-- WEBONDISK OK --

07373 Kurzhinweise: ISO/IEC 27013 Information security, cybersecurity and privacy protection – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

von:

1 Einführung und Zielsetzung

Anleitung für integriertes Managementsystem
Der internationale Standard ISO/IEC 27013 [1] stellt eine Anleitung zur Implementierung eines integrierten Managementsystems für Informationssicherheit (Informationssicherheitsmanagementsystem – ISMS) nach ISO/IEC 27001 [2]) und Service Management (Servicemanagementsystem – SMS nach ISO/IEC 20000-1 [3]) bereit. Beide Themengebiete sind eng miteinander verzahnt, z. B. über gemeinsame Prozessanforderungen, sodass eine derartige Implementierung durchaus vorteilhaft ist.
Ausgangslage und Anwendungsbereich
Die Ausgangslage in der Organisation kann dabei unterschiedlich sein:
Jeweils einer der beiden Standards ist bereits implementiert, der andere soll implementiert werden.
Beide Standards sollen gemeinsam implementiert werden.
Es existieren bereits ein ISMS und ein SMS, die nun integriert werden sollen.
Vorteile
Zu den wichtigsten Vorteilen einer integrierten Umsetzung von Informationssicherheitsmanagement und Service Management gehören:
Glaubwürdigkeit von effektiven und sicheren Services gegenüber Kunden und anderen interessierten Parteien der Organisation;
geringere Kosten für die Implementierung, Aufrechterhaltung und Prüfung eines integrierten Managementsystems, sofern dieses Teil der Unternehmensstrategie ist;
Verkürzung der Implementierungszeit aufgrund der integrierten Entwicklung gemeinsamer Prozesse;
bessere Kommunikation, erhöhte Zuverlässigkeit und verbesserte betriebliche Effizienz durch die Beseitigung unnötiger Doppelarbeit;
besseres gegenseitiges Verständnis der Vertreter beider Themen;
bei einer bestehenden Zertifizierung nach ISO/IEC 27001 leichtere Erfüllung der in ISO/IEC 20000-1:2018, 8.7.3, genannten Anforderungen.

2 Struktur der ISO/IEC 27013

2.1 Aufbau

Eingangskapitel
Der Struktur von ISO-Standards entsprechend haben die ersten drei Kapitel folgende Titel und Inhalte:
1.
Anwendungsbereich (s. Abschnitt 1)
2.
Normative Verweise
Neben den „Hauptakteuren”
ISO/IEC 27001:2013 und ISO/IEC 20000-1:2018
werden genannt:
ISO/IEC 27000:2018 [4], Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Überblick und Terminologie
3.
Begriffe, Definitionen und Abkürzungen
Bezüglich der Begriffe und Definitionen wird neben den Standards ISO/IEC 20000-1:2018 und ISO/IEC 27000:2018 auf die Terminologie-Datenbanken verwiesen von ISO [5] und IEC [6].
Anhang C enthält zusätzlich eine ausführliche Gegenüberstellung wichtiger Begriffe und ihrer Bedeutungen in den Standards ISO/IEC 27000 und ISO/IEC 20000-1.
Hauptkapitel
Die Hauptkapitel des Standards haben folgende Themen:
4.
ISO/IEC 27001 und ISO/IEC 20000-1 im Überblick (vgl. Abschnitt 3.1)
5.
Ansätze zur integrierten Implementierung (vgl. Abschnitt 3.2)
6.
Aspekte einer integrierten Implementierung (vgl. Abschnitt 3.3)
Anhänge
Hinzu kommen drei wertvolle informative Anhänge:
A)
Vergleich zwischen ISO/IEC 27001 und ISO/IEC 20000-1:2018, Normkapitel 1 bis 10 (vgl. Abschnitt 4.1)
B)
Vergleich zwischen ISO/IEC 27001, Annex A und den Anforderungen in ISO/IEC 20000-1:2018, Normkapitel 4 bis 10 (vgl. Abschnitt 4.2)
C)
Vergleich der Begriffe und Definitionen in ISO/IEC 27000:2018 und ISO/IEC 20000-1:2018 (vgl. Abschnitt 4.3)

2.2 Änderungen zur Vorversion

Die vorliegende dritte Edition ersetzt die zweite Edition von 2015 und weist folgende wesentliche Änderungen auf:
Anpassung an die ISO/IEC 20000-1:2018

3 Kerninhalte der ISO/IEC 27013

In diesem Kapitel werden die wesentlichen Aussagen der Norm dargestellt. Seine Gliederung orientiert sich an der Struktur der Normkapitel 4 bis 6, sodass eine leichte Zuordnung möglich ist.

3.1 ISO/IEC 27001 und ISO/IEC 20000-1 im Überblick

Verständnis der Standards
Eine Organisation sollte ein gutes Verständnis der Charakteristika, Gemeinsamkeiten und Unterschiede beider Standards haben, um die Planung und Implementierung eines integrierten Managementsystems bedarfsgerecht und ressourcenoptimiert durchführen zu können.
Normkapitel 4 führt kurz in diese Thematik ein, ohne jedoch ein ausführliches Studium beider Standards ersetzen zu wollen.
Konzept der ISO/IEC 27001
ISO/IEC 27001 bietet ein Modell für ein Informationssicherheitsmanagementsystem (ISMS) zum Schutz von Informationswerten (information assets) einer Organisation. Es sollte auf einem einheitlichen Prozess zum Risikomanagement basieren, der Risiken für diese Assets identifiziert, bewertet und entsprechend den zu berücksichtigenden internen und externen Anforderungen angemessen behandelt. Die Risikobehandlung erfolgt i. d. R. durch die Auswahl, Einführung und regelmäßige Überwachung geeigneter Maßnahmen (controls). Diese können technisch, organisatorisch, personell oder infrastrukturell orientiert sein. Vor ihrer Auswahl sollte die Organisation geeignete, akzeptable Risikoniveaus festlegen.
Beispiele für relevante Anforderungen sind Geschäftsanforderungen, rechtliche und regulatorische Anforderungen oder vertragliche Verpflichtungen.
ISO/IEC 27001 kann von jeder Organisation unabhängig von Art und Größe angewendet werden. Wenn eine Organisation die Konformität mit ISO/IEC 27001 anstrebt, darf sie keine der in ISO/IEC 27001, Normkapitel 4 bis 10, genannten Anforderungen ausschließen.
Konzept der ISO/IEC 20000-1
ISO/IEC 20000-1 spezifiziert Anforderungen an ein Service Management System (SMS). Ein SMS unterstützt das Management des Service-Lebenszyklus, einschließlich der Planung, des Entwurfs, des Übergangs, der Erbringung und der Verbesserung von Services, die die vereinbarten Anforderungen erfüllen und für Kunden, Benutzer und die Organisation, die die Services erbringt, einen Mehrwert darstellen.
Alle Anforderungen der ISO/IEC 20000-1 sind generisch und gelten für alle Organisationen, unabhängig von Art oder Größe. Einige Anforderungen, insbesondere in Normkapitel 8, sind prozessorientiert gruppiert, z. B. für Incident Management, Change Management und Supplier Management. In Normabschnitt 8.7.3 finden sich auch Anforderungen zum Informationssicherheitsmanagement.
ISO/IEC 20000-1 ist für das Management von Services bestimmt, die Technologie und digitale Informationen nutzen. Der Ausschluss einer der Anforderungen in ISO/IEC 20000-1, Kapitel 4 bis 10, ist nicht akzeptabel, wenn eine Konformität mit ISO/IEC 20000-1 angestrebt wird.
Gemeinsamkeiten und Unterschiede
ISMS und SMS adressieren eine Reihe sehr ähnlicher Anforderungen, Prozesse und Aktivitäten, auch wenn der Blickwinkel aus Sicht des jeweiligen Managementsystems ein anderer sein kann und sie damit jeweils unterschiedliche Details entsprechend ihren Zielsetzungen hervorheben:
Bei ISO/IEC 20000-1 die effiziente und anforderungsgerechte Serviceerbringung;
Bei ISO/IEC 27001 den Schutz von Informationswerten der Organisation entsprechend den bestehenden Anforderungen und identifizierten Risiken; dies schließt die Behandlung von IS-Vorfällen mit ein.
Weitere Hinweise dazu finden Sie im folgenden Abschnitt sowie in den Anhängen A bis C, die detaillierte Vergleiche zwischen beiden Normen bereitstellen.

3.2 Ansätze zur integrierten Implementierung

Normkapitel 5 gibt, abhängig von der jeweiligen Ausgangslage der Organisation, erste Denkanstöße zum Aufbau eines Integrierten Managementsystems (IMS).

3.2.1 Allgemeine Überlegungen

Ausgangslage
In Anlehnung an Normkapitel 1 können in einer Organisation folgende Situationen vorhanden sein:
Es existieren nur informelle Vereinbarungen für Informationssicherheit (IS) und Service Management.
Es existiert ein Managementsystem auf der Basis eines der beiden Standards (ISMS oder SMS).
Es existieren ein ISMS sowie ein SMS, die jedoch separat betrieben werden.
Planungsaspekte
Die Organisation sollte bei der Planung eines IMS wenigstens folgende Aspekte berücksichtigen:
bereits vorhandene Managementsysteme (z. B. QMS);
Geltungsbereiche, ggf. Unterschiede, zwischen ISMS und SMS;
Services, Prozesse und deren Abhängigkeiten im Umfeld des IMS;
Standard-Teile, die zusammengefasst werden können, inkl. der Methode, wie das geschehen kann;
Standard-Teile, die weiterhin getrennt bearbeitet werden müssen;
IMS-Auswirkungen auf Kunden, Lieferanten und andere interessierte Parteien;
IMS-Auswirkungen auf die eingesetzte (Informations-)Technologie;
IMS-Auswirkungen/-Risiken auf Services, Informationssicherheit und ihr jeweiliges Management;
Aus- und Fortbildung im Rahmen des IMS;
Verantwortlichkeiten und Zuständigkeiten für alle Anforderungen;
Phasen und Reihenfolge der IMS-Implementierung.

3.2.2 Geltungsbereich

Unterschiede im Geltungsbereich
Der bereits angesprochene unterschiedliche Blickwinkel der beiden Managementsysteme kann naturgemäß im Geltungsbereich deutlich zum Ausdruck kommen. ISO/IEC 20000-1 fokussiert auf eine Prozessumgebung zur Serviceerbringung, ISO/IEC 27001 auf eine Organisationsumgebung, innerhalb deren ein definiertes IS-Niveau erreicht und aufrechterhalten werden soll.
SMS
Der Geltungsbereich eines SMS umfasst typischerweise alle Aktivitäten, die der Bereitstellung von Services dienen. Er kann dabei alle oder nur einige der von der Organisation erbrachten Services umfassen, begrenzt durch eindeutige physische Grenzen, z. B. Standorte.
ISMS
ISO/IEC 27001 befasst sich mit dem Management von Informationssicherheitsrisiken. Der Geltungsbereich des ISMS deckt die Aktivitäten ab, die mit dem Management der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen der Organisation zusammenhängen.
Diese beiden Ansprüche können nicht unbedingt vollständig in einem Geltungsbereich zur Deckung gebracht werden. Damit ist u. U. auch die inhaltliche Integration beider Managementsysteme nicht vollständig. Es werden Themenbereiche verbleiben, die nur einem der beiden Managementsysteme angehören. Die Organisation sollte jedoch die Geltungsbereiche der Managementsysteme so weit wie möglich aufeinander abstimmen, um eine erfolgreiche Integration zu gewährleisten und den Nutzen des IMS zu maximieren.
Mit den Standards ISO/IEC 20000-3 [7] sowie ISO/IEC 27003 [8] stehen darüber hinaus Hilfestellungen zur Definition des Geltungsbereichs von SMS und ISMS bereit.

3.2.3 Szenarien vor der IMS-Implementierung

In Normabschnitt 5.3 werden IMS-Implementierungsvorschläge basierend auf den oben bereits dargestellten Ausgangslagen gemacht.
1. Keiner der beiden Standards ist derzeit implementiert
Damit stellt sich die Aufgabe, die in der Organisation bereits vorhandenen Managementverfahren geeignet für die beiden Standards zu adaptieren.
Die erste Entscheidung über die Reihenfolge, in der die Anforderungen an das ISMS und das SMS umgesetzt werden, sollte sich an den geschäftlichen Erfordernissen und Prioritäten orientieren.
Danach ist zu entscheiden, ob ein SMS wie auch ein ISMS gleichzeitig oder nacheinander eingeführt werden soll. Bei der sequenziellen Einführung wird entweder das SMS oder das ISMS eingeführt und dann das Managementsystem um die zusätzlichen Anforderungen des jeweils anderen Systems erweitert.
ISO/IEC 27013 gibt dazu einige Entscheidungshilfen:
Service-Provider-Organisationen sollten mit ISO/IEC 20000-1 starten und die gewonnenen Erfahrungen danach für die Erweiterung auf ISO/IEC 27001 nutzen.
Organisationen, die stark in Lieferketten eingebunden sind, sollten ebenfalls mit ISO/IEC 20000-1 starten, um die für sie wichtigen Prozesse zu priorisieren.
Kleine Organisationen sollten sich zunächst auf diejenige der beiden Normen konzentrieren, die für sie höhere Relevanz hat.
Große Organisationen, die auch intern serviceorientiert organisiert sind, sollten eher die parallele und „monolithische” Implementierung wählen. Ggf. können auch beide Standards zunächst in getrennten Teilprojekten parallel etabliert und danach in einem gemeinsamen Projekt integriert werden.
Organisationen, die ihrer Informationssicherheit eine hohe Bedeutung zumessen, sollten mit ISO/IEC 27001 starten und das ISMS dann schrittweise SMS-konform erweitern.
Eine Integrationsarbeitsgruppe, die während der Umsetzung der Anforderungen an ein SMS und ein ISMS regelmäßig tagt, kann dazu beitragen, eine bessere Abstimmung und Integration zu gewährleisten und Doppelarbeit zu minimieren.
2. Ein Managementsystem existiert, das die Anforderungen eines der beiden Standards erfüllt
Hier ist das primäre Ziel, die Anforderungen des jeweils anderen Standards zu integrieren, ohne die Qualität des bestehenden Standards einzuschränken.
Dazu sollte die vorhandene Dokumentation von einem Team überprüft werden, das beide Normen gut kennt.
MS-Attribute prüfen
Die Organisation sollte mindestens folgende Attribute des etablierten Managementsystems (MS) identifizieren:
Geltungsbereich; Struktur des Managementsystems; Leitlinie; Planungstätigkeiten; Verantwortlichkeiten; Methoden; relevante Prozesse; Verfahren; Methoden des Risikomanagements; Begriffe und Definitionen; Ressourcen.
Diese Attribute sollten dann überprüft werden, um festzustellen, wie sie auf das integrierte Managementsystem angewendet werden können.
3. Getrennte Managementsysteme existieren, die die Anforderungen jeweils eines der beiden Standards erfüllen
Dieser Fall führt uns wieder auf die Geltungsbereiche der Managementsysteme zurück, die in der Regel unterschiedlich sind.
Szenarien
Es gibt drei mögliche Szenarien:
1.
Die Geltungsbereiche von ISMS und SMS sind identisch.
2.
Die Geltungsbereiche von ISMS und SMS überschneiden sich, sind aber nicht identisch.
3.
Die Geltungsbereiche von ISMS und SMS sind unterschiedlich (disjunkt).
Der größte Nutzen der Integration ergibt sich naturgemäß aus einem identischen oder sich deutlich überschneidenden Geltungsbereich. Selbst wenn diese unterschiedlich sind, sollte die Organisation versuchen, die gemeinsamen Anforderungen für beide Normen zu integrieren, einschließlich derjenigen für interne Audits, Managementbewertung und kontinuierliche Verbesserung.
Start-Aktivitäten
Daher sollten folgende Aktivitäten am Anfang stehen:
Analyse der existierenden und gewünschten Geltungsbereiche für beide MS, mit besonderer Beachtung der gegenseitigen Unterschiede
Vergleich der bestehenden MS, um mögliche Inkompatibilitäten zu ermitteln
Entwicklung eines Business Case zur Klarstellung der Vorteile eines IMS
Zusammenführen der interessierten Parteien beider MS
Planung eines geeigneten Ansatzes für ein IMS durch:
Top-down-Vorgehensweise mit zunehmender Detaillierung
Review-Zyklen auf unterschiedlichen Organisationsebenen
Einbindung notwendiger Entscheidungsträger durch Rückmeldungen und Lösungsvorschläge
Wenn auf diese Weise die Eckpunkte für das IMS-Projekt vereinbart werden konnten, sollte sich eine ausführliche Planungsphase anschließen.

