ISO 27701: Die ISO-Welt und der Begriff des Managementsystem

Fachbeitrag

Wenn über Informationssicherheit gesprochen wird, fallen eine Menge Begrifflichkeiten und Abkürzungen wie ISO, IEC, DIN oder ISMS. Diese sind nicht immer geläufig, daher beschäftigt sich dieser Beitrag mit ihrer Herkunft und Bedeutung. Zudem gehen wir darauf ein, was im Rahmen der ISO 27001 und 27701 unter dem Begriff Managementsystem zu verstehen ist und welche Überschneidungen es dort bei den zwei Normen gibt. Dieser Artikel ist Teil unserer Reihe zur „ISO 27701: Datenschutz-Zertifizierung im Sinne der DSGVO“.

Wofür steht ISO? Herkunft, Bedeutung und Unterschied zur DIN

Bevor wir uns die für diese Blogreihe zentralen ISO-Normen 27001, 27002 und 27701 anschauen, soll ein kurzer Einblick in die ISO-Welt gewährt werden.

ISO – International Organization for Standardization

Im Jahr 1947 wurde in der Schweiz die Internationale Organisation für Normung (International Organization for Standardization) gegründet – die ISO. Die ISO sorgt für weltweit einheitliche Standards bei Produkten und Dienstleistungen und hat mehr als 24.000 Normen seit ihrer Gründung veröffentlicht. Die Organisation ist der internationale Dachverband der nationalen Normierungsinstitute von insgesamt 161 Ländern mit Sitz in Genf. Die wichtigste Normungsorganisation in Deutschland ist die Deutsche Stiftung für Normung e.V. (DIN), die Deutschland auch bei der ISO vertritt.

Die ISO entwickelt einige Standards in Zusammenarbeit mit anderen internationalen Normungsorganisationen, z.B. der Internationalen elektrotechnischen Kommission (IEC). In den Bezeichnungen dieser Standards werden die daran beteiligten Organisationen sowie das Datum der Ausgabe der Norm genannt. Daher lauten die korrekten Bezeichnungen der englischen Originalversionen von ISO 27001 und ISO 27701 „ISO/IEC 27001:2013-10“ und „ISO/IEC 27701:2019-08“. Die aktuell gültigen deutschsprachigen Versionen sind die DIN EN ISO/IEC 27001:2017-06 und die DIN EN ISO/IEC 27701:2021-07. Der besseren Leserbarkeit halber werden wir in dieser Blogreihe immer nur von ISO 27001 bzw. ISO 27701 sprechen.

Hierzulande dürften die DIN-Normen den meisten etwas bekannter sein. Eine unter der Leitung von Arbeitsausschüssen der Deutsche Stiftung für Normung erarbeitete Norm wird als DIN-Norm bezeichnet.

ISO 27xxx – Normenreihe für Informationssicherheit

Das zentrale Thema der Normenreihe ISO 27xxx ist die Informationssicherheit. Die Reihe ist sehr umfangreich und wird ständig weiterentwickelt. Dabei bildet ISO 27001 die Hauptnorm, welche Anforderungen an Informationssicherheitsmanagementsysteme definiert. Darüber hinaus ist sie die Norm der Reihe, die zertifizierbar ist. Die Normen 27002 bis 27007 ergänzen und vertiefen bestimmte Aspekte der Hauptnorm. Daneben gibt es eine umfangreiche Sammlung von Normen, die branchen- bzw. sektorspezifische Aspekte sowie konkrete Bereiche im Rahmen der Informationssicherheit behandelt. Nennenswert sind beispielsweise:

  • ISO 27017 – Anwendungsleitfaden für Informationssicherheitsmaßnahmen basierend auf ISO/IEC 27002 für Cloud Dienste
  • ISO 27019 – Informationssicherheitsmaßnahmen für die Energieversorgung

Managementsysteme aus der Sicht der ISO-Normen

Die ISO-Normen sprechen von Managementsystemen. Aber was ist ein Managementsystem?

Die DIN EN ISO IEC 27000 Kapitel 3.2.5 beschreibt ein Managementsystem wie folgt:

„Ein Managementsystem nutzt ein Rahmenwerk von Ressourcen, um die Ziele einer Organisation zu erreichen. Das Managementsystem umfasst Organisationsstrukturen, Richtlinien, Planungstätigkeiten, Verantwortlichkeiten, Methoden, Verfahren, Prozesse und Ressourcen.

Im Hinblick auf Informationssicherheit ermöglicht ein Managementsystem einer Organisation:

a) den Sicherheitsanforderungen von Kunden und anderen Stakeholdern gerecht zu werden;
b) ihre Planungen und Tätigkeiten zu verbessern;
c) ihre Informationssicherheitsziele zu erfüllen;
d) Vorschriften, Gesetze und Branchenstandards einzuhalten und
e) die Informationswerte in einer organisierten Art und Weise zu steuern, welche die fortlaufende Verbesserung und Anpassung an aktuelle Ziele der Organisation fördert.“

Wichtig ist: Ein Managementsystem ist nichts, das einmal aufgebaut wird, um ein Zertifikat zu erhalten und danach wieder vergessen werden kann. Es handelt sich vielmehr um eine langfristige, strategische Ausrichtung. Der Erfolg eines Managementsystems und auch die Aufrechterhaltung eines Zertifikates erfordern einen kontinuierlichen Betrieb sowie eine stetige Weiterentwicklung der Prozesse im Rahmen der kontinuierlichen Verbesserung.

