Neben dem Informationssicherheitsbeauftragten (ISB) zeichnet der ISO-Koordinator bei XFAIR für den Informationssicherheits-Managementsystem-Prozess (ISMS) nach der ISO-Norm verantwortlich. Er ist mit vielen unterschiedlichen und verantwortungsvollen Aufgaben betraut, wobei der Hauptfokus auf der Zusammenarbeit und Unterstützung des XFAIR-ISB besteht. Im Interview „IT-Sicherheit bei XFAIR“ auf dem XFAIR-Blog erfahren Sie mehr über dessen Aufgaben und wieso die ISO-Zertifizierung für Unternehmen in der IT-Branche so wichtig ist.
Aber was heißt ISO überhaupt?
Nun, die ISO 27001 – offiziell ISO/IEC 27001 – ist ein weltweit anerkannter Standard für das Management von Informationssicherheit und stellt die Anforderungen an ein ISMS dar.
Der Betrieb und die Aufrechterhaltung dieses Informationssicherheitsmanagementsystems sowie die Aktualisierung und kontinuierliche Verbesserung nach dem PDCA-Zyklus gehört zu den Hauptaufgaben eines ISO-Koordinators. Der PDCA-Zyklus umschreibt einen prozessbasierten Ansatz und beschreibt den wiederkehrenden Workflow „Plan-Do-Check-Act“. Dieser Zyklus stellt sicher, dass das ISMS kontinuierlich angepasst und verbessert wird, um den sich ständig ändernden Sicherheitsanforderungen gerecht zu werden.
In Zuge dessen werden die Richtlinien und Vorgaben sowie Prozesse zur Steigerung der Informationssicherheit turnusgemäß je nach Gültigkeit auf Aktualität überprüft und ggf. in Abstimmung mit dem ISB angepasst. Zu diesem Zweck muss natürlich auch die Umsetzung von ISMS-Anforderungen und Dokumentation überwacht und beurteilt werden. Die Dokumentation beinhaltet schriftliche Anweisungen, Verfahren, Pläne, Richtlinien und andere Informationen, die für die Steuerung, Organisation und Überwachung der Prozesse notwendig sind. In der Historie der Dokumentation werden stets Änderungsgrund und -datum erfasst, um eine durchgängige Revisionssicherheit zu gewährleisten.
Freilich geht es nicht ohne eine stetige Weiterentwicklung des Informationssicherheits-Risikomanagements nach den DSGVO-Grundsätzen von Vertraulichkeit, Integrität und Verfügbarkeit. Das heißt, dass Unternehmens-Assets, also Mitarbeiter, Hardware oder angebotene Dienstleistungen, einer Risikoanalyse im Hinblick auf diese Werte unterzogen werden, um zu bewerten, ob ein Risiko akzeptabel ist, oder durch geeignete Maßnahmen minimiert werden muss.
Die Ergebnisse der Risikoanalyse und deren Ergebnisse werden entsprechend festgehalten und notwendige Maßnahmen ergriffen. Zu diesen Maßnahmen gehören in jedem Fall regelmäßige Schulungen des Personals, die es zu erstellen, planen und nach Durchführung zu dokumentieren gilt. Dadurch wird eine grundsätzliche Sensibilisierung der Mitarbeiter zum Thema Informationssicherheit gewährleistet.
Ein weiterer Aufgabenbereich des ISO-Koordinators ist die Vorbereitung und Koordination interner ISMS-Audits sowie externer ISO-Zertifizierungsaudits. Eine ISO-Zertifizierung hat eine Gültigkeit von drei Jahren: im ersten und zweiten Jahr erfolgt ein Überwachungsaudit, im dritten Jahr erfolgt eine Re-Zertifizierung, bei der der Prüfungsumfang wie beim ersten Prüfungsaudit erfolgt.
Zu guter Letzt kümmert sich der ISO-Koordinator um die Überprüfung und Einschätzung der aktuellen Bedrohungslage auf Basis der aktuellen Sicherheitshinweise des Warn- und Informationsdienst des Bundesamts für Sicherheit in der Informationstechnik (BSI). Diese werden auf der Webseite des BSI abgerufen und können anhand des CVSS-Score eingeschätzt werden. CVSS steht für Common Vulnerability Scoring System, also „Allgemeines Bewertungssystem für Schwachstellen“, und ist ein Standard zur Bewertung des Schweregrades von möglichen oder tatsächlichen Sicherheitslücken in Computer-Systemen.
Das nächste Zertifizierungsaudit wird Mitte 2025 nach der neuen Version ISO 27001:2022 abgenommen. Der Fokus liegt hier bei der Prozessorientierung, sowie Ergänzungen und Umstrukturierung der Anforderungen, um der aktuellen Cybersicherheit gerecht zu werden. Hier ist mit einem erheblichen Mehraufwand im Vorfeld der Umstellung zu rechnen. Der Mehraufwand ist jedoch notwendig, um auf einem hohen Informationssicherheits-Niveau zu bleiben.
