Man hat Ihnen gesagt, ...
dass die Einführung eines ISMS schnell vollbracht ist?
dass Sie nur ein paar Templates für Richtlinien benötigen?
dass die ISO 27001 fast identisch mit der ISO 9001 ist?
dass ein effektives Risikomanagement schnell umgesetzt werden kann?
dass Sie keine System und/oder Softwareentwicklung im Unternehmen haben?
Dann seien Sie bitte skeptisch! Denn die Einführung eines ISMS, in Anlehnung an die ISO 27001, ist immer mit erheblichen Aufwänden verbunden, die durch viele Faktoren beeinflusst werden. So unterschiedlich die Organisationen und ihre Geschäftsfelder sind, so unterschiedlich fallen auch die Aufwände der Implementation aus. Leider gilt diese Individualität nicht nur für die Einführung, sondern auch für den Betrieb eines ISMS. Trotz vieler Faktoren, lässt sich der Aufwand grob abschätzen, wenn man bestimmte einheitliche Parameter berücksichtigt. Auf diese während meiner Arbeit identifizierten einheitlichen Parameter, werde ich im Folgenden eingehen und Ihnen dabei eine erste Orientierung zur groben Abschätzung des Aufwands zur Verfügung stellen.
Zur besseren Nachvollziehbarkeit möchte ich festhalten, dass die Einführung sowie Aufrechterhaltung eines ISMS immer in Schritten erfolgt und in bestimmte Abschnitte gegliedert werden kann:
Initiale Arbeiten
Regelmäßige Arbeiten
Die Geschäftsführung muss vor der Implementierung des ISMS festlegen, wer die Verantwortung zur Einführung und Aufrechterhaltung der Informationssicherheit im Unternehmen übernimmt, welche Rechte und Pflichten er in dieser Rolle hat sowie wer ihn als Stellvertreter dabei unterstützt. In der Regel wird diese Rolle als Informationssicherheitsbeauftragter (ISB) bezeichnet und außerhalb der IT angesiedelt, da sie die Arbeit der IT kontrolliert. Ferner steht die Informationssicherheit thematisch über dem Datenschutz und der IT-Sicherheit, denn der Datenschutz achtet ausschließlich auf den Schutz von personenbezogenen Daten und die IT-Sicherheit fokussiert sich auf die Sicherheit von IT-Systemen und der dort verarbeiteten Daten, während die Informationssicherheit ganzheitlich alle schützenswerten Werte eines Unternehmens (Informationen, Daten, Prozesse, Systeme, Personen, Produkte, Werkzeuge, Gebäude, Liegenschaften, etc.) adressiert.
Aus diesem Grund sollte der ISB sowohl organisatorisch als auch disziplinarisch direkt der Geschäftsführung unterstehen und bereits vor dem Beginn der Arbeiten über eine oder mehrere anerkannte Qualifikationen im Bereich der Informationssicherheit verfügen bzw. diese erlangen:
ISO 27001 Lead Implementer (PECB, BSI Group, etc.)
Zertifizierter CISO/ISB (TÜV, bitcom, etc.)
Certified Information Security Manager (ISACA)
Da die Einführung eines ISMS auch mit der Erstellung von Leitlinien, Richtlinien, Arbeitsanweisungen, Konzepten oder ähnlichen Vorgaben im Kontext der Informationssicherheit einhergeht, sollte der Verfasser besagter Dokumente immer die folgenden Basisschritte während seiner Arbeit berücksichtigen und beim Wechsel des Themengebietes stets erneut durchführen. Denn erst danach kann eine effiziente und adäquate Erstellung von Vorgaben für die Organisation sichergestellt werden:
Identifizieren der allgemein anerkannten "Best Practices" zum Themengebiet sowie von gesetzlichen, regulatorischen, branchenspezifischen, unternehmensinternen und vertraglichen Anforderungen, die einen Einfluss auf die zu erstellende Vorgabe haben.
Ermittlung der interessierten und betroffenen Parteien sowie des damit verbundenen Geltungsbereichs der zu erstellenden Vorgabe.
Recherche und Erfassung des Ist-Standes zum betreffenden Themengebiet in der Organisation und den betroffenen Geschäftsprozessen.
Zusammen mit meiner Einleitung schließt sich hier der erste Kreis, denn ohne eine ausreichende Qualifikation ist es schwer bzw. nicht möglich die "Best Practices" zu kennen und zu berücksichtigen.
Grundlagen der Schätzung
Da der Aufwand von Faktoren wie der Anzahl der Mitarbeiter, Heterogenität der IT-Landschaft und IT-Prozesse, Anzahl der Standorte sowie dem Anteil der IT-Anwendungen mit Vertraulichkeits- und Hochverfügbarkeitsanforderungen maßgeblich beeinflusst wird, gehe ich bei meiner Schätzung von Folgendem aus:
Homogene IT-Landschaft und IT-Prozesse, keine weiteren Standorte und IT-Anwendungen mit ausschließlich normalen Vertraulichkeits- sowie Hochverfügbarkeitsanforderungen.
Durchschnittliche Risikolandschaft.
Vorlagen zur Erstellung von Richtlinien werden genutzt.
Tools wie eine Risikomanagementsoftware, Assetdatenbankprogramm, SIEM, Computer Based Training Software, etc., werden nicht eingesetzt.
Beratungsdienstleistungen werden nicht genutzt.
Die von mir genannten Tätigkeiten sind bewusst auf eine praktikable Implementierung des ISMS ausgerichtet und gehen deshalb über die Basisanforderungen der Norm hinaus.
Initiale Arbeiten des Informationssicherheitsbeauftragten (ISB)
Initiale Tätigkeit des Informationssicherheitsbeauftragten Interne Aufwände in Personentagen (PT), Nutzung von Vorlagen. | Unternehmen mit 25 Mitarbeitern | Unternehmen mit 100 Mitarbeitern | Unternehmen mit 5000 Mitarbeitern |
Erstellung und Freigabe eines Verfahrens zur Lenkung von Dokumenten sowie Vorgaben zur Verwaltung von Aufzeichnungen. | 2 | 3 | 5 |
Ermittlung, Festlegung und Beschreibung des ISMS-Anwendungsbereiches. (in Anlehnung an ISO 27003) | 2 | 3 | 4 |
Erstellung und Freigabe einer Leitlinie zur Informationssicherheit, die die Unternehmensziele, Geschäfts- und IT-Strategie in den Informationssicherheitszielen berücksichtigt sowie die globalen Vorgaben zur Informationssicherheit im Unternehmen festlegt. (inkl. Nachbesserungen) | 2 | 3 | 5 |
Festlegung und Freigabe einer Methodik zur Risikobewertung und Risikobehandlung. | 3 | 5 | 8 |
Durchführung einer umfassenden Risikobewertung auf Basis der festgelegten Methodik. | 8 | 10 | 20 |
Erstellung einer Erklärung zur Anwendbarkeit. | 2 | 2 | 2 |
Anfertigung und Abstimmung eines Risikobehandlungsplans. | 8 | 10 | 15 |
Veranlassung und Kontrolle der Erfassung sämtlicher Assets. | 2 | 3 | 5 |
Identifikation und Bestätigung der Asset Owner. | 0,5 | 1 | 3 |
Erstellung und Freigabe von Vorgaben zur Klassifizierung von Informationen und Assets. | 2 | 2 | 5 |
Festlegung von wem und wie die Assets genutzt werden dürfen. | 2 | 3 | 8 |
Erstellung von adäquaten Vorgaben für den Zugang, Zugriff und Zutritt. | 3 | 5 | 8 |
Festlegung von Vorgaben zur Nutzung mobiler Geräte, Homeoffice und privater Geräte. | 1 | 1 | 3 |
Schaffung von Vorgaben für die Nutzung und Erstellung von Passwörtern. | 0,5 | 1 | 3 |