3.3 Aspekte einer integrierten Implementierung

3.3.1 Allgemeines

Herausforderungen und Nutzen
Normkapitel 6 behandelt exemplarisch Herausforderungen und Nutzen einer integrierten Implementierung beider MS.
Hinweise
Vorab werden einige allgemeine Hinweise formuliert, z. B.:
Sowohl ISO/IEC 27001 als auch ISO/IEC 20000-1 verwenden in den Hauptkapiteln 1 bis 10 weitestgehend die gleiche Struktur (High Level Structure, HLS), gemeinsame Begriffe und gemeinsame Anforderungen. Dies erleichtert ihre Integration.
Ein IMS sollte eine einheitliche und klare Terminologie verwenden, ggf. durch Umformulierungen von Anforderungen.
Es sollte eine dokumentierte Rückverfolgbarkeit zwischen dem integrierten Managementsystem und den Anforderungen jeder einzelnen Norm gewährleistet werden, z. B. durch eine entsprechende Matrix.
Das oberste Ziel der Organisation sollte darin bestehen, ein funktionsfähiges IMS zu schaffen, das die Konformität mit den Anforderungen beider Normen ermöglicht.

3.3.2 Mögliche Herausforderungen

1. Anforderungen und Maßnahmen
ISO/IEC 27001
ISO/IEC 27001, Normkapitel 4 bis 10, legt die Anforderungen an ein ISMS fest. Zusätzlich existiert im Normanhang A eine umfangreiche Liste von Maßnahmenzielen und Maßnahmen, aus der die Organisation alle notwendigen Maßnahmen zur Behandlung ihrer IS-Risiken bestimmt und in der Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) beschreibt. Über die Norm hinaus können zusätzliche Maßnahmenziele und Maßnahmen hinzugefügt werden, wenn diese als notwendig für das Risikomanagement eingestuft werden.
ISO/IEC 20000-1
ISO/IEC 20000-1 spezifiziert Anforderungen für ein SMS, führt aber keine Maßnahmen auf und spezifiziert keine Anforderungen für ein SoA, sodass es keine direkte Korrelation zwischen dem Normanhang A der ISO/IEC 27001 und ISO/IEC 20000-1 gibt. Abschnitt 8.7.3.2 enthält jedoch die Anforderung, Maßnahmen zu bestimmen und zu dokumentieren, um IS-Risiken für das SMS und die Services zu adressieren. Darüber hinaus besteht die Anforderung, die Wirksamkeit dieser Maßnahmen zu überwachen und zu überprüfen und bei Bedarf Korrekturmaßnahmen zu ergreifen.
Dies gilt es bei der Integration zu beachten. Die Unterscheidung zwischen den Anforderungen in beiden Standards und den Maßnahmen aus Normanhang A der ISO/IEC 27001 muss verstanden und in der Organisation kommuniziert werden.
Normanhang B stellt dazu einen tabellarischen Vergleich zur Verfügung, vgl. Abschnitt 4.2.
2. Assets und Configuration Items (CI)
In ISO/IEC 27001 und ISO/IEC 20000-1 gibt es sowohl Unterschiede als auch Gemeinsamkeiten bei der Verwendung und Bedeutung des Begriffs Asset.
ISO/IEC 20000-1 verwendet den Begriff als „Gegenstand, Ding oder Einheit, die einen potenziellen oder tatsächlichen Wert für eine Organisation hat”. Die einzige Anforderung hier ist sicherzustellen, dass die für die Erbringung von Services genutzten Assets so verwaltet werden, dass die Service-Anforderungen und -Verpflichtungen (z. B. gesetzlicher oder regulatorischer Art) erfüllt werden.
ISO/IEC 27001 fokussiert beim Begriff Asset auf das Risikomanagement von information assets im Geltungsbereich des ISMS, d. h. von Informationen und ihnen zugeordneten Ressourcen, die für die Organisation einen Wert darstellen und daher in geeigneter Weise geschützt werden müssen.
Informationen werden auch in ISO/IEC 20000-1 als Ressource betrachtet. Dort ist in Normabschnitt 8.7.1 festgelegt, dass die für das SMS und die Services benötigten personellen, technischen, finanziellen und Informationsressourcen bestimmt werden.
Keine der beiden Normen verlangt, dass jedes Asset einzeln aufgeführt wird. Sie können geeignet in Typen gruppiert werden.
Configuration Item
ISO/IEC 20000-1 nutzt außerdem den Begriff configuration item (CI) für die kleinste Service-Einheit, die zur anforderungsgerechten Serviceerbringung inventarisiert und überwacht werden muss. Dies können neben Informationen auch andere Ressourcen für die Serviceerbringung sein. Somit sind einige Assets, die zu einem Service beitragen, ebenfalls CIs, die dem Konfigurationsmanagement unterliegen.
Integration
Wenn sich der Begriff Asset auf Informationen bezieht, können bestimmte Assets eine zusätzliche Klassifizierung erhalten, wenn ihr Status auch in ISO/IEC 20000-1 als CI anerkannt ist. Das CI-Konzept der ISO/IEC 20000-1 ähnelt dem Anlageninventar in ISO/IEC 27001, hat jedoch unterschiedliche Perspektiven. Aus Sicht der ISO/IEC 27001 sollte die Organisation die Sicherheit der Konfigurationsinformationen verwalten, einschließlich Verfügbarkeit, Integrität und Vertraulichkeit.
