ISO 27001

Hier lesen Sie alle Blog-Beiträge zum Thema ISO 27001 bzw. Informationssicherheits-Managementsysteme (ISMS).

Beiträge

BSI IT-Grundschutz: Kern- und Standard-Absicherung

Gemeinsamkeiten, Unterschiede und Umsetzung

Von Daniel Straßberger, Informationssicherheits-Consultant und ISB bei der SAVISCON GmbH

In meinem letzten Blog-Beitrag habe ich die Basis-Absicherung nach IT-Grundschutz vorgestellt. Darauf aufbauend möchte ich dieses Mal die Standard- und Kern-Absicherung näher betrachten. Der wesentliche Unterschied besteht darin, dass Sie in diesem Fall nicht um eine Risikoanalyse herumkommen werden. Die Managementsysteme der ISO-Normen haben alle die Risikobetrachtung als zentrales Element und das BSI reduziert den Aufwand zur Etablierung eines Informationssicherheitsmanagementsystems (ISMS) dadurch, dass dieser Aspekt bei der Basis-Absicherung komplett wegfällt und bei der Kern- bzw. Standard-Absicherung nur in bestimmten Fällen zum Tragen kommt.

Die Standard-Absicherung ist die vom BSI bevorzugte Methode zur Informationssicherheit nach BSI IT-Grundschutz, da sie als einzige Methode eine Organisation als Ganzes betrachtet und in das ISMS integriert. Die Basis- und Kern-Absicherung sind eher als Einstieg gedacht und reduzieren den Aufwand indem entweder nur einen Teilbereich der Organisation betrachtet wird oder einige Schritte des IT-Grundschutz Vorgehens vorläufig entfallen. Die Standard-Absicherung ist demnach deutlich umfangreicher und ist am Ende äquivalent zu einem ISMS nach der ISO 27001.

Standard-Absicherung vorbereiten

Als Grundlage für die Standard-Absicherung kann bereits eine Basis-Absicherung durchgeführt worden sein. Alternativ können Sie natürlich direkt mit der Standardabsicherung loslegen. Wichtig ist nur, dass der Sicherheitsprozess initiiert wird: IS-Leitlinie, Rollenverteilung, Abbilden des Informationsverbunds und der Geltungsbereich. Ich verweise an dieser Stelle noch einmal auf meinen letzten Blog-Beitrag „In 4 Schritten zur Basis-Absicherung“. Den Geltungsbereich können Sie selbst festlegen und es schadet auch hier nicht erstmal klein anzufangen. Typischerweise erstreckt sich der Geltungsbereich auf das gesamte Unternehmen, Sie können sich aber erstmal auf einige Geschäftstätigkeiten konzentrieren. Wichtig ist nur, dass Sie diese Geschäftsbereiche oder Organisationseinheiten komplett betrachten. Anschließend kommen wir zur ersten Änderung gegenüber der Basis-Absicherung: Die Schutzbedarfsfeststellung.

Schutzbedarfsfeststellung

Screenshot aus dem GRC-COCKPIT zur Schutzbedarfsanalyse.

Die Schutzbedarfsfeststellung im GRC-COCKPIT. Es können auch eigene Kategorien erstellt werden.

Die Schutzbedarfsfeststellung bezieht sich immer auf ein Asset und stellt dar, wie groß die Auswirkung wäre, wenn eines oder mehrere Schutzziele (Vertraulichkeit, Verfügbarkeit, Integrität, etc.) dieses Assets beeinträchtigt werden. Diese Auswirkungen müssen nicht, und können oft auch nicht, quantifiziert werden, weshalb hier mit mehreren groben Kategorien gearbeitet wird. Das BSI schlägt hier explizit die Kategorien „normal“, „hoch“ und „sehr hoch“ vor, Sie können aber weitere hinzufügen. In jedem Fall müssen Sie aber definieren, was diese Kategorien aussagen und Sie müssen zusätzlich die Art der eintreffenden Auswirkungen betrachten. Neben finanziellen Schäden kann es auch zu Verstößen gegen Gesetze, Personenschäden oder Reputationsschäden, zum Beispiel aufgrund einer Datenschutzpanne, kommen. Mit der traditionellen CIA-Triade und den drei Schutzbedarfskategorien des BSI sind das neun Tabellen, in denen Sie aufschlüsseln, was der Ausfall eines Sicherheitsziels für Auswirkungen in jeder Kategorie hat. Anschließend müssen Sie die Schutzbedarfsfeststellung unter Berücksichtigung dieser Tabellen für jedes Asset in Ihrem Informationsverbund vornehmen. Im Normalfall geschieht die eigentliche Schutzbedarfsfeststellung nicht durch den Informationssicherheitsbeauftragten(ISB), sondern obliegt dem jeweiligen Asset-Eigentümer. Das BSI rät Ihnen zunächst die Geschäftsprozesse und Anwendungen zu bewerten, Assets haben nämlich die Möglichkeit ihren Schutzbedarf zu vererben. Dabei gibt es diese drei Optionen, die ich anhand eines IT-Systems kurz erläutern werde:

