ISO 27001-Zertifizierungen sind kein Ruhepolster
- 15.11.2018
Zwar sind Informationssicherheits-Managementsysteme (ISMS) ein wesentlicher Erfolgsfaktor in den Sicherheitsstrategien und gehören durch das IT-Sicherheitsgesetz auch zum Pflichtprogramm für KRITIS-Unternehmen, allerdings stellen ISO 27001-Zertifizierungen immer nur eine Momentaufnahme dar. Notwendig ist deshalb eine fortlaufende Beobachtung und Anpassung an veränderte interne oder externe Bedingungen, um das Niveau des ISMS aufrechtzuerhalten und fortlaufend zu verbessern. TÜV TRUST IT hat hierfür einige Fragen als Orientierungshilfe zusammengestellt.
- Hat sich etwas am Geltungsbereich der Zertifizierung geändert? Hier gilt es zu untersuchen, ob intern neue Anforderungen entstanden sind oder ob durch rechtliche Einflüsse die ursprünglichen Bedingungen nicht mehr vollständig gültig sind. Ebenso ist die Frage zu beantworten, welche Komponenten im Geltungsbereich möglicherweise hinzugefügt oder entfernt worden sind.
- Gilt das Management Commitment noch? Die Unterstützung der Geschäftsleitung stellt auch über die Zertifizierung hinausgehend einen kritischen Erfolgsfaktor dar. Insofern sollte sichergestellt werden, wie das Management weiterhin zum ISMS-Thema und den Zielen der Informationssicherheitspolitik steht, aber auch, inwieweit alle erforderlichen Rollen und Verantwortlichkeiten weiterhin Gültigkeit haben. Dies gilt nicht zuletzt besonders dann, wenn es personelle Veränderung auf der Managementebene gegeben hat.
- Muss die Methodik für das Risikomanagement angepasst werden? Liefern die letzten Risikoanalysen keine zufriedenstellenden Ergebnisse, dann kann dies darauf hindeuten, dass die methodische Ausrichtung nicht mehr bedarfsgerecht ist. In dem Zusammenhang sollte aber auch der Blick auf die Einflüsse intern oder extern veränderter Anforderungen gerichtet werden und wie aktuell die ursprünglich definierten ISMS-Ziele noch sind.
- Passen die Ressourcen und Kompetenzen noch? Eine regelmäßige Überprüfung der personellen Ausstattung und der fachlichen Basis auf der Mitarbeiterseite gehört zu den Grundpflichten im Anschluss an eine Zertifizierung. Aber auch die tatsächlichen Kommunikationsverhältnisse gilt es ebenso kontinuierlich zu hinterfragen wie den Aktualitäts- und Erfüllungsgrad der Dokumentationen.
- Ist die IS-Risikoanalyse noch aktuell? Es ist zu empfehlen, einen erneuten Durchlauf des Risikomanagements vorzunehmen und zu ermitteln, ob die ursprüngliche Risikoanalyse noch der aktuellen Bedrohungslage entspricht. Ebenso sollte der Status der Maßnahmenumsetzung ermittelt werden.
- Sind die Messwerte noch aktuell? Diese Frage lässt sich nur durch eine erneute Durchführung der Messung und ISMS-Audits beantworten. Hierbei sollte aber auch auf eine neuerliche Dokumentation und neue Managementbewertungen geachtet werden.
- Werden kontinuierlich Verbesserungen durchgeführt? Notwendig ist eine regelmäßige Analyse von Verbesserungspotenzialen einschließlich der Ursachen von Abweichungen. Dies muss jedoch mit der Planung und Umsetzung von Optimierungsmaßnahmen und einer Dokumentation der Maßnahmenumsetzung einhergehen.