist daher von grundlegender Bedeutung für dessen Erfolg. Oft scheitert ein ISMS-Projekt, weil es als technologisches Projekt eingerichtet und so gesehen wird und demnach als ein begrenztes Projekt, das nicht das notwendige Business-Engagement erhält. "Schon wieder ein IT-Projekt" ist die falsche Botschaft für ein ISMS innerhalb des Unternehmens.
Es gibt natürlich Unternehmen, in denen der Informatikleiter (CIO) im Senior Management-Team sitzt und verantwortlich ist für die integrierte Funktionsweise, wozu auch die Informationssicherheit gehört. In diesem Fall verfügt er also bereits über das Vertrauen und die Unterstützung von Seiten des CEO und Vorstandes. In einem derartigen Unternehmen könnte der CIO die treibende Kraft für das Projekt werden, aber es benötigt dennoch das Engagement und die Unterstützung von Seiten des CEO, damit wirklich jeder im Unternehmen versteht, dass die Einhaltung von Sicherheit eine Geschäftspriorität darstellt. Der CIO wird ebenso dringend ein Cross-Business Projektteam bilden müssen. Darauf komme ich später noch mal zu sprechen.
Das Projektmandat
Das Projektmandat ist das, was Sie in einem verwendbaren Format als ersten Nachweis über dieses Engagement zum Ausdruck bringen. Ein Projektmandat (oder PID) ist ein Dokument, das in einem weitem Sinn dafür verwendet wird, um die Schlüsselelemente eines komplexen Systems zu erfassen. Es stellt sicher, dass es einen ursprünglichen Bezugspunkt gibt, auf dem die drei Schlüssel für ein erfolgreiches Projekt begründet liegen: Leistungen, Zeitrahmen und Budget.
Komplexe Projekte scheitern, weil eine oder mehrere dieser Projektvariablen nur schwach identifiziert und/oder gemanagt werden. Die „schleichende Umfangsausweitung“ ist eine der häufigsten Ursachen für ein Scheitern des Projekts. Projektmandate versuchen dahin gegen den Projektumfang klar zu identifizieren und die drei Variablen festzulegen, um einen effektiven Project Governance-Prozess zu unterstützen.
Ihr Projektmandat sollte diese vier Punkte umfassen:
1. Leistungen: Festlegung der Ziele für die Erlangung der ISO 27001-Zertifizierung entweder für einen spezifischen Teil oder das gesamte Unternehmen und, wenn möglich, Festlegung, warum die Informationssicherheit so wichtig für Ihr Unternehmen ist.
2. Zeitrahmen: Erstellen Sie eine Gliederung des Projektplans und einen Fertigstellungstermin auf der Grundlage der neun Stufen zum Erfolg.
3. Budget: Bestimmen Sie die Ressourcen, sowohl intern als auch extern, sowie die Ausbildung, Software und Tools, die Sie für das Projekt benötigen.
4. Genehmigung zum Fortfahren: das Mandat sollte das Einverständnis von Seiten des Managements aufweisen sowie die Genehmigung, mit dem Projekt fortzufahren, um die festgelegten Ziele unter Ausnutzung der veranschlagten Mittel zu erreichen.
Leistungen und Projektziel
Auch wenn die Projektleistung relativ einfach zu definieren ist (zB. Erlangung der Zertifizierung nach ISO 27001 binnen vier Monaten), sollten Sie sich dennoch sehr klar sein, was die Gründe zur Erreichung dieses Ziels sind sowie den Unterschied zwischen Projektziel und Zielen für die Informationssicherheit genau festlegen.
Der Zweck eines Managementsystems für Informationssicherheit besteht selbstverständlich darin, die Risiken für Ihre Informationen zu reduzieren und zu überwachen. Das bzw. die eigentliche(n) Ziel(e) Ihres ISMS Projekt können entsprechend den Zwecken des ISMS selbst unterschiedlich sein und Sie sollten sich über diese Unterschiede ...

Inhaltsverzeichnis

  1. Cover
  2. Titelblatt
  3. Copyright
  4. Über Den Autor
  5. Inhalte
  6. Einführung
  7. Kapitel 1: Projektmandat
  8. Kapitel 2: Projektinitiierung
  9. Kapitel 3: ISMS-Initiierung
  10. Kapitel 4: Management-Framework
  11. Kapitel 5: Grundlegende Sicherheitskriterien
  12. Kapitel 6: Risikomanagement
  13. Kapitel 7: Implementierung
  14. Kapitel 8: Maßnahme, Überwachung und Überprüfung
  15. Kapitel 9: Zertifizierung
  16. ISO 27001 Ressourcen
  17. ITG Ressourcen