ISO 27001 ist eine internationale Norm, die die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) festlegt. Ein ISMS ist ein Rahmenwerk für das Management von Informationssicherheitsrisiken und den Schutz von Informationswerten.
Klausel 10.1 der ISO 27001 verlangt von Organisationen, dass sie Nichtkonformitäten identifizieren, untersuchen und beheben. Eine Nichtkonformität ist eine Abweichung von den Anforderungen des ISMS.
In diesem Artikel werden die Anforderungen der ISO 27001-Klausel 10.1 erörtert und Anleitungen zur Umsetzung eines Prozesses für Nichtkonformität und Korrekturmaßnahmen gegeben, um eine ISO 27001-Zertifizierung zu erreichen oder aufrechtzuerhalten.
Was ist eine Nichtkonformität in ISO 27001?
Nichtkonformitäten können durch eine Vielzahl von Mitteln festgestellt werden, z. B. durch interne Audits , Management Reviews und Kundenfeedback. Sobald eine Nichtkonformität festgestellt wurde, sollte die Organisation diese untersuchen, um die Grundursache und mögliche Auswirkungen auf die Informationssicherheit zu ermitteln.
Was ist der Unterschied zwischen leichten und schweren Nichtkonformitäten?
Der Unterschied zwischen geringfügigen und schwerwiegenden Nichtkonformitäten liegt in der Schwere der Auswirkungen auf das Informationssicherheits-Managementsystem der Organisation.
Geringfügige Nichtkonformitäten sind solche, die keine wesentlichen Auswirkungen auf die Wirksamkeit des ISMS haben. Es kann sich um isolierte Vorfälle oder einmalige Vorkommnisse handeln. Geringfügige Nichtkonformitäten können relativ schnell und einfach behoben werden und erfordern nicht unbedingt sofortige Abhilfemaßnahmen.
Schwerwiegende Nichtkonformitäten sind dagegen solche, die sich erheblich auf die Wirksamkeit des ISMS auswirken. Es kann sich um systemische Probleme handeln, die zu ernsthaften Risiken für die Informationssicherheit führen können. Schwerwiegende Nichtkonformitäten erfordern sofortige Korrekturmaßnahmen, um das Risiko zu mindern und weitere Probleme zu verhindern.
Die folgende Tabelle fasst die wichtigsten Unterschiede zwischen geringfügigen und schwerwiegenden Nichtkonformitäten zusammen:
Merkmal |
Leichte Nichtkonformität |
Schwere Nichtkonformität |
Schwere der Auswirkung |
Hat keinen wesentlichen Einfluss auf die Wirksamkeit des ISMS. |
Hat eine erhebliche Auswirkung auf die Wirksamkeit des ISMS. |
Wahrscheinlichkeit des Auftretens |
Isolierter Vorfall oder einmaliges Vorkommnis. |
Systemisches Problem, das zu ernsthaften Informationssicherheitsrisiken führen könnte. |
Zeit bis zur Lösung |
Relativ schnell und einfach. |
Sofortige Abhilfemaßnahmen erforderlich. |
Auswirkung auf die Zertifizierung |
Sollte die Zertifizierung nicht beeinträchtigen. |
Kann die Zertifizierung beeinträchtigen. |
Es ist wichtig zu beachten, dass der Schweregrad einer Nichtkonformität je nach den spezifischen Umständen der Organisation variieren kann. So kann beispielsweise eine geringfügige Nichtkonformität für eine Organisation eine schwerwiegende Nichtkonformität für eine andere Organisation sein.
Hier sind einige Beispiele für geringfügige und schwerwiegende Nichtkonformitäten:
- Geringfügige Nichtkonformität: Eine Sicherheitsrichtlinie ist nicht auf dem neuesten Stand.
- Größere Nichtkonformität: Eine Firewall ist falsch konfiguriert, so dass Unbefugte Zugang zum Netzwerk der Organisation haben.
- Geringfügige Nichtkonformität: Ein Benutzerkonto wird nicht ordnungsgemäß deaktiviert, wenn ein Mitarbeiter die Organisation verlässt.
- Schwerwiegende Nichtkonformität: Aufgrund mangelnder Sicherheitskontrollen kommt es zu einer Datenpanne.
- Geringfügige Nichtkonformität: Eine Sicherheitsschulung wird nicht pünktlich durchgeführt.
- Größere Nichteinhaltung: Die Mitarbeiter halten sich nicht an die Sicherheitsverfahren, wie z. B. die Verwendung sicherer Passwörter und die Vermeidung von Phishing-E-Mails.
Organisationen sollten über ein Verfahren zur Identifizierung, Meldung und Behebung von kleineren und größeren Mängeln verfügen. Dieser Prozess sollte dokumentiert und an alle Mitarbeiter weitergegeben werden.
Durch die unverzügliche Behebung von Verstößen können Organisationen die Gesamteffektivität ihres ISMS verbessern und ihre Informationswerte schützen.
Was sind Korrekturmaßnahmen im Rahmen von ISO 27001?
Sobald die Grundursache einer Nichtkonformität festgestellt wurde, sollte die Organisation Korrekturmaßnahmen ergreifen, um die Ursache zu beseitigen und ein erneutes Auftreten zu verhindern. Korrekturmaßnahmen können die Änderung von Richtlinien und Verfahren, die Schulung von Mitarbeitern oder die Implementierung neuer Sicherheitskontrollen beinhalten.
Prozess der Nichtkonformität und Korrekturmaßnahmen
Im Folgenden wird ein allgemeiner Überblick über den Prozess der Nichtkonformität und der Korrekturmaßnahmen gegeben:
- Identifizieren Sie die Nichtkonformität: Dies kann auf verschiedene Weise geschehen, z. B. durch interne Audits, Managementbewertungen und Kundenfeedback.
- Untersuchen Sie die Nichtkonformität: Bestimmen Sie die Ursache der Nichtkonformität und mögliche Auswirkungen auf die Informationssicherheit.
- Festlegung von Korrekturmaßnahmen: Ermittlung der Schritte, die unternommen werden müssen, um die Ursache der Nichtkonformität zu beseitigen und ein erneutes Auftreten des Problems zu verhindern.
- Umsetzung der Korrekturmaßnahmen: Ergreifen Sie die Schritte, die in Schritt 3 festgelegt wurden.
- Überprüfen Sie die Wirksamkeit der Korrekturmaßnahme: Nachdem die Korrekturmaßnahme umgesetzt wurde, überprüfen Sie, ob die Ursache der Nichtkonformität beseitigt wurde und ob sie sich nicht wiederholt.