Dies sollte bei der Integration von ISMS und SMS berücksichtigt werden.
3. Design und Übergabe von Services
Die Anforderungen zu diesem Thema in Normkapitel 8.5.2 der ISO/IEC 20000-1 haben keine direkte Entsprechung in der ISO/IEC 27001, werden dort allerdings teilweise im Management-Review sowie in einigen Controls des Normanhangs A angesprochen.
Ein IMS sollte sicherstellen, dass die Informationssicherheit bei der Planung, dem Design und dem Betriebsübergang aller neuen oder geänderten Services sowie der Außerbetriebnahme von Services im Detail berücksichtigt wird. Dazu gehört eine Bewertung der Auswirkungen auf bestehende IS-Maßnahmen, unabhängig davon, ob der Service in den Geltungsbereich des ISMS fällt.
4. Risikobewertung und -management
Beide Standards adressieren unterschiedliche Risikoperspektiven.
ISO/IEC 20000-1 behandelt Risiken für eine vereinbarungsgemäße Serviceerbringung. ISO/IEC 27001 behandelt Risiken, die mit dem Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen und den ihnen zugeordneten Ressourcen zusammenhängen. Auch da gibt es sowohl Schnittmengen (z. B. Verlust von Verfügbarkeit für service-relevante Komponenten) als auch klare Unterschiede.
Bei Risiken, die im Rahmen des SMS identifiziert werden, kann nicht davon ausgegangen werden, dass sie auch für das ISMS relevant sind, und umgekehrt, aber sie sollten in Bezug auf beide MS betrachtet werden, unter Anwendung einer möglichst einheitlichen Methodik zum Risikomanagement sowie eines gemeinsamen Risikoregisters.
Risikoverantwortung
Im Rahmen des SMS ist die Risikoverantwortung nicht zwingend vorgeschrieben. Sie kann bei der Organisation, einem Kunden, Lieferanten oder anderen Parteien liegen. Im ISMS wird die Identifizierung eines Risikoeigentümers gefordert, aber es wird nicht spezifiziert, ob dieser innerhalb oder außerhalb der Organisation liegt. In der Praxis wird die Organisation als Eigentümerin aller IS-Risiken im Geltungsbereich des ISMS betrachtet.
Integration
Beide Standards spezifizieren in ihrem Normabschnitt 6.1 Anforderungen für die Bewertung, Behandlung und Dokumentation von Risiken aus ihrer je eigenen Perspektive. Daher kann die Risikobewertung im SMS und ISMS einen jeweils anderen Schwerpunkt haben.
Bei der Planung der integrierten Implementierung sollten Organisationen auf die Unterschiede bei den Risikokriterien und die Auswirkungen dieser Unterschiede auf die Risikobewertung achten und entscheiden, inwieweit sie einen gemeinsamen oder getrennten Ansatz zur Risikobewertung wählen. Dabei spielt auch eine mögliche Priorität eines der Themen für die Organisation eine entscheidende Rolle.
5. Risiko und andere Parteien
Risikoniveau
Wenn ein Kunde seine Daten oder Systeme in die Obhut eines Dritten gegeben hat, kann es Unterschiede zwischen dem Risikoakzeptanzniveau des Kunden und dem des Dritten geben. Dies wird in keiner der beiden Normen explizit behandelt, aber die Organisation sollte sich der Problematik bewusst sein und eine klare Entscheidung bezüglich des Risikoniveaus treffen, das von den verschiedenen Parteien zu kontrollieren ist.
Dabei sollten auch berücksichtigt werden:
Einbindung in ggf. unterschiedliche rechtliche und regulatorische Anforderungsumgebungen
Erwartungen an die Informationssicherheit
Verantwortlichkeiten bei Kunden und Dritten
Sowohl ISO/IEC 20000-1 als auch ISO/IEC 27001 schreiben die Festlegung von Kriterien für die Risikoakzeptanz vor, doch können diese aus Sicht der Informationssicherheit und des Servicemanagements unterschiedlich sein.
6. Incident Management
Die Unterschiede und Gemeinsamkeiten beider Standards werden bereits bei den Begriffen deutlich: ISO/IEC 27001 nutzt den einen Begriff information security incident, während ISO/IEC 20000-1 je nach Ausprägung und Bearbeitungsstand die Begriffe incident, problem, known error oder major incident verwendet – die sämtlich IS incidents im Sinne der ISO/IEC 27001 sein können. Während ISO/IEC 27001 nur einen Prozess beschreibt (information security management), unterscheidet ISO/IEC 20000-1 zwischen Incident Management, Major Incident Procedure und Problem Management.
Die unterschiedliche Betrachtung eines Incidents korrespondiert mit der bereits dargestellten Sicht auf Risiken: Bei ISO/IEC 20000-1 ist der Grad der Serviceerbringung wesentlich (Service incident), bei ISO/IEC 27001 die Beeinträchtigung eines definierten Schutzbedarfs für ein schutzwürdiges Asset (Information security incident). Daher existiert jeweils eine ganze Reihe von Incidents, die im Sinne des jeweils anderen Standards nicht als solche identifiziert würden. ISO/IEC 27013 beschreibt dazu einige Beispiele.
