Was macht ein ISO/IEC 27001 Information Security Auditor?

Die IT mit den bereitgestellten IT Services hat sich zu einem wichtigen Service- und Produktbestandteil der gesamten Organisation entwickelt. Aus Sicht der Organisationen ist die Informationssicherheit so zu einem essentiellen Ziel geworden und liegt inzwischen im Fokus des Managements, aber auch der Kunden und der Gesetzgebern bzw. Regulierungsbehörden.

Durch Schwachstellen im Bereich der Informationssicherheit könnte beispielsweise die Möglichkeit bestehen, dass auf wichtige Informationen unautorisiert zugegriffen oder die Informationen unbemerkt verändert/manipuliert werden könnten. Durch Sicherheitsvorfälle können aber auch geschäftliche Aktivitäten massiv beeinträchtigt werden, wie beispielsweise durch den Ausfall eines Lagerverwaltungssystems für eine Organisation, die in einer Just-in-Time-Lieferkette eingebunden ist. Um die notwendige und angemessene Informationssicherheit sicherzustellen, ist mehr erforderlich, als die Implementierung von alleinstehenden Sicherheitslösungen, wie zum Beispiel mit der Implementierung eines sicheren Authentifizierungssystems.

Es wird vielmehr die Etablierung eines ganzheitlichen Systems erforderlich, das sich an den geschäftlichen Anforderungen und dem Umfeld der jeweiligen Organisation ausrichtet. Der internationale Standard für die Informationssicherheit – die ISO/IEC 27001 – bezeichnet diesen ganzheitlichen Ansatz als ein Informationssicherheits-Management-System (ISMS).

Der konzeptionelle Ansatz von Managementsystemen & die Rolle der Audits

Unabhängig vom jeweiligen Standard für Management-Systeme (ISO 9001 (Qualität), ISO 14001 (Umwelt), ISO/IEC 20000-1 (IT Service Management), ISO/IEC 27001 (Informationssicherheit), etc.) liegt diesen Management-Systemen der PDCA-Zyklus bzw. Deming-Kreis zugrunde. Der von Deming entwickelte PDCA-Zyklus hat das Ziel, mögliche Verbesserungen zu erkennen, Verbesserungsmassnahmen umzusetzen und deren Erfolg zu bewerten. Der PDCA-Zyklus soll so eine stetige Weiterentwicklung (Effektivität und Effizienz) des Management-System sicherstellen und einen kontinuierlichen Verbesserungsprozess in Gang halten.

Für die Informationssicherheit bedeutet dies, dass die jeweilige Organisation ein Informationssicherheits-Management-System (ISMS) einrichten (= Plan), umsetzen (= Do), aufrechterhalten (= Check) und fortlaufend verbessern (= Act) muss. Die ISO/IEC 27001 fordert hierzu für den Bereich «Check» im Norm-Abschnitt «Bewertung der Leistung», dass die Organisation die wirksame Umsetzung ihres Informationssicherheits-Management-Systems regelmässig auditiert.

Für die Auswahl der Auditoren fordert die ISO/IEC 27001 von den Organisationen:

«Auditoren so auswählen und Audits so durchführen, dass die Objektivität und Unparteilichkeit des Auditprozesses sichergestellt sind»
(Quelle ISO/IEC 27001:2017).

Ziel & Zweck von Audits

Richtlinien (Vorgaben, Massnahmen, etc.) für die Informationssicherheit sollten so gestaltet sein, dass sie logisch auf diejenigen wirken, die sie zu beachten und umzusetzen haben. Das heisst, dass sie keinen unnötigen Widerstand auslösen sollen. COBIT bezeichnet dies als «unaufdringliche» Richtlinien.

Aber auch wenn Richtlinien, Prozesse und Massnahmen unaufdringlich gestaltet sind, so ist deren Einhaltung und Wirksamkeit zu überprüfen (siehe Anforderung der Norm).

Dabei gilt es nicht Verstösse zu finden um Schuldige zu benennen, sondern primär zu erkennen, ob die Massnahmen der Informationssicherheit wirksam sind und ihren Beitrag zu den damit verbundenen Zielen liefern.

Für den Bereich der Informationssicherheit kommt hier dem ISO 27001 Auditor bzw. dem Information Security Auditor eine bedeutende Rolle zu.

Mögliche Überprüfungen durch den Information Security Auditor könnten beispielsweise sein:

• Sind die (internen und externen) Mitarbeiter mit den Inhalten der Informationssicherheits-Politik vertraut?
• Werden Verbesserungsmassnahmen der Informationssicherheit hinsichtlich deren Wirksamkeit bewertet?
• Sind den identifizierten Sicherheitsrisiken sogenannte Risikoeigentümer zugeordnet?
• Werden die Sicherheitsrichtlinien in geplanten Abständen oder jeweils nach erheblichen Änderungen überprüft?
• Werden im Rahmen des Change Managements auch mögliche Auswirkungen auf die Informationssicherheit bewertet?
• Wird die Dienstleistungserbringung durch die Lieferanten regelmäßig überwacht, überprüft und auditiert?
• Werden Sicherheitsvorfälle aufgezeichnet und systematisch analysiert?

