Schritt-für-Schritt-Anleitung zur Erstellung einer ISO® 27001 Erklärung zur Anwendbarkeit

Cybersicherheitsvorfälle haben von 2014-2019 um 67% zugenommen und allein in den USA zu finanziellen Verlusten in Höhe von 27,4 Millionen Dollar geführt.

Als Reaktion auf diese beunruhigenden Statistiken ist die Aussage zur Anwendbarkeit (SoA) zu einem wichtigen Dokument für Organisationen geworden, die ihre Informationswerte schützen und die Einhaltung nachweisen wollen. Die SoA dient als Leitfaden im gesamten ISO® 27001-Zertifizierungsprozess und bietet einen Überblick darüber, wie die Informationssicherheit innerhalb der Organisation implementiert wird.

Dieser Leitfaden von ISMS Connect stärkt Fachleute mit dem Wissen und den Werkzeugen, die sie für die Nutzung des Potenzials der SoA in ihren wichtigen Vorhaben benötigen. Mit dem Verständnis für die Rolle der SoA in der Informationssicherheit können Fachleute ihre Organisationen proaktiv schützen, Risiken mindern und die Einhaltung von Branchenstandards sicherstellen.

Was ist eine Aussage zur Anwendbarkeit für ISO® 27001?

Die Aussage zur Anwendbarkeit (SoA) für ISO® 27001 ist ein Dokument, das ein integraler Bestandteil Ihres Informations-Sicherheits-Managementsystems (ISMS) bildet und eines der wichtigsten Dokumente ist, die Sie für die ISO® 27001:2022-Zertifizierung entwickeln müssen.

Die SoA liefert eine umfassende Liste aller ISO® 27001-Anhang A-Kontrollen und bestimmt, ob jede Kontrolle auf die Organisation zutrifft oder nicht. Sie skizziert außerdem die Umsetzung der Kontrollen und verweist auf die relevante Dokumentation für jede Kontrolle. Darüber hinaus sollten alle Kontrollen, die für die Organisation nicht relevant sind, aufgenommen und die Gründe für deren Ausschluss angegeben werden.

Gemäß Klausel 6.1.3 der ISO® 27001-Norm muss die SoA:

• Die identifizierten Kontrollen in Reaktion auf die identifizierten Risiken auflisten.

• Die Auswahl und Umsetzung der Kontrollen sowie die Gründe für das Weglassen von Kontrollen, falls zutreffend, erläutern.

Die SoA muss einer Überprüfung unterzogen und die Zustimmung der Geschäftsleitung oder der zuständigen Stelle innerhalb der Organisation einholen. Aufgrund ihres sensiblen Charakters sollte die SOA als vertrauliches Dokument behandelt werden, das Details zu den Sicherheitskontrollen einer Organisation enthält.

Um den Prozess des Informations-Sicherheits-Managements und der ISO® 27001-Zertifizierung weiter zu vereinfachen, sollten Sie in Betracht ziehen, ISMS Connect zu erkunden – eine Plattform, die darauf abzielt, KMUs dabei zu unterstützen, eine Zertifizierung zu erlangen. ISMS Connect bietet Vorlagen, Leitfäden und Zugang zu Beratern, was den Zertifizierungsprozess zugänglicher und kostengünstiger macht.

Warum ist eine Aussage zur Anwendbarkeit für ISO® 27001 wichtig?

Ermöglicht Nachverfolgbarkeit

Die Aussage zur Anwendbarkeit für ISO 27001 ermöglicht die Nachverfolgbarkeit, indem sie die Kontrollen dokumentiert, die angewendet werden, die Rechtfertigung für ihre Aufnahme, den Umsetzungsstatus jeder Kontrolle und die Gründe für das Ausschließen von nicht anwendbaren Kontrollen. Dieses Dokument dient als zentraler Bezugspunkt, um die Umsetzung der Informationssicherheit in einer Organisation zu verfolgen und sicherzustellen, dass die notwendigen Kontrollen vorhanden sind, um Risiken effektiv zu managen.

Reduziert den Papierkram 

Die SoA ist ein kurzes Dokument mit einer Zeile für jede Kontrolle (Kontrollen aus Anhang A sowie zusätzliche), was es möglich macht, es der Geschäftsleitung vorzulegen und auf dem neuesten Stand zu halten. Dies erleichtert die Verwaltung von Informationssicherheitsrisiken und die Priorisierung von Sicherheitsmaßnahmen.

Verbessert das tägliche Risikomanagement

Einige Organisationen identifizieren möglicherweise Tausende von Risiken, wodurch Dokumente wie Risikobewertungsberichte für den täglichen Gebrauch zu unhandlich werden. Die SoA bietet eine relativ kurze, zentrale Informationsquelle über die Sicherheitskontrollen, die vorhanden sind, und erleichtert es, das Dokument auf dem neuesten Stand zu halten.

Wie erstellen Sie eine Aussage zur Anwendbarkeit für ISO® 27001?

Schritt 1: Die Anforderungen verstehen

Bevor Sie sich in die Erstellung Ihrer SoA stürzen, ist es unerlässlich, die Anforderungen von ISO® 27001 zu verstehen. Die SoA ist im Wesentlichen ein umfassendes Dokument, das alle relevanten Informationssicherheitskontrollen für Ihre Organisation enthält.

Diese Kontrollen stammen aus Anhang A von ISO® 27001, der eine Liste von 93 Kontrollen umfasst. Auf dem Blog haben wir einen umfassenden Leitfaden zu ISO® 27001-Kontrollen, also schauen Sie sich das unbedingt an, bevor Sie weitermachen.

Schritt 2: Eine Risikobewertung durchführen

Der nächste wesentliche Schritt ist die Durchführung einer umfassenden Risikobewertung. Dieser Prozess umfasst die Identifizierung, Bewertung und Verwaltung von Risiken, die sich auf die Informationssicherheit Ihrer Organisation auswirken könnten. Wichtige Elemente dieses Schrittes sind:

a) Die geeignete Methodik bestimmen

Wählen Sie die Risikobewertungsmethodik aus, die mit den spezifischen Anforderungen und Zielen Ihrer Organisation in Einklang steht.

Zu den Optionen gehören:

• OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation): Entwickelt vom Software Engineering Institute (SEI) adressiert OCTAVE Herausforderungen im Zusammenhang mit der Informationssicherheits-Compliance. Ihr Hauptziel besteht darin, die Ziele einer Organisation mit ihren Informationssicherheitsbemühungen abzustimmen. OCTAVE richtet sich insbesondere an Personen, die für das Management der operativen Risiken einer Organisation verantwortlich sind. Es unterstützt Organisationen dabei, qualitative Kriterien zur Bewertung der Toleranz gegenüber operativen Risiken festzulegen, entscheidende Vermögenswerte zu identifizieren, Schwachstellen und Bedrohungen für diese Vermögenswerte zu identifizieren, potenzielle Konsequenzen realisierter Bedrohungen zu bewerten und kontinuierliche Verbesserungsmaßnahmen zur Risikominderung einzuleiten.

• NIST SP 800-30: Von der National Institute of Standards and Technology (NIST) bereitgestellt, bietet dieser Leitfaden umfassende Anweisungen zur Durchführung von Risikobewertungen. Er umfasst drei Hauptphasen: Vorbereitung auf die Bewertung, Durchführung der Bewertung und deren Aufrechterhaltung. Er betont außerdem, wie Risikobewertungen in den breiteren organisatorischen Risikomanagementprozess passen und betont ihre Rolle bei der Information und Ergänzung anderer Risikomanagementaktivitäten.

• ISO® 27005: Diese Norm bietet Anleitungen für das Management von Informationssicherheitsrisiken. Sie ergänzt die in ISO® 27001 skizzierten Prinzipien und unterstützt die effektive Umsetzung von Informationssicherheit durch einen Risikomanagementansatz. Der Leitfaden zur Risikobewertung und -behandlung von ISO® 27001 unterstreicht, dass das Risikomanagement aus zwei Hauptelementen besteht – Risikobewertung (oft als Risikoanalyse bezeichnet) und Risikobehandlung. Der Prozess der Risikobewertung beinhaltet die Identifizierung von Informationssicherheitsrisiken, die Bewertung ihrer Wahrscheinlichkeit und Auswirkung sowie die Grundlage für nachfolgende Risikominderungsstrategien.

b) Fachkundigen Rat suchen

Bei der Durchführung einer Risikobewertung ist es oft vorteilhaft, fachkundigen Rat von renommierten externen Quellen einzuholen. Diese Quellen wurden von Experten auf dem Gebiet entwickelt und bieten ein umfangreiches Wissen und bewährte Verfahren, die Ihren eigenen Risikobewertungsprozess verbessern können.

Hier ist ein kurzer Überblick über einige Ressourcen:

• ISO® 27001: Diese internationale Norm bietet Anleitungen für die Auswahl und Umsetzung von Informationssicherheitskontrollen sowie für die Adoption von Informationssicherheitsstandards und -praktiken. Sie ist für die Verwendung durch Organisationen im Rahmen eines ISMS basierend auf ISO® 27001 vorgesehen. ISO® 27001 hilft Organisationen, Informationssicherheitskontrollen auf der Grundlage global anerkannter bewährter Verfahren zu implementieren und ihre eigenen Leitlinien zum Management von Informationssicherheit zu entwickeln.

• NIST SP 800-53: Dieser Satz von Standards von NIST unterstützt Bundesbehörden und Auftragnehmer bei der Erfüllung der Anforderungen des Federal Information Security Management Act (FISMA). Er präsentiert einen umfassenden Katalog von Sicherheits- und Datenschutzkontrollen zum Schutz von Informationssystemen und Organisationen, dem Schutz operativer Vermögenswerte, Personen, anderer Einheiten und der Nation vor einer Vielzahl von Bedrohungen und Risiken.

• CIS Controls: Die Critical Security Controls (CIS Controls) sind ein klarer, priorisierter und vereinfachter Satz bewährter Verfahren, die dazu dienen sollen, Ihre Cybersicherheitsposition zu stärken. Sie sind mit verschiedenen rechtlichen, regulatorischen und politischen Rahmenwerken in Einklang gebracht und werden von diesen referenziert. Diese Kontrollen bestehen aus spezifischen Sicherheitsvorkehrungen, von denen sich jede auf eine einzige Cybersicherheitsaufgabe konzentriert. Dieser vereinfachte Ansatz zur Cybersicherheit hat sich als wirksam bei der Abwehr zeitgenössischer Bedrohungen erwiesen.

Schritt 3: Kontrollen zur Behandlung von Risiken auswählen

ISO® 27001 skizziert vier Optionen zur Risikobehandlung:

• Behalten oder tolerieren: Diese Wahl trifft man, wenn das identifizierte Risiko innerhalb der akzeptablen Schwelle der Organisation liegt. Die Organisation erkennt das Risiko an, entscheidet sich jedoch gegen die Implementierung zusätzlicher Kontrollen. Diese Entscheidung basiert oft auf einer Kosten-Nutzen-Analyse, bei der die Ausgaben für die Minderung des Risikos als höher als der mögliche Schaden angesehen werden.

• Vermeiden oder beenden: Diese Strategie beseitigt das Risiko, indem die zugehörige Aktivität oder der Prozess eingestellt wird. Zum Beispiel kann eine Organisation die Verwendung einer Softwareanwendung, die ein hohes Sicherheitsrisiko darstellt, einstellen, um das Risiko zu beseitigen.

• Teilen oder übertragen: Die Organisation überträgt das Risiko an einen Dritten durch Outsourcing, Versicherungsschutz oder Partnerschaften. Beispielsweise kann das Risiko von Datenverlust durch Auslagerung von Datenbackup und -wiederherstellung an einen Drittanbieter übertragen werden, der für die Minderung verantwortlich ist.

• Modifizieren oder behandeln: Diese Methode besteht darin, das Risiko durch die Implementierung geeigneter Sicherheitskontrollen zu reduzieren. Diese Kontrollen werden in der Regel aus der Liste der 93 Kontrollen aus Anhang A von ISO® 27001 ausgewählt. Die Implementierung dieser Kontrollen ist ein grundlegender Bestandteil des Risikobehandlungsprozesses und wird in einem Risikobehandlungsplan dokumentiert.

Die Wahl der Risikobehandlungsoption, der Sie nachgehen werden, sollte eng mit der Risikomanagementstrategie Ihrer Organisation und den Informationssicherheitszielen übereinstimmen. Diese Kontrollen spielen eine entscheidende Rolle bei der Stärkung der Sicherheitsposition Ihrer Organisation und der Einhaltung der ISO® 27001-Standards.

Schritt 4: Den Risikobehandlungsplan vervollständigen

Mit ausgewählten Kontrollen in der Hand erstellen Sie einen umfassenden Risikobehandlungsplan. Dieser Plan sollte die Einzelheiten darüber enthalten, wie Sie beabsichtigen, die gewählten Kontrollen effektiv zu implementieren und umzusetzen.

