ISO 27003: Informationssicherheitstechniken für das ISMS nach ISO 27001

Was ist die ISO 27003?

Der vollständige Titel der Norm lautet „ISO 27003:2017 Informationstechnik – Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anleitung“. Sie weist in die Umsetzung der ISO 27001 ein und erläutert, wie deren einzelne Kriterien zu erfüllen sind. Bei der Einführung eines ISO-zertifizierten ISMS ist es nicht zwingend erforderlich, dass Sie der Anleitung in ISO 27003 folgen. Für eine einfachere und erfolgreiche Umsetzung empfiehlt sich dies aber.

Zunächst einmal sollten Sie beachten, dass die ISO 27003 keine Zertifizierung ist. Sie ist eine grundlegende Anleitung, welche die Umsetzung der ISO 27001 und die Anforderungen für das Informationssicherheits-Risikomanagement nicht im Detail bespricht.

Was bedeuten ISO und IEC?

Die Internationale Organisation für Normung (Englisch: International Organisation for Standardisation, kurz ISO) ist eine regierungsunabhängige Vereinigung nationaler Normierungsorganisationen aus 167 Mitgliedsstaaten (Stand 2022). Schwerpunkt der Internationalen Elektrotechnischen Kommission (Englisch International Electrotechnical Commission, kurz IEC) ist die Normung in den Bereichen Elektrik, Elektronik und damit verbundenen Technologien, die nicht von der ISO abgedeckt werden. 

Gemeinsam entwickeln die ISO und die IEC globale IKT-Normen. Sehen wir uns also an, warum die ISO 27003 wichtig ist.

Warum ist die ISO 27003 wichtig?

Da viele Organisationen heutzutage in der digitalen Welt tätig sind, erfassen und speichern sie regelmäßig personenbezogene Daten. Darum ist ein ordnungsgemäßes Informationssicherheits-Management wichtig. Unabhängig von Größe oder Branche können Datenschutzverstöße ernsthafte Folgen für eine Organisation mit sich bringen, wie z. B. hohe Bußgelder, den Vertrauensverlust von Interessengruppen oder Betriebsstörungen. Ein mit ISO 27001 konformes Informationssicherheits-Managementsystem (ISMS) mindert diese Risiken und verleiht Ihrer Organisation einen Vorteil gegenüber Wettbewerbern, die nicht ISO-zertifiziert sind.

Hier kommt die ISO 27003 ins Spiel: Sie führt durch die Umsetzung eines ISO 27001-konformen ISMS und die weiteren Schritte des ISO 27001-Zertifizierungsverfahrens.

Für kleine Unternehmen oder Organisationen kann sich die erstmalige Zertifizierung nach ISO 27001 schwierig gestalten. Um eine erfolgreiche Umsetzung zu gewährleisten, empfiehlt es sich daher, den Richtlinien der ISO 27003 zu folgen.  

In welcher Beziehung stehen ISO 27003 und ISO 27001 zueinander?

 Die ISO 27001 legt die Anforderungen und Kriterien für die Planung und Umsetzung eines ISMS dar, die ISO 27003 dagegen führt durch die Umsetzung.

Die folgenden Aspekte einer ISMS-Umsetzung werden in den Kapiteln 4–10 der ISO 27003 beschrieben: 

• Kontext der Organisation
• Führung
• Planung
• Unterstützung
• Betrieb
• Bewertung der Leistung

Die oben genannten Kapitel entsprechen den gleichnamigen Kapiteln der ISO 27001 und enthalten Folgendes: 

• erforderliche Schritte
• Erläuterung
• Anleitung
• sonstige Informationen

Mithilfe von Kapitel 4 der ISO 27001-Norm können Sie den Kontext Ihrer Organisation definieren und ermitteln, wie Sie ein effektives ISMS einrichten, das den Anforderungen Ihrer Organisation entspricht.

Die beiden Normen ergänzen einander und sollten gemeinsam verwendet werden.

Welche Vorteile bietet die ISO 27003?

Die ISO 27003 beschreibt, wie eine Organisation die Umsetzung eines ISMS gemäß der ISO 27001-Norm durchführen sollte. Nach einer gründlichen Risikobewertung stellen Sie vielleicht fest, dass für die ISO-Konformität Ihres ISMS nur wenige Anpassungen erforderlich sind. Die ISO 27003 kann Sie auch bei der Wartung und fortlaufenden Verbesserung Ihres ISMS sowie der Erfüllung der Auditanforderungen unterstützen.

Um es kurz zu fassen: Die ISO 27003 führt Organisationen durch den gesamten Prozess von der Bewilligung für den Beginn eines ISMS-Projekts über die Definition des Umfangs des ISMS und der Umsetzung bis hin zur Projektplanung.

Die Definition des Projektumfangs wird Ihnen dabei helfen zu bestimmen, welche Richtlinien innerhalb der Norm für Ihre Organisation relevant sind.

Wer sollte die ISO 27003 anwenden?

Alle Organisationen, die ein ISMS gemäß ISO 27001 implementieren möchten, profitieren davon, die ISO 27003 zu befolgen.

Ein Teil der Orientierungshilfen in der Norm sind möglicherweise eher für größere Organisationen relevant, aber im Allgemeinen ist die Norm für Organisationen jeder Größe und Branche hilfreich, die der informationstechnischen Sicherheit Vorrang einräumen möchten. Sie können selbst entscheiden, welche Orientierungshilfen für Ihre Situation nützlich sind, und die anderen Teile der Norm ignorieren.  

In welchem Verhältnis steht die ISO 27003 zu anderen ISO-Normen? 

Die ISO-Normenreihe legt den Grundstein für die Informationssicherheit einer Organisation. Außer der ISO 27001 ergänzt die ISO 27003 auch andere ISO-Normen:

• ISO 27002: Die Norm beschreibt mehr als 100 Kontrollmechanismen, welche durch die Grundlagen der Einführung, Umsetzung und Wartung informationstechnischer Sicherheitsverfahren führen.
  
  
• ISO 27004: Die Norm führt durch die Überwachung, Messung, Analyse und Beurteilung der informationstechnischen Sicherheit.
  
  
• ISO 27005: Die Norm bietet Richtlinien für das Informationssicherheits-Risikomanagement.
  
  
• ISO 22301: Die Norm legt die Anforderungen für ein Business Continuity Management-System dar, je nach Art und Kontext der Organisation. 

Fazit

Eine Organisation kann sich nicht nach ISO 27003 zertifizieren lassen. Stattdessen unterstützt die Norm den Zertifizierungsprozess nach ISO 27001. Die Einhaltung der ISO 27003 ist zwar nicht obligatorisch, aber sehr empfehlenswert, da sie gewisse Aspekte der ISO 27001-Compliance sowie der Wartung und Verbesserung des ISMS vereinfacht und verdeutlicht.  

Zur Vermeidung von Datenschutzverstößen oder anderen Betriebsunterbrechungen ist es von zentraler Bedeutung, diese Lücken zu schließen. Lesen Sie mehr darüber, wie Ihre Organisation ISO 27001-Konformität erlangen und ihre Bestrebungen im Bereich Informationssicherheit optimieren kann.

Bei weiteren Fragen zu den Normen der ISO 27000-Reihe stehen Ihnen unsere Experten jederzeit zur Verfügung. Sprechen Sie uns einfach an und vereinbaren ein kostenloses Erstgespräch.