Informationssicherheitspolitik nach ISO 27001 und ENS

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und Leon) für ganz Spanien.

Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und León) für ganz Spanien.

Die Informationssicherheitspolitik ist das von der Geschäftsleitung genehmigte Dokument, das Ziele, Rollen und Verantwortlichkeiten des Managementsystems für Informationssicherheit (ISMS) festlegt.

Die Informationssicherheitspolitik ist das Gründungsdokument, auf dem das gesamte Managementsystem für Sicherheit aufgebaut ist. Sie ist das Erste, was Auditoren prüfen, sowohl die des Spanischen Nationalen Sicherheitsgrundgesetzes (ENS) als auch die der ISO 27001, und ihre Qualität setzt den Ton für das gesamte Audit. Eine gut verfasste Politik zeigt Engagement der Geschäftsleitung, Klarheit der Ziele und organisatorische Reife. Eine mangelhafte oder generische Politik weckt sämtliche Alarme. Dieser Leitfaden hilft Ihnen, eine Politik zu verfassen, die gleichzeitig die Anforderungen beider Rahmen erfüllt.

Welche Anforderungen stellt das ENS an die Sicherheitspolitik?

Anhang II des Königlichen Erlasses 311/2022 legt den verpflichtenden Mindestinhalt der Sicherheitspolitik fest (Kontrolle org.1). Dieser Inhalt umfasst die Ziele oder den Auftrag der Organisation, den regulatorischen Rahmen, in dem die Tätigkeit ausgeübt wird, die Sicherheitsrollen mit ihren Funktionen und Verantwortlichkeiten, die Struktur des Sicherheitskomitees, die Leitlinien zur Kategorisierung der Systeme, die Leitlinien zur Analyse und zum Management von Risiken sowie die Leitlinien zu Schulung und Sensibilisierung in Sicherheitsfragen.

Außerdem muss die Politik vom Inhaber des entsprechenden obersten Organs (in der Verwaltung) oder von der Geschäftsleitung (im privaten Sektor) unterzeichnet und allen Mitarbeitenden mitgeteilt werden.

Welche Anforderungen stellt ISO 27001 an die Politik?

ISO 27001 verlangt in Klausel 5.2, dass die oberste Leitung eine Informationssicherheitspolitik festlegt, die dem Zweck der Organisation angemessen ist, Sicherheitsziele oder den Rahmen zu deren Festlegung enthält, die Verpflichtung zur Erfüllung der anwendbaren Anforderungen umfasst und die Verpflichtung zur kontinuierlichen Verbesserung des Managementsystems für Informationssicherheit (ISMS) beinhaltet.

Die Politik muss als dokumentierte Information verfügbar sein, innerhalb der Organisation kommuniziert werden und den interessierten Parteien gegebenenfalls zur Verfügung stehen.

Empfohlene Struktur für eine Politik, die beide Rahmen erfüllt

Eine Politik, die gleichzeitig das ENS und ISO 27001 erfüllt, lässt sich in die folgenden Abschnitte gliedern.

Kopfzeile und Dokumentenlenkung

Geben Sie den Namen des Dokuments, die Version, das Genehmigungsdatum, den Namen und die Funktion der genehmigenden Person und die Sicherheitseinstufung des Dokuments selbst (in der Regel INTERN oder ÖFFENTLICH) an.

Zweck und Anwendungsbereich

Definieren Sie, was die Politik bezweckt (Festlegung der Grundsätze und Leitlinien der Informationssicherheit), auf welche Informationssysteme sie angewendet wird (Anwendungsbereich des ISMS für ISO 27001 und des Systems für das ENS) und welche Personen sie verpflichtet (das gesamte Personal, Lieferanten, Kooperationspartner).

Normativer Rahmen

Zählen Sie die einschlägige Gesetzgebung und Normen auf: Königlicher Erlass 311/2022 (ENS), ISO/IEC 27001:2022, DSGVO, LOPDGDD, NIS2 und jede andere anwendbare sektorspezifische Vorschrift.

Sicherheitsgrundsätze

Legen Sie die Grundsätze fest, die die Sicherheit in der Organisation leiten. Das ENS definiert grundlegende Prinzipien (integrale Sicherheit, Risikomanagement, Prävention, Reaktion und Wiederherstellung, Verteidigungslinien, regelmäßige Neubewertung, getrennte Funktionen), die in der Politik wiedergegeben werden müssen.

Organisation der Sicherheit: Rollen und Verantwortlichkeiten

Dieser Abschnitt ist für das ENS entscheidend, das eine formale Funktionstrennung zwischen vier Rollen verlangt. Die für die Information verantwortliche Person bestimmt die Sicherheitsanforderungen der verarbeiteten Information. Die für den Dienst verantwortliche Person bestimmt die Sicherheitsanforderungen der erbrachten Dienste. Die für die Sicherheit verantwortliche Person trifft die Entscheidungen zur Erfüllung der Sicherheitsanforderungen von Information und Diensten. Und die für das System verantwortliche Person übernimmt den Betrieb des Informationssystems.

Das ENS verlangt, dass die Rollen der für Information und Dienst verantwortlichen Personen von der für Sicherheit verantwortlichen Person getrennt sind und dass die für Sicherheit verantwortliche Person von der für das System verantwortlichen Person getrennt ist. In kleinen Organisationen ist es möglich, dass dieselbe Person mehrere Rollen übernimmt, aber die Funktionen müssen formal unterschieden sein.

Sicherheitskomitee

Beschreiben Sie die Zusammensetzung, Funktionen und Arbeitsweise des Sicherheitskomitees: wer es zusammensetzt, mit welcher Häufigkeit es tagt (mindestens halbjährlich), welche Entscheidungen es trifft und wie seine Beschlüsse dokumentiert werden.

Kategorisierung der Systeme

Legen Sie die Leitlinien zur Kategorisierung der Informationssysteme gemäß Anhang I des ENS fest und verweisen Sie auf das detaillierte Kategorisierungsverfahren.

Risikomanagement

Definieren Sie den Ansatz der Organisation für das Risikomanagement: verwendete Methode (MAGERIT), unterstützendes Werkzeug (PILAR), Kriterien zur Risikoakzeptanz und Häufigkeit der Überprüfung der Analyse.

Entwicklung der Politik

Geben Sie an, wie die Politik durch sektorspezifische Vorschriften, operative Verfahren und technische Anweisungen entwickelt wird. So entsteht die dokumentarische Pyramide, die sowohl das ENS als auch ISO 27001 verlangen.

Schulung und Sensibilisierung

Legen Sie die Verpflichtung der Organisation zur fortlaufenden Schulung des Personals in Sicherheitsfragen fest, einschließlich der Häufigkeit und der Mindestinhalte des Sensibilisierungsprogramms.

Vorfallsmanagement

Definieren Sie auf hoher Ebene die Verpflichtung der Organisation zum Management von Sicherheitsvorfällen unter Verweis auf das detaillierte Verfahren und die Pflicht zur Meldung an das CCN-CERT.

Konformität und Einhaltung

Bringen Sie die Verpflichtung der Organisation zur Einhaltung des ENS, der ISO 27001 und der gesamten anwendbaren Gesetzgebung zum Ausdruck.

Überprüfung und Aktualisierung

Legen Sie fest, dass die Politik mindestens jährlich oder bei wesentlichen Änderungen der Organisation, der Technologie, der Bedrohungslage oder des normativen Rahmens überprüft wird.

Häufigste Fehler in der Sicherheitspolitik

Der schwerwiegendste Fehler ist das Fehlen der vom ENS vorgeschriebenen Elemente. Die Auditoren prüfen Punkt für Punkt, dass der Inhalt von Anhang II in der Politik widergespiegelt ist. Ein weiterer häufiger Fehler ist die generische Politik, die sich nicht an die Realität der Organisation anpasst: eine aus einer Vorlage kopierte Politik wird sofort erkannt. Ebenfalls häufig sind das Fehlen der formalen Genehmigung durch die Geschäftsleitung, das Fehlen von Nachweisen der Kommunikation an das Personal und das Fehlen dokumentierter regelmäßiger Überprüfungen.

Benötigen Sie Hilfe beim Verfassen oder Überarbeiten Ihrer Informationssicherheitspolitik? Sprechen wir miteinander. Ich helfe Ihnen, eine Politik zu erstellen, die gleichzeitig die Anforderungen des ENS und der ISO 27001 erfüllt, angepasst an die Realität Ihrer Organisation.

Autor: Ángel Ortega Castro – unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU.

Häufig gestellte Fragen

Wer muss das ENS einhalten?

Es muss von der gesamten spanischen öffentlichen Verwaltung sowie von privaten Anbietern, die IKT-Dienste für den öffentlichen Sektor erbringen, eingehalten werden. Zudem muss die Politik vom Inhaber des entsprechenden obersten Organs (in der Verwaltung) oder von der Geschäftsleitung (im privaten Sektor) unterzeichnet und allen Mitarbeitenden mitgeteilt werden.

Welche Kategorien hat das ENS?

Das ENS hat drei Kategorien: NIEDRIG, MITTEL und HOCH, je nach Auswirkung, die ein Sicherheitsvorfall auf die verarbeitete Information hätte. ISO 27001 verlangt in Klausel 5.2, dass die oberste Leitung eine Informationssicherheitspolitik festlegt, die dem Zweck der Organisation angemessen ist, Sicherheitsziele oder den Rahmen zu deren Festlegung enthält, die Verpflichtung zur Erfüllung der anwendbaren Anforderungen umfasst und die Verpflichtung zur kontinuierlichen Verbesserung des ISMS beinhaltet.

Welche Frist gilt für die Einhaltung des ENS?

Der Königliche Erlass 311/2022 hat je nach Ausgangslage der jeweiligen Organisation differenzierte Fristen festgelegt; im Allgemeinen muss die Anpassung innerhalb von 24 Monaten ab Veröffentlichung abgeschlossen sein.

Offizielle Quellen

• CCN – Spanisches Nationales Sicherheitsgrundgesetz
• BOE – Königlicher Erlass 311/2022
• CCN – Leitfäden 800 des ENS
• CCN – Werkzeug PILAR
• CCN – Katalog CPSTIC

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro