Nachhaltiger ISMS-Betrieb

Jeder Auf- oder Ausbau eines angemessenen Informationssicherheits-Managementsystems (ISMS) bringt diverse Herausforderungen mit sich: ob eine zu späte Implementierung, ungenügende Budgetierung oder eine mangelnde Ausstattung und Akzeptanz innerhalb der Organisation – die Gründe dafür sind vielschichtig. Häufig scheitern ISMS-Projekte aber auch am Übergang vom Projekt zum operativen Betrieb, da nicht klar ist, wie der ISMS-Betrieb genau zu gestalten ist. Die maßgebliche Ursache dafür ist eine oft rein maßnahmenorientierte Umsetzung von ISMS-Projekten, in der man checklistenbasiert eine stetig steigende Zahl von Anforderungen und entsprechenden Maßnahmen bearbeitet.

Die 2021 veröffentlichte „Technical Specification“ ISO/IEC TS 27022 „Information technology – Guidance on information security management system processes [1]“ beschreibt ein betriebsorientiertes ISMS-Prozess-Referenzmodell, das eine Fokussierung auf den nachhaltigen Betrieb des Informationssicherheits-Managements unterstützt. Es hilft Anwendern beim Übergang vom projektorientierten Design und Aufbau eines ISMS hin zum prozessorientierten Betrieb desselben.

Referenzmodell

Zur theoretischen Einordnung sei erwähnt, dass ein Prozess-Referenzmodell als „ein pragmatisch vereinfachtes und damit generalisiertes Muster, bestehend aus Beschreibungen von Abläufen (Prozessen), deren Zielen und Ergebnissen sowie einer Architektur, die das Zusammenwirken und die Schnittstellen zwischen den Prozessen“ definiert ist. Es besteht aus einem Set von Prozessen, die zu einer Anforderungsnorm für Managementsysteme konform sind und das Erreichen der Ziele des Managementsystems unterstützen oder erst ermöglichen. Die Inhalte, der Aufbau und die Standardisierung als Prozess-Referenzmodell sind dabei in ISO/IEC 33004 „Information technology – Process assessment – Requirements for process reference, process assessment and maturity models“ genormt [2].

Der primäre Nutzen eines standardisierten Prozess-Referenzmodells ist die Abkehr von der Anforderungs-/Maßnahmenorientierung und Hinwendung zu einem prozess- und betriebsorientierten Ansatz, in dem auch die Anforderungen und Maßnahmen für das ISMS in ISO/IEC TS 27022 eingebettet sind. Diese Prozess- und Betriebsorientierung ermöglicht einen nachhaltigen und effizienten Betrieb des Managementsystems. Im Detail bietet ein Prozess-Referenzmodell folgende Vorteile:

• Ein Prozess-Referenzmodell stellt ein Muster für den nachhaltigen Betrieb eines Managementsystems dar.
• Es ist anwendbar für alle Organisationen – unabhängig von Größe, Branche, Geschäftsmodell, Lokation et cetera. Es liefert damit den Prototypen eines Managementsystems und eine wesentliche Arbeitshilfe für den Managementsystem-Beauftragten/Manager.
• Die Prozessorientierung unterstützt den Übergang vom Design und der initialen Implementierung eines Managementsystems (oft als Projekt realisiert) hin zu seinem dauerhaften Betrieb. Sie ergänzt dabei die anforderungsorientierte durch eine betriebsorientierte Sicht.
• Die Differenzierung zwischen Tätigkeiten im Rahmen des ISMS-Betriebs und der aus einem ISMS heraus initiierten Sicherheits-Maßnahmen ermöglicht eine transparentere Zuordnung und damit Steuerung von Ressourcen/Kosten.
• Die Prozessorientierung unterstützt beziehungsweise ermöglicht die Integration des Managementsystems oder der Managementsystem-Prozesse als Domäne in ein integriertes Managementsystem (siehe [3,4]).