Die Ergebnisse der durchgeführten Audits werden an den auditierten Bereich und die oberste Leitung kommuniziert. Dabei werden nicht nur Nicht-Konformitäten kommuniziert, sondern selbstverständlich auch festgestellte Konformitäten.

So hat die oberste Leitung stets einen aktuellen Überblick zum Status der Informationssicherheit sowie mögliche Anforderungen an Verbesserungen: Die oberste Leitung bzw. Leitung/ Management weiss aber um die Bereiche der Informationssicherheit, die bereits erfolgreich umgesetzt wurden und ihre Beiträge zu den Sicherheitszielen der Organisation liefern. Dieses ist insbesondere hinsichtlich der zunehmend komplexen regulatorischen, gesetzlichen und vertraglichen Rahmenbedingungen für Organisationen von Bedeutung. Sicherheitsverletzungen können nicht nur zu Strafen führen, sondern auch zu erheblichen Image- und Vertrauensverlusten.

Image- und Vertrauensverluste können mittel- und langfristig für eine Organisation erheblich kritischer sein als eine Strafzahlung.

Die Awareness für die Risiken im Umgang mit Informationen gehört zu einem der wichtigsten Handlungsfeldern in der gesamten Organisation.

Innerhalb der ISO/IEC 27001 «Informationssicherheits-Management-Systeme» wird die Informationssicherheit definiert als «Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen» (Quelle DIN EN ISO/IEC 27000, Oktober 2017). Das heisst, die Information – unabhängig vom Medium – ist nicht nur vor einem unautorisierten Zugriff zu schützen, sondern auch die Vollständigkeit und Richtigkeit der Information ist zu schützen sowie die Sicherstellung, dass die Informationen dann zur Verfügung stehen, wenn sie von der Organisation benötigt werden.

Dabei dies – auch nachweislich – sicherzustellen, nimmt der ISO 27001 Auditor bzw. Information Security Auditor eine äusserst wichtige Rolle ein.

Möchte (muss) eine Organisation das Informationssicherheits-Management-System (ISMS) zertifizieren lassen, so müssen von der Organisation interne Audits geplant und durchgeführt werden. Deren Ergebnisse werden unter anderem im Rahmen von externen Zertifizierungs- und Überwachungsaudits überprüft. Das heisst, die Durchführung von internen Audits ist bei ISO/27001 zertifizierten Organisationen nicht nur wichtig für ein wirksames ISMS, sondern wird zu einem MUSS für die erfolgreiche ISO/IEC 27001 Erst-Zertifizierung der Organisation und der Aufrechterhaltung der erlangten ISO/IEC 27001 Zertifizierung.

Anforderungen an die Kompetenz des ISO 27001 Auditors bzw. Information Security Auditors

Um wirksame Audits des Informationssicherheitsmanagementsystems (ISMS) durchführen zu können, benötigt der ISO 27001 Auditor bzw. der Information Security Auditor Know-how in den Bereichen  Managementsysteme und  Sicherheitsmassnahmen – und selbstverständlich muss er mit den Anforderungen der folgenden Normen bzw. Leitfäden zur Informationssicherheit vertraut sein:

• ISO/IEC 27001 – Informationssicherheitsmanagementsysteme – Anforderungen
• ISO/IEC 27002 – Leitfaden für Informationssicherheitsmassnahmen
• ISO/IEC 27003 – Information security management systems — Guidance
• ISO/IEC 27004 – Information security management — Monitoring, measurement, analysis and evaluation
• ISO/IEC 27005 – Information security risk management

Neben diesen (technischen) Kompetenzen benötigt der ISO 27001 Auditor bzw. der Information Security Auditor aber auch Fachwissen im Bereich der Auditierung von Managementsystemen.

Sind Sie bzw. ist Ihr ISO 27001 Auditor bzw. der Information Security Auditor vertraut mit den folgenden Aspekten:

• Welche Inhalte sollte ein Auditbericht umfassen?
• Welche Audit-Methoden bestehen und welche Vor- und Nachteile hat die jeweilige Methode?
• Was ist bei der Auditierung von Lieferketten zu beachten?
• Was ist bei virtuellen Audits zu beachten?

Mit der ISO 19011 liegt der international anerkannte Leitfaden zur Auditierung von Managementsystemen vor. Dieser Leitfaden ist ein allgemeiner Leitfaden und kann bzw. wird beispielsweise auch für die Auditierung eines Qualitätsmanagementsystems auf Basis der ISO 9001, aber auch für die Auditierung von Informationssicherheitsmanagementsystemen (ISMS) auf Basis der ISO/IEC 27001 herangezogen.

Mit der aktuellen Version ISO 19011:2018 wurde dieser Leitfaden im Oktober 2018 aktualisiert. Gegenüber der vorhergehenden Version wurden dabei unter anderem folgende Änderungen vorgenommen:

• Ergänzung der Grundsätze von Audits um den risiko-basierten Ansatz.
• Erweiterung der Anforderungen an allgemeine Kompetenzen von Auditoren.
• Anpassung der Terminologie, um den Prozess und nicht den Gegenstand (die «Sache») wiederzugeben.
• Überarbeitung der Anforderungen zu Audit-Plänen.
• Erweiterung um Konzepte, wie virtuellen Audits, Compliance und Lieferkette.

Lesen Sie auch: Warum ein funktionales Informationssicherheits-Management-System so wichtig ist