1 Einleitung
ISO/IEC 27014
Die ISO/IEC 27014 [1], Informationssicherheit, Cybersecurity und Datenschutz – Governance von Informationssicherheit, bezieht sich auf die Lenkung und Überwachung aller Ressourcen und Aktivitäten zur Gewährleistung einer effektiven Informationssicherheit (IS) einer Organisation. Dies wird als IS-Governance (IS-Lenkung) bezeichnet.
Die ISO/IEC 27014 [1], Informationssicherheit, Cybersecurity und Datenschutz – Governance von Informationssicherheit, bezieht sich auf die Lenkung und Überwachung aller Ressourcen und Aktivitäten zur Gewährleistung einer effektiven Informationssicherheit (IS) einer Organisation. Dies wird als IS-Governance (IS-Lenkung) bezeichnet.
Zielsetzung
Durch ein funktionierendes zuverlässiges Berichtswesen für alle sicherheitsrelevanten Aktivitäten und die kontinuierliche Überwachung der Einhaltung aller für die Organisation geltenden Vorgaben und Richtlinien wird es der IS-Governance als Lenkungsorgan der Organisation ermöglicht, die richtigen strategischen Entscheidungen für die Informationssicherheit der Organisation im Einklang mit den übergeordneten Zielen und Rahmenbedingungen der Organisation zu treffen.
Durch ein funktionierendes zuverlässiges Berichtswesen für alle sicherheitsrelevanten Aktivitäten und die kontinuierliche Überwachung der Einhaltung aller für die Organisation geltenden Vorgaben und Richtlinien wird es der IS-Governance als Lenkungsorgan der Organisation ermöglicht, die richtigen strategischen Entscheidungen für die Informationssicherheit der Organisation im Einklang mit den übergeordneten Zielen und Rahmenbedingungen der Organisation zu treffen.
Struktur
Die Anfangskapitel des Standards gehen nach der Zusammenfassung und dem Vorwort wie üblich auf den Geltungsbereich des Standards sowie normative Referenzen ein und enthalten Begriffe und deren Definition. Daran schließen sich die folgenden spezifischen Normkapitel an:
Die Anfangskapitel des Standards gehen nach der Zusammenfassung und dem Vorwort wie üblich auf den Geltungsbereich des Standards sowie normative Referenzen ein und enthalten Begriffe und deren Definition. Daran schließen sich die folgenden spezifischen Normkapitel an:
| • | IS-Governance und IS-Management |
| • | Organisations-Governance und IS-Governance |
| • | Anforderungen der IS-Governance an das ISMS |
| • | Anhang A: Governance-Beziehungen |
| • | Anhang B: Typen der ISMS-Gestaltung einer Organisation |
| • | Anhang C: Beispiele zur Kommunikation |
2 IS-Governance und IS-Management Standards
IS-Governance
Grundsätzlich ist eine Person oder eine Gruppe von Personen aus dem Lenkungsorgan, dem „governing body”, verantwortlich für die Leistungsfähigkeit und Konformität einer Organisation. Dazu gehört auch die Verantwortung für die Informationssicherheit. Der governing body muss dafür sorgen, dass IS sowohl effizient und effektiv implementiert ist als auch mit den übergeordneten Zielen und Strategien der Organisation in Einklang steht.
Grundsätzlich ist eine Person oder eine Gruppe von Personen aus dem Lenkungsorgan, dem „governing body”, verantwortlich für die Leistungsfähigkeit und Konformität einer Organisation. Dazu gehört auch die Verantwortung für die Informationssicherheit. Der governing body muss dafür sorgen, dass IS sowohl effizient und effektiv implementiert ist als auch mit den übergeordneten Zielen und Strategien der Organisation in Einklang steht.
IS-Governance ist das Mittel, mit dem das Lenkungsorgan einer Organisation die Gesamtsteuerung und Kontrolle über Aktivitäten wahrnimmt, die die Informationssicherheit der Organisation betreffen.
Lenkungsmethoden
Die IS-Governance bedient sich dazu der üblichen Lenkungsmethoden:
Die IS-Governance bedient sich dazu der üblichen Lenkungsmethoden:
| • | Entwicklung und Bereitstellung von übergeordneten Strategien und Richtlinien |
| • | Überwachung der Einflüsse auf die Performance der Gesamtorganisation |
| • | Bewertung von Vorschlägen und Planungen der ausführenden Managementebenen |
Die IS-Governance sollte Teil der Leitungsebene der Organisation sein.
IS-Management
Das Management der Informationssicherheit stellt das Erreichen der von der IS-Governance mittels der Strategien und Richtlinien vorgegebenen Ziele mit geeigneten Mitteln sicher. Dabei interagiert das IS-Management mit der IS-Governance durch
Das Management der Informationssicherheit stellt das Erreichen der von der IS-Governance mittels der Strategien und Richtlinien vorgegebenen Ziele mit geeigneten Mitteln sicher. Dabei interagiert das IS-Management mit der IS-Governance durch
| • | die Vorlage von Konzepten und Umsetzungsplanungen und |
| • | die Bereitstellung von Informationen zur Performance der Organisation. |
Die ISO/IEC 27001 als übergeordnete Managementsystemnorm nimmt selbst keinen direkten Bezug auf den Begriff „Governance” enthält aber eine Reihe von Anforderungen an ein ISMS, die sich auf Governance-Aktivitäten beziehen. Diese werden beispielhaft aufgeführt.
