1 Einleitung
ISO/IEC 27021
Der Standard ISO/IEC 27021 [1] , Information technology – Security techniques – Competence requirements for information security management systems professionals, beschreibt die Kompetenzanforderungen an ISMS-Experten.
Der Standard ISO/IEC 27021 [1] , Information technology – Security techniques – Competence requirements for information security management systems professionals, beschreibt die Kompetenzanforderungen an ISMS-Experten.
Die Anfangskapitel des Standards gehen nach dem Vorwort und der Einleitung wie üblich ein auf den Geltungsbereich des Standards sowie normative Referenzen und enthalten Begriffe und deren Definition. Daran schließen sich die folgenden Kapitel an:
• | Konzept und Struktur |
• | Kompetenzen in Unternehmensführung für ISMS-Experten |
• | Informationssicherheitskompetenzen für ISMS-Experten |
• | Anhang A: Kenntnisse von ISMS-Experten als Teil eines Qualifikationsprofils (Body Of Knowledge, BoK) |
• | Literaturhinweise |
2 Konzept und Struktur
Konzept
Als Konzept der ISMS-Kompetenz liegt dem Standard zugrunde, dass Experten für Managementsysteme sowohl fachspezifische als auch betriebswirtschaftliche Kompetenzen (BW-Kompetenzen) benötigen. Dementsprechend benötigen ISMS-Experten zum einen spezifische Kompetenzen in der Informationssicherheit und zum anderen allgemeine Managementkompetenzen.
Als Konzept der ISMS-Kompetenz liegt dem Standard zugrunde, dass Experten für Managementsysteme sowohl fachspezifische als auch betriebswirtschaftliche Kompetenzen (BW-Kompetenzen) benötigen. Dementsprechend benötigen ISMS-Experten zum einen spezifische Kompetenzen in der Informationssicherheit und zum anderen allgemeine Managementkompetenzen.
Struktur der ISMS-Kompetenz
Die ISMS-Kompetenzkategorien orientieren sich an den Kapiteln 5 bis 10 der ISO/IEC 27001:2013. Jede Kompetenz ist in der gleichen Form beschrieben:
Die ISMS-Kompetenzkategorien orientieren sich an den Kapiteln 5 bis 10 der ISO/IEC 27001:2013. Jede Kompetenz ist in der gleichen Form beschrieben:
• | Kapitel/Unterkapitel der ISO/IEC 27001:2013, sofern anwendbar |
• | Beabsichtigtes Ergebnis |
• | Erforderliches Wissen (knowledge) |
• | Erforderliches Können (skill) |
Wissen und Können
Dementsprechend soll jeder ISMS-Experte sowohl sein Wissen als auch sein Können nachweisen können.
Dementsprechend soll jeder ISMS-Experte sowohl sein Wissen als auch sein Können nachweisen können.
Zweimal zwölf Kompetenzen
Der Standard stellt zum einen für die üblichen Bereiche des betrieblichen Managements und zum anderen für das ISM jeweils zwölf Kompetenzen dar.
Der Standard stellt zum einen für die üblichen Bereiche des betrieblichen Managements und zum anderen für das ISM jeweils zwölf Kompetenzen dar.
3 Kompetenzen in Unternehmensführung
BW-Kompetenzen
ISMS-Experten sollen sich Wissen in den grundlegenden Bereichen des betrieblichen Managements aneignen und es aktuell halten. Zu diesen Kompetenzen gehören:
ISMS-Experten sollen sich Wissen in den grundlegenden Bereichen des betrieblichen Managements aneignen und es aktuell halten. Zu diesen Kompetenzen gehören:
• | Führung |
• | Kommunikation |
• | Geschäftsstrategie und ISMS |
• | Organisationskonzepte, Kultur, Verhalten und Stakeholdermanagement |
• | Prozessorganisation und organisatorisches Veränderungsmanagement |
• | Management von Personal, Teams und Einzelpersonen |
• | Risikomanagement |
• | Ressourcenmanagement |
• | Architekturen von Informationssystemen |
• | Projekt- und Portfoliomanagement |
• | Lieferantenmanagement |
• | Problemmanagement |
Bei der Kompetenz „Organisationskonzepte, Kultur, Verhalten und Stakeholdermanagement” sind als erforderliches Wissen u. a. die Theorie von Organisationskonzepten (organization design theory) und die Theorie der Organisationskultur angegeben. Beim Können angegeben sind u. a. die Analyse und Bewertung der Organisationskultur und die Integration des ISMS in das Organisationskonzept. Dies macht dem Leser transparent, dass bestimmtes Wissen die Basis für das erforderliche Können ist.
4 Kompetenzen in Informationssicherheit
ISM-Kompetenzen
ISMS-Experten sollen sich Wissen in üblichen Techniken und Prozessen im Bereich der Informationssicherheit aneignen und es aktuell halten. Dazu gehören beispielsweise Prinzipien und Ziele der Informationssicherheit. Der Standard identifiziert folgende Kompetenzen:
ISMS-Experten sollen sich Wissen in üblichen Techniken und Prozessen im Bereich der Informationssicherheit aneignen und es aktuell halten. Dazu gehören beispielsweise Prinzipien und Ziele der Informationssicherheit. Der Standard identifiziert folgende Kompetenzen:
• | Governance der Informationssicherheit |
• | Kontext der Organisation |
• | Geltungsbereich des ISMS |
• | Informationssicherheitsrisikobewertung und -behandlung |
• | Betrieb der Informationssicherheit |
• | Sensibilisierung, Schulung und Training zur Informationssicherheit |
• | Dokumentation |
• | Überwachung, Messung, Analyse und Bewertung des ISMS |
• | ISMS-Auditierung |
• | Management Review |
• | Kontinuierliche Verbesserung |
• | Technologische Trends und Entwicklungen |
Als Wissen für die Kompetenz „Dokumentation” nennt die ISO/IEC 27021 u. a. die Dokumentationsanforderungen eines ISMS sowie Tools und Techniken zur Versionierung der Dokumentation. Das Können umfasst u. a. die Erstellung und Pflege eines Dokumentationsverzeichnisses für das ISMS und das Management von Dokumentenänderungen und die Versionskontrolle, aber auch die Organisation und Steuerung des Dokumentationsmanagement-Workflows.
Anhang A
Der Anhang A enthält eine Tabelle, die für jede Kategorie und jede Kompetenz beispielhaft Begriffe nennt, die zum Wissen eines ISMS-Experten gehören sollten. Diese können zum Aufbau eines Qualifikationsprofils (BoK) genutzt werden.
Der Anhang A enthält eine Tabelle, die für jede Kategorie und jede Kompetenz beispielhaft Begriffe nennt, die zum Wissen eines ISMS-Experten gehören sollten. Diese können zum Aufbau eines Qualifikationsprofils (BoK) genutzt werden.
Die Kompetenz „Geschäftsstrategie und ISMS” nennt u. a. die Begriffe Geschäftsmetriken sowie gesetzliches und regulatorisches Umfeld.
Die Kompetenz „Betrieb der Informationssicherheit” enthält – wie auch verschiedene andere Kompetenzen der Kategorie ISMS – eine Vielzahl an Begriffen, in diesem Fall u. a. die Begriffe Wert (asset), Zugangsschutz (access control), Antivirussoftware, Computer Security Incident Response Team (CSIRT), Information Technology Infrastructure Library (ITIL), Penetrationstests und Systementwicklungslebenszyklus (System Development Life Cycle, SDLC).
Literaturhinweise
Die Literaturhinweise führen internationale Standards der ISO/IEC-27000-Familie zum ISMS auf, wie die ISO/IEC 27001:2013 und die ISO/IEC 27002, aber auch die ISO/IEC 27005 zum Informationssicherheitsrisikomanagement und die ISO/IEC 27014 zur Governance der Informationssicherheit (s. Kap. 07374).
Die Literaturhinweise führen internationale Standards der ISO/IEC-27000-Familie zum ISMS auf, wie die ISO/IEC 27001:2013 und die ISO/IEC 27002, aber auch die ISO/IEC 27005 zum Informationssicherheitsrisikomanagement und die ISO/IEC 27014 zur Governance der Informationssicherheit (s. Kap. 07374).
Quellen
1
ISO/IEC 27021 – Information technology – Security techniques – Competence requirements for information security management systems professionals, 2017; (Titel deutsch) Anforderungen an die Kompetenz von Sachkundigen für Informationssicherheits-Managementsysteme