  • Maximumprinzip: Hier bekommt das IT-System den höchsten Schutzbedarf der darauf laufenden Anwendungen. Dieses Prinzip wird oft bei der Vertraulichkeit zum Tragen kommen, gerade personenbezogene Daten sind nach der DSGVO besonders schützenswert. Wenn Sie zum Beispiel in einer Datenbank Adress- oder Gesundheitsdaten speichern, ist der Server in jedem Fall besonders zu schützen, auch wenn die anderen Informationen einen geringen Schutzbedarf haben.
  • Verteilungseffekt: Das IT-System bekommt einen niedrigeren Schutzbedarf als alle darauf laufenden Anwendungen. Dieser Fall kann auftreten, wenn Sie zum Beispiel mehrere IT-Systeme mit den gleichen Anwendungen aus Redundanzgründen betreiben.
  • Kumulationseffekt: Das IT-System bekommt einen höheren Schutzbedarf als die darauf befindlichen Anwendungen. Dies wird oft bei Verfügbarkeit auftreten. So ist der Ausfall einer Anwendung vielleicht zu verkraften, wenn das IT-System aber mehrere kritische Anwendungen enthält, kann der komplette Ausfall schwere Konsequenzen nach sich ziehen.

Die Auswahl der Schutzbedarfskategorie für jedes Asset bezogen auf die unterschiedlichen Sicherheitsziele sind begründet festzuhalten.

IT-Grundschutz-Check und Risikoanalyse

Wenn Sie die Schutzbedarfsfeststellung abgeschlossen haben, folgt die Modellierung mit den Bausteinen aus dem IT-Grundschutzkompendium. Das Verfahren ist dabei dasselbe wie bei der Basis-Absicherung: Sie prüfen zu jedem Asset in Ihrem Informationsverbund mit welchen Bausteinen sich dieses Asset abbilden lassen kann. Anschließend führen Sie wie bei der Basisabsicherung einen Grundschutzcheck durch, bei dem der oder die ISB mit der entsprechenden Fachkraft einen Soll-Ist-Vergleich vornimmt und den Umsetzungsgrad bestimmt. Dabei schlägt Ihnen das BSI wieder eine Priorisierung vor, wichtig ist aber nur, dass Sie alle relevanten Anforderungen betrachten. Zusätzlich zu den Basisanforderungen müssen Sie diesmal auch die Standardanforderungen, gekennzeichnet mit einem (S), berücksichtigen.
Interessant wird es, wenn Sie ein Asset mit einer Schutzbedarfskategorie „hoch“ oder „sehr hoch“ betrachten oder das Asset sich nicht mit den vorhandenen Bausteinen modellieren lässt. Dann müssen Sie eine Risikobetrachtung vornehmen. Das BSI stellt Ihnen dazu mit dem BSI-Standard 200-3 ein eigenes Verfahren bereit, Sie können aber auch andere Ansätze wie zum Beispiel die ISO 27005 nehmen. Ich werde an dieser Stelle nicht näher auf das Risiko-Management eingehen, Sie werden aber anhand Ihrer Risikobeurteilungen und den von der obersten Leitung vorgegeben Akzeptanzkriterien Rückschlüsse auf die Gefährdung Ihrer Assets bekommen und müssen dann Maßnahmen zum Schutz derer ausarbeiten. Optional können Sie nach der Risikoanalyse einen zweiten Grundschutzcheck durchführen um den Gefährdungsgrad erneut zu betrachten und Maßnahmen zu konsolidieren. Je nach Auswertung der Risikoanalyse müssen Sie sich zusätzlich mit den Anforderungen für erhöhtem Schutzbedarf (H) beschäftigen.

Die Kernabsicherung

Screenshot aus dem GRC-COCKPIT zur Kern-Absicherung

Das GRC-COCKPIT verbindet IT-Grundschutz und Risiko-Management.

Die Kernabsicherung ist ein Zwischenmodell, das zwischen Basis- und Standard-Absicherung liegt. Sie ist als Vorstufe zur Standard-Absicherung gedacht oder als Absicherung für Unternehmen, die aus finanziellen oder personellen Gründen keine umfassendes ISMS nach IT-Grundschutz etablieren können. Dies ist oft bei kleinen und mittleren Unternehmen der Fall und das BSI bietet für solche Fälle, anders als bei der Basisabsicherung, auch die Möglichkeit zur Zertifizierung an.
Die Idee ist, dass Sie eine komplette Basis-Absicherung für Ihren Geltungsbereich machen und sich zusätzlich Ihre wichtigsten Geschäftstätigkeiten und -werte raussuchen: Dies sind Ihre sogenannten „Kronjuwelen“. Für diese Kronjuwelen führen Sie dann eine Standard-Absicherung wie oben beschrieben durch. Ihre Kronjuwelen erhalten dabei normalerweise den Schutzbedarf „hoch“ oder „sehr hoch“ und sind dementsprechend zu behandeln.
Wenn sie die Kern-Absicherung etabliert haben, sieht das BSI eigentlich eine Erweiterung zur Standardabsicherung vor. Ob Sie diesen Schritt gehen möchten, ist natürlich Ihnen überlassen. Wägen Sie dazu den Nutzen und vielleicht auch Anforderungen ihrer externen Parteien gegenüber dem, nochmals erheblichen, Aufwand ab.

Prozess der kontinuierlichen Verbesserung

Für welche Form des IT-Grundschutzes Sie sich letztendlich auch entscheiden: Denken Sie daran, dass Ihr ISMS einem Lebenszyklus unterliegt und sich aufgrund von verändernden Technologien und den Änderungen in Ihrer Organisation ständig weiterentwickeln muss. Sie sollten einmal im Jahr Ihr ISMS genau untersuchen und den IT-Grundschutzprozess nochmals da durchlaufen, wo es erforderlich ist. Ebenso müssen Sie prüfen, ob die umgesetzten Maßnahmen effektiv sind und ob die Ergebnisse der Risikoanalyse sich als zutreffend herausgestellt haben. Dies betrifft insbesondere die Standard-Absicherung, wo „Aufrechterhaltung und kontinuierliche Verbesserung“ explizite Anforderungen sind.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH.

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des ISMS der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit: daniel.strassberger@saviscon.de

BSI IT-Grundschutz: In 4 Schritten zur Basis-Absicherung

So starten Sie mit Ihrem ISMS

Von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Im heutigen Blogeintrag zum Thema Informationssicherheit wollen wir uns den BSI IT-Grundschutz etwas näher anschauen, spezifisch die Basis-Absicherung. Die Basis-Absicherung ist als Einstieg in den IT-Grundschutz gedacht oder für Unternehmen, die aus finanziellen oder personellen Gründen kein vollständiges Informationssicherheitsmanagementsystem (ISMS) nach der ISO 27001 etablieren können oder wollen. Dennoch kann die Basis-Absicherung, abhängig von der Größe und Art der Organisation, ein sehr umfangreiches Unterfangen sein. Lohnenswert ist dieser Aufwand aber auf jeden Fall, auch für kleinere Unternehmen, denn es gilt: Selbst ein bisschen Informationssicherheit ist besser als gar keine und die IT-Grundschutz Basis-Absicherung ist, meiner Meinung nach, ein guter Ansatz. Das Verfahren des IT-Grundschutzes wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entworfen, um deutschen Organisationen ein Verfahren zur Etablierung eines Informationssicherheitsmanagementsystem (ISMS) nach der ISO 27001-Norm bereitzustellen. Der Nachteil der ISO-Norm ist, dass sie sehr vage formuliert ist, um ein Rahmenwerk für internationale Organisationen aller Art zu schaffen. Der IT-Grundschutz dagegen bietet einen klar definierten Handlungsfaden und entschlackt den Prozess mit dem IT-Grundschutz-Check bei dem einer der aufwendigsten Bereiche zunächst entfällt: das Risiko-Management. Außerdem bietet das BSI mit den Bausteinen des IT-Grundschutz-Kompendiums und dem Gefährdungskatalog eine tolle Einstiegshilfe in ein ISMS.

Schritt 1: Die Vorbereitung

Screenshot aus dem GRC-COCKPIT zum Informationsverbund

Ein Informationsverbund, hier am Beispiel der RECPLAST GmbH im SAVISCON GRC-COCKPIT.

Bevor die eigentliche Basis-Absicherung beginnt, muss sich die Unternehmensleitung zur Informationssicherheit bekennen und den Sicherheitsprozess initiieren: Dies geschieht mit dem Verfassen und Bekanntgeben einer IS-Leitlinie. Dazu empfehle ich Ihnen meinem Blogeintrag „3 Tipps für Ihre Informationssicherheits-Leitlinie“.
Vorrausgehend dazu müssen Sie sich Ihren Geltungsbereich abstecken. Um den Aufwand gering zu halten, sollten Sie sich zunächst auf ihre wichtigsten Geschäftsbereiche konzentrieren („Kronjuwelen“). Anschließend müssen Sie die Assets in dem Geltungsbereich identifizieren und auflisten, dies nennt das BSI den „Informationsverbund“. Dazu gehören Geschäftszweige und -prozesse, IT-Geräte und -Anwendungen, sowie die Räume und Standorte. Wenn Sie bereits im Zuge eines Compliance– oder Risiko-Managements eine ähnliche Auflistung gemacht haben, ist dies eine gute Basis. Denken Sie auch an den Kontext Ihrer Organisation und inwiefern externe Parteien wie Zulieferer und Kunden von ihrem ISMS betroffen sein könnten. Außerdem müssen Sie Rollen festlegen und einen Informationssicherheitsbeauftragten (ISB) bestimmen, der ihr ISMS leitet und verwaltet. Vergessen Sie auch die Sicherheitsziele nicht, für eine Basis-Absicherung wird die CIA-Triade aus Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit) erstmal ausreichen.

Schritt 2: Die Modellierung

Screenshot der Basisanforderung im GRC-COCKPIT

Die Basisanforderungen des Bausteins SYS.2.1. Im GRC-COCKPIT kann direkt eine Anforderung abgeleitet werden.

Nach den Vorbereitungen geht es an die eigentliche Basis-Absicherung nach IT-Grundschutz. Zunächst müssen Sie Ihren Informationsverbund mit den Bausteinen aus dem Grundschutzkompendium modellieren. Dazu gehen Sie alle Bausteine durch und wählen die aus, die zu Ihrem Informationsverbund passen. Dabei müssen Sie natürlich nur die auswählen, die Sie auch wirklich brauchen. Wenn ihre Organisation beispielsweise keine Maschinen mit SPS betreibt, können Sie den Baustein IND ignorieren, haben Sie keinen Windows2012-Server brauchen Sie den Abschnitt SYS.1.2.2 nicht bearbeiten. Das BSI stellt Ihnen in dem Kompendium zudem eine Tabelle mit einer Priorisierung absteigend von R1 bis R3 bereit. Dies ist allerdings nur eine Empfehlung, Sie können die Bausteine in beliebiger Reihenfolge zuordnen. Achtung: Die Priorisierung bezieht sich nur auf die Reihenfolge der Umsetzung. Sie müssen alle Bausteine anwenden, die zu Ihrem Informationsverbund passen. Dies ist, abhängig von Ihrer Organisation und dem Geltungsbereich, eine Menge Arbeit und Sie sollten gewissenhaft arbeiten: Die Modellierung ist das Grundgerüst Ihrer Informationssicherheit, denn was Sie hier nicht abbilden, werden Sie später im Rahmen des IT-Grundschutz-Checks auch nicht untersuchen und somit wahrscheinlich auch nicht absichern.

