ISO/IEC 27001:2022 ISMS Neueinführung

Ein ISMS ist sehr komplex, es involviert viele Abteilungen und Personen, die „auf einmal“ alle in irgendeiner Form interagieren müssen. Alles kombiniert mit dem verpflichtenden Anspruch, die verschiedenen Assets einer ordentlichen Risikoanalyse zu unterziehen und die umfangreichen Maßnahmen zu behandeln, in der Regel umzusetzen und zu dokumentieren (Stichpunkt: Richtlinien), ferner sollen alle Richtlinien der jeweiligen Zielgruppe auch komplett bewusst sein und diese auch gelebt werden. Da es bei einem ISMS um ein „Management-System“ handelt, müssen alle Maßnahmen und Ergebnisse messbar sein und folglich in periodischen Abständen kontrolliert und ggf. korrigiert werden.

Besonders hervorzuheben sind auch die gesteigerten Anforderungen der Maßnahmen des Anhang A der ISO/IEC 27001:2022. Auf den ersten Blick könnte man (fälschlicherweise) glauben, dass die 93 Maßnahmen der ISO/IEC 27001:2022 „zügig“ zu behandeln sind. "Immerhin ist es doch nur eine simple Liste, die man abhakt 🤔?"

Nun, genau das ist ein weitverbreiteter Irrglaube. Das, was die ISO/IEC 27001:2022 sich unter den Anforderungen der Maßnahmen aus dem Anhang A vorstellt, kann man in der ISO/IEC 27002:2022 (informativ) nachlesen. Ob man diese Informationen 1:1 umsetzt oder individuell erweitert bzw. leicht abschwächt, ist von Unternehmen zu Unternehmen unterschiedlich. Fakt ist aber auch, dass der Umfang der ISO/IEC 27002:2022 mehrere hundert Seiten beträgt zzgl. ergänzender Sekundär-Literatur. Die Erkenntnis daraus mündet oft in eine Ernüchterung.

Thematiken wie der umfangreichen Inventarisierung von fast allen (hierzu gehört auch die Dienstleister-Inventarisierung), SIEM, Threat-Intelligence, permanentes Monitoring, System Härtungen, granulares Rechtemanagement, Schwachstellen Management, Screening von Personal und vieles mehr, können große Baustellen für ein Unternehmen darstellen. Da „gefühlt“ alles mit allem irgendwie verbunden ist, kommen dann noch Richtlinien zu den Maßnahmen hinzu und die Kür, all diese Implementierungen noch periodisch zu messen. Denn die Begriffe „Management System“, verlangen nicht einfach die Einführung von „Dingen“, sondern dass diese „Dinge“ systematisch bewertet, überwacht, gesteuert, geregelt und bei Bedarf optimiert werden.

Grundsätzlich kann man angeben, dass die Implementierung eines neuen ISMS nach der ISO/IEC 27001:2022 im Schnitt 12 Monate und mehr bedarf. Da kann es verlockend wirken, Werbeaussagen wie „In 6 Monaten zur Zertifizierung“ leichtgläubig nachzugehen und/oder sich ein paar Vorlagen zu verschiedenen Richtlinien zu „besorgen“.

Als jemand, der Informationssicherheit sehr ernst nimmt, kann ich von solchen Verführungen nur abraten. Die Informationssicherheit ist immer individuell und ein Mindset, der sich entwickeln muss (insb. der Prozess-Gedanke) und von sämtlichem Personal gewürdigt wird. Ein ISMS ist viel zu kostspielig, um hier sein Glück mit halbherzigen Vorlagen herauszufordern. Spätestens beim Zertifizierungsaudit fällt man bei einem ehrlichen Auditor auf und letztendlich durch.

Mein Statement im Bereich eines ISMS nach ISO/IEC 27001:2022, ist vielleicht provokant:
„Nicht die Zertifizierung ist das Ziel, sondern ein funktionierendes Informations-Sicherheits-Management-System, welches nach besten Wissen und Gewissen uns vor Vorfällen schützt.
Die offizielle Zertifizierung ist nur die positive Bestätigung, dass wir alles richtig gemacht haben.“

Meine ISMS Begleitung im Falle einer kompletten Neu-Einführung, verfolgt einen Plan mit 11 Kapiteln, wobei jedes Kapitel in sich noch weiter unterteilt ist. Bevor es an die gezielten Thematiken der ISO/IEC 27001:2022 geht, führe ich eine strukturierte Analyse Ihrer Systemlandschaft und Kernprozesse durch und werde mit Ihnen im nächsten Schritt klären, „wo“ Ihre Struktur sich momentan befindet und wie viele „Baustellen“ bzw. Maßnahmen anstehen. Fallen bei der Analyse lediglich nur kleinere Abweichungen auf, so geht es an die weitere Planung nach ISO/IEC 27001:2022. Sind die Diskrepanzen allerdings so umfangreich, dass der geschätzte Zeitplan nicht einzuhalten ist (besonders wenn kein funktionierendes Asset-Management vorhanden ist), empfehle ich erst die wichtigsten Maßnahmen und Baustellen zu bearbeiten, bevor es weiter mit den offiziellen Schritten der ISO/IEC 27001:2022 geht.

Meine berufliche Erfahrung hat genau das bewiesen, dass die strukturierte Vorab-Analyse ein Unternehmen tatsächlich auf den richtigen Erfolgspfad bringt und so finanzielle Mittel sinnvoll eingesetzt werden, sowie sich dadurch auch verlässliche zeitliche Aussagen treffen lassen. Inhaltlich handelt es sich bei der Analyse um das Paket „Ihr Wegweiser zur IT-Sicherheit“. Mit dessen Methode kann ich innerhalb kurzer Zeit eine recht genaue Aussage treffen und alle involvierten Personen der IT und auch die Geschäftsführung dahingehend aufklären und sensibilisieren, wie der „Fahrplan“ aussehen sollte.