ISO 27001 Annex A: Verantwortlichkeiten und Rollen von Mitarbeitern

INHALT

• Praxisrelevanter Annex A von ISO 27001
• Informationssicherheit ist kein Misstrauen
• Annex A.7 von ISO 27001 – Personalsicherheit
• Was sagt die Norm ISO 27001 im Annex A.7?
• Cyber Security durch systematische Personalsicherheit
• Fazit: ISO 27001 in der Praxis – Annex A

Ein gut strukturiertes Informationssicherheits-Managementsystem (ISMS) gemäß der Norm ISO 27001 bietet die Grundlage zur wirksamen Umsetzung einer ganzheitlichen Informationssicherheitsstrategie. Der systematische Ansatz unterstützt, vertrauliche Unternehmensdaten vor Verlust und Missbrauch zu schützen sowie potenzielle Risiken für das Unternehmen zuverlässig zu identifizieren, zu analysieren und durch geeignete Maßnahmen beherrschbar zu machen. Dabei geht es um weitaus mehr, als nur die Aspekte der IT-Sicherheit. Besonders wertvoll für die Praxis ist die Umsetzung der Maßnahmen in Anhang A der Norm.

Praxisrelevanter Annex A von ISO 27001

Zusätzlich zum Managementsystem-orientierten Anforderungsteil (Kapitel 4 bis 10) enthält die ISO-Norm aus dem Jahr 2017 im Annex A über 14 Kapitel hinweg eine umfangreiche Auflistung von 35 Maßnahmenzielen (Controls) mit 114 konkreten Maßnahmen zu verschiedensten Sicherheitsaspekten.

Hinweis: Die im Anhang A als „Maßnahmen“ bezeichneten Aussagen sind eigentlich einzelne Zielvorgaben (Controls). Sie beschreiben, wie ein normkonformes Ergebnis geeigneter (Einzel-)Maßnahmen aussehen soll.

Unternehmen sollten diese Controls als Grundlage für ihre individuelle, weiter in die Tiefe gehende Ausgestaltung ihrer Informationssicherheitspolitik verwenden. Mit Blick auf das Thema Personal ist das Maßnahmenziel „Personalsicherheit“ im Anhang A.7 von besonderem Interesse.

Die Personalprozesse stellen über alle Phasen der Beschäftigung sicher, dass Verantwortlichkeiten und Pflichten mit Blick auf Informationssicherheit zugewiesen werden und deren Einhaltung kontrolliert wird. Verstöße gegen die Informationssicherheitspolitik – beabsichtigte wie unbeabsichtigte – werden damit zwar nicht unmöglich, aber wesentlich erschwert. Und im Fall der Fälle verfügt die Organisation mit einem wirksamen ISMS über geeignete Mechanismen für den richtigen Umgang mit dem Verstoß.

Informationssicherheit ist kein Misstrauen

Es handelt sich keinesfalls um Misstrauen, wenn ein Unternehmen geeignete Richtlinien erlässt, um den unbefugten Zugriff von innen zu erschweren oder besser noch ganz zu verhindern. Denn eines ist klar: Bei einer drohenden oder bereits ausgesprochenen Kündigung kann die Unzufriedenheit eines Mitarbeiters in einen gezielten Datendiebstahl münden. Dies passiert vor allem dann, wenn der Gekündigte glaubt, Eigentumsrechte an Projektdaten zu besitzen. Umgekehrt kann eine Bewerbung auf einen bestimmten Arbeitsplatz bereits mit der Absicht kriminellen Handelns erfolgen.

Andere Szenarien weisen auf grob fahrlässiges Verhalten oder einfach nur Leichtsinn hin, was ähnlich schwerwiegende Folgen haben kann. So kommt es vor, dass sich ganze IT-Abteilungen nicht an ihre eigenen Regeln halten – zu umständlich, zu zeitraubend. Im Büro ist es der unachtsame Umgang mit Passwörtern oder ungeschützten Smartphones. Aber auch unüberlegtes Anschließen gefundener USB-Sticks, geöffnete Dokumente auf dem Bildschirm, geheime Unterlagen in leeren Büros – die Liste möglicher Versäumnisse ist lang.

Annex A.7 von ISO 27001 – Personalsicherheit

Unternehmen, die ein Informationssicherheits-Managementsystem (ISMS) nach der Norm ISO 27001 eingeführt haben, stehen hier besser da. Sie kennen die Anforderungen und den praxisrelevanten Annex A.7 der international anerkannten Norm. Denn ISO 27001 hat hier einiges zu bieten: Die Referenzmaßnahmen beziehen sich zwar direkt auf die Normanforderungen, zielen dabei aber immer auf die unmittelbare Unternehmenspraxis.

Unternehmen mit einem wirksamen ISMS kennen die in A.7 genannten Zielvorgaben, die mit Blick auf Personalsicherheit für vollumfängliche Normkonformität umgesetzt sein müssen – und zwar über alle Phasen der Beschäftigung hinweg.

Was sagt die Norm ISO 27001 im Annex A.7?

Maßnahmen vor der Beschäftigung

Die Organisation muss vor der Beschäftigung eines neuen Mitarbeiters sicherstellen, dass dieser seine künftigen Verantwortlichkeiten versteht und für seine Rolle geeignet ist – so der Anhang A.7.1. Im Anforderungsteil (Kapitel 7.2) spricht die Norm von „Kompetenz“.

Als zielführende Referenzmaßnahme erhalten Bewerber auf einen Arbeitsplatz zunächst eine mit ethischen Grundsätzen und zutreffenden Gesetzen konforme Sicherheitsüberprüfung. Diese Überprüfung muss bezogen auf geschäftliche Anforderungen, die Einstufung der einzuholenden Information und auf mögliche Risiken angemessen sein (A.7.1.1). Um dies erreichen zu können, sollte unter anderem Folgendes vorliegen, sichergestellt bzw. geprüft sein:

• ein Verfahren zum Einholen von Informationen (wie und unter welchen Voraussetzungen)
• eine Auflistung von gesetzlichen und ethischen Kriterien, die zu beachten sind
• die Sicherheitsprüfung muss angemessen sein, bezogen auf Risiken und den Unternehmensbedarf
• die Plausibilität und Echtheit von Lebenslauf, Abschlüssen und sonstigen Dokumenten
• die Vertrauenswürdigkeit und Kompetenz des Bewerbers für die zugedachte Stelle

Vertragliche Vereinbarungen

Im nächsten Schritt geht es um Beschäftigungs- und Vertragsbedingungen. Diese Referenzmaßnahme im Annex A von ISO/IEC 27001 besteht also in der vertraglichen Vereinbarung, welche Verantwortlichkeiten Mitarbeiter gegenüber dem Unternehmen haben und umgekehrt (A.7.1.2). Zur erfolgreichen Umsetzung dieser Anforderung gehört unter anderem die Erfüllung dieser Punkte:

• die Unterzeichnung einer Vertraulichkeitsvereinbarung durch den Mitarbeiter (Auftragnehmer) mit Zugang zu vertraulicher Information
• die vertragliche Verpflichtung der Mitarbeiter (Auftragnehmer), beispielsweise Urheberrechte oder Datenschutzbelange einzuhalten
• eine vertragliche Regelung zur Verantwortung von Beschäftigten (Auftragnehmern) beim Umgang mit externen Informationen

Während der Beschäftigung – Die Verantwortung der obersten Leitung

Die Mitarbeiter müssen sich ihrer Verantwortlichkeiten zur Informationssicherheit bewusst sein. Dies ist das Ziel von A.7.2. Und noch wichtiger ist: Die Mitarbeiter müssen dieser Verantwortung auch nachkommen.

Die erste Maßnahme (A.7.2.1) zielt auf die Pflicht der Geschäftsleitung ihre Mitarbeiter anzuhalten, die Informationssicherheit im Einklang mit eingeführten Richtlinien und Verfahren umzusetzen. Dazu müssen mindestens folgende Punkte geregelt sein:

• Auf welche Weise hält die oberste Leitung Mitarbeitende zur Umsetzung an? Wo bestehen Risiken?
• Wie stellt sie sicher, dass Beschäftigte die eingeführten Richtlinien zum Umgang mit Informationssicherheit kennen?
• Wie überprüft sie, ob sich Beschäftigte an die Vorgaben zum Umgang mit Informationssicherheit halten?
• Auf welche Weise motiviert sie ihre Mitarbeiter, Richtlinien und Verfahren umzusetzen bzw. sicher anzuwenden?

Bewusstsein schaffen

Im Kapitel 7.3 „Bewusstsein“ fordert ISO 27001, dass sich Personen, die entsprechende Tätigkeiten ausüben, Folgendem bewusst sind:

• der Informationssicherheitspolitik des Unternehmens
• des Beitrags, den sie zur Wirksamkeit des Informationssicherheits-Managementsystems (ISMS) leisten
• der Vorteile verbesserter Informationssicherheitsleistung
• der Folgen, wenn sie die Anforderungen des ISMS nicht erfüllen

Gerade neue Mitarbeiter benötigen neben der obligatorischen Einweisung in die Belange der Informationssicherheit regelmäßige Informationen zum Thema, z.B. per E-Mail oder über das Intranet. Konkrete Schulungen (besonders zu Notfallplänen und Übungen), themenspezifische Workshops und Sensibilisierungs-Kampagnen (z.B. über Plakate) stärken das Bewusstsein für das Informationssicherheits-Managementsystem.

So dient auch die Referenzmaßnahme A.7.2.1 im Annex A von ISO 27001 der Schaffung eines angemessenen Bewusstseins für Informationssicherheit. Organisationen müssen ihre Beschäftigten und ggf. auch ihre Auftragnehmer zu beruflich relevanten Themen aus- und weiterbilden. Entsprechende Richtlinien und Verfahren sind regelmäßig zu aktualisieren. Dabei müssen unter anderem nachstehende Aspekte berücksichtigt werden:

• die Art und Weise, wie sich die oberste Leitung ihrerseits zur Informationssicherheit bekennt
• die Art der beruflichen Aus- und Weiterbildung
• der Turnus, in dem betreffende Richtlinien und Vorgaben überprüft und aktualisiert werden
• sonstige Tools, die zum Tragen kommen
• konkrete Einzelmaßnahmen, um Beschäftigte im Umgang mit internen Richtlinien und Verfahren zur Informationssicherheit nachhaltig vertraut zu machen

Maßregelungsprozess

Annex 7.2.3: Diese Maßnahme gibt vor, auf welche Weise die Organisation Maßregelungen bei Verstößen gegen die Informationssicherheit handhabt. Die Grundlage dafür ist ein Maßregelungsprozess. Er muss formal festgelegt, eingerichtet und bekannt gegeben werden. Dabei ist Folgendes sicherzustellen:

• Es müssen Kriterien existieren, nach denen die Schwere eines Verstoßes gegen die Informationssicherheitspolitik eingeordnet wird.
• Der Maßregelungsprozess darf nicht gegen geltende Gesetze verstoßen.
• Der Maßregelungsprozess muss Maßnahmen enthalten, die Beschäftigte nachhaltig motivieren, ihr Verhalten positiv zu ändern.

Ende der Beschäftigung – Verantwortlichkeiten

In Anhang A.7.3 von ISO 27001 wird als Ziel ein wirksamer Beendigungs- oder Änderungsprozesses vorgegeben, um die Interessen des Unternehmens zu schützen. Diese Zielvorgabe fokussiert auf die Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung. Demnach müssen informationssicherheitsrelevante Verantwortlichkeiten und Pflichten, die nach Beendigung oder Änderung der Beschäftigung bestehen bleiben, festgelegt, mitgeteilt und durchgesetzt werden. Dabei ist es sinnvoll, diese Aspekte zu berücksichtigen:

