Was ist ein ISMS nach ISO/IEC 27001, und welche Rolle spielt Anhang A?
Kurzantwort
ISO/IEC 27001 legt die Anforderungen an ein Information Security Management System (ISMS) fest: ein risikobasiertes, von oben gesteuertes Rahmenwerk aus Richtlinien, Prozessen, Rollen und kontinuierlicher Verbesserung (Plan-Do-Check-Act), das regelt, wie eine Organisation die Informationssicherheit handhabt. Anhang A ist ein Referenzkatalog von Kontrollen. Man wendet nicht alle blind an — man führt eine Risikobewertung durch, entscheidet, welche Kontrollen nötig sind, und dokumentiert die Aufnahme-/Ausschlussentscheidungen mit Begründung in einer Statement of Applicability (SoA).
ISO/IEC 27001 ist die führende internationale Norm für das Management der Informationssicherheit. Die Zertifizierung beweist, dass eine Organisation ein funktionierendes Managementsystem betreibt, nicht dass sie ein bestimmtes Werkzeug gekauft hat. Interviewer nutzen diese Frage, um diejenigen, die ein ISMS betrieben haben, von denen zu trennen, die nur das Akronym gehört haben.
Das ISMS
Das Information Security Management System ist das Herzstück der Norm (Kapitel 4 bis 10). Es verlangt von der Organisation:
- Ihren Kontext und ihre interessierten Parteien zu verstehen.
- Führungsverpflichtung, Anwendungsbereich und eine Informationssicherheitsrichtlinie festzulegen.
- Einen Prozess der Risikobewertung und Risikobehandlung durchzuführen.
- Ziele, Ressourcen, Kompetenz und Bewusstsein zu definieren.
- Die Leistung zu überwachen, zu messen, zu auditieren und zu überprüfen.
- Die kontinuierliche Verbesserung voranzutreiben — den Plan-Do-Check-Act-Zyklus.
Diese Kapitel des Managementsystems sind die zertifizierbaren Anforderungen. Alles andere dient ihnen.
Anhang A und die Statement of Applicability
Anhang A ist eine normative Referenzliste von Kontrollen (organisatorisch, personenbezogen, physisch und technologisch in der Revision 2022). Er ist keine Checkliste, die man pauschal umsetzt. Der Ablauf ist:
- Risiken für Ihre Informationswerte bewerten.
- Einen Risikobehandlungsplan beschließen.
- Die Kontrollen aus Anhang A auswählen, die diese Risiken adressieren.
- Den Status jeder Kontrolle — anwendbar oder ausgeschlossen, mit Begründung — in der Statement of Applicability (SoA) festhalten.
ISO/IEC 27002 liefert die Umsetzungsleitlinien für diese Kontrollen.
Warum das wichtig ist
Die stärkste Antwort betont, dass 27001 risikogesteuert ist: Kontrollen folgen aus dem Risiko, und die SoA ist das Dokument, das sie verknüpft. Kandidaten, die Anhang A für eine verpflichtende Alles-oder-nichts-Checkliste halten, haben die Norm falsch verstanden.
Wahrscheinliche Anschlussfragen
- Was gehört in eine Statement of Applicability, und warum interessiert sich der Prüfer für Ausschlüsse?
- Wie verhält sich ISO/IEC 27002 zu Anhang A der ISO/IEC 27001?
- Wie sieht der Zertifizierungs-Auditzyklus (Stage 1, Stage 2, Überwachung) aus?