Festlegung von Überwachungs- sowie Messergebnissen im ISMS-Kontext. | 1 | 1 | 2 |
Erstellung von Vorgaben für die Durchführung von internen Audits sowie die Schaffung eines Auditprogramms für die nächsten Jahre. | 1 | 1 | 2 |
Durchführung eines vollständigen internen Audits sowie Berichtserstellung. | 4 | 5 | 6 |
Durchführung einer Managementbewertung sowie Dokumentation der Ergebnisse. | 1 | 1 | 1 |
Nachweise zur Erfassung von Nichtkonformitäten und getroffenen Korrekturmaßnahmen sowie die zugehörige Prozessbeschreibung zur Festlegung, Umsetzung und Bewertung von Korrekturmaßnahmen. | 1 | 1 | 3 |
Kontrolle der Protokolle von sicherheitsrelevanten Benutzeraktivitäten, Sicherheitsereignissen und Sicherheitsvorfällen. | 2 | 3 | 5 |
Kontrolle der Dokumentation von Nachweisen über die Ausbildung, Fähigkeiten, Erfahrung und erforderlichen Qualifikationen der im Geltungsbereich tätigen Personen. | 0,5 | 0,5 | 1 |
Vorbereitung und Kontrolle von Schulungs- und Sensibilisierungsmaßnahmen im Kontext der Informationssicherheit. | 3 | 5 | 10 |
Festlegung und Freigabe von Vorgaben zur Entsorgung und Vernichtung von Assets. | 0,5 | 1 | 2 |
Erstellung von Vorgaben für die Arbeit in Sicherheitsbereichen. (Bereiche mit schützenswerten Assets.) | 1 | 1 | 2 |
Festlegung und Freigabe von Vorgaben für aufgeräumte Arbeitsplätze und Maßnahmen beim Verlassen des Arbeitsplatzes. | 0,5 | 1 | 3 |
Erstellung und Freigabe von Vorgaben sowie Verfahren zum Change Management. | 2 | 3 | 7 |
Festlegung und Freigabe von Vorgaben für die Erstellung, Schutz, Transport, Lagerung und Methodik von Backups. | 1 | 2 | 3 |
Erfassung sämtlicher Wege zur Informationsübertragung im Anwendungsbereich sowie Festlegung zur zulässigen Nutzung. | 3 | 5 | 9 |
Festlegung und Freigabe von Prozessen, Verfahren und Maßnahmen zur Aufrechterhaltung der Informationssicherheit in widrigen Situationen, die in das Business Continuity Managementsystem der Organisation eingebettet sind. | 3 | 5 | 15 |
Dokumentation/Erstellung der im Business Continuity Managementsystem enthaltenen Übungspläne, Testpläne, Wartungspläne, Überprüfungspläne und Nachweise der erfolgten Umsetzung. | 6 | 10 | 20 |
Geschätzter initialer Aufwand in Personentagen (PT): | 69,5 PT | 98,5 PT | 183 PT |
Hinweis: Dies ist nur ein grober Überblick der Tätigkeiten!
Initiale Arbeiten der Organisation
Initiale Tätigkeiten der Organisation Interne Aufwände in Personentagen (PT), ohne Toolunterstützung. | 1000 Assets | 5000 Assets | 10.000 Assets |
Ermitteln und Erfassen der Assets in einer Datenbank / in Registern. (Asset Owner; händisch; 10 Minuten pro Asset) | 20,5 | 104 | 208 |
Zuweisung der Verantwortlichkeiten und Klassifizierung von "strittigen" Assets. (Asset Owner) | 0,5 | 1 | 3 |
Geschätzter initialer Aufwand in Personentagen (PT): | 21 PT | 105 PT | 221 PT |
Hinweise: Dies ist nur ein grober Überblick der Tätigkeiten! Durch den Einsatz von Tools und der Etablierung von einheitlichen Verfahren, können Synergien gehoben werden. Die Geschäftsführung sollte einen Kritikalitätswert festlegen, ab dem Assets erfasst und geschützt werden müssen.
