Halbjährliche Sitzung des Normenkomitees – Die Grundlagen der ISO 27xxx

Zweimal im Jahr trifft sich das Normenkomitee der SNV NK 149 «Informationstechnologie», um die vielen aktuellen normativen Projekte seines Fachgebiets zu besprechen – diesmal am neuen Standort der Schweizerischen Normen-Vereinigung in Winterthur. Auch der Experte der Q-Linked AG nahm an der Sitzung teil und mischte sich unter die anderen Experten.

Die Q-Linked AG engagiert sich aktiv in vielen normativen Gremien, um die Herausforderungen ihrer Kunden und die eigenen Erfahrungen in die Weiterentwicklung der Normen tatkräftig einzubringen.

 

Wie sind Normenkomitees aufgebaut?

Dank sogenannter Spiegelkomitees werden die Anforderungen und Bedürfnisse der schweizerischen Wirtschaft konsolidiert und später auf Stufe ISO übergeben. Da das Thema Informationssicherheit sehr umfangreich ist und viel Fachexpertise benötigt, werden Sub-Komitees gebildet (SC = Sub-Comitees), die sich mit spezifischen Themen befassen. Innerhalb dieser Sub-Komitees werden wiederrum kleine Gruppen gebildet (WG – Working Group), die in enger Zusammenarbeit konkrete Fragestellungen mittels praxisorientierter Lösungsvorschläge beantworten. So wird beispielsweise in der SC27-WG1 die Normenfamilie ISO 27xxx weiterentwickelt.

Mit diesem Artikel wollen wir für Sie ein wenig Licht in diese Normenfamilie zu bringen. Die Informationssicherheit ist in dieser Zeit eines der aktuellsten Themen und betrifft jede Unternehmung. Aus diesem Grund widmete die SAQ ihren jährlichen «Tag der Schweizer Qualität» ausschliesslich diesem Thema! Des Weiteren wurde an der Sitzung des NK 149 / UK 7 die Vergabe von Zertifizierungen nach ISO 27017 oder ISO 27018 diskutiert. Etwas, was eigentlich unmöglich ist… Warum?

Die ISO organisiert die Nummerierung ihrer Normen nach einem klaren Standard. Die folgende Abbildung gibt einen Überblick über diese Definition:

 

Im Falle der ISO 27xxx-Familie besteht folgende Konstellation:

Ein Managementsystem für Informationssicherheit (ISMS) basiert auf den normativen Anforderungen der ISO 27001:2017. Im Hinblick auf die Harmonisierung der Normen (High Level Structure) ist die ISO 27001 gleich aufgebaut wie die ISO 9001. Dies ermöglicht eine einfache Integration mehrerer Managementsysteme, um Synergien zu schaffen und die Effizienz zu maximieren.

Der grundlegende Unterschied liegt im Kapitel 8, in dem die Vorgaben an den Betrieb definiert werden. Die Norm ISO 9001 fokussiert sehr stark auf die Prozesse, die das Tagesgeschäft und die Qualität der Produkte und Dienstleistungen beeinflussen. Im Gegensatz dazu konzentriert sich die ISO 27001 auf die Bewertung und den Umgang von Risiken rund um Informationssicherheit. Entgegen der weitverbreiteten Meinung beschränkt sich die Norm nicht nur auf digitale Medien, sondern auf alle Arten von Informationen, wie beispielsweise ausgedruckte Informationen, Dokumente oder Zugriffe auf Systeme und Infrastruktur. Als Orientierungshilfe für Unternehmen enthält die ISO 27001 einen detaillierten Anhang zu allen Einflussfaktoren, die die Informationssicherheit gefährden können.

Um Sie bei der Implementierung eines ISMS zu unterstützen, hat die ISO spezifische Leitfäden erstellt. Der wichtigste Leitfaden ist die ISO 27002:2018. Darin erhalten Sie konkrete Vorschläge, um Ihre Zertifizierung sicherzustellen. Einen Auszug der weiteren Leitfäden sind in der folgenden Liste kurz beschrieben:

  • ISO 27003:2017 enthält einen Leitfaden zur Umsetzung der ISO 27001.
  • ISO 27004:2016 regelt den Umgang mit Kennzahlen und Leistungsindikatoren im Zusammenhang mit ISMS.
  • ISO 27005:2018 ist ein spezifischer Leitfaden für das Risikomanagement in einem ISMS, der es ermöglicht, Risiken so umfassend wie möglich zu überwachen.
  • ISO 27006:2015 regelt die Kriterien, nach denen die Zertifizierungsstellen arbeiten müssen, die ISMS auditieren und zertifizieren wollen.
  • ISO 27007:2017 und ISO/TS 27008:2019 liefern die Grundregeln für ISMS-Audits bzw. Leistungsbewertungen.

Die oben genannten Leitfäden unterstützen Sie dabei, alle Aspekte abzudecken, die für ein ISMS relevant sind und die Informationssicherheit garantieren.

Alle in diesem Artikel genannten Normen unterstehen der Zuständigkeit des Normenkomitees SNV NK 149 / UK 7, in welchem wir aktiv mitarbeiten. Aufgrund der Aktualität dieser wichtigen IT-Themen, werden die in diesem Artikel genannten Standards mit Hochdruck weiterentwickelt. So wird beispielsweise die Integration neuer technischer Standards wie beispielsweise neue Leitfäden zum Datenschutzmanagement vorangetrieben.

Die Schweizer Vertreter der internationalen Norm werden unsere Bemerkungen und Vorschläge anlässlich des internationalen Kongresses in Paris im Oktober 2019 einbringen und zur Abstimmung stellen.

Wenn Sie mehr wissen möchten oder Sie uns Ihre Bemerkungen oder Anforderungen zur Informationssicherheit mitteilen möchten, zögern Sie nicht, uns zu kontaktieren!