Laut dem Grundschutz sollen Sie dann eine Tabelle verfassen in denen:

  • der Baustein
  • das zugehörige Asset
  • eine verantwortliche Person
  • die Reihenfolge (R1, R2, R3)
  • und zusätzliche Informationen oder Kommentare zur Modellierung

für Ihren gesamten Informationsverbund aufgelistet sind.

Wie Sie die Modellierung dokumentieren, bleibt aber Ihnen überlassen, solange die geforderten Informationen enthalten sind. Ich bilde die Bausteine mit unserem GRC-COCKPIT ab, sodass ich jederzeit darauf zugreifen kann. Gerade während der Arbeit im Home-Office erleichtert es auch den Austausch mit Kollegen.

Schritt 3: Der IT-Grundschutz-Check

Screenshot abgeleitete Maßnahme im GRC-COCKPIT

Eine Maßnahme zu Virenprogrammen, abgeleitet aus der Anforderung SYS.2.1.A6 im GRC-COCKPIT.

Anschließend findet der IT-Grundschutz-Check statt, dabei handelt es sich um einen Soll-Ist-Vergleich zwischen den Anforderungen aus den Bausteinen und dem tatsächlichen Zustand in Ihrer Organisation. Diesen Vergleich müssen Sie als ISB nicht allein vornehmen, stattdessen vereinbaren Sie einen Termin mit der für das Asset verantwortlichen Person (Asset-Eigentümer), beachten Sie, dass es sich auch um externe Personen handeln kann. Bereiten Sie Ihren Gesprächspartner vor, erläutern Sie im Vorfeld die Vorgehensweise und veranlassen Sie, dass Dokumente oder ähnliches zur Überprüfung zum Termin mitgebracht werden.

Beim Termin gehen Sie dann systematisch alle Anforderungen aus dem Baustein durch. Für die Basis-Absicherung müssen Sie nur die Anforderungen die mit einem (B) und dem Schlagwort MÜSSEN gekennzeichnet sind bearbeiten. Dokumentieren Sie den Umsetzungsgrad, zum Beispiel mit „ja“, „nein“ oder „teilweise“. Sollten Anforderungen nicht auf das Asset zutreffen, weil zum Beispiel eine Anwendung oder Konfigurationsart bei Ihnen nicht genutzt wird, können Sie die Anforderung mit „entbehrlich“ abhaken. Wichtig ist, dass die Dokumentation gewissenhaft und vollständig ist, außerdem müssen Sie die Dokumente aufbewahren. Wenn Sie beispielsweise eine Anforderung mit „teilweise“ bewerten, schreiben Sie auf inwiefern die Umsetzung erfolgt ist und was genau noch zu erledigen ist. Halten Sie am Ende auch nochmal Rücksprache mit Ihrem Interviewpartner, um Missverständnisse oder Fehler zu vermeiden.
Anschließend müssen Sie die Ergebnisse Ihres IT-Grundschutz-Checks auswerten und Maßnahmen ausarbeiten, um die Defizite zu beheben. Die Auswahl und Umsetzung der Maßnahmen erfolgen meistens durch die Verantwortlichen Mitarbeiter. Der ISB leitet die Ergebnisse der Auswertung an die entsprechenden Stellen weiter und koordiniert unter Umständen mit den Fachbereichsverantwortlichen die Umsetzung. Außerdem liegt es nahe, eine Priorisierung vorzunehmen. Diese kann auf Basis von Dringlichkeit, Kosten oder Umsetzungsaufwand erfolgen. Wichtig: Schmeißen Sie nicht einfach Geld auf ein Problem! Oftmals ist es effektiver organisatorische Maßnahmen einzuleiten, diese sind oftmals auch deutlich günstiger. Denken Sie auch an die Verhältnismäßigkeit Ihrer Maßnahmen, Sie wollen Ihre Mitarbeiter nicht überlasten und selbstverständlich auch nicht Ihr Budget sprengen. Recherchieren Sie in der Fachliteratur oder tauschen Sie sich mit anderen ISBs oder IT-Security Fachleuten aus, um Anreize und Ideen zu erhalten.

