Diese Herausforderungen treten beim Management einer ISO-27001-Zertifizierung auf

Auswertung von mehr als 200 Zertifizierungsaudits, um aktuelle Trends in der Informationssicherheit zu beleuchten

Über die Jahre 2018 und 2019 hat EY CertifyPoint mehr als 200 Informationssicherheitsaudits für mehr als 65 Kunden unterschiedlicher Größe aus verschiedenen Branchen durchgeführt. Die wichtigsten Erkenntnisse und Stärken, die während der Zertifizierungsaudits analysiert wurden, sowie Daten zu den Zertifizierungsumfängen und deren Veränderung im Laufe der Jahre haben Einblicke in Branchentrends, typische Herausforderungen und Fallstricke bei der Verwendung eines Informationssicherheitsmanagementsystems (ISMS) geliefert.

Trends bei Änderungen des Zertifizierungsumfangs:

Von 2018 bis 2019 haben 48 % der Unternehmen die Anzahl der Standorte im Geltungsbereich ihres ISMS erhöht. 67 % erhöhten die Anzahl der Vollzeitmitarbeiter im Geltungsbereich ihres ISMS.

Mit zunehmender Größe und Komplexität der Organisationen wird es immer schwieriger, den Umfang der Informationssicherheitssysteme zu verwalten und bestehende Prozesse und Systeme in neue Bereiche zu integrieren. Bei Letzteren kann es sich um neue Produkte, Dienstleistungen, Standorte, Mitarbeiter, Abteilungen, Funktionen, Innovationen, Tools oder sogar Einheiten oder Unternehmen handeln.

Positive Trends

Die Analyse der Ergebnisse zeigt die beiden größten Stärken eines ISMS:

1. Einbindung und Engagement des Top-Managements zur Verbesserung der Informationssicherheit und Cybersecurity

In allen Organisationen hat die oberste Führungsebene durchgängig Engagement und Einsatz in Bezug auf Informationssicherheit und Cybersecurity gezeigt, zum Beispiel durch die Ausrichtung von Informationssicherheits- und Cybersecurity-Aktivitäten an den Geschäftszielen oder durch die Einbettung von Informationssicherheitsprozessen in organisatorische Abläufe. Dies gilt durchweg für große, mittlere und kleine Organisationen.

2. Informationssicherheit im Lieferantenbeziehungsmanagement

Das Management der Informationssicherheit in den Lieferantenbeziehungen war eine durchgängige Stärke in allen Organisationen. Zum Beispiel wurden die Anforderungen an die Informationssicherheit für Lieferanten definiert, dokumentiert und in den entsprechenden Lieferantenvereinbarungen verankert.

Ausbaufähige Bereiche

Innerhalb des ISMS und der durch das ISMS gesteuerten Sicherheitsmaßnahmen lagen die drei größten Herausforderungen:

1. Risikomanagement

Die Bewertung von und der Umgang mit Informationssicherheitsrisiken waren zentrale Herausforderungen in allen Organisationen. Dazu gehörten Maßnahmen wie die Entwicklung einer organisatorischen Methodik zum Management von Informationssicherheitsrisiken, die Identifizierung und Bewertung von Informationssicherheitsrisiken und die darauf aufbauende Behandlung dieser Risiken.

2. Leistungsbewertung

Ein weiterer herausfordernder Bereich für die Organisationen war die Leistungsbewertung. Dazu gehören die Leistungsüberwachung, das interne ISMS-Audit und die Durchführung von Management-Reviews. Die Leistungsbewertung ist wichtig für ein effektives ISMS, da sie es der Organisation ermöglicht, Bereiche mit Stärken und Verbesserungspotenzialen für das ISMS zu identifizieren. Auf diese Weise wird die kontinuierliche Weiterentwicklung und Verbesserung des ISMS ermöglicht.

3. Identity und Access Management

In Bezug auf die Maßnahmen zur Informationssicherheit war die größte Herausforderung für Organisationen das Zutritts-, Zugangs- und Zugriffsmanagement. Dies ist für eine starke Informationssicherheit unerlässlich, da es die unbefugte Nutzung von Informationsressourcen verhindert. Innerhalb dieser Maßnahme wurden die Ergebnisse in vier Unterbereiche kategorisiert:

• Geschäftsanforderungen: Dazu gehören High-Level-Maßnahmen wie beispielsweise eine Richtlinie zur Zutritts-, Zugangs- und Zugriffssteuerung.
• Nutzermanagement: Dies umfasst benutzerorientierte Maßnahmen wie z. B. die Überprüfung von Zugriffsberechtigungen.
• Benutzerzuständigkeiten: Dazu gehören die Zuständigkeiten der Benutzer im Bereich der Zugangssteuerung.
• System und Anwendungen: Dazu gehört die Zugangs- und Zugriffssteuerung auf System- und Anwendungsebene.

Insgesamt sind die drei wichtigsten Empfehlungen für Organisationen zur Bewältigung der in den Audits identifizierten Herausforderungen die folgenden:

1. Stellen Sie sicher, dass die Methode zur Risikobewertung im Risikomanagement zu den Zielen der Organisation passt. Die Methode kann quantitativer oder qualitativer Natur sein. Der Hauptzweck sollte darin bestehen sicherzustellen, dass die oberste Führungsebene die wesentlichen Risiken klar erkennen kann, sodass geeignete Maßnahmen ergriffen werden können.

2. Definieren Sie KPIs, um nicht nur die Leistung der Informationssicherheitsmaßnahmen, sondern auch diejenige des Managementsystems zu messen. Decken Sie alle Bereiche des ISMS in Bezug auf die Informationssicherheitsmaßnahmen und -ziele als Teil der Überwachung der Maßnahmen ab. Führen Sie die internen Audits für den gesamten Zertifizierungsbereich (oder die Organisation) durch. Besprechen Sie die Ergebnisse der Überwachungstätigkeiten und der Audits regelmäßig mit der obersten Leitung und holen Sie deren Feedback ein, um das Programm in die richtige Richtung zu lenken.

3. Befolgen Sie für ein besseres Identitäts- und Zutritts-, Zugangs- sowie Zugriffsmanagement die folgenden Prinzipien (falls zutreffend):

• Nutzung eines zentralisierten Ansatzes
• Null-Vertrauen-Prinzip
• Prinzip der geringsten Berechtigung
• Automatisierung der Provisionierung
• Prüfen und nochmals prüfen
• Multi-Faktor-Authentifizierung
• Konsequentes Durchgreifen bei verwaisten Konten