DQS im Dialog
DQS Website Abonnieren

Informationssicherheit trifft Qualitätsmanagement

Im Zeitalter der Digitalisierung sind es vor allem wertvolle Informationen, die es zu schützen gilt – für Unternehmen ist neben dem Datenschutz die Informationssicherheit damit ein unbedingtes Muss. Die gute Botschaft lautet: Unternehmen, die über ein Qualitätsmanagementsystem gemäß ISO 9001 verfügen, haben bereits eine gute Basis für den schrittweisen Einstieg in eine vollumfängliche Informationssicherheit geschaffen.
© iStock ISO 9001 und Informationssicherheit

Das Thema Informationssicherheit ist nicht neu. Die Gefahren, die der umfangreichen Informationslandschaft in Unternehmen drohen, sind lange bekannt. Laut BSI „Cyber-Sicherheits-Umfrage“ vom April 2019 geben 87% der befragten Unternehmen an, dass Cyber-Angriffe bereits zu Betriebsstörungen oder -ausfällen geführt haben.

Allein: Die Sicherheit von Unternehmensinformationen wird noch immer vernachlässigt. Beim Umgang mit Informationen fehlt es vielerorts an der nötigen Vorsicht und Voraussicht. Auch das Bewusstsein über die Folgen von Datenklau und Co. ist längst nicht überall ausreichend entwickelt. Mancherorts wird zudem der Aufwand gescheut, den Unternehmen für einen effektiven Schutz ihrer Informationen betreiben müssten. Dabei muss der Aufwand für die Datensicherheit gar nicht so groß sein. Die Botschaft lautet: Viele Unternehmen müssen gar nicht – quasi auf einen Schlag – ein vollumfängliches Informationssicherheits-Managementsystem (ISMS) einführen, wie es z. B. für kritische Infrastrukturen inzwischen gefordert wird. Auch ein schrittweises Vorgehen ist denkbar. Der Anfang kann z.B., zumindest in Unternehmen, die über ein Qualitätsmanagement nach ISO 9001 verfügen, ein Update des seit der Revision von 2015 geforderten risikobasierten Ansatzes sein – allerdings bereits mit Blick auf entsprechende Anforderungen von ISO 27001.

BSI: Cyber-Sicherheits-Umfrage, April 2019.

Mit ISO 9001 hin zu Informationssicherheit

Zunächst muss festgehalten werden, dass ISO 9001 zwar normübergreifend einen risikobasierten Ansatz fordert, die Umsetzung dieser Anforderung aber weitgehend dem Unternehmen überlässt. So ist beispielsweise kein eigener Prozess für die Risikobetrachtung gefordert, was mit Blick auf Informationssicherheit aber fraglos zu wenig ist. Dennoch kann die Risikobetrachtung für die Belange des Qualitätsmanagementsystems auf das Thema Informationssicherheit erweitert werden.

ISO 27001 – Ermittlung und Umgang mit Informationssicherheitsrisiken

Die meisten Aspekte können von Anwendern der ISO 9001-Norm mit vertretbarem Aufwand umgesetzt werden – als erster Schritt auf dem Weg zu vollumfänglicher Informationssicherheit, wohlgemerkt.

ISO 27001 behandelt die dafür relevanten Themen (genau wie QM / ISO 9001) in Kapitel 6.1 „Maßnahmen zum Umgang mit Risiken und Chancen“. Im Kern geht es darum, drei wesentliche Aspekte sicherzustellen: das Erzielen der von der Organisation beabsichtigten Ergebnisse, das Verhindern bzw. Verringern unerwünschter Auswirkungen und das Erreichen fortlaufender Verbesserung durch Einhaltung bestimmter Standards. Mit Bezug auf Informationssicherheit sind dies u. a. folgende Stichwörter:

  • Verlust der Vertraulichkeit
  • Integrität der Information
  • Verfügbarkeit der Information

Die Norm stellt dazu in Kapitel 6.1.1 folgende Anforderungen:

  • Bestimmen von Risiken und Chancen
  • Planen von Maßnahmen zum Umgang mit den ermittelten Risiken und Chancen
  • Planen zur Integration und Umsetzung von Maßnahmen in die Prozesse der Organisation

In den nächsten beiden Normkapiteln wird jeweils die Festlegung und Anwendung eines Prozesses gefordert.

