Welche Prinzipien und Ziele hat ein ISO 27001 Informationssicherheits-Managementsystem? ISO 27001 Grundsätze und Prinzipien

Welche Prinzipien hat die ISO 27001 Informationssicherheit?

Das ISO 27001 Informationssicherheits-Managementsystem ruht auf neun Grundsätzen, die sich gegenseitig ergänzen und als Einheit zu lesen sind. Diese Grundsätze betreffen alle Nutzerinnen und Nutzer, einschließlich der politischen und der operativen Ebene. Innerhalb des Rahmens, den sie vorgeben, können die Verantwortlichkeiten je nach Rolle variieren. Die Grundsätze fördern ein tragfähiges Sicherheitsverständnis und die Verankerung konkreter Praktiken durch Aufklärung, Schulung und Wissensaustausch. Bestrebungen, die Zuverlässigkeit von Informationssystemen und Netzwerken zu erhöhen, sind mit den Werten einer demokratischen Gesellschaft vereinbar, insbesondere mit dem Schutz der Privatsphäre und dem freien und offenen Zugang zu Informationen.

Die Grundsätze des ISO 27001 Informationssicherheits-Managementsystems lassen sich wie folgt aufführen.

Bewusstsein

Nutzerinnen und Nutzer müssen sich der Sicherheitserfordernisse von Informationssystemen und Netzwerken bewusst sein und wissen, was sie zur Stärkung der Sicherheit beitragen können. Bewusstsein für Risiken und vorhandene Schutzmaßnahmen bildet die erste Verteidigungslinie. Informationssysteme sind sowohl internen als auch externen Risiken ausgesetzt. Nutzerinnen und Nutzer sollten wissen, dass Sicherheitslücken in den von ihnen kontrollierten Systemen erheblichen Schaden anrichten können. Wegen der Vernetzung der Systeme können solche Schäden auch andere treffen.

Nutzerinnen und Nutzer sollten die Rolle ihrer Systeme im Netzwerk kennen, bewährte Praktiken zur Erhöhung der Sicherheit anwenden und die Sicherheitsbedürfnisse anderer Akteure berücksichtigen.

Reaktion

Nutzerinnen und Nutzer müssen partnerschaftlich handeln, um Sicherheitsvorfälle zu verhindern, zu erkennen und darauf zu reagieren. Sie sollten nicht vergessen, dass Störungen sich in vernetzten Systemen schnell und weitreichend ausbreiten, und deshalb bei Sicherheitsbedrohungen kooperieren und zügig eingreifen. Informationen zu Bedrohungen und Schwachstellen sollten so offen wie möglich geteilt werden. Zur Abwehr, zum Erkennen und zur Reaktion auf Sicherheitsvorfälle sind schnelle und wirksame Verfahren in einem kooperativen Rahmen zu aktivieren. Wo Genehmigungen vorliegen, gehört dazu auch der grenzüberschreitende Informationsaustausch.

Verantwortung

Alle Nutzerinnen und Nutzer tragen Verantwortung für die Sicherheit von Informationssystemen und Netzwerken. Wer mit lokalen Informationssystemen verbunden ist, sollte sich der ihm zugewiesenen Verantwortung bewusst sein und sich rollengerecht verhalten. Eigene Richtlinien, Verfahren, Praktiken und Schutzmaßnahmen sollten regelmäßig überprüft und hinsichtlich ihrer Angemessenheit bewertet werden. Anbieter, die Produkte und Dienste bereitstellen, pflegen oder entwerfen, sollten der Netzwerk- und Systemsicherheit Aufmerksamkeit schenken und Informationen einschließlich Aktualisierungen so bereitstellen, dass Nutzende Funktion und Bedeutung der Produkte und Dienste verstehen und ihre Verantwortung wahrnehmen können.

