21. Mai 2019

Regulatorische und gesetzliche Anforderungen an die Informationssicherheit und die Risiko-Management-Prozesse nehmen ständig zu. Wenn man dazu noch im internationalen Umfeld tätig ist, muss man zudem die jeweiligen landes- oder regionsspezifischen Regulatorien berücksichtigen. Dies führt sehr schnell zu einer unüberschaubaren Anzahl von Anforderungen und es drängt sich dann manchmal das Bild des Don Quichote in seinem Kampf gegen die Windmühlen auf.

Um dieses Problem zu lösen stellt sich also die Frage "Wie kann man hier eine Struktur hinein bringen und wie sieht ein lösungsorientierter Ansatz aus?" Wenn ich eines in meiner mehrjährigen Ausbildung zum NLP-Trainer gelernt habe, dann ist es dies: Weg vom Problemdenken, hin zum lösungsorientierten Denken!

in den vergangenen Jahren habe ich unter anderem ca. 70 länderspezifische Regulatorien im Finanzdienstleistungssektor analysiert. Dabei habe ich festgestellt, dass es immer einen gemeinsamen Grundstock an Anforderungen gibt, die allen gemeinsam sind und darüber hinaus etwa 10% die spezifisch sind. Daneben gibt es die ISO Standards der 27000er Reihe. Speziell die ISO 27002 bildet dabei die Grundlage für die so genannte SoX Compliance. Dies wurde so von der Vereinigung öffentlicher Auditoren in der USA (AICPA) festgelegt. Also liegt es nahe die Anforderungen der ISO 27000er Serie genauer anzuschauen.

Vergleicht man also insbesondere den Maßnahmenkatalog der ISO27002 mit den Anforderungen der Regulatoren und nimmt zudem eine Reifegradeinstufung der Maßnahmen vor, dann stellt man sehr schnell fest, dass man fast alle Anforderungen der Regulatoren durch ein ausgereiftes Information Security Management System (ISMS) erfüllen kann und nur wenige Einzelfälle nicht abgedeckt sind. Was aber heißt ein ausgereiftes Information Security Management System? Ich würde es so interpretieren. Es gibt

• klar definierte und implementierte Prozesse zur Maßnahmenimplementierung und -kontrolle,
• eine dedizierte ISMS-Organisation mit einem Chief Information Security Officer, der direkt an die Geschäftsleitung berichtet und
• eine von der ISMS-Organisation unabhängige interne Audit-Abteilung, die die Einhaltung der Prozesse überprüft,
• sowie ein entsprechendes Budget für die ISMS-Organisation.

Dabei ist es wichtig Information Security nicht auf IT Security zu reduzieren, auch wenn die IT-Security in vielen Fällen stark unterstützend bei der Implementierung der Maßnahmen mitwirkt.

In einer meiner früheren Tätigkeiten habe ich in Zusammenarbeit mit dem dortigen Chief Information Security Officer das vorhandene ISMS entsprechend erweitert und strukturiert, mit der Folge, das wir allen zukünftigen externen Audits völlig gelassen entgegen sehen konnten und schlimmