+49 152 03083 103 monka@vialevo.de

ISO 27001 Prozesse und IT-Verfahrensanweisungen

von | Apr. 11, 2025 | Allgemein, IT-Sicherheit

iso 27001 prozesse

Prozesse in der ISO 27001 – Notwendig oder „Nice to have“?  

Prozesse in der ISO 27001 sind nicht nur ein Werkzeug zur Visualisierung von Abläufen, sondern dienen als Basis für strategische Entscheidungen, Risikosteuerung und kontinuierliche Verbesserungen im Informationssicherheitsmanagementsystem (ISMS).
Sie verbinden prozessorientiertes Denken mit den Anforderungen der Norm, schaffen Transparenz und sorgen für eine klare Rollenverteilung.

Die Darstellung von Abläufen geschieht aber nicht nur in der Prozess-Darstellung. Manchmal ist es angemessener, Abläufe in dokumentierten Checklisten abzubilden. Diese Art meist Verfahrensbeschreibung genannt. Insbesondere in der IT wird das Aufsetzen eines Servers eher Betriebs- oder IT-Verfahren genannt. Bezogen auf die ISO 27001 sollen in diesem Betrag diese beiden Beschreibungen von Abläufen näher vorgestellt werden. Entscheiden Sie am Ende des Beitrags selbst, ob das notwendig oder wünschenswert ist. 

 

Dieser Beitrag ist Teil einer Reihe von aufeinander aufbauenden und vernetzten Beiträgen - ausgehend von einer generellen "ISO 27001-Checkliste".
iso 27001 mindmap

In dieser Checkliste sind zu allen Themen der ISO 27001 die Fragen und Hinweise aufgeführt, die zur Umsetzung der Norm wesentlich sind. Der folgende Beitrag gibt Antworten auf die spezifien Aspekte aus der Checkliste.

Um wieder zur Checkliste zurück zu kehren, klicken Sie einfach auf das ICON

 

Was zeichnet einen Prozess aus – und was eine Verfahrensanweisung?

Um den Unterschied genauer zu verstehen, hilft eine Beschreibung dieser beiden Ablaufdokumentationen:

ISO 27001 Prozesse und Verfahrensanweisungen

 

ISO 27001 – Prozesse

Prozesse beschreiben übergreifende Abläufe innerhalb des Unternehmens, die verschiedene Abteilungen, Rollen oder Systeme betreffen. Sie definieren strategische und koordinierende Aktivitäten, die zur Erreichung eines bestimmten Unternehmensziels beitragen.

Merkmale von Prozessen:

  • Übergreifend: Sie betreffen mehrere Abteilungen, Teams oder Systeme.
  • Zielgerichtet: Sie unterstützen die Umsetzung der Unternehmensstrategie oder regulatorischer Anforderungen.
  • Standardisiert: Sie sind wiederholbar und auf langfristige Effizienz ausgerichtet.
  • Ergebnisorientiert: Sie liefern ein definiertes Endergebnis oder Produkt.

Beispiele für Prozesse:

  • Risikomanagementprozess (z. B. Durchführung einer Risikoanalyse nach ISO 27001)
  • Incident-Management-Prozess (z. B. Bearbeitung und Eskalation von IT-Sicherheitsvorfällen)
  • Change-Management-Prozess (z. B. Steuerung von Änderungen in der IT-Infrastruktur)

 

ISO 27001 – Verfahrensanweisungen

Verfahrensanweisungen sind detaillierte Anleitungen, die sich auf spezifische Umsetzungsschritte innerhalb eines Prozesses oder einer Fachabteilung beziehen. Sie definieren operative Tätigkeiten und technische Maßnahmen, die meist von einer begrenzten Gruppe von Fachkräften durchgeführt werden.

Merkmale von Verfahrensanweisungen:

  • Spezifisch: Sie beschreiben detaillierte Anweisungen für eine bestimmte Tätigkeit.
  • Technisch oder operativ: Sie enthalten konkrete Arbeitsschritte, Tools oder Systeme.
  • Verantwortlichkeitsbezogen: Sie sind meist für eine bestimmte Abteilung oder Personengruppe relevant.
  • Umsetzungsorientiert: Sie konzentrieren sich auf die praktische Durchführung einer Aufgabe.

Beispiele für Verfahrensanweisungen:

  • Einrichtung eines Servers (z. B. Installation, Konfiguration und Härtung eines Windows/Linux-Servers)
  • Backup- und Restore-Verfahren (z. B. Sicherung und Wiederherstellung von Datenbanken)
  • Patch-Management-Verfahren (z. B. Vorgehen zur regelmäßigen Aktualisierung von Software)

 

Verlangt die ISO 27001 Prozesse und IT-Anweisungen?

Eindeutig JA. Im ISMS Kapitel 8.1 wurden Anpassungen vorgenommen, um die betriebliche Planung und Steuerung von ISMS-Prozessen zu vereinheitlichen:

  • Die Anforderungen an einzurichtende Prozesse beziehen sich nun auf alle Norm-Anforderungen, nicht nur auf einzelne Sicherheitsanforderungen.
  • Neben der Risikobeurteilung und -behandlung (ISMS-6.1) sind jetzt auch das Management der Sicherheitsziele (ISMS-6.2) und das Change Management (ISMS-6.3) und weitere wesentliche Abläufe zu berücksichtigen.
  • Für alle ISMS-Prozesse müssen daher Kriterien zur Überwachung definiert werden.
  • Die Überwachungspflicht erstreckt sich nicht mehr nur auf interene Prozesse, sondern auch auf alle extern bereitgestellten Prozesse, Produkte und Dienstleistungen im ISMS.

 

Im Control A5.37 werden speziell auch Anforderungen an dokumentierte Betriebsabläufe beschrieben:

Betriebsabläufe sind essenziell für das technische Management informationsverarbeitender Einrichtungen. Sie verhindern Fehler, sichern die Informationssicherheit und ermöglichen eine einheitliche Ausführung von Aufgaben – auch bei Personalwechsel oder seltenen Tätigkeiten.

Empfehlungen:

  • Einheitliche Anweisungen für gleiche Einrichtungen zur Reduzierung der Dokumentenmenge.
  • Gliederung nach Phasen (z. B. Installation, Betrieb, Wartung, Notfallmanagement).
  • Detaillierte Inhalte: Anlass, Bearbeiter, Arbeitsschritte, Tests und Dokumentation.
  • Freigabe und Aktualisierung regelmäßig sicherstellen.
  • Zugänglichkeit gewährleisten, auch in Notfällen.

 

Die Notwendigkeit der Beschreibung der Abläufe ist aus Norm-Sicht somit eindeutig. Bleibt die Frage: Sie erstellt man derartige Prozesse und Anweisungen?

 

Muster für ISO 27001-Prozesse und IT-Sicherheitsanweisungen

 

Starten wir mit den Prozessen. Es gibt sicherlich sehr viele Prozesse, die man in der Norm beachten sollte. Es empfiehlt sich aber gerade beim Aufbau einer ISO 27001 auf bestimmte Kernprozesse zu konzentrieren.

ISO 27001 Kernprozesse

Entsprechend stehen Templates für diese Prozesse auch im Vordergrund. Was sollte ein Template für diese Kernprozesse inhaltlich enthalten? Die folgende Übersicht beschreibt notwendige Anforderungen:

Risikomanagement: In diesem Prozess geht es um die Umsetzung eines risikobasierten Ansatzes gemäß der ISO 27001, welcher sich auf die Identifizierung, Analyse und Bewertung von Risiken für die Informationssicherheit einer Organisation konzentriert. Die Notwendigkeit von Maßnahmen orientiert sich immer an den spezifischen Risiken, die die Sicherheitsziele der Organisation gefährden könnten.

Dokumentenmanagement: Im Prozess der dokumentierten Information gemäß ISMS 7.5 der ISO 27001 geht es um die strukturierte Verwaltung von Dokumentation und Aufzeichnungen, die sowohl von der Norm verlangt als auch von der Organisation bereitgestellt werden. Dieser Prozess gliedert sich in mehrere wesentliche Schritte:

• Erstellung und Aktualisierung dokumentierter Information
• Kennzeichnung und Formatierung
• Kontrolle und Schutz
• Umgang mit externen Informationen

Informations-Sicherheitsvorfälle: Der Prozess der Planung und Handhabung von Informationssicherheitsvorfällen (sog. Incidents) gemäß ISO 27001 (Abschnitte A-5.24 bis A-5.28) ist essenziell, um sicherzustellen, dass eine Organisation effektiv auf Sicherheitsvorfälle reagieren und aus ihnen lernen kann. Ziel ist es, die Integrität, Verfügbarkeit und Vertraulichkeit von Informationen zu schützen und sicherzustellen, dass Vorfälle systematisch erfasst, bewertet und bearbeitet werden.

