Systeme: Dokumentationsanforderungen der ISO 27001

Bürokratie für Admins

In den vergangenen Jahren hat das Interesse an einer Zertifizierung nach ISO 27001 deutlich zugenommen, was auch daran liegt, dass immer mehr Unternehmen von Kunden oder durch Ausschreibungen gezwungen werden, einen angemessenen Schutz Ihrer Informationen nachzuweisen. Zur Erlangung einer ISO 27001-Zertifizierung ist es erforderlich, ein angemessenes Informationssicherheitsmanagement – ISMS – nachweislich aufzubauen und damit auch zu dokumentieren. Dieser Beitrag hilft Ihnen dabei, die in der Norm eher indirekt formulierten Dokumentationsanforderungen besser zu verstehen.
In der Juni-Ausgabe des IT-Administrator dreht sich alles um den Schwerpunkt 'Monitoring & Dokumentation'. So zeigen wir Ihnen, wie die Netzwerküberwachung in ... (mehr)

Zur Ermittlung der Dokumentationsanforderungen der ISO 27001 ist es sinnvoll, im ersten Schritt einen Blick in die Norm zu werfen. Hier heißt es in Abschnitt 7.5 "Dokumentierte Informationen": "Das Informationssicherheitsmanagementsystem der Organisation muss Folgendes umfassen: a) nach dieser internationalen Norm erforderliche dokumentierte Informationen und b) von der Organisation als für die Wirksamkeit des Informationssicherheitsmanagementsystems erforderlich befundene dokumentierte Informationen."

Dieses Zitat stammt aus der deutschen Fassung der neuen ISO/IEC 27001:2013 "Information Security Management System Requirements", die am 25. September 2013 als überarbeitete Version in englischer Sprache veröffentlicht wurde. Im Beitrag wird sie kurz als ISO 27001 bezeichnet. Die deutsche Fassung liegt seit dem 10. Januar 2014 als Entwurf vor.

Forderungen der Norm

Die genannten Anforderungen sind zwar wenig konkret, machen aber deutlich, dass es zum einen von der Norm obligatorisch geforderte Dokumente gibt, zum anderen darüber hinaus eine Dokumentation des gesamten Informationssicherheitsmanagementsystems erforderlich ist, deren Umfang vor allem von der Größe und der Komplexität der Organisation abhängt.

Zur Abbildung dieser Anforderungen hat sich in der Praxis eine Unterscheidung in drei Bereiche als nützlich erwiesen:

1. Dokumentation zur Steuerung des Informationssicherheitsprozesses.

2. Dokumentation zur Umsetzung der Maßnahmen. Hierzu gehören Beschreibungen der operativen Verfahren, Konzepte und Arbeitsanweisungen.

3. Nachweisdokumente, die die praktische Umsetzung belegen.

Erforderliche Dokumentation

Im Mittelpunkt der ISO-Norm steht das Verständnis von Informationssicherheit als geplanter, gelebter, überwachter und sich kontinuierlich

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019