Schritt 4: Dran bleiben

Nach der ganzen Arbeit haben Sie ein ISMS nach der Basis-Absicherung des BSI IT-Grundschutz geschaffen. Leider können Sie sich nicht auf Ihrer Arbeit ausruhen, denn die Welt steht nicht still. Nicht nur die IT entwickelt sich ständig weiter und stellt Sie vor neue Herausforderungen und Angriffe, auch Ihre Organisation entwickelt sich ständig weiter, wird wachsen und möglicherweise neue Mitarbeiter und Aufgabenfelder bekommen. Sie müssen Ihr ISMS somit als gelebten Prozess verstehen, der ständig überprüft und angepasst werden muss. Neue Mitarbeiter müssen geschult werden, alte Schulungen aufgefrischt oder ergänzt werden. Neue Technologien am Markt werden neue Umsetzungsmöglichkeiten oder Gefährdungen mit sich bringen. Denken Sie auch daran Ihren Informationsverbund aktuell zu halten und gegebenenfalls die Modellierung mit neuen oder veränderten Bausteinen zu überarbeiten.
Des Weiteren stellt die Basis-Absicherung aus der Sicht des BSIs nur eine Übergangslösung dar, Sie müssen aber selbst entscheiden, ob die Basis-Absicherung für Sie ausreicht oder Sie darauf aufbauend die Kern- bzw. Standardabsicherung angehen möchten. Diesen Schritt werden Sie gehen müssen, wenn Sie eine Zertifizierung Ihres ISMS anstreben. Aber dazu lesen Sie demnächst mehr in unserem Blog.

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Über den Autor

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit: daniel.strassberger@saviscon.de

ISO 27001 Statement of Applicability (SoA) / Erklärung zur Anwendbarkeit

Checkliste für ISO 27001 Statement of Applicability

Die Erklärung zur Anwendbarkeit (Englisch; Statement of Applicability) ist ein Schlüsseldokument, welches im Rahmen des Aufbaus und der ständigen Weiterentwicklung Ihres Informationssicherheitsmanagementsystems (ISMS) entsteht und gepflegt wird. Es dient zur zentralen Dokumentation welche Controls (bzw. Maßnahmen) im Rahmen Ihres ISMS angewandt werden. Zumindest sollte die Erklärung eine schlüssige Erläuterung zu den 114 Controls aus dem ISO27001 Anhang A beinhalten. Sofern weitere Controls beispielsweise von PCI DSS oder dem FAIT1 ergänzt wurden, können diese auch hier dokumentiert werden. Wenn Sie Risiken identifiziert haben, die durch die Standard-Controls des ISO27001 Anhangs noch nicht hinreichend behandelt wurden, so können auch die dafür entwickelten zusätzlichen Controls in der Erklärung ergänzt werden.

Besonders bedeutungsvoll ist, dass auf Basis der Erklärung für einen Dritten transparent werden muss, wieso Controls aus dem Anhang A nicht angewendet werden. Hierbei ist eine nachvollziehbare Argumentation besonders wichtig. Die Erklärung zur Anwendbarkeit kann somit ein guter Einstiegspunkt für die Zertifizierung des ISMS sein.

Checkliste Statement of Applicability:

  • Sie haben eine Erklärung zur Anwendbarkeit erstellt und veröffentlicht sowie bei der Dokumentenlenkung berücksichtigt.
  • Die Erklärung geht auf alle Maßnahmen bzw. Controls des ISO27001 Anhang A ein.
  • Der Ausschluss von Maßnahmen bzw. Controls ist transparent dargelegt.
  • Die Erklärung der Anwendbarkeit berücksichtigt die Ergebnisse des Risikomanagements.
  • Es wurden keine Maßnahmen bzw. Controls ausgeschlossen, die wesentliche Risiken adressieren.
  • Risiko-Management: Alle wesentlichen Risiken werden durch die Maßnahmen so behandelt, dass sie unter der festgelegten Risikoakzeptanz liegen. Sofern im Ausnahmefall die Risikoakzeptanzkriterien nicht erreicht wurden, liegt eine entsprechend Risikoübernahme der obersten Leitung vor.
  • Für angewendete Maßnahmen ist eine entsprechende Verknüpfung zu relevanten Dokumenten und Aufzeichnung ersichtlich, die den tieferen Einstieg in Themenbereiche ermöglicht.