Kapitel 7 der ISO 27001 beschreibt die Anforderungen an die Umsetzung von Maßnahmen zur Informationssicherheit. Es umfasst insgesamt sieben Kontrollziele, die darauf abzielen, dass Organisationen wirksame Maßnahmen zur Risikominderung und zum Schutz ihrer Informationen umsetzen.
Die sieben Kontrollziele des Kapitels 7 lauten wie folgt
1. Kryptografische Kontrolle: Die Organisation muss sicherstellen, dass kryptografische Verfahren implementiert sind, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.
2. Sicherheitsmanagement: Die Organisation muss ein Informationssicherheits-Managementsystem (ISMS) einführen und umsetzen, das die Anforderungen der ISO 27001 erfüllt.
3. Sicherheitsrichtlinien: Die Organisation muss klare und verständliche Sicherheitsrichtlinien festlegen, die von allen Mitarbeitenden verstanden und eingehalten werden.
4. Organisation der Informationssicherheit: Die Organisation muss sicherstellen, dass Verantwortlichkeiten für die Informationssicherheit zugewiesen und Zuständigkeiten klar definiert sind.
5. personelle und betriebliche Sicherheit: Die Organisation muss sicherstellen, dass alle Mitarbeiter, die Zugang zu Informationen haben, die für die Erfüllung ihrer Aufgaben notwendig sind, vertrauenswürdig und geeignet sind.
6. Zugangskontrolle: Die Organisation muss sicherstellen, dass nur befugte Personen Zugang zu Informationen haben und dass Unbefugten der Zugang verwehrt wird.
7. Kryptografie: Die Organisation muss sicherstellen, dass kryptografische Verfahren eingesetzt werden, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.
Diese Kontrollziele wurden entwickelt, um die Risiken im Zusammenhang mit der Informationssicherheit zu mindern und Organisationen bei der Einführung angemessener Sicherheitspraktiken zu unterstützen. Die Kontrollziele sind so flexibel gestaltet, dass sie für Organisationen aller Größen und Branchen geeignet sind. Die Umsetzung dieser Kontrollziele kann Organisationen dabei helfen, die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationen zu gewährleisten und somit ihre Geschäftsziele zu erreichen.
Kapitel 8 der ISO 27001 befasst sich mit der Implementierung und Durchführung von Sicherheitsmaßnahmen, die in der Risikobewertung und -analyse identifiziert wurden. Es ist das Herzstück des Informationssicherheits-Managementsystems (ISMS) und umfasst vier Hauptbereiche:
1. Sicherheitsmaßnahmen: In diesem Bereich werden die spezifischen Sicherheitsmaßnahmen beschrieben, die zur Risikobewältigung eingesetzt werden sollen. Die Maßnahmen sollten auf die identifizierten Risiken abgestimmt sein und können technischer oder organisatorischer Natur sein.
2. Organisatorische Rollen, Zuständigkeiten und Befugnisse: Hier werden die Rollen und Verantwortlichkeiten für die Umsetzung der Sicherheitsmaßnahmen im Unternehmen festgelegt. Es ist wichtig sicherzustellen, dass alle Beteiligten ihre Rolle und ihre Verantwortlichkeiten kennen.
3. Schulung, Sensibilisierung und Kommunikation: In diesem Bereich geht es darum, das Bewusstsein für Informationssicherheit im Unternehmen zu fördern. Mitarbeiterinnen und Mitarbeiter müssen geschult und sensibilisiert werden, um Sicherheitsbedrohungen zu erkennen und zu vermeiden. Wichtig ist auch die Förderung einer offenen Kommunikation über Sicherheitsprobleme im Unternehmen.
4. Dokumentation: Schließlich müssen alle Sicherheitsmaßnahmen dokumentiert werden, damit sie nachvollzogen und überprüft werden können. Die Dokumentation umfasst sowohl die Maßnahmen selbst als auch die Ergebnisse der Überprüfung und Überwachung der Maßnahmen.
Zusammenfassend konzentriert sich Kapitel 8 der ISO 27001 auf die Implementierung und Durchführung von Sicherheitsmaßnahmen, um die identifizierten Risiken zu minimieren. Dazu gehören die Festlegung von Rollen und Verantwortlichkeiten, die Schulung der Mitarbeiter und die Dokumentation aller Maßnahmen.
