Über CISO27

Steigende Bedeutung von Informationssicherheit im Allgemeinen und neue gesetzliche und regulatorische Anforderungen motivieren Unternehmen nahezu aller Branchen zur Einführung und zum Betrieb eines nativen Informationssicherheitsmanagementsystems (ISMS) gemäß den Anforderungen der DIN ISO/IEC 27001 (ISO 27001). Aufgrund der Freiheitsgrade der Norm und deren eingeschränkter Prozessorientierung gibt es in der Praxis jedoch bislang keine standardisierten Abläufe im ISMS-Betrieb und auch die verfügbaren ISMS-Tools unterstützen i.d.R. nur einige wenige, weitläufig bekannte ISMS-Aktivitäten.

Das Forschungsvorhaben CISO27 (Chief Information Security Officer 27001) adressiert diese Problemstellung und hat zum Ziel, einen Informationssicherheitsprozess und eine dazu passende, adäquate IT-Lösung zu entwickeln, mithilfe derer die Unternehmen „by Design“ ein transparentes natives ISMS aufbauen und betreiben können. In einem ersten Schritt entstand dazu bereits der ISO27-Sicherheitsprozess (ISO27-SP), welcher als Pendant zu dem, im BSI Grundschutzstandard BSI 100-2 vorgestellten Sicherheitsprozess angesehen werden kann. Der neuartige Referenzprozess gibt erstmals einen Überblick über die notwendigen Prozessschritte für einen normkonformen nativen ISMS-Betrieb und zeigt deren Abarbeitungsreihenfolge auf (Vgl. [HoHo16-1]).

In einem zweiten Schritt wurden die einzelnen Aufgaben des ISO27-SP konkretisiert und ein Anforderungskatalog erarbeitet, der übergreifende und prozessspezifische Anforderungen an ISMS-Tools zur Unterstützung des Referenzprozesses aufzeigt (Vgl. [HoHo16-2]). Dieser Anforderungskatalog dient nun dazu, das Unterstützungspotential bestehender ISMS-Tools systematisch zu überprüfen und zu bewerten. Erste Analyseergebnisse lassen jedoch vermuten, dass bislang keine adäquaten Werkzeuge zur ganzheitlichen Unterstützung des ISO27-SP zur Verfügung stehen (Vgl. [HoHo16-3]).

In zukünftigen Forschungsiterationen ist daher die Konzeption eines Werkzeuges zur ganzheitlichen Unterstützung des Referenzprozesses geplant. In diesem Zuge sollen sowohl der ISO27-SP als auch die abgeleiteten IT-Anforderungen gemeinsam mit Praxispartnern und ISMS-Auditoren evaluiert und kontinuierlich weiterentwickelt werden. Durch dieses iterative Forschungsvorgehen wird sichergestellt, dass keine inhaltlichen, normativen und, zu deren Implementierung erforderlichen, technischen Anforderungen bei der Entwicklung des neuartigen ISMS-Tools übersehen werden.