• Vereinbarungen in Arbeitsverträgen, wie Beschäftigte nach Beendigung einer Beschäftigung mit fortbestehenden informationssicherheitsrelevanten Verantwortlichkeiten und Pflichten umzugehen haben
• Kontrollmechanismen, ob diese Vereinbarungen eingehalten werden
• Verfahren zur Durchsetzung der Einhaltung fortbestehender Verantwortlichkeiten und Pflichten

Cyber Security durch systematische Personalsicherheit

Die Bedrohung von innen ist real – und dessen sind sich die meisten Unternehmen auch bewusst. Einer Sicherheitsstudie (Balabit 2018) zufolge sind vor allem Mitarbeiter, die über weitreichende Zugriffsrechte verfügen, anfällig für Angriffe. Und da in 50 Prozent aller Sicherheitsverstöße Mitarbeiter beteiligt sind, halten 69 Prozent der antwortenden IT-Fachleute einen Verstoß gegen Insider-Daten für das größte Risiko. Dennoch wird dagegen kaum etwas unternommen. In der Praxis ist es oft schwierig, Vorwürfe gegen eigenes Personal auszusprechen. Besonders in klein und mittelständischen Unternehmen (KMU), wo man sich untereinander kennt, wird oft ein gewisser Vertrauensvorschuss gewährt – bisweilen mit unangenehmen Folgen. Ein gut strukturiertes Informationssicherheits-Management bietet die Basis zur Gewährleistung der Sicherheit schützenswerter Informationen.

Fazit: ISO 27001 in der Praxis – Annex A

DIN EN ISO/IEC 27001:2017 liefert im Annex A.7 Referenzmaßnahmen zur Personalsicherheit, die im Rahmen der Normeinführung umgesetzt werden müssen. Unternehmen sollten diese Controls als Grundlage für ihre individuelle, weiter in die Tiefe gehende Ausgestaltung ihrer Informationssicherheitspolitik verwenden. Dabei setzen die Maßnahmen nicht auf Misstrauen gegenüber Beschäftigten, sondern auf klar strukturierte Personalprozesse. Die ISO-Norm befindet sich aktuell in der Überarbeitung, die revidierte Version wird für Ende 2022 erwartet.

Der Leitfaden ISO 27002 definiert einen breiten Katalog allgemeiner Sicherheits­maßnahmen, die Unternehmen bei der Umsetzung der Anforderungen aus dem Anhang A von ISO 27001 unterstützen sollen. Anfang 2022 wurde der Leitfaden umfassend überarbeitet und aktualisiert. Die Neuauflage gibt Informationssicherheits-Verantwortlichen einen präzisen Ausblick auf die Änderungen, die mit der Revision von ISO 27001 zu erwarten sind.

Expertise und Vertrauen

Zertifizierte Unternehmen schätzen Managementsysteme als Werkzeuge für die oberste Leitung, die Transparenz schaffen, Komplexität reduzieren und Sicherheit geben. Managementsysteme bewirken jedoch noch mehr: Begutachtet und zertifiziert durch einen neutralen und unabhängigen Dritten wie der DQS schaffen sie Vertrauen gegenüber den interessierten Parteien in die Leistungsfähigkeit Ihres Unternehmens.

Viele Organisationen erleben die Zertifizierung noch immer als Konformitätsprüfung. Unsere Kunden sehen in ihnen dagegen die Chance, den Blick zielgerichtet auf erfolgskritische Faktoren und die Ergebnisse Ihres Managementsystems richten zu können. Denn: Unser Anspruch beginnt dort, wo Auditchecklisten enden. Nehmen Sie uns beim Wort.

Bitte beachten Sie: Unsere Beiträge werden ausschließlich von unseren hausinternen Experten für Managementsysteme und langjährigen Auditoren verfasst. Sollten Sie Fragen an unsere Autoren zur Informationssicherheit (ISMS) haben, nehmen Sie bitte Kontakt mit uns auf. Wir freuen uns auf das Gespräch mit Ihnen.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.