Es wird auch auf die ISO/IEC 38500 Bezug genommen, die Leitlinien sowohl für die effektive und effiziente Anwendung von IT für die Zwecke der Governance als für die Governance der IT selbst enthält
Herausforderungen
Die IS-Governance hat sich den folgenden grundsätzlichen Herausforderungen zu stellen:
Die IS-Governance hat sich den folgenden grundsätzlichen Herausforderungen zu stellen:
| • | der Ausrichtung der Informationssicherheitsziele an den übergeordneten Zielen der Organisation |
| • | dem Management der Informationssicherheitsrisiken gemäß diesen Informationssicherheitszielen |
| • | der Vermeidung von Interessenkonflikten beim Management der Informationssicherheit |
| • | der Verhinderung des Missbrauchs der IT-Ressourcen des Unternehmens zur Schädigung Dritter |
3 Organisations-Governance und IS-Governance
Ziele
Die IS-Governance basiert auf Zielen und Prozessen. Die ISO 27014 beschreibt die sechs Ziele der IS-Governance. Zu den sechs Zielen gehören die Einrichtung einer organisationsweiten Informationssicherheit, die Nutzung eines risikobasierten Ansatzes und die Konformität mit internen und externen Anforderungen.
Die IS-Governance basiert auf Zielen und Prozessen. Die ISO 27014 beschreibt die sechs Ziele der IS-Governance. Zu den sechs Zielen gehören die Einrichtung einer organisationsweiten Informationssicherheit, die Nutzung eines risikobasierten Ansatzes und die Konformität mit internen und externen Anforderungen.
Prozesse
Zur Lenkung der Informationssicherheit gehören die vier Prozesse Bewertung, Steuerung, Überwachung und Kommunikation. Für jeden Prozess listet die ISO 27014 Aktivitäten auf, zum einen im Hinblick auf die Aufgaben des IS-Lenkungsgremiums und zum anderen in Bezug auf die Tätigkeiten des Informationsschutzmanagements.
Zur Lenkung der Informationssicherheit gehören die vier Prozesse Bewertung, Steuerung, Überwachung und Kommunikation. Für jeden Prozess listet die ISO 27014 Aktivitäten auf, zum einen im Hinblick auf die Aufgaben des IS-Lenkungsgremiums und zum anderen in Bezug auf die Tätigkeiten des Informationsschutzmanagements.
Bewertung
Der Prozess Bewertung ermittelt – basierend auf den Ergebnissen des Überwachungsprozesses und auf eingereichten Vorschlägen – Maßnahmen, die zur Erreichung strategischer Ziele erforderlich sind.
Der Prozess Bewertung ermittelt – basierend auf den Ergebnissen des Überwachungsprozesses und auf eingereichten Vorschlägen – Maßnahmen, die zur Erreichung strategischer Ziele erforderlich sind.
Steuerung
Der Prozess Steuerung erhält Input vom Prozess Bewertung. Der Steuerungsprozess gibt IS-Ziele und IS-Strategien vor, die umzusetzen sind.
Der Prozess Steuerung erhält Input vom Prozess Bewertung. Der Steuerungsprozess gibt IS-Ziele und IS-Strategien vor, die umzusetzen sind.
Überwachung
Der Prozess Überwachung ermöglicht es, die Erreichung strategischer Ziele zu verfolgen.
Der Prozess Überwachung ermöglicht es, die Erreichung strategischer Ziele zu verfolgen.
Kommunikation
Der Prozess Kommunikation dient dem bidirektionalen Austausch zwischen dem governing body und den relevanten Stakeholdern im Hinblick auf Informationssicherheit.
Der Prozess Kommunikation dient dem bidirektionalen Austausch zwischen dem governing body und den relevanten Stakeholdern im Hinblick auf Informationssicherheit.
4 Anforderungen der IS-Governance an das ISMS
Im abschließenden Normkapitel werden die Anforderungen der IS-Governance an die Gestaltung des ISMS behandelt.
Das Leitungsorgan sollte die Gestaltung eines oder mehrerer ISMS verlangen, um die Ziele der Organisation zu unterstützen. Die Ziele jedes ISMS können mit denen der übergeordneten Organisation übereinstimmen oder unterschiedlich sein, abhängig von der Größe, dem Umfang und der Struktur der gesamten Organisation, aber sie sollten aufeinander abgestimmt sein.
Das Leitungsorgan sollte auch verlangen, dass die Gestaltung jedes ISMS mit den allgemeinen Organisationsrichtlinien und -prozessen, einschließlich des Risikomanagements, übereinstimmt.
Drei Typen
Es werden unterschiedliche grundsätzliche Szenarien zur Abbildung der Organisation auf drei Typen der ISMS-Gestaltung einer Organisation betrachtet:
Es werden unterschiedliche grundsätzliche Szenarien zur Abbildung der Organisation auf drei Typen der ISMS-Gestaltung einer Organisation betrachtet:
| Type A: | Das ISMS bildet die gesamte Organisation ab. |
| Type B: | Das oder die ISMS bilden nur einen Teil der Organisation ab. |
| Type C: | Das ISMS bildet Teile verschiedener Organisationen ab. |
| Drei Anhänge | |
| Anhang A | enthält eine Darstellung möglicher Beziehungen zwischen der IS-Governance und der IT-Governance. |
| Anhang B | enthält eine Darstellung der Typen der ISMS-Gestaltung einer Organisation. |
| Anhang C | geht auf einige Beispiele zur Kommunikation von IS-Governance ein. |
Quellen
1
ISO/IEC 27014 – Information security – cybersecurity and privacy protection – Governance of information security. Originalsprache: Englisch, 2020