Regelmäßige Arbeiten der Organisation
Regemäßige Tätigkeiten der Organisation Interne Aufwände in Personentagen (PT), ohne Toolunterstützung. | Unternehmen mit 25 Mitarbeitern | Unternehmen mit 100 Mitarbeitern | Unternehmen mit 5000 Mitarbeitern |
Aktualisierung der Asset-Datenbank / der Asset-Register. (Asset Owner; ca. 4x pro Jahr) | 4 | 8 | 40 |
Durchführung einer anlassbezogenen Risikobewertung (Asset/Risk Owner; ca. 10x pro Jahr) | 5 | 5 | 5 |
Durchführung von internen ISMS-Audits. (Qualifizierter und unabhängiger Auditor; ca. 1x pro Jahr) | 4 | 5 | 6 |
Überprüfung der Einhaltung von technischen Vorgaben. (IT-Sicherheit; ca. 4x pro Jahr) | 4 | 8 | 20 |
Durchführung von regelmäßigen Backup Recovery Tests. (IT-Betrieb; ca. 4x pro Jahr) | 2 | 3 | 16 |
Auswertung der Protokolle von sicherheitsrelevanten Benutzeraktivitäten und Sicherheitsereignissen (IT-Sicherheit; ca. 12x pro Jahr) | 12 | 20 | 64 |
Prüfung und Dokumentation der Einhaltung von Sicherheitsrichtlinien und Sicherheitsstandards sowie jeglicher sonstiger Sicherheitsanforderungen. (Führungskraft; Führungsspanne 25; ca. 4x pro Jahr) | 2 | 5 | 200 |
Aktualisierung der Nachweise über die Ausbildung, Fähigkeiten, Erfahrung und erforderlichen Qualifikationen der im Geltungsbereich tätigen Personen. (Personalabteilung; 4x pro Jahr) | 2 | 4 | 12 |
Durchführung der im Business Continuity Managementsystem enthaltenen Übungspläne, Testpläne, Wartungspläne und Überprüfungspläne. (Fachbereiche, 1x pro Jahr) | 8 | 12 | 64 |
Geschätzter regelmäßiger Aufwand in Personentagen (PT) pro Jahr: | 43 PT | 70 PT | 427 PT |
Hinweise: Dies ist nur ein grober Überblick der Tätigkeiten! Durch den Einsatz von Tools und der Etablierung von einheitlichen Verfahren, können Synergien gehoben werden.
