Webinar ISO 27001 – Fragen und Antworten

Fachbeitrag

Wie in unserem Webinar angekündigt, möchten wir mit diesem Blogartikel versuchen Fragen zum Thema ISO 27001-Zertifizierung zu beantworten, welche offengeblieben sind bzw. aufgeworfen wurden.

Rückblick auf das Webinar

Unter dem Titel „ISO 27001 – Chancen für IT-Sicherheit und Datenschutz“ hat die intersoft consulting services AG am 1.9.2020 in einem Webinar den Aufbau und den Nutzen eines Informationssicherheitsmanagementsystems (ISMS) dargestellt. Mit dem Vortrag wollten wir den Prozess bis zur möglichen ISO 27001-Zertifizierung transparent machen. Wir wollten den Teilnehmern zeigen, dass der Aufbau eines ISMS beileibe keine Raketentechnik ist. Eine ganze Reihe von erprobten Hilfsmitteln stehen zur Unterstützung dieses Vorhabens bereits zur Verfügung.

Einige Fragen der Teilnehmer konnten unmittelbar im Anschluss des Webinars beantwortet werden. Im Folgenden werden wir auf weitere Fragen eingehen, die sich im Laufe des Vortrages ergeben haben. Einige Antworten auf bereits besprochene Fragen werden wir noch etwas detaillierter ausführen.

Welche Ausbildung braucht ein Informationssicherheitsbeauftragter (ISB)?

Es gibt keine festen Vorgaben dafür. Die Norm verlangt allerdings einen konkreten Nachweis, dass der ISB fachlich in der Lage ist, seine Aufgaben zu erfüllen. Sie müssen also in irgendeiner Form nachweisen können, das ihr ISB sich auf dem Gebiet der ISO 27000 sicher bewegen kann. Es gibt Schulungen und auch Zertifikate (CISM / CISP / ITSiBe / CISO und andere) dazu, die Sie in Erwägung ziehen können, die aber nicht zwingend vorgeschrieben sind.

Der ISB ist im Wesentlichen mit Prozessen und Dokumentation beschäftigt. Darüber hinaus ist ein solides IT-Wissen äußerst hilfreich. Der ISB muss mit der IT-Abteilung ‚auf Augenhöhe‘ über die eingesetzten Werkzeuge sprechen können.

Kann ein DSB zusätzlich auch die Aufgabe des ISB übernehmen?

Das ist eher nicht zu empfehlen. Die ISO 27001 verlangt eine klare Rollenzuweisung unter Vermeidung von Zielkonflikten. Spätestens bei der Diskussion um den Umfang und die Speicherdauer von Logfiles zerreißt es ihren DSB / ISB.

Was sind die „Required Documents“ und woher bekomme ich die Vorlagen?

In der ISO 27001 sind einige Dokumente wie die Sicherheitsleitlinie oder der Plan zur Risikobehandlung erwähnt, die zwingend vorliegen müssen. Von der Norm wird explizit gefordert, dass diese Dokumente existieren.

Der Inhalt der Dokumente ist durch die Norm klar beschrieben. Bei der Erstellung der Dokumente kann man sich Vorlagen bedienen, die einen Großteil des Inhalts bereits vorgeben und nur noch auf das Umfeld des eigenen Unternehmens angepasst werden müssen. Bei der Beschaffung der Vorlagen und ihrer Anpassung sind wir im Rahmen unserer Beratungsleistung gerne behilflich.

Neben diesen Dokumenten verlangt die Norm einige Aufzeichnungen wie z.B. Schulungspläne, die zwar nicht als Dokument, wohl aber als dokumentierte Information in Form von Logfiles oder Protokollen existieren müssen.

Wieviel kostet es, sich nach ISO 27001 zertifizieren zu lassen?

Diese Frage kam sehr oft und sie ist nur schwer zu beantworten.

Die Kosten sind zu trennen zwischen den Kosten für den Aufbau und den Betrieb des ISMS und den Kosten für das Audit.