Ein Prozess-Referenzmodell ist dabei kein simples vordefiniertes Prozessmodell – es ist nicht zur „Out-of-the-Box“-Nutzung ohne Anpassungen an die anwendende Organisation geeignet. Das Prozess-Referenzmodell dient vielmehr als Grundlage für ein eigenes, an die jeweiligen Anforderungen und Rahmenbedingungen angepasstes Prozessmodell. Jede Organisation muss dazu ihre individuellen Ausprägungen von Prozessen des Managementsystems unter Berücksichtigung interner und externer Faktoren definieren und steuern. Die drei wesentlichen Steuerungsgrößen dabei sind

• der jeweilige Reifegrad der Prozesse,
• die organisationsindividuellen Prozess-Ziele in Bezug auf die angestrebte Wirkung und Erreichbarkeit sowie
• das Alignment mit den strategischen Organisationszielen.

Oft strebt man für ein zertifizierungsfähiges Managementsystem einen Prozessreifegrad der höchsten Stufe an, obwohl diese pauschale Forderung („Gießkannenprinzip“) häufig nicht den Kriterien der Effizienz und Notwendigkeit genügt. Die Ursache für individuelle Reifegrad-Anforderungen an Prozesse sind Unterschiede zwischen anwendenden Organisationen, deren Zielen und weiteren Rahmenbedingungen sowie deren konkrete Anforderungen. Es ist eben nicht für jeden Prozess ein identischer Reifegrad notwendig – und damit auch angemessen. Es kann sogar durchaus sinnvoll sein, auf einzelne Prozesse komplett zu verzichten – das sollte dann jedoch gut überlegt und begründet werden.

Die Prozesse im Referenzmodell werden in Management-, Kern- und Unterstützungs-Prozesse unterschieden. Für jeden einzelnen Prozess sind die folgenden Aspekte zu beschreiben:

• Prozess-Kategorie
• Kurzbeschreibung
• Prozess-Ziele/Zweck
• Prozess-Input
• Prozess-Output
• Tätigkeiten
• informative Referenzen zum Managementsystemstandard (Anforderungsnorm)

Prozessmodell im Überblick

Das ISMS-Prozess-Referenzmodell gemäß ISO/IEC TS 27022 besteht aus den in Abbildung 1 dargestellten Prozessen. Im Folgenden werden kurz die Ziele, Ergebnisse und die kritischen Erfolgsfaktoren der jeweiligen Prozesse zusammenfassend erläutert. Selbstverständlich können diese zusammenfassenden Punkte je nach Organisation und Unternehmen auch andere Ausprägungen enthalten.

Management-Prozesse

Das Ziel des Management-Prozesses „Führung/strategische Steuerung der Informationssicherheit“ sind der Einklang und die Ausrichtung des ISMS auf die Ziele der Organisation sowie die Erfüllung der Anforderungen relevanter Stakeholder an die Informationssicherheit derselben. Das Ergebnis des Prozesses ist die Fähigkeit der Organisation zur kontinuierlichen Ausrichtung des ISMS an die Ziele und Bedürfnisse der Stakeholder. Kritische Erfolgsfaktoren sind die dabei identifizierten Stakeholder sowie die Definition und das Verständnis ihrer Ziele.

Kern-Prozesse

Das Ziel des Kern-Prozesses zur „Steuerung von Sicherheitsvorgaben und -regelungen“ ist die Festlegung und Gewährleistung der Eignung, Aktualität, Verfügbarkeit und Vollständigkeit von Vorgaben zur Informationssicherheit, die im Einklang mit den Zielen, der Strategie und den Risikobehandlungs-Entscheidungen stehen. „Eignung“ umfasst dabei auch Verständlichkeit, Akzeptanz und Praktikabilität der Regelungen. Das Ergebnis des Prozesses ist die Fähigkeit der Organisation zur risikomindernden Steuerung des Verhaltens und der Aufgabenerledigung (Ablauforganisation) der Mitarbeiter durch ein definiertes Regelungsset. Kritische Erfolgsfaktoren sind dabei die Bekanntheit und das Verständnis der Regelungen in der jeweiligen Zielgruppe.

Der Schlüssel zur Erreichung der ISMS-Ziele ist ein aktuelles und möglichst vollständiges Verständnis der Erwartungen und Anforderungen der relevanten Stakeholder des ISMS. Ziel des Kern-Prozesses zur „Steuerung von Anforderungen“ ist es daher, alle einschlägigen gesetzlichen, vertraglichen und sonstigen Anforderungen zu identifizieren und in den Managementprozess einzubringen. Ergebnis des Prozesses ist dementsprechend die Fähigkeit zur Identifikation und Priorisierung aller relevanten Anforderungen an die Informationssicherheit der Organisation. Kritische Erfolgsfaktoren sind die vollständige Identifikation aller wesentlichen Stakeholder und deren Anforderungen sowie die Nutzung der bewerteten und priorisierten Anforderungen als Input in Prozessen zur Identifikation und Bewertung von Risiken der Informationssicherheit, zur Kommunikation, zur Steuerung ausgelagerter Dienstleistungen und zur internen Auditierung.

Der Prozess „Identifikation und Bewertung von Risiken der Informationssicherheit“ hat die Analyse aller relevanten Risiken inklusive der jeweiligen Risiko-Eigentümer zum Ziel. Ergebnisse dieses Prozesses sind die Fähigkeit zur Identifikation, Bewertung und Behandlung aller bedeutsamen Informationssicherheitsrisiken sowie dokumentierte und bewertete Risiken in Form einer priorisierten Liste inklusive Bedrohungen, Schwachstellen, Risikoeigentümern, Auswirkungen des Risikoeintritts, einer Schätzung der Auswirkungen des Risikoeintritts und eine Bewertung gegen die Risikobewertungskriterien. Kritische Erfolgsfaktoren sind die Vollständigkeit in Bezug auf maßgebliche Risiken, ein angemessenes Detaillevel und die gemäß ISO/IEC 27001 Kapitel 6.1.2 b notwendige Gewährleistung von konsistenten, wiederholbaren, vergleichbaren und belastbaren Ergebnissen der Risikoidentifikation und -bewertung.

Das Ziel des Kern-Prozesses zur „Behandlung der Risiken zur Informationssicherheit“ ist die Identifikation und Auswahl angemessener Risikobehandlungsoptionen, Maßnahmen und Maßnahmenziele. Die Ergebnisse dieses Prozesses sind die Fähigkeit zur adäquaten Steuerung relevanter Risiken durch Identifikation und Auswahl passender Risikobehandlungsoptionen, Maßnahmen und Maßnahmenziele und somit eine Liste ausgewählter Maßnahmen und Maßnahmenziele, ein Risikobehandlungsplan inklusive akzeptierter Restrisiken, ein Maßnahmenumsetzungsplan sowie Änderungsanträge. Dokumentierte Entscheidungen zur Behandlung der Risiken durch den Risikoeigentümer sowie die Berücksichtigung von Restrisiken nach der initialen Risikominderung in einem erneuten Prozessdurchlauf stellen kritische Erfolgsfaktoren dar.

Die „Steuerung der Umsetzung von Maßnahmen“ dient zur Gewährleistung, dass der Risikobehandlungsplan und alle Änderungen wirklich wie geplant umgesetzt werden. Ergebnisse dieses Prozesses sind die Fähigkeit, Entscheidungen zur Risikobehandlung tatsächlich in allen Bereichen zu realisieren, sowie die Initiierung und Nachverfolgung von Maßnahmen. Als kritische Erfolgsfaktoren fungieren die Identifikation der „richtigen“ Umsetzungsverantwortlichen sowie eine angemessene Budget- und Ressourcenplanung und -bereitstellung.

Sobald Dienstleistungen an Dritte ausgelagert werden (Outsourcing), müssen sicherheitsrelevante ausgelagerte Dienstleistungen bestimmt und deren Informationssicherheit gesteuert und kontrolliert werden. Ziel des Kern-Prozesses zur „Steuerung ausgelagerter Dienstleistungen“ ist die Vermeidung negativer Auswirkungen des Outsourcings auf das Informationssicherheitsniveau – sprich: sicherzustellen, dass Informationen, die man Dienstleistern zur Verarbeitung bereitstellt, unter Beachtung der Anforderungen der auslagernden Organisation verarbeitet werden. Ergebnis des Prozesses ist die Fähigkeit, jegliche nachteiligen Effekte durch ausgelagerte Dienste zu minimieren. Kritische Erfolgsfaktoren sind hierbei eine frühzeitige Integration in alle Beschaffungsprozesse, die Zusammenarbeit mit Dienstleistern bei der Erstellung von Sicherheitskonzepten, die Kontrolle von Dienstleistern sowie die Vermeidung einer zu großen einseitigen Abhängigkeit als Voraussetzung für die Steuerbarkeit des Outsourcings.

Der Prozess zur „Gewährleistung von Sensibilisierung und Kompetenz“ hat eine kontinuierliche Achtsamkeit und Gewährleistung angemessener Kompetenz bezüglich der Informationssicherheit für alle in die Informationsverarbeitung involvierten Personen zum Ziel. Ergebnisse sind neben der entsprechenden Befähigung der Organisation ein Sensibilisierungs-, Trainings- und Weiterbildungsprogramm zur Informationssicherheit sowie dessen Umsetzung. Ein kritischer Erfolgsfaktor ist neben der Kontinuität von Sensibilisierungsmaßnahmen auch deren Anpassung an den Wissensstand innerhalb der Zielgruppe(n). Um Mitarbeiter:innen mit passenden Sensibilisierungs- und Weiterbildungsmaßnahmen auf ihrem aktuellen Wissensstand „abzuholen“, ist es naturgemäß notwendig, diesen zu kennen beziehungsweise zu erheben.

Ziel des Prozesses zur „Steuerung von Vorfällen der Informationssicherheit“ ist es, einen konsistenten, effektiven und effizienten Umgang mit Security-Incidents zu gewährleisten – sprich: eine schnelle, effektive und durchdachte Behandlung von Vorfällen. Ergebnisse des Prozesses sind die Fähigkeit zur kontinuierlichen Achtsamkeit und Gewährleistung angemessener Kompetenz hinsichtlich des Prozess-Ziels. Weiterhin müssen Vorfälle der Informationssicherheit detektiert, berichtet/eskaliert, analysiert und behandelt werden. Maßnahmen sind in Folge der Erkenntnisse aus einem Incident (Lernen aus Vorfällen) zu identifizieren und einzuleiten. Die Ergebnisse dieses Prozesses werden in vielen anderen ISMS-Prozessen als Input genutzt – zum Beispiel im Prozess zur „Steuerung von Änderungen der Informationssicherheit“ und zur „Gewährleistung von Sensibilisierung und Kompetenz“. Kritische Erfolgsfaktoren sind an dieser Stelle die vollständige Erkennung und Meldung von Vorfällen sowie definierte und funktionierende Kommunikationskanäle und Verantwortlichkeiten im Prozess.

Die Umsetzung von Maßnahmen stellt immer eine Modifikation dar, die im Rahmen eines Änderungsmanagement-Prozesses gesteuert werden sollte (Change-Management). Betrifft die Änderung ein ISMS-Element, kann sie auch einer Instanz des allgemeinen Änderungsmanagement-Prozesses im ISMS, dem Prozess zur „Steuerung von Änderungen der Informationssicherheit“, unterworfen werden. Ziel dieses Prozesses ist die Vermeidung negativer Auswirkungen von Änderungen auf das Informationssicherheitsniveau. Sein Ergebnis ist die Fähigkeit zur Beibehaltung einer angemessenen Sicherheit bei und nach der Umsetzung von Änderungen. Kritische Erfolgsfaktoren sind die Integration des Prozesses in bestehende Änderungsprozesse und darüber eine Steuerung aller relevanten Änderungen.

Der Prozess zur „Bewertung der Leistung (Überwachen und Messen)“ bewertet nicht die Leistung einzelner Mitarbeiter, sondern die Leistung der Sicherheitsmaßnahmen auf der einen und des ISMS (bzw. seiner Prozesse) auf der anderen Seite. Hierzu sind Überwachungen, Messungen und eine Analyse/Verdichtung der Messwerte zu Kennzahlen erforderlich. Ziel des Prozesses ist daher die fortlaufende Bewertung der Sicherheitsmaßnahmen und der Leistung des ISMS gegen die Vorgaben, Anforderungen und Ziele. Ergebnis des Prozesses ist die Fähigkeit zur kontinuierlichen Feststellung der Effektivität und Effizienz des ISMS sowie der Sicherheitsmaßnahmen. Kritische Erfolgsfaktoren sind die Auswahl geeigneter Messgrößen im
Rahmen eines Systems aus Ziel- und Leistungsindikatoren sowie deren kontinuierliche Erhebung.

Das Überwachen und Messen unterscheidet sich vom Prozess zur „internen Auditierung“ hinsichtlich der notwendigen Unabhängigkeit Letzterer vom zu prüfenden Aspekt. Ziel dieses Prozesses ist daher die unabhängige Feststellung der Wirksamkeit und Wirtschaftlichkeit ergriffener Sicherheitsmaßnahmen inklusive der Identifikation von Abweichungen – die Befähigung hierzu ist das Ergebnis des Prozesses. Kritische Erfolgsfaktoren sind die Unabhängigkeit der Prüfer vom zu prüfenden Aspekt sowie die risikoorientierte Auswahl der zu prüfenden Aspekte und Stichproben.

Ergebnisse der Prozesses zur „Bewertung der Leistung (Überwachen und Messen)“ sowie zur „internen Auditierung“ und „Steuerung ausgelagerter Dienstleistungen“ sollten genutzt werden, um die Effektivität und Effi zienz des gesamten ISMS und der Sicherheitsmaßnahmen zu verbessern. Dies geschieht im Prozess zur „Verbesserung der Informationssicherheit“, dessen Ziel die Gewährleistung einer kontinuierlichen Optimierung der Effizienz und Effektivität des ISMS ist.
Aus dem Prozess resultiert die Fähigkeit zur Sicherstellung und Verbesserung einer anhaltenden Eignung sowie Effektivität des ISMS. Kritischer Erfolgsfaktor ist die Etablierung einer Kultur stetiger Verbesserung und kontinuierlicher Anpassung.

Unterstützungs-Prozesse

Ziele des Prozesses „Steuerung von Aufzeichnungen“ sind die Gewährleistung der Verfügbarkeit aller notwendigen Aufzeichnungen zum Nachweis der Effektivität des ISMS, die Gewährleistung einer angemessenen Identifikation, Beschreibung, Formatierung, Überprüfung und Freigabe aller relevanten Aufzeichnungen sowie die Gewährleistung eines adäquaten Schutzes der Aufzeichnungen vor Verlust, Zerstörung, Verfälschung und unautorisierte Kenntnisnahme/Veröffentlichung. Das Resultat ist der Zugang zu einer sinnvollen ISMS-Dokumentation – kritische Erfolgsfaktoren sind eine strukturierte und vollständige Ablage aller relevanten Aufzeichnungen.

Die „Steuerung von Ressourcen“ dient der prozessgesteuerten Verfügbarkeit und dem effizienten Einsatz angemessener Ressourcen für das ISMS und die Sicherheitsmaßnahmen. Das ermöglicht eine effiziente Ressourcenverwendung bestehend aus der Planung und Dokumentation von Ressourcen zur Umsetzung der ausgewählten Maßnahmen und zum Betrieb des ISMS, eine Kategorisierung der Maßnahmen im Hinblick auf ihre Finanzierung (Wer stellt Ressourcen bereit?) sowie Berichte zur Ressourcen-Nutzung. Kritische Erfolgsfaktoren sind dabei die Differenzierung zwischen Ressourcen zum ISMS-Betrieb und zur Umsetzung von Maßnahmen sowie die dadurch erreichte Transparenz hinsichtlich der Ressourcenverwendung.

Die Ergebnisse von nahezu jedem ISMS-Prozess sollten aufbereitet und gesteuert an die Stakeholder außerhalb des ISMS kommuniziert werden. Dies geschieht im „Kommunikations-Prozess“, der als Drehscheibe für alle Beteiligten fungiert. In die Kommunikation eingeschlossen sind Risiken sowie Management-Berichte zur Informationssicherheit. Ziel des Prozesses ist es, Entscheidungsträger und Stakeholder angemessen über Informationssicherheits-Risiken zu informieren und ihnen ein grundlegendes Verständnis dieser Informationen zu ermöglichen – eingeschlossen sind dabei auch Inhalte wie Kosten für Maßnahmen, erreichte Fähigkeiten und Reifegrade, Zielerreichungsgrade der ISMS-Prozesse, Sicherheits-Vorfälle et cetera. Ergebnis dieses Prozesses ist die Möglichkeit einer angemessenen Information und Konsultation aller relevanten Stakeholder über Informationssicherheitsrisiken und weitere damit in Zusammenhang stehenden Informationen. Kritische Erfolgsfaktoren sind die Einhaltung des Need-to-know-Prinzips, eine angemessene Aufbereitung der Informationen für die jeweilige Zielgruppe sowie ein angemessener Kommunikationsplan.

Der Prozess zur „Führung/strategischen Steuerung der Informationssicherheit“ stellt die Schnittstelle zwischen den Stakeholdern und dem ISMS dar. Darüber hinaus sollte man im ISMS im Rahmen des Prozesses zur „Steuerung der Kundenbeziehungen“ eine Schnittstelle zu den Nutzern etablieren. Ziele dieses Prozesses sind die Gewährleistung einer angemessenen Kundenzufriedenheit, einer Balance zwischen Nutzen und Kosten der Investitionen in Informationssicherheit sowie die permanente Darstellung des Wertbeitrags des ISMS und der Sicherheitsmaßnahmen. Ergebnis des Prozesses ist die Fähigkeit zur Sicherstellung einer angemessenen Kundenzufriedenheit und anhaltenden Darlegungen des gewonnen Wertes von Investitionen in Informationssicherheit. Kritische Erfolgsfaktoren sind dabei die regelmäßige Messung des Kundenzufriedenheits-Niveaus sowie die effektive Verdeutlichung des Wertbeitrages der Investitionen in die Informationssicherheit für die Kunden.

Nutzung des Referenzmodells

Das vorgestellte ISMS-Prozess-Referenzmodell lässt sich auf zwei Arten nutzen:

• Sollte noch kein ISMS vorhanden sein, kann das ISMS-Prozess-Referenzmodell als Blaupause für ein solches dienen und im Rahmen des ISMS-Designs Berücksichtigung finden.
• Wurde ein ISMS bereits geplant und implementiert und wird betrieben, kann das Prozessmodell dazu dienen, um gegebenenfalls fehlende prozessuale Grundlagen für die Operationalisierung und den Betrieb zu ergänzen und so das bestehende ISMS und seine Wirtschaftlichkeit zu optimieren.

Fazit

Die aufgeführten Ergebnisse ermöglichen jeglicher Organisation nicht nur einen Paradigmenwechsel im Informations-Sicherheits-Management von der Projekt- und Einzelmaßnahmenorientierung hin zu einem prozessorientierten Grundverständnis mit Fokussierung auf den Betrieb des ISMS als Teil eines integrierten Managementsystems (IMS). Die Prozessorientierung unterstützt dabei gleichzeitig auch die Einbeziehung verschiedener Managementsystem-Domänen – wie Informationsicherheit, Datenschutz sowie Kontinuitäts- und IT-Service-Management et cetera – in ein integriertes Gesamtmanagementsystem einer Organisation.

Prof. Dr. Knut Haufe ist Associate Partner, Dr. Srdan Dzombeta ist Partner im Bereich Cyber-Security bei der Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft.

Literatur

[1] International Organization for Standardization (ISO), International Electrotechnical Commission (IEC), Information technology – Guidance on information security management system processes, ISO/IEC TS 27022:2021, März 2021, www.iso.org/standard/61004.html bzw. www.beuth.de/de/vornorm/iso-iec-ts-27022/337757570 (kostenpflichtig)
[2] International Organization for Standardization (ISO), International Electrotechnical Commission (IEC), Information technology – Process assessment – Requirements for process reference, process assessment and maturity models, ISO/IEC 33004:2015, März 2015, www.iso.org/standard/54178.html bzw. www.beuth.de/de/norm/isoiec-33004/232088793 (kostenpflichtig)
[3] International Organization for Standardization (ISO), The Integrated Use of Management System Standards (IUMSS), Handbuch, 2. Edition, November 2018, verfügbar als englischsprachiges PDF via www.iso.org/publication/PUB100435.html (kostenpflichtig) oder in deutscher Übersetzung als [2]
[4] Deutsches Institut für Normung (DIN) e. V. (Hrsg.), Die integrierte Anwendung von Managementsystemnormen, Beuth, 2. überarbeitete und erweiterte Auflage, August 2019, ISBN 978-3-410-29310-1