(openPR) ISO 27001 Policies mit Hilfe der BSI-Grundschutz-Bausteine und Maßnahmen erstellen
"Zum Betrieb eines Information Security Management Systems ist es notwendig Regelungen treffen, die den Umgang mit Informationstechnik beschreiben und verbindlich regeln" führt Gerhard Kron, CEO bei kronsoft, aus.
Kron legt weiter dar: "Damit solche Policies treffend, akzeptierbar und rechtssicher erstellt werden können, ist ein gutes Fachwissen im Bereich der Informationssicherheit notwendig oder die Inanspruchnahme externer Berater, die bei genügend Praxiserfahrung genau diese Policies bereits erstellt haben und an Ihre Kunden abgeben. Als weitere Möglichkeit bietet es sich an die notwendigen Policies käuflich zu erwerben. In beiden letzteren Fällen, also der Inanspruchnahme externer Berater oder das käufliche Erwerben, bleibt dem Verantwortlichen trotzdem die Aufgabe die erhaltenen Policies auf die Besonderheiten seines Unternehmens hin zu 'trimmen'."
Kron wirft die Frage auf, ob es dann wirklich noch Sinn ergibt Policies von Dritten zu erhalten, wenn sowieso noch einiges an Arbeit hineingesteckt werden muss und beantwortet die Frage gleich selbst: "Wenn das Knowhow zur Erstellung der Policies vorhanden ist, beansprucht das Selbsterstellen der Policies wahrscheinlich nur unbedeutend mehr Aufwand, als wenn der Verantwortliche vorhandene Policies verändern muss".
"Die Lösung des Problems liegt allerdings offen zu Tage" so Kron, "wir müssen uns nur daran erinnern, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) dieses Knowhow besitzt und es in Form von "Bausteinen" und "Maßnahmen" an den Verantwortlichen abgibt. Wir müssen lediglich wissen, mit welchen der beiden Elemente die Policies erstellt werden sollten und zweitens, welche Policies notwendig sind. Zu dieser Frage hat kronsoft nun eine Übersicht erstellt, die die mindest notwendigen Policies aufzählt und zu jeder Policy aufzeigt, welche BSI-Bausteine und welche BSI-Maßnahmen für die jeweils benötigte Policy herangezogen werden kann." Kron stellt uns folgende Übersicht notwendiger Policies zur Veröffentlichung zur Verfügung und meint: "Im opus i Paper B2.002, das unseren Kunden zur Verfügung steht, sind zu jeder Policy die BSI-Bausteine und BSI-Maßnahmen zusammengestellt - der Verantwortliche hat es jetzt einfach, er kann aus den Forderungen der Bausteine und Maßnahmen die Inhalte zu den Policies relativ einfach und schnell zusammenstellen".
Hier die Übersicht [in den eckigen Klammern sind die ISO-Controls genannt, die von der Policy abgedeckt werden]:
- ISMS Policy [ISO/IEC 27001 4.2.1 b), A.5.1.1, A.5.1.2]
- Policy zur zulässigen Verwendung von Assets [ISO/IEC 27001 A.6.1.4, A.7.1.2, A.7.1.3, A.8.3.2, A.9.2.5, A.9.2.7, A.10.4.1, A.10.4.2, A.10.8.4, A.11.3.1, A.11.3.2, A.11.3.3, A.11.5.2, A.11.7.1, A.11.7.2, A.12.4.1, A.15.1.2]
- Policy für den Umgang mit vertraulichen Informationen [ISO/IEC 27001 A.7.2.1, A.7.2.2, A.11.6.1, A.10.7.1 A.10.7.3, A.10.7.4, A.10.8.4]
- Vertraulichkeitsvereinbarung [ISO/IEC 27001 A.8.1.1, A.8.1.3, A.6.1.5]
- Verpflichtungserklärung auf ISMS Dokumente [ISO/IEC 27001 A.8.1.1, A.8.1.3]
- Sicherheitsbedinungungen für Lieferanten und Partner [ISO/IEC 27001 A.6.2.3, A.8.1.1, A.8.1.3, A.10.2.1]
- Betriebsverfahren für Informations- und Telekommunikationstechnologie [ISO/IEC 27001 A.6.2.2, A.10, A.9.2.6, A.12.5.1, A.12.5.3]
- Änderungsmanagement Policy [ISO/IEC 27001 A.10.1.2, A.12.5.1, A.12.5.3]
- Backup Policy [ISO/IEC 27001 A.10.5.1]
- Policy für Entsorgung und Vernichtung [ISO/IEC 27001 A.9.2.6, A.10.7.2]
- Policy zum Informationsaustausch [ISO/IEC 27001 A.10.8.1, A.10.8.2, A.10.8.5]
- Policy für Zugangs- und Zugriffskontrolle [ISO/IEC 27001 A.11.1.1, A.11.2, A.11.4.1, A.11.4.2, A.11.5.3, A.6.2.2 , A.8.3.3, A.11.6.1]
- Passwort Policy [ISO/IEC 27001 A.11.2.3, A.11.3.1, A.11.5.2, A.11.5.3]
- Der aufgeräumte Arbeitsplatz - Policy [ISO/IEC 27001 A.11.3.2, A.11.3.3]
- Policy zur Verwendung von Netzwerkdiensten [ISO/IEC 27001 A.11.4.1, A.11.4.2]
- Policy für den mobilen Arbeitsplatz [ISO/IEC 27001 A.9.2.5, A.11.7]
- Spezifikation von Anforderungen an Informationssysteme [ISO/IEC 27001 A.12.1.1, A.10.3.2]
- Policy zur Verwendung von kryptographischen Verfahren [ISO/IEC 27001 A.12.3.1, A.12.3.2, A.15.1.6]
- Policy Behandlung von Sicherheitsvorfällen [ISO/IEC 27001 4.2.2 h), A.13, A.8.2.3]
Die Übersicht erhebt keinen Anspruch auf Vollständigkeit