Je nach Firmengröße braucht der Aufbau des ISMS zwischen 6 Monaten und einem Jahr, bei größeren Unternehmen und bei zahlreichen, möglicherweise sehr unterschiedlich strukturierten Standorten vielleicht auch länger. Sie brauchen zwingend von Beginn an einen Informationssicherheitsbeauftragten (ISB), der sich verantwortlich um das ISMS kümmert. Nebenher kommen auch einige Aufgaben auf die IT, die Personalabteilung und die Geschäftsführung zu. Der Gesamtaufwand lässt sich nur sehr schwer in konkrete Zahlen fassen.

Zu Beginn ist der Zeitaufwand verständlicherweise höher als im laufenden Betrieb. Wenn Sie in der Aufbauphase für Ihren ISB mindestens mit 1 PT (Personentag) pro Woche kalkulieren sollten (sonst kommen sie auch bei kleinen Organisationen nicht von der Stelle), kommen Sie später vielleicht mit 1 PT pro Monat aus. Wenn der ISB durch die IT, HR, Finance und die Geschäftsführung unterstützt wird, verringert sich der Aufwand. Alle Abteilungen müssen regelmäßig ihre Dokumentation und ihre Prozesse überwachen und pflegen.

Der Umfang und Zeitaufwand für das Audit ist in der ISO 27006 explizit geregelt. Dort gibt es ganz konkrete Vorgaben, abhängig von Mitarbeiterzahl und ggf. Standorten, wie viele Tage ein Auditor für die Prüfung aufwenden sollte. Beispielsweise ist für ein Unternehmen mit 86-125 Mitarbeitern ein initialer Audit-Aufwand von 12 FTE (Full Time Equivalent – PT) vorgesehen. Dies sind nicht nur die Audit-Tage vor Ort, sondern der Gesamtaufwand, einschließlich der Auditplanung, Dokumentenprüfung und der Erstellung des Auditberichtes.

Dieser Aufwand ist nicht isoliert zu sehen. Er ist abhängig vom Scope, dem Geschäftsbereich, der Anzahl und der Art der Systeme, der Art der betroffenen Daten, Anzahl der Standorte, Art und Umfang des Outsourcings und der regulatorischen Anforderungen an das Unternehmen.

Die einfache Antwort zur Kostenschätzung ist also: Es kommt darauf an.

Muss die ISO 27001-Zertifizierung immer das Gesamtunternehmen betreffen?

Nein, das muss sie nicht. Beim Aufbau des ISMS definieren Sie seinen Anwendungsbereich, beispielsweise nur die Entwicklungsabteilung (unter Ausschluss der Produktion) oder nur die Zentrale (ohne externe Standorte). Der Anwendungsbereich (Scope) des ISMS wird im Zertifikat genannt. Sie können ihn später jederzeit ändern. Größere Änderungen am Scope machen Sie am besten im Rahmen der Re-Zertifizierung, die alle 3 Jahre erfolgen muss.

Allerdings: Wenn Sie den Scope des ISMS zu eng fassen, handeln Sie sich damit eine Menge Schnittstellen nach außen ein. Manchmal kann es sinnvoll sein, den Scope etwas weiter zu fassen, um Schnittstellen nach außen zu vermeiden.

Wie gehe ich mit Arbeitsplätzen im Homeoffice um?

Beachten Sie vor allem die Arbeitsstättenverordnung. Weil Sie nicht jeden Homeoffice-Arbeitsplatz einzeln auditieren können, müssen Sie für ihr Unternehmen so eindeutig wie möglich festlegen, wie Sie sich einen Homeoffice-Arbeitsplatz vorstellen. Vermutlich brauchen Sie für die Einrichtung von Homeoffice-Arbeitsplätzen eine Erweiterung des Arbeitsvertrages, in der Sie die zusätzlichen Regelungen für ihre Mitarbeiter nachvollziehbar und eindeutig festlegen. Eine dokumentierte, stichprobenhafte Überprüfung der Regelungen (auch vor Ort) ist dann ausreichend.

