Kapitel 5 der ISO 27001 befasst sich mit der Leitung des Informationssicherheits-Managementsystems (ISMS). Dieser Abschnitt der Norm beschreibt die Rolle des Managements bei der Implementierung des ISMS und stellt Anforderungen an das Top-Management.
Das Top-Management wird aufgefordert, eine Informationssicherheitspolitik zu entwickeln und umzusetzen, die den Rahmen für das ISMS bildet. Die Informationssicherheitspolitik sollte das Engagement des Unternehmens für die Informationssicherheit widerspiegeln und sicherstellen, dass die Ziele des ISMS mit den Geschäftszielen des Unternehmens übereinstimmen.
Die oberste Leitung muss sicherstellen, dass die Informationssicherheitspolitik in der gesamten Organisation bekannt ist und von allen Mitarbeitern verstanden und akzeptiert wird. Es ist auch wichtig, dass die oberste Leitung das ISMS unterstützt und sicherstellt, dass ausreichende Ressourcen für die Implementierung und Aufrechterhaltung des ISMS zur Verfügung stehen.
Ein wichtiger Teil der Leitung des ISMS ist die Ernennung eines Informationssicherheitsbeauftragten (ISB). Der ISB ist für die Überwachung und Umsetzung des ISMS verantwortlich und fungiert als Ansprechpartner für die oberste Leitung in Fragen der Informationssicherheit. Der ISB muss über ausreichende Ressourcen verfügen, um seine Aufgaben effektiv wahrnehmen zu können.
Die oberste Leitung ist auch dafür verantwortlich, dass alle relevanten Parteien, einschließlich Mitarbeiter, Auftragnehmer und Lieferanten, in das ISMS eingebunden sind und die Anforderungen des Standards erfüllen.
Darüber hinaus müssen Unternehmen sicherstellen, dass Mitarbeiter und andere Beteiligte in Fragen der Informationssicherheit geschult und sensibilisiert werden. Dazu gehören Schulungen zur Identifizierung von Bedrohungen, Schwachstellen und Risiken sowie Schulungen zur Vermeidung von Informationssicherheitsvorfällen.
Die oberste Leitung muss auch sicherstellen, dass das ISMS kontinuierlich überwacht und verbessert wird, um zu gewährleisten, dass es den sich ändernden Bedrohungen und Risiken gerecht wird. Regelmäßige Überprüfungen und Überwachungen sind wichtig, um sicherzustellen, dass das ISMS effektiv funktioniert und alle Anforderungen des Standards erfüllt werden.
Zusammenfassend legt Kapitel 5 der ISO 27001 fest, dass das Top-Management die Verantwortung für das Management des ISMS übernehmen muss. Die oberste Leitung muss sicherstellen, dass eine Informationssicherheitspolitik entwickelt und umgesetzt wird, die den Rahmen für das ISMS bildet, und dass ausreichende Ressourcen zur Verfügung stehen, um das ISMS zu implementieren und aufrechtzuerhalten. Darüber hinaus müssen alle relevanten Parteien in das ISMS einbezogen werden, Mitarbeiter und andere relevante Parteien müssen geschult und sensibilisiert werden, und das ISMS muss kontinuierlich überwacht und verbessert werden, um sicherzustellen, dass es den sich ändernden Bedrohungen und Risiken gerecht wird.
Kapitel 6 der ISO 27001 befasst sich mit der Planung und Durchführung von Risikobewertungen, die für die Implementierung eines wirksamen Informationssicherheits-Managementsystems (ISMS) unerlässlich sind.
Das Kapitel beginnt mit der Feststellung, dass jedes ISMS eine Risikobewertung erfordert, um sicherzustellen, dass alle Bedrohungen der Informationssicherheit erkannt und angemessen bewertet werden. Die Risikobewertung ist ein wesentlicher Bestandteil des Planungsprozesses für das ISMS.
In diesem Kapitel werden die Schritte beschrieben, die Organisationen unternehmen müssen, um eine effektive Risikobewertung durchzuführen. Der erste Schritt ist die Identifizierung von Bedrohungen, Schwachstellen und Risiken, die die Informationssicherheit beeinträchtigen können. Dies umfasst die Identifizierung von Bedrohungen aus der physischen Umgebung sowie von Bedrohungen, die durch menschliches Verhalten verursacht werden können, wie z. B. die unsachgemäße Verwendung von Passwörtern oder der unberechtigte Zugriff auf Daten.
Im nächsten Schritt müssen Unternehmen die Wahrscheinlichkeit und die Auswirkungen dieser Bedrohungen bewerten. Dazu können verschiedene Methoden wie quantitative und qualitative Bewertungen oder Szenarioanalysen eingesetzt werden.
Sobald die Bedrohungen bewertet wurden, müssen Unternehmen geeignete Maßnahmen ergreifen, um die Risiken zu minimieren oder zu beseitigen. Dies kann durch die Implementierung von Sicherheitskontrollen wie Firewallsystemen, Passwortrichtlinien oder Zugangskontrollen geschehen.
In diesem Kapitel wird auch die Bedeutung einer regelmäßigen Überprüfung und Aktualisierung der Gefährdungsbeurteilung hervorgehoben. Die Unternehmen müssen sicherstellen, dass ihre Gefährdungsbeurteilung immer auf dem neuesten Stand ist und sich ändernde Gefährdungen und Risiken berücksichtigt.
Ein weiterer wichtiger Aspekt des Kapitels ist die Notwendigkeit, die Gefährdungsbeurteilung in das allgemeine Managementsystem des Unternehmens zu integrieren. Die Risikobewertung sollte nicht isoliert von anderen Geschäftsprozessen durchgeführt werden, sondern in den gesamten Geschäftsbetrieb integriert sein.
Das Kapitel schließt mit dem Hinweis, dass die Risikobewertung eine kontinuierliche Aktivität ist und regelmäßig durchgeführt werden muss, um sicherzustellen, dass das ISMS wirksam ist und den aktuellen Bedrohungen und Risiken entspricht.
Insgesamt unterstreicht das Kapitel die Bedeutung einer systematischen und gründlichen Risikobewertung für die Implementierung eines effektiven ISMS. Unternehmen müssen sicherstellen, dass sie alle Bedrohungen für ihre Informationssicherheit identifizieren und angemessen bewerten, um geeignete Maßnahmen zur Risikominimierung zu ergreifen. Eine kontinuierliche Überwachung und Aktualisierung der Risikobewertung ist ebenfalls von entscheidender Bedeutung.