ISO 27001 – Internationale Norm für die Informationssicherheit

Die ISO 27001 ist Bestandteil der ISMS-Normenfamilie und bietet Unternehmen jedweder Branche und Größe eine zuverlässige Unterstützung beim Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS). Dieses Rahmenwerk bündelt die Best Practices internationaler Experten, damit dessen Anwender die ihnen anvertrauten Informationen in allen Belangen (Verfügbarkeit, Vertraulichkeit und Integrität) sicher handhaben können. Die Zertifizierung des ISMS durch eine unabhängige DAkkS-akkreditierte Zertifizierungsstelle bestätigt dann das erreichte Niveau und gibt Dritten Vertrauen in die Leistung des Managementsystems.

Mehr zum Thema ISMS finden Sie in unserem Blogreihe „Aufbau eines ISMS“, in dem unsere erfahrenen Kollegen dazu praxisnahen Artikeln veröffentlichen.

ISO 27002 – Leitfaden für Informationssicherheit

Die ISO 27002 ist ein internationaler Standard, der Empfehlungen in Form eines Leitfadens für diverse Maßnahmen in der Informationssicherheit beinhaltet. Die Norm bezieht sich auf Anhang A der ISO 27001, greift die dort beschriebenen so genannten „Controls“ im Sinne der praktischen Umsetzung auf und bietet Anhaltspunkte wie die Anforderungen erreicht werden können. Eine Zertifizierung nach ISO 27002 ist nicht möglich, da es sich bei der Norm um eine Sammlung von Vorschlägen und nicht um Forderungen handelt. Soll ein ISMS zertifiziert werden, ist dies nur über die Erfüllung der Anforderungen nach ISO 27001 möglich.

ISO 27701 – Internationale Norm für Datenschutzmanagementsysteme

Die ISO 27701 ist eine Erweiterung von ISO 27001 und ISO 27002 um das Thema Datenschutz und kann nur zusammen mit ISO 27001 zertifiziert werden. Eine Konformität mit der ISO 27701 setzt also immer auch die Erfüllung der Anforderungen aus der ISO 27001 zwingend voraus. Die ISO 27701 legt fest, wie Maßnahmen für Datenschutz und Informationssicherheit zu verknüpfen sind, um die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Managementsystems für Informationen zum Datenschutz (PIMS, en: Privacy Information Management System) zu erreichen.

Die ISO 27701 hilft beim Nachweis der Einhaltung von Datenschutzbestimmungen weltweit. So baut die Norm zwar stark auf der DSGVO auf, fordert aber immer wieder explizit die Einhaltung der in den jeweiligen Ländern gültigen Regularien. Im Unterschied zu ISO 27001 spricht die Norm von „Informationen und Datenschutz“ statt von „Informationen“. Damit soll zum Ausdruck gebracht werden, dass neben der Informationssicherheit auch der Schutz der Privatsphäre von betroffenen Personen zu berücksichtigen ist, die durch die Verarbeitung personenbezogener Daten möglicherweise beeinträchtigt ist. Auch bei der Risikobeurteilung gilt es, die Kriterien der Verarbeitung von personenbezogenen Daten zu berücksichtigen.

Gemeinsamkeiten von ISO 27001 und ISO 27701

Die Normen ISO 27001 und ISO 27701 legen fest, welchen Anforderungen das Managementsystem einer Organisation im Hinblick auf das jeweilige Thema genügen muss. Lediglich der Fokus – Informationssicherheit bei ISO 27001 und Datenschutz bei ISO 27701 – unterscheidet sich. Den Normen ist die Anforderung gemeinsam, dass das Managementsystem einem stetigen Verbesserungsprozess unterliegen muss. Man spricht hier auch von einem PDCA-Zyklus, der die Phasen Plan, Do, Check und Act beinhaltet. Bei ISO 27001 und ISO 27701 unterscheiden sich hier lediglich die Kapitel, in denen die jeweiligen Schritte beschrieben sind. Dies veranschaulicht die untenstehende Grafik.

 

Plan Do Check Act

 

Die grundsätzliche Struktur der beiden Normen ist identisch. Hier gibt es mit den Annex SL Directives der ISO ein Dokument, das diesen Aufbau für Managementsystem-Standards vorgibt. Die generellen Kapitel sind damit die folgenden:

  • Anwendungsbereich
  • Normative Verweisungen
  • Begriffe
  • Kontext der Organisation
  • Führung
  • Planung
  • Unterstützung
  • Betrieb
  • Leistungsbewertung
  • Verbesserung

Daher bietet sich auch die Integration der beiden Managementsysteme an. Durch die gemeinsame Struktur gibt es Anforderungen, die Managementsysteme unabhängig von ihrem thematischen Fokus erfüllen müssen. Hier können Synergien genutzt werden. Gibt es also im Unternehmen bereits ein ISMS nach ISO 27001, müssen viele Prozesse nur erweitert und nicht neu aufgebaut werden. Zudem können Ressourcen (z.B. Schulungstools, …) gemeinsam genutzt werden.

Im nächsten Artikel der Reihe werden wir uns dann mit der Frage beschäftigen, wie ein Datenschutzmanagementsystem nach dieser Norm aussehen könnte.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Sicherheit Beratung

2 Kommentare zu diesem Beitrag

  1. Sehr informativer Beitrag. Die Autorinnen und Autoren von intersoft consulting schaffen es, komplexe Themen klar und deutlich auf den Punkt zu bringen. Ganz weit vorne!

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.