Gibt es eine offizielle Website/Stelle, bei der man die Normtexte downloaden kann?

Die ISO-Normenreihe bekommen Sie auf Deutsch beim Beuth-Verlag, die englischen Versionen bei der ISO.org.

Ich hätte da noch eine Frage…

Sprechen Sie uns gerne an, wir sind für Sie da.

Und wenn Sie jetzt der Meinung sind, dass ein ISO 27001-Zertifikat genau Ihr Ding ist, weil es doch so vieles in Ihrem Unternehmen erleichtern wird, dann sind wir gerne bereit, Sie bei der Umsetzung Ihres Plans zu unterstützen.

Wir sind nämlich fest davon überzeugt, dass der Nutzen eines Zertifikates den Aufwand ganz deutlich überwiegt, im Dialog mit Ihren Kunden und Auftraggebern ebenso wie intern.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Sicherheit Beratung

2 Kommentare zu diesem Beitrag

  1. Hallo, mir erschließt nicht warum vom zerreißen des DSB/ISB gesprochen wird, wenn die Funktionen in Personalunion ausgeübt werden. Das Speichern von Daten, sobald sie einen Personenbezug aufweisen, hat sich an der Notwendigkeit zu orientieren. Die DSGVO bietet insofern die Möglichkeit das berechtigte Interesse zu begründen. Besteht also ein berechtigtes Interesse an einer längerfristigen Verarbeitung der Daten, ist dies objektiv mittels einer Verhältnismäßigkeitsprüfung darzulegen. Auch ein ISB sollte keinem Ziel folgen, bei dem einschlägige Gesetze umgangen werden sollen.

    Natürlich kommen immer viele Interessen zusammen, aber die sind auch nach herrschender Meinung der Literatur immer unter einen Hut zu bekommen. Ein Zielkonflikt über die Personalunion ist auch den mir zur Verfügung stehenden Quellen nicht zu entnehmen. Meiner Auffassung nach vertreten Sie hier eine, wenn überhaupt Mindermeinung, die zudem recht wenig Substanz aufweist.

    Insofern würde ich mich über eine Konkretisierung der „Zerreißprobe“ freuen.

    • Vielleicht habe ich mich mit ‚zerreißen‘ etwas überspitzt ausgedrückt. Zweifellos ist aktuell eine enge Verzahnung von ISMS und Datenschutz zu verzeichnen, insbesondere mit der demnächst verfügbaren Zertifizierbarkeit der ISO 27701 i.V.m. der ISO 27001.

      Und selbstverständlich gibt es keine strikte Vorgabe, die Funktion von ISB und DSB voneinander zu trennen. Ich würde es, wenn es geht, dennoch tun.

      Zum einen, weil der DSB neben seiner Tätigkeit als DSB zwar andere Aufgaben wahrnehmen darf, in diesem Fall ein möglicher Interessenkonflikt aber explizit ausgeschlossen werden muss.

      Zum Anderen, weil der ISB durchaus andere Interessen als der DSB haben könnte. Zum Beispiel bei der Auswahl von Hochverfügbarkeitslösungen, die eine redundante Speicherung von Daten in mehreren, über den Globus verteilten Rechenzentren bieten. Für den ISB eine naheliegende und sehr interessante Lösung. Der DSB allerdings hat mit Sicherheit Einwände, was die Speicherorte oder die Herstellung zusätzlicher Datenkopien angeht.

      Ebenso sehe ich das kurz angerissene Problem der Logfileauswertung, z.B. über ein SIEM. Der ISB wird sicher möglichst viele Logs mit ihren Inhalten auswerten wollten. Sollten in den Logs aber auch personenbezogene Daten enthalten sein, ist deren Auswertung für den DSB ein echtes Problem.

      Schlussendlich kommt natürlich, vor allem unter dem Gesichtspunkt der Compliance, immer dieselbe Lösung dabei heraus, nämlich die Gesetzeskonforme. Der Weg dorthin kann allerdings mehr oder weniger steinig sein, und darauf kam es mir an.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.