Geschäftskontinuität (BCM): Der Prozess der IKT-Bereitschaft für Business Continuity gemäß den Abschnitten A-5.30 der ISO 27001 ist entscheidend, um sicherzustellen, dass eine Organisation in der Lage ist, auf Störungen und Ausfälle der Informations- und Kommunikationstechnologie (IKT) vorausschauend, schnell, und effektiv zu reagieren. Das Hauptziel ist die Aufrechterhaltung und Wiederherstellung des Geschäftsbetriebs im Falle von Unterbrechungen, um Schäden zu minimieren und die Geschäftsprozesse schnellstmöglich wiederherzustellen.

ISMS: Ein funktionierendes Informationssicherheits-Managementsystem (ISMS) basiert auf dem Prozess der kontinuierlichen Verbesserung. Ziel ist es, vorhandenes Verbesserungspotenzial zu nutzen, um sich schrittweise dem gewünschten Sicherheitsniveau anzunähern. Dieses Niveau wird in der Regel nicht sofort erreicht, sondern erfordert ständige Anpassung und Optimierung.

Überwachung und Bewertung: In diesem Prozess geht es darum, die Leistung und Wirksamkeit des Informationssicherheitsmanagementsystems (ISMS) einer Organisation kontinuierlich zu überwachen, zu mes-sen, zu analysieren und zu bewerten. Die Organisation hat dabei weitgehend freie Hand bei der Gestaltung eines passenden Messprogramms, solange einige wesentliche Anforderun-gen erfüllt werden. Diese Flexibilität ermöglicht es jeder Organisation, das Programm an ihre spezifischen Bedürfnisse und Risikoprofile anzupassen.

Change-Management: Der Prozess der Änderungssteuerung, auch bekannt als Change-Management, ist ein essenzieller Be-standteil des Information Security Management Systems (ISMS) gemäß ISO 27001. Ziel dieses Prozesses ist es, sicherzustellen, dass alle Änderungen an informationsverarbeitenden Einrichtungen und IT-Systemen kontrolliert und geregelt ablaufen. Durch die formale Struktur des Change-Managements wird gewährleistet, dass die Informationssicherheit der Organisation nicht durch unüberlegte oder ungeplante Änderungen gefährdet wird.

Personal: Der Personal-Prozess gemäß ISO 27001 umfasst die Sicherheitsüberprüfung, die Sicherheits-anforderungen bei Neueinstellungen und Versetzungen sowie die Sensibilisierung, Schulung und Ausbildung der Mitarbeiter. Diese drei Prozesse sind essenziell, um die Integrität und Sicherheit der Organisation zu gewährleisten. Sie greifen ineinander, indem sie sicherstellen, dass alle Mitarbeiter und externes Personal gründlich überprüft werden, klare vertragliche Sicherheitsanforderungen einhalten und kontinuierlich über die neuesten Informationssicherheitspraktiken informiert und geschult werden. Diese Verknüpfung schafft eine umfas-sende Sicherheitskultur, die Risiken minimiert und die Resilienz der Organisation stärkt.

Externe Dienstleister: Durch die sorgfältige Planung und Kontrolle der Lieferantenbeziehungen gemäß ISO 27001 kann eine Organisation sicherstellen, dass ihre Informationssicherheit auch in Zusammenarbeit mit externen Dienstleistern gewahrt bleibt. Dies trägt maßgeblich zur Reduktion von Risiken und zur Sicherstellung der Integrität, Verfügbarkeit und Vertraulichkeit der Informationen bei.

 

Kommen wir nun zu den Verfahrensanweisungen. Diese sind laut unserer Definition wie oben beschrieben, eher technischer Natur. Man unterscheidet Verfahrensanweisungen im Bereich der Infrastruktur, der Systeme und Netze sowie der sicherheitsrelevanten Anwendungen.

ISO 27001 Verfahrensanweisungen

In der Grafik sind nur einige repräsentative Anweisungen dargestellt. Im Folgenden eine kurze Übersicht, was die drei Anweisungsbereiche charakterisiert.

 

Schauen Sie sich gerne unsere Musterlösungen zur ISO 27001 im Detail an,

mit der Sie die Norm vollständig implementieren können.

 

ISO 27001 Verfahrensanweisungen
ISO 27001-Haus Prozesse_Verfahren
Dr. Michael Monka ist externer Lead Auditor des TÜV Rheinland für die ISO 27001 und KRITIS.

Für weitere Informationen ...

12 + 11 =