Die Hauptüberschneidung bezieht sich auf das, was ISO/IEC 20000-1 als „Informationssicherheitsvorfälle” bezeichnet, die zum Verlust der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in Bezug auf einen Service führen können.
Integration
Die Organisation sollte entscheiden, wie sie das Management derjenigen Vorfälle handhabt, die in den Geltungsbereich sowohl des ISMS als auch des SMS fallen. Beide Standards verlangen von der Organisation die Analyse von Daten und Trends zu Vorfällen. Definition und Veröffentlichung von Kriterien, anhand deren die Mitarbeiter im Betrieb und Service Desk feststellen können, ob ein Vorfall als IS-Vorfall eingestuft werden sollte, können eine einheitlichere und effektivere Klassifizierung erleichtern.
7. Problem Management
Bedeutung in den Standards
Das Problem Management in ISO/IEC 20000-1 identifiziert die Ursache(n) eines oder mehrerer tatsächlicher oder potenzieller Vorfälle, um ihre Auswirkungen zu minimieren.
In ISO/IEC 27001 wird der Begriff Problem Management nicht verwendet, aber IS-Vorfälle sollen gemäß der Controls A.16.1.5 und -6 analysiert werden, um Muster und potenzielle Ursachen zu identifizieren und zukünftige Auswirkungen zu verringern.
Beide Standards enthalten in Normabschnitt 10.1 das Konzept der Identifizierung von Mustern von Nichtkonformitäten und deren Behebung.
Integration
In einem IMS sollten der Umfang des Problem Management sowie seine Rolle als Inputgeber für die Risikoanalyse des ISMS festgelegt werden, ebenso die Nutzung von Informationen aus dem IS Incident Management des ISMS für die Aufgaben des Problem Management.
8. Sammlung von Beweisen
Zielkonflikt
Ein weiterer wichtiger Punkt ist die Reaktion auf einen Vorfall. Die Organisation sollte das Gleichgewicht zwischen der Denkweise des Servicemanagements (schnellstmögliche Wiederherstellung des Service nach einem Vorfall) und der Informationssicherheit (Sicherung von Beweisen und mögliche Beobachtung des Vorfalls zur Sammlung von Informationen) ausreichend berücksichtigen.
Priorisierung
Bei der Integration sollte darauf geachtet werden, dass alle Anforderungen für das Management von IS-Vorfällen erfüllt werden, inkl. ausreichender Beweissicherung, auch wenn infolgedessen der betroffene Service nicht innerhalb der vereinbarten Serviceziele wiederhergestellt werden kann. ISO/IEC 20000-1 sieht hier ausdrücklich eine Berücksichtigung des mit dem Vorfall verbundenen IS-Risikos mit entsprechender Festlegung von Prioritäten vor.
9. Major Incident Management
Skills und SLA
ISO/IEC 20000-1 enthält in Normabschnitt 8.6.1 Anforderungen für schwerwiegende Vorfälle (major incidents), die auch IS-Vorfälle sein können. U. a. muss die oberste Leitung über derartige Vorfälle informiert werden. Sie sollte sicherstellen, dass für die Bearbeitung der IS-Vorfälle und der damit verbundenen Aktivitäten ausreichende Fähigkeiten und Erfahrungen zur Verfügung stehen. Weiterhin sollten Zeiten für die Sammlung von Beweisen und die Wiederherstellung nach schwerwiegenden Vorfällen in den entspr. Service-Anforderungen und Service Level Agreements (SLAs) berücksichtigt werden.
10. Klassifizierung und Eskalation von Vorfällen
Kriterien festlegen
Die Organisation sollte Kriterien festlegen, die sie zur Klassifizierung von Vorfällen entsprechend ihren Anforderungen an eine besondere Behandlung verwendet, z. B. bzgl.
zeitlicher Priorisierung,
funktionaler und hierarchischer Eskalation,
Einbindung zusätzlichen spezialisierten Personals, ggf. in einer eigenen Task Force,
Zugriffsbeschränkung auf aktuelle Bearbeitungsdaten und
des Umfangs der internen/externen Kommunikation des Vorfalls.
11. Change Management
Darstellung in den Standards
ISO/IEC 27001 fordert in den Normabschnitten 7.5.3 und 8.1 die Überwachung von Änderungen bei Dokumenten und geplanten Changes. Darüber hinaus wird das Change Management in den Controls A.12.1.2, A.14.2-4 sowie A.15.2.2 beschrieben.
ISO/IEC 20000-1 enthält in 8.5.1 umfangreiche risikoorientierte Anforderungen an das Änderungsmanagement, die in ein ISMS übernommen werden können, inkl. potenzieller Risiken und Auswirkungen von Änderung auf die Informationssicherheit.
Integration
Um sicherzustellen, dass alle relevanten Anforderungen und IS-Risiken als Teil des Änderungsmanagements überprüft werden, sollte die ISO/IEC 20000-1 bei der Integration tonangebend sein.