Zum Beispiel könnte Ihr Plan angeben, dass Zugriffskontrollmaßnahmen rollenbasierten Zugriff, strenge Passwortrichtlinien und regelmäßige Zugriffsprüfungen umfassen. Die Verschlüsselung könnte die Implementierung einer End-to-End-Verschlüsselung für sensible Daten im Transit umfassen.

Schritt 5: Eine SoA erstellen

Jetzt sind Sie bereit, Ihre SoA zu erstellen.

Dieses wichtige Dokument sollte eine umfassende Liste der Informationssicherheitskontrollen liefern, die für Ihre Organisation relevant und anwendbar sind, basierend auf den früheren Schritten der Risikobewertung und -behandlung.

Zum Beispiel könnte Ihre SoA angeben, dass Zugriffskontrollmaßnahmen für alle Mitarbeiter und Auftragnehmer mit Zugang zu sensiblen Daten gelten und die Verschlüsselungsalgorithmen und Schlüsselverwaltungsverfahren, die verwendet werden sollen, im Detail beschreiben.

Typischerweise ist die SoA als Tabelle organisiert, da dies eine einfache Kategorisierung und Organisation der Kontrollen und ihrer Details ermöglicht (siehe Abbildung unten). Jedes Dokument, das in Abschnitte unterteilt werden kann, kann jedoch effektiv für diesen Zweck verwendet werden.

Der Prozess beginnt damit, sich auf die Begründung für die Kontrolleinschluss -Spalte zu konzentrieren und den Zweck jeder Kontrolle zu identifizieren. Die Kontrollen basieren auf bewährten Sicherheitspraktiken und tragen dazu bei, Risiken innerhalb des Unternehmens zu mindern. Vertragliche Verpflichtungen und zusätzliche Standards, wie die DSGVO, können ebenfalls berücksichtigt werden.

Im Status >- oder %-Spalte wird der Status jeder Kontrolle eingetragen (d. h. implementiert, ausgeschlossen, in Bearbeitung oder noch nicht begonnen). Kontrollen können ausgeschlossen werden, wenn Dritte für das Management der damit verbundenen Risiken verantwortlich sind. Die Compliance-Seite, speziell Anhang A 5, enthält genauere Informationen zu den Tests, die bei der Umsetzung jeder Kontrolle enthalten sind, und hilft, ihren Status zu bestimmen.

Schritt 6: Online-Ressourcen nutzen

Für KMU, die nicht über die Ressourcen verfügen, um teure Beratungsdienste in Anspruch zu nehmen, können Online-Ressourcen eine hervorragende Informationsquelle sein. Suchen Sie nach Blogs, Whitepapers und anderen Ressourcen, die sich mit den spezifischen Compliance-Anforderungen für Ihr Unternehmen befassen.

Suchen Sie nach einer persönlicheren Alternative? Bei ISMS Connect vereinfachen wir komplexe Themen der Informationssicherheit und bieten direkten Zugang zu Vorlagen, Leitfäden und Beraterunterstützung innerhalb ihrer Community.

Die Elona Health GmbH hat unter der Leitung des Geschäftsführers Magnus Schückes die ISO® 27001-Zertifizierung innerhalb eines bemerkenswert kurzen Zeitraums erfolgreich erreicht. Ermöglicht wurde dies durch die Implementierung von ISMS Connect.

Durch die Nutzung von ISMS Connect und seiner Funktionen konnte die Elona Health GmbH ihre Prozesse rationalisieren und sich das notwendige Wissen aneignen, um die Komplexität der Informationssicherheit zu bewältigen. Die intuitiven Vorlagen unserer Plattform spielten eine entscheidende Rolle bei der Integration der Prinzipien von ISO® 27001 in die Abläufe des Unternehmens und sorgten für einen nahtlosen und effizienten Übergang.

Fazit

Die Anwendbarkeitserklärung (Statement of Applicability, SoA) ist ein wichtiges Dokument für Organisationen, die ihre Informationssicherheit stärken, die ISO® 27001-Konformität erreichen und Cyber-Bedrohungen effektiv bewältigen wollen.

ISMS Connect  unterstützt kleine und mittelständische Unternehmen auf ihrem Weg zur ISO® 27001-Zertifizierung, indem es wertvolle Ressourcen, Vorlagen und fachkundige Beratung zur Verfügung stellt. Wenn Sie diese Schritte befolgen und die Ressourcen von ISMS Connect nutzen, können Unternehmen ihre Informationssicherheit stärken, sich an veränderte Risiken anpassen und die Einhaltung von Branchenstandards gewährleisten.

Melden Sie sich für ISMS Connect an, um loszulegen.