Kapitel 6.1.2 fordert das Festlegen und Anwenden eines Prozesses zur Beurteilung des Informationssicherheitsrisikos: Dieser Prozess muss Kriterien für das Informationssicherheitsrisiko festlegen und aufrechterhalten, darunter die Kriterien für die Risikoakzeptanz (a.1) und für die Durchführung von Informationssicherheitsrisikobeurteilungen (a.2). Der Prozess muss sicherstellen, dass „wiederholte Informationssicherheitsrisikobeurteilungen zu konsistenten, gültigen und vergleichbaren Ergebnissen führen“, wie es in der Norm heißt (b.1). Folgende Unterpunkte könnten mit Blick auf einen ersten Schritt zentral sein:

  • Identifizierung der Informationssicherheitsrisiken
  • Analyse der Informationssicherheitsrisiken
  • Bewertung der Informationssicherheitsrisiken

Kapitel 6.1.3 verlangt das Festlegen und Anwenden eines Prozesses zur Behandlung des Informationssicherheitsrisikos. Mithilfe dieses Prozesses soll Folgendes erreicht werden:

  • Auswahl angemessener Optionen für die Behandlung des Informationssicherheitsrisikos, und zwar hinsichtlich der Ergebnisse der Risikobeurteilung
  • Festlegung aller Maßnahmen, die zur Umsetzung der gewählten Optionen für die Behandlung des Informationssicherheitsrisikos notwendig sind
  • Vergleich der festgelegten Maßnahmen mit den in Anhang A der Norm genannten Maßnahmen
  • Erstellung einer Erklärung zur Anwendbarkeit mit Blick auf die Gründe für die (Nicht-) Einbeziehung von Maßnahmen aus Anhang A (d)
  • Formulierung eines Planes für die Behandlung des Informationssicherheitsrisikos
  • Einholen der Genehmigung und Akzeptanz dieses Plans bei den Risikoeigentümern

Orientierung bietet der Anhang von ISO 27001

Der Anhang A von ISO 27001 hat ausdrücklich normativen Charakter. Er kann als Checkliste verstanden werden, die Maßnahmenziele und Maßnahmen enthält. Ein Unternehmen kann anhand dieser Liste sicherstellen, dass es keine wichtigen Maßnahmen zur Behandlung des Informationssicherheitsrisikos übersehen hat. Anspruch auf Vollständigkeit wird dabei jedoch nicht erhoben.

Die „Big Five“ der Managementsystemnormen und die High Level Structure

  • Infografiken zu ISO 9001, ISO 14001, ISO 27001, ISO 45001 und ISO 50001
  • Einzelne Kapitel – ideal zum Vergleichen
Jetzt herunterladen!

Welches Vorgehen ist sinnvoll?

ISO 27001 fordert zwar zwei getrennte Prozesse für die Beurteilung und für die Behandlung des Informationssicherheitsrisikos. Diese Prozesse könnten für den ersten Schritt jedoch in einem Prozess zusammengefasst werden, der die Risikobetrachtung des Qualitätsmanagementsystems eines Unternehmens entlang der genannten Anforderungen gezielt um den Aspekt der Informationssicherheit erweitert. Wie tiefgreifend ein solcher Prozess die einzelnen Anforderungen letztlich behandelt, hängt unmittelbar von der Komplexität der Informationslandschaft und der Daten des Unternehmens ab. So oder so: Es ist auf jeden Fall ratsam, die Wirksamkeit eines solchen Prozesses in einem externen Voraudit überprüfen zu lassen, z. B. im Zuge eines ohnehin geplanten QM-Audits gemäß ISO 9001.

Welche Vorteile ergeben sich?

  • Ein Prozess, der die Informationssicherheitsrisiken grundlegend betrachtet, kann als erster, wichtiger Schritt hin zu einem umfänglichen ISMS, z. B. gemäß ISO 27001 dienen.
  • Mit der Implementierung eines solchen Prozesses stärkt das Management eines Unternehmens das Bewusstsein für Informationssicherheit auf allen Ebenen.
  • Ein Unternehmen hat mit der gezielten Betrachtung von Informationssicherheitsrisiken die Möglichkeit, Handlungsbedarf aufzudecken und entsprechende Maßnahmen zu ergreifen (orientiert an ISO 27001, Anhang A).
  • Die um Informationssicherheit erweiterte Risikobetrachtung stärkt den risikobasierten Ansatz des Unternehmens insgesamt.
  • Sowohl der finanzielle als auch der personelle Aufwand für die Implementierung und die Wirksamkeitsprüfung des Prozesses ist überschaubar.