3.3.3 Mögliche Vorteile

1. Service Level Management und Reporting
Anforderungen
ISO/IEC 20000-1 legt in Normabschnitt 9.4 für ein SMS die Anforderungen zum Service Reporting fest. Dieser Rahmen kann ebenfalls sinnvoll zur Messung, Überwachung und Verbesserung der Wirksamkeit des ISMS und der implementierten IS-Maßnahmen im Sinne der Anforderungen von ISO/IEC 27001 in Normabschnitt 9.1 genutzt werden, z. B. zum Reporting über IS-Vorfälle und deren Auswirkungen auf die Service-Level-Ziele.
Integration
Daher bietet sich dafür eine Integration der SMS- und ISMS-Berichte sehr an, z. B. mit der Chance, dass Kunden die tatsächliche Leistung der Services und des SMS besser verstehen, wenn relevante IS-Kriterien und Statistiken über IS-Vorfälle in die Berichte aufgenommen werden.
2. Management Commitment und kontinuierliche Verbesserung
Das Engagement der obersten Leitung ist erforderlich, um die Wirksamkeit sowohl des SMS als auch des ISMS zu gewährleisten. Dieser Aspekt wird in beiden Standards in ähnlicher Weise adressiert und auf relevante interne wie externe Interessengruppen bezogen (z. B. Mitarbeiter, Anteilseigner, Kunden, Lieferanten, Aufsichtsbehörden, Öffentlichkeit).
Verbesserung
Sowohl ISO/IEC 27001 als auch ISO/IEC 20000 legen in Normabschnitt 5.1 Anforderungen an die oberste Leitung fest, die kontinuierliche Verbesserung zu fördern und (in Normabschnitt 5.2) eine entsprechende Leitlinie festzulegen. In Normabschnitt 10.2 beider Standards wird auf die Organisation verwiesen, die verschiedene Aspekte der kontinuierlichen Verbesserung durchzuführen hat. Diese Verpflichtungen gelten bei ISO/IEC 27001 für das ISMS, bei ISO/IEC 20000-1 sowohl für das SMS als auch für die einzelnen Services.
Die Betrachtungsschwerpunkte beider Standards auf diesen Aspekt ergänzen sich sinnvoll und sollten daher zusammengefasst werden.
3. Kapazitätsmanagement
In ISO/IEC 27001 und ISO/IEC 20000-1 sind in Normabschnitt 7.1 Anforderungen an die Bestimmung und Bereitstellung von Ressourcen festgelegt, die eng mit dem Kapazitätsmanagement verbunden sind.
Der Prozess Capacity Management in ISO/IEC 20000-1 umfasst ein breiteres Spektrum als die Ausführungen in ISO/IEC 27001 und schließt u. a. auch nichttechnische Kapazitäten ein. In ISO/IEC 27001 existiert dazu derzeit nur das Control A.12.1.3 zur Kapazitätssteuerung.
Verfügbarkeit
In ISO/IEC 27000 wird Verfügbarkeit so definiert, dass sie sowohl zugänglich (Erreichbarkeit/Zugreifbarkeit eines Assets) als auch nutzbar (im Sinne ausreichender Funktionalität) ist. Das Kapazitätsmanagement in ISO/IEC 20000-1 unterstützt diese beiden Aspekte der Verfügbarkeit.
4. Management von Third Parties/Other Parties und damit verbundenen Risiken
Bei ISO/IEC 27001 wird unter „Third Party” eine Instanz außerhalb des ISMS-Geltungsbereichs verstanden, die ein potenzielles Risiko darstellt, z. B. Kunden, Lieferanten oder auch Bereiche innerhalb der eigenen Organisation.
Dagegen versteht die ISO/IEC 20000-1 unter „Other Parties” Instanzen, die nicht der direkten Kontrolle des Service Providers unterliegen, aber zu den Services oder Servicemanagement-Aktivitäten im Geltungsbereich des SMS beitragen, z. B. interne/externe Lieferanten oder Kunden, die als Lieferanten auftreten.
Risikobetrachtung
Die damit verbundenen Risiken werden von beiden Standards adressiert, z. B. im Lieferantenmanagement. Weiter wird in Normabschnitt 8.1 die Sicherstellung gefordert, dass ausgelagerte Prozesse bestimmt und kontrolliert werden.
Integration
Bei der IMS-Gestaltung gibt es zwei Hauptüberlegungen zum Lieferantenmanagement und der Risikobetrachtung von Drittparteien:
Vertragliche IS-Verpflichtungen sollten in den Risikobewertungsprozess einfließen. Dieser Prozess sollte dazu beitragen, die Anforderungen der ISO/IEC 20000-1 zu erfüllen, wonach die Organisation Risiken im Zusammenhang mit anderen Parteien berücksichtigen muss.
Es sollte vertraglich vereinbart und umgesetzt werden, dass Informationssicherheit angemessen berücksichtigt wird, wenn andere Parteien an Entwurf, Aufbau, Test, Einsatz oder Betrieb eines neuen oder geänderten Service beteiligt sind.
Weitere Konzepte aus ISO/IEC 20000-1, z. B. Leistungsüberprüfungen, Service-Änderungen, Kundenzufriedenheitsmanagement und Beschwerdemanagement, können ebenfalls auf ein IMS angewendet werden.
Die Methodik zum Risikomanagement sollte gemäß den Anforderungen der ISO/IEC 27001 aufgebaut werden.
5. Kontinuitäts- und Verfügbarkeitsmanagement
Sicht der Standards
ISO/IEC 20000-1 deckt in den Normabschnitten 8.7.1 und 8.7.2 zwei Bereiche ab, die für die Informationssicherheit von Interesse sind:
Service Availability Management und Service Continuity Management.
Die Anforderungen enthalten jedoch keine Spezifikation bzgl. Integrität und Vertraulichkeit, sodass die Aktivitäten innerhalb eines bestehenden Managementsystems dahingehend überprüft werden sollten, ob sie sinnvollerweise erweitert werden können, um Integrität und Vertraulichkeit abzudecken. Es ist auch wichtig zu beachten, dass sich die ISO/IEC 27000-Definition von Verfügbarkeit von der ISO/IEC 20000-1-Definition von Service-Verfügbarkeit unterscheidet und dass Service Continuity eine Untermenge von Business Continuity ist.
ISO/IEC 27001 berücksichtigt in A.17 das Management von IS innerhalb des Prozesses Business Continuity Management (BCM). Dieses Konzept stellt bei der Integration eine sinnvolle Ergänzung zu den Anforderungen der ISO/IEC 20000-1 bezüglich Servicekontinuität dar.
Integration
Die Organisation sollte bei der Integration darauf achten, sowohl die Unterschiede als auch die Möglichkeiten der gegenseitigen Unterstützung zwischen Service (Continuity) Management und IS-Management (hier gleich BCM) zu verstehen, wenn sie die Konzepte der Kontinuität und Verfügbarkeit bewertet und anwendet.
6. Release and Deployment Management
Die in ISO/IEC 20000-1, 8.5.3, dargestellten Anforderungen zu diesem Prozess sollten für eine Konformität zu ISO/IEC 27001 ergänzt werden.
So können beispielsweise Änderungen am Betrieb laufender Systeme vorgenommen werden, die IS-Schwachstellen mit sich bringen, wenn der Prozess die Möglichkeit böswilliger Handlungen außer Acht lässt. Dies ist besonders wichtig bei Notfalleinsätzen (Emergency Changes), bei denen ggf. abgespeckte Verfahren mit möglicherweise erhöhten IS-Risiken benutzt werden (müssen).
Ebenso ist die Berücksichtigung der Vertraulichkeit bei der Verarbeitung und Weitergabe von Testdaten in ISO/IEC 20000-1 nicht adressiert.
Integration
Daher sollte dieser Prozess bei einer Integration um geeignete Controls der ISO/IEC 27001 ergänzt werden, z. B. A.12.1.4 und A.14.2.9.

4 Anhänge der ISO/IEC 27013

4.1 Anhang A: Vergleich zwischen ISO/IEC 27001 und ISO/IEC 20000-1, Normkapitel 1 bis 10

Vergleich der Hauptkapitel
Normanhang A enthält einen tabellarischen Vergleich des Inhalts der Normkapitel 1 bis 10 auf Abschnittsebene zwischen ISO/IEC 27001:2013 und ISO/IEC 20000-1:2018.
Abschnitte, in denen sich die meisten Anforderungen und Details überschneiden, sind grau unterlegt. Diese Abschnitte sind nicht notwendigerweise identisch, weisen aber signifikante Korrelationen auf. Der fettgedruckte Text in der Tabelle bezieht sich auf Überschriften von Abschnitten oder Unterabschnitten, die selbst keinen Text oder keine Anforderungen enthalten (vgl. in der Arbeitshilfe Anhang A).[ 07373_a.xlsx]

4.2 Anhang B: Vergleich zwischen ISO/IEC 27001, Annex A und den Anforderungen in ISO/IEC 20000-1, Normkapitel 4 bis 10

Annex A vs. ISO/IEC 20000-1
Normanhang B enthält einen thematischen Vergleich zwischen den Controls in ISO/IEC 27001, Annex A, und den Anforderungen von ISO/IEC 20000-1, Normkapitel 4 bis 10.
Die Controls in ISO/IEC 27001, Annex A, sind keine Anforderungen und nicht verpflichtend. Die Organisation bestimmt alle Controls, die für die Umsetzung der gewählten Behandlung von IS-Risiken notwendig sind, vergleicht diese mit Annex A und dokumentiert das Ergebnis in der Erklärung zur Anwendbarkeit (Statement of Applicability, SoA). Dabei können zusätzlich zu Annex A weitere Controls hinzugefügt werden.
ISO/IEC 20000-1 spezifiziert Anforderungen an das SMS, führt aber keine Controls auf und spezifiziert keine Anforderungen an ein SoA, sodass es keine direkte Korrelation zwischen ISO/IEC 27001, Annex A, und ISO/IEC 20000-1 gibt. Abschnitt 8.7.3.2 enthält jedoch die Anforderung, Controls zu bestimmen, um IS-Risiken für das SMS und die Services zu behandeln, und das Ergebnis.
Für die Integration müssen Organisationen zwischen den Anforderungen der ISO/IEC 20000-1 und den Controls des Annex A der ISO/IEC 27001 unterscheiden und die Unterschiede kommunizieren.
Signifikante Korrelationen zwischen Controls der ISO/IEC 27001, Annex A und ISO/IEC 20000-1 sind grau hervorgehoben. Bereiche ohne Schattierung sind solche, in denen es keine oder nur geringe thematische Überschneidungen gibt (vgl. in der Arbeitshilfe Anhang B).[ 07373_a.xlsx]

4.3 Anhang C: Vergleich der Begriffe und Definitionen in ISO/IEC 27000 und ISO/IEC 20000-1

Normanhang C stellt eine ausführliche Gegenüberstellung der in beiden Standards verwendeten Begriffe bereit. Für ISO/IEC 27001 ist das maßgebliche Glossar in ISO/IEC 27000 dargestellt.
Sehr wertvoll sind hier ergänzende Kommentare und Empfehlungen zur Nutzung der Begriffe in einem gemeinsamen Verständnis für beide Standards, sofern dies möglich ist.

Quellen

1
ISO/IEC 27013:2021 – Informationssicherheit, Cybersicherheit und Datenschutz – Leitfaden für die gemeinsame Einführung von ISO/IEC 27001 und ISO/IEC 20000-1; Originaltitel (englisch): Information security, cybersecurity and privacy protection – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
2
ISO/IEC 27001:2013 – Informationssicherheits-Managementsysteme – Anforderungen; Originaltitel (englisch): Information security management systems – Requirements
3
ISO/IEC 20000-1:2018 – Service Management – Teil 1: Spezifikation für Service Management; Originaltitel (englisch): Service management – Part 1: Service management system requirements
4
ISO/IEC 27000:2018 – Informationssicherheits-Managementsysteme – Überblick und Terminologie; Originaltitel (englisch): – Information security management systems – Overview and vocabulary
7
ISO/IEC 20000-3:2019 – Service Management – Teil 3: Richtlinie zur Definition des Anwendungsbereichs und Anwendbarkeit der ISO/IEC 20000-1; Originaltitel (englisch): Service management – Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1
8
ISO/IEC 27003:2017 – Informationssicherheitsmanagementsystem-Einführungsleitlinie; Originaltitel (englisch): Information security management system implementation guidance
 

Weiterlesen und „IT-Servicemanagement digital“ 4 Wochen gratis testen:

  • IT-Servicemanagement nach ISO 20000, IT Governance und IT Compliance
  • Zugriff auf über 220 Fachbeiträge und 160 Arbeitshilfen
  • Onlinezugriff – überall verfügbar


Sie haben schon ein Abonnement oder testen bereits? Hier anmelden

Ihre Anfrage wird bearbeitet.
AuthError LoginModal