{"id":4737,"date":"2011-03-26T12:04:02","date_gmt":"2011-03-26T12:04:02","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/011\/03\/26\/die-grosten-mangel-der-iso-27001\/"},"modified":"2022-12-28T11:51:25","modified_gmt":"2022-12-28T11:51:25","slug":"die-grosten-mangel-der-iso-27001","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/de\/blog\/2011\/03\/26\/die-grosten-mangel-der-iso-27001\/","title":{"rendered":"Die gr\u00f6\u00dften M\u00e4ngel der ISO 27001"},"content":{"rendered":"<p>Wenn Sie mein Blog gelesen haben, so denken Sie sicher, ich sei davon \u00fcberzeugt, dass <a href=\"\/27001academy\/de\/?page_id=674\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001<\/a> das vollkommenste Dokument sei, das jemals geschrieben worden sei. Tats\u00e4chlich stimmt das jedoch nicht. Bei der Arbeit mit meinen Kunden und bei Lehrveranstaltungen zu diesem Thema treten regelm\u00e4\u00dfig die gleichen Schw\u00e4chen der Norm hervor. Hier stelle ich diese Schw\u00e4chen vor, mit meinen Vorschl\u00e4gen, wie sie behoben werden k\u00f6nnen:<\/p>\n<h2 style=\"padding-top: 10px;padding-bottom: 10px\">Mehrdeutige Begriffe<\/h2>\n<p>Einige der Anforderungen in der Norm sind recht unklar:<\/p>\n<ul>\n<li>Abschnitt 4.3.1 c) verlangt, dass die <a href=\"\/27001academy\/de\/iso-27001-dokumentationspaket\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISMS-Dokumentation<\/a> <strong>\u201eVerfahren und Ma\u00dfnahmen, die das ISMS unterst\u00fctzen\u201c<\/strong>, enthalten muss. Bedeutet das, dass f\u00fcr jede der angewendeten Ma\u00dfnahmen ein Dokument verfasst werden muss (Anhang A enth\u00e4lt 133 Ma\u00dfnahmen)? Aus meiner Sicht ist das nicht notwendig. In der Regel empfehle ich meinen Kunden, nur die Leitlinien und Verfahren schriftlich festzuhalten, die unter betrieblichen Gesichtspunkten und zur Verringerung der Risiken notwendig sind. Alle anderen Ma\u00dfnahmen k\u00f6nnen in der Erkl\u00e4rung zur Anwendbarkeit kurz beschrieben werden, da diese Erkl\u00e4rung die Beschreibung aller umgesetzten Ma\u00dfnahmen enthalten muss.<\/li>\n<li><strong>(Nicht) dokumentierte Leitlinien und Verfahren<\/strong> \u2013 in vielen Ma\u00dfnahmen in Anhang A werden Leitlinien und Verfahren ohne das Wort \u201edokumentiert\u201c genannt. Tats\u00e4chlich bedeutet das, dass diese Leitlinien und Verfahren nicht schriftlich festgehalten werden m\u00fcssen. Allerdings ist dieser Umstand f\u00fcr 95 % der Leser der Norm nicht klar.<\/li>\n<li><strong>Externe (Beziehungen) \/ Dritte<\/strong> &#8211; diese Begriffe werden synonym verwendet, was zu Verwechslungen f\u00fchren kann. Es w\u00e4re viel besser, wenn nur ein Begriff verwendet w\u00fcrde.<\/li>\n<\/ul>\n<p><div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><br \/>\n<div id=\"side-banner-trigger\" class=\"banner-shortcode\"><\/div><\/p>\n<h2 style=\"padding-top: 5px;padding-bottom: 10px\">Organisation der Norm<\/h2>\n<p>Einige der Anforderungen in der Norm finden sich verstreut wieder oder werden unn\u00f6tigerweise doppelt genannt:<\/p>\n<ul>\n<li>Einige Ma\u00dfnahmen <strong>befinden sich einfach an der falschen Stelle<\/strong>. Dies gilt zum Beispiel f\u00fcr den Abschnitt A.11.7 \u201aMobile Computing und Kommunikation\u2018, der sich unter A.11 \u201aZugangssteuerung\u2018 befindet. Obwohl man beim Umgang mit Mobile Computing, sich auch um Zutrittskontrolle k\u00fcmmern muss, ist Abschnitt A.11 eigentlich nicht der richtige Ort, um Fragen bez\u00fcglich Mobile Computing und Kommunikation zu kl\u00e4ren.<\/li>\n<li><strong>Fragen zu externen Beziehungen<\/strong> sind auf verschiedene Abschnitte der Norm verstreut. Sie finden sie in Abschnitt A.6.2 (Externe Beziehungen), A.8 (Personelle Sicherheit) und A.10.2 (Management der Dienstleistungs-Erbringung von Dritten). Mit dem Voranschreiten von Cloud-Computing und anderer Arten des Outsourcings ist es empfehlenswert, s\u00e4mtliche dieser Vorschriften in einem Dokument oder einer Reihe von Dokumenten zusammenzustellen, die sich mit externen Beziehungen bzw. Dritten befassen.<\/li>\n<li><strong>Sensibilisierung der Mitarbeiter und Schulung<\/strong> werden sowohl in Abschnitt 5.2.2 des Hauptteils der Norm sowie in Ma\u00dfnahme A.8.2.2 gefordert. Dies ist nicht nur eine unn\u00f6tige Dopplung, sondern es stiftet auch zus\u00e4tzliche Verwirrung \u2013 theoretisch k\u00f6nnte jeder Ma\u00dfnahme aus dem Anhang A ausgenommen werden. So k\u00f6nnte es am Ende passieren, dass eine Anforderung ausgeschlossen wird, obwohl sie nicht ausgeschlossen werden kann, weil sie laut Hauptteil der Norm erforderlich ist. Das Gleiche geschieht mit dem internen Audit (Absatz 6 des Hauptteils der Norm) und der Ma\u00dfnahme A.6.1.8 \u201aUnabh\u00e4ngige \u00dcberpr\u00fcfung der Informationssicherheit\u2018.<\/li>\n<li>Einige der Ma\u00dfnahmen aus Anhang A k\u00f6nnen <strong>wirklich breit angewendet werden, und sie k\u00f6nnen weitere Ma\u00dfnahmen umfassen<\/strong> \u2013 so ist zum Beispiel Ma\u00dfnahme A.7.1.3 \u201aZul\u00e4ssiger Gebrauch von organisationseigenen Werten (Assets)\u2018 so allgemein, dass es A.7.2.2 (Kennzeichnung von und Umgang mit Informationen), A.8.3.2 (R\u00fcckgabe von organisationseigenen Werten), A.9.2.1 (Platzierung und Schutz von Betriebsmitteln), A.10.7.1 (Verwaltung von Wechselmedien), A.10.7.2 (Entsorgung von Medien), A.10.7.3 (Umgang mit Informationen) usw. abdeckt. In der Regel empfehle ich meinen Kunden, ein Dokument zu erstellen, das s\u00e4mtliche dieser Ma\u00dfnahmen abdeckt.<\/li>\n<\/ul>\n<h2 style=\"padding-top: 5px;padding-bottom: 10px\">Problem oder nicht?<\/h2>\n<p>Die folgenden Fragen werden in der Regel als problematisch dargestellt, obwohl ich dem eigentlich nicht zustimme:<\/p>\n<ul>\n<li><strong>Die Norm ist zu vage und geht nicht genug ins Detail<\/strong>. W\u00fcrde sie hinsichtlich der einzusetzenden Technologie st\u00e4rker ins Detail gehen, so w\u00e4re die Norm bald \u00fcberholt. W\u00fcrde sie hinsichtlich der Methoden und\/oder organisatorischen L\u00f6sungen st\u00e4rker ins Detail gehen, so k\u00f6nnte sie nicht auf alle Unternehmensgr\u00f6\u00dfen und -typen angewendet werden. Eine Gro\u00dfbank muss ganz anders als eine kleine Marketingagentur organisiert werden. Trotzdem sollten beide in der Lage sein, ISO 27001 umzusetzen.<\/li>\n<li><strong>Die Norm erm\u00f6glicht zu viel Flexibilit\u00e4t.<\/strong>Mit dieser Kritik ist das Konzept der Risikoeinsch\u00e4tzung gemeint, bei der bestimmte Sicherheitsma\u00dfnahmen ausgeschlossen werden k\u00f6nnen, wenn es keine zugeh\u00f6rigen Risiken gibt. Also wird die Frage gestellt: \u201eWie kann es nur m\u00f6glich sein, Back-ups oder einen Antivirenschutz auszuschlie\u00dfen?\u201c Beim derzeitigen Stand der Technologien wie zum Beispiel Cloud-Computing sollte diese Art von Schutz nicht in die Verantwortung des Unternehmens fallen, das ISO 27001 umsetzt. (Allerdings w\u00e4ren in einem solchen Fall die Risiken des Outsourcings ziemlich hoch, so dass andere Sicherheitsma\u00dfnahmen erforderlich w\u00e4ren.)<\/li>\n<\/ul>\n<h2 style=\"padding-top: 5px;padding-bottom: 10px\">Und was jetzt?<\/h2>\n<p>Diese Norm wird sicherlich ge\u00e4ndert werden m\u00fcssen. Die aktuelle Version der ISO\/IEC 27001:2005 ist jetzt sechs Jahre alt, und die n\u00e4chste Version (f\u00fcr das Jahr 2012 oder 2013 erwartet) wird hoffentlich die meisten der oben genannten Probleme l\u00f6sen.<\/p>\n<p>Obwohl diese M\u00e4ngel oft zu Verwirrung f\u00fchren k\u00f6nnen, glaube ich, dass die positiven Seiten der Norm die negativen in hohem Ma\u00dfe \u00fcberwiegen. Und ja, ich bin wirklich davon \u00fcberzeugt, dass diese Norm den bei weitem besten Rahmen f\u00fcr Informationssicherheit-Management darstellt.<\/p>\n<p><em>Lesen Sie au\u00dferdem dieses eBook <\/em><a href=\"\/books\/secure-and-simple-a-small-business-guide-to-implementing-iso-27001-on-your-own\/\" target=\"_blank\" rel=\"noopener noreferrer\">Secure &amp; Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own<\/a><em>, das jeden Schritt der ISO 27001 Implementierung erl\u00e4utert<\/em>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Wenn Sie mein Blog gelesen haben, so denken Sie sicher, ich sei davon \u00fcberzeugt, dass ISO 27001 das vollkommenste Dokument sei, das jemals geschrieben worden sei. Tats\u00e4chlich stimmt das jedoch nicht. Bei der Arbeit mit meinen Kunden und bei Lehrveranstaltungen zu diesem Thema treten regelm\u00e4\u00dfig die gleichen Schw\u00e4chen der Norm hervor. Hier stelle ich diese &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[52],"tags":[1237,1547],"class_list":["post-4737","post","type-post","status-publish","format-standard","hentry","category-blog-de","tag-iso-27001-de","tag-iso-27001-de-2"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/posts\/4737","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/comments?post=4737"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/posts\/4737\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/media?parent=4737"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/categories?post=4737"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/tags?post=4737"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}