Regelmäßige Arbeiten des Informationssicherheitsbeauftragten (ISB)
Regelmäßige Tätigkeit des Informationssicherheitsbeauftragten Interne Aufwände in Personentagen (PT), ohne Toolunterstützung. | Unternehmen mit 25 Mitarbeitern | Unternehmen mit 100 Mitarbeitern | Unternehmen mit 5000 Mitarbeitern |
Überprüfung sämtlicher gelenkter ISMS relevanter Dokumente auf Gültigkeit, Aktualität und Angemessenheit sowie deren Fortschreibung bei Bedarf. (ca. 1x pro Jahr) | 3 | 5 | 10 |
Vorbereitung und Moderation der regelmäßigen Risikobewertungen. (ca. 4x pro Jahr, ohne anlassbezogene Vorgänge) | 6 | 8 | 12 |
Aktualisierung des Risikobehandlungsplans. (ca. 4x pro Jahr, ohne anlassbezogene Vorgänge) | 4 | 4 | 6 |
Aktualitätskontrolle der Asset-Datenbank / der Asset-Register. (ca. 4x pro Jahr) | 4 | 4 | 6 |
Prüfung und Auswertung der Ergebnisse des internen ISMS-Audits. (ca. 1x pro Jahr) | 4 | 4 | 6 |
Prüfung der von den Führungskräften bereitgestellten Nachweise zur Einhaltung von Sicherheitsrichtlinien und Sicherheitsstandards sowie jeglicher sonstiger Sicherheitsanforderungen bei der Informationsverarbeitung. (ca. 4x pro Jahr) | 4 | 4 | 6 |
Prüfergebnisse der Einhaltung von technischen Vorgaben kontrollieren. (ca. 4x pro Jahr) | 4 | 4 | 6 |
Überprüfung der Backup Recovery Testergebnisse. (ca. 4x pro Jahr) | 4 | 4 | 6 |
Erhebung von Überwachungs- sowie Messergebnissen im ISMS-Kontext. (ca. 4x pro Jahr) | 8 | 8 | 20 |
Vorbereitung, Durchführung und Dokumentation von geplanten Managementbewertungen. (ca. 2x pro Jahr, ohne anlassbezogene Vorgänge) | 1 | 1 | 4 |
Ergänzung/Überprüfung der Nichtkonformitäten und Wirksamkeit der getroffenen Korrekturmaßnahmen. (ca. 4x pro Jahr, ohne anlassbezogene Vorgänge) | 8 | 8 | 12 |
Kontrolle der Protokollauswertungen sowie Nachverfolgung von sicherheitsrelevanten Benutzeraktivitäten, Sicherheitsereignissen und Sicherheitsvorfällen. (ca. 12x pro Jahr, ohne anlassbezogene Vorgänge) | 25 | 40 | 70 |
Kontrolle der Nachweise über die Ausbildung, Fähigkeiten, Erfahrung und erforderlichen Qualifikationen der im Geltungsbereich tätigen Personen. (ca. 2x pro Jahr) | 1 | 1 | 3 |
Vorbereitung und Durchführung von Schulungs- sowie Sensibilisierungsmaßnahmen im Kontext der Informationssicherheit. (ca. 2x pro Jahr, ohne anlassbezogene Vorgänge) | 4 | 10 | 60 |
Aktualisierung/Ergänzung der Wege zur Informationsübertragung im Geltungsbereich. (ca. 2x pro Jahr) | 2 | 3 | 6 |
Kontrolle der Business Continuity Managementsystem Testergebnisse. (ca. 2x pro Jahr) | 4 | 4 | 10 |
Geschätzter regelmäßiger Aufwand in Personentagen (PT) pro Jahr: | 86 PT | 112 PT | 243 PT |
Hinweise: Dies ist nur ein grober Überblick der Tätigkeiten! Durch den Einsatz von Tools und der Etablierung von einheitlichen Verfahren, können Synergien gehoben werden.
Individualisierung
Kaum ein Unternehmen hat eine homogene IT-Landschaft und IT-Prozesse, nur einen Standort und IT-Anwendungen mit ausschließlich normalen Vertraulichkeits- sowie Hochverfügbarkeitsanforderungen. Damit Sie die meine Schätzung etwas an Ihre Gegebenheiten anpassen können, empfehle ich die Nutzung der folgenden Werte:
Initiale Tätigkeiten der Organisation | Aufschlag |
Homogene IT-Landschaft und IT-Prozesse | 0% |
Heterogene IT-Landschaft und IT-Prozesse | 25% |
Pro weiterem Standort | 5% |
IT-Anwendungen mit ausschließlich normalen Vertraulichkeits- sowie Hochverfügbarkeitsanforderungen | 0% |
IT-Anwendungen mit überwiegend hohen Vertraulichkeits- sowie Hochverfügbarkeitsanforderungen | 15% |
IT-Anwendungen mit überwiegend sehr hohen Vertraulichkeits- sowie Hochverfügbarkeitsanforderungen | 30% |