Risikobewertung

Nutzerinnen und Nutzer sollten Risikoanalysen durchführen. Die Analysen sollten Bedrohungen und Schwachstellen breit abbilden und dabei physische, technische und menschliche Faktoren sowie Richtlinien und Dienste Dritter einbeziehen. Die Risikobewertung legt das akzeptierbare Risikoniveau fest und unterstützt die Auswahl der Kontrollen, die in Abhängigkeit von Bedeutung und Art der zu schützenden Information und den damit verbundenen Risiken für Systeme und Netzwerke erforderlich sind. Da Informationssysteme zunehmend voneinander abhängen, sollten Risikoanalysen auch Vorfälle berücksichtigen, die bei anderen Nutzenden entstehen oder diese betreffen können.

Ethik

Nutzerinnen und Nutzer sollten die berechtigten Interessen anderer achten. Angesichts der raschen Ausbreitung von Informationsnetzwerken in der Gesellschaft sollten sie verstehen, dass ihr Handeln oder ihre Untätigkeit Dritten Schaden zufügen kann. Ethisches Verhalten hat deshalb hohes Gewicht: bewährte Praktiken übernehmen, weiterentwickeln, sicherheitsbewusste Handlungen fördern und die Interessen anderer achten.

Sicherheitsgestaltung und Umsetzung

Nutzerinnen und Nutzer sollten die Sicherheit als wesentlichen Faktor für Informationssysteme und Netzwerke betrachten. Systeme, Richtlinien und Netzwerke müssen geeignet geplant, umgesetzt und aufeinander abgestimmt sein. Ein wichtiger Bestandteil dieser Arbeit ist die Wahl geeigneter Präventions- und Gegenmaßnahmen, die aus den identifizierten Bedrohungen und Schwachstellen abgeleitet werden, um Schäden zu verhindern oder so gering wie möglich zu halten. Technische und nicht-technische Schutzmaßnahmen sollten jeweils im Verhältnis zur Bedeutung der geschützten Information in den betreffenden Systemen und Netzwerken stehen. Sicherheit sollte ein integraler Bestandteil von Diensten, Produkten, Systemen und Netzwerken sein und als Bestandteil von Systemgestaltung und Architektur behandelt werden. Für Endanwender bedeutet Sicherheitsgestaltung im Allgemeinen die bewusste Auswahl und Konfiguration von Produkten und Diensten für das eigene Netzwerk.

Neubewertung

Informationssysteme und Netzwerke sowie Sicherheitsrichtlinien und -verfahren sollten regelmäßig überprüft und neu bewertet und, wenn nötig, angepasst werden. Neue und veränderte Bedrohungen und Schwachstellen entstehen laufend. Um mit diesem Wandel umzugehen, sollten alle Sicherheitselemente fortlaufend überprüft, neu bewertet und angepasst werden.

Demokratie

Die Sicherheit von Informationssystemen und Netzwerken sollte mit den Werten einer demokratischen Gesellschaft vereinbar sein. Sicherheitsmaßnahmen sind so zu gestalten, dass Meinungs- und Gedankenfreiheit, die Zuverlässigkeit von Informationen und Kommunikation, der freie Informationsfluss, der Schutz persönlicher Daten sowie Offenheit und Transparenz gewahrt bleiben.

Sicherheitsmanagement

Nutzerinnen und Nutzer sollten einen breit angelegten Ansatz für das Sicherheitsmanagement wählen. Sicherheitsmanagement stützt sich auf Risikoanalysen und sollte so dynamisch sein, dass es alle operativen Ebenen und Prozesse abdeckt. Ein vorausschauender Blick auf neue Bedrohungen gehört ebenso dazu wie Wartung, Behebung, Vorsorge gegen Ausfälle, Prüfung, Erkennung und Reaktion.

Sicherheitspraktiken, -verfahren und -maßnahmen für Systeme und Netzwerke sollten koordiniert und integriert werden, damit ein konsistentes Sicherheitssystem entsteht. Anforderungen an das Sicherheitsmanagement hängen von der Rolle des Nutzenden, der Beteiligungsebene, dem Risiko und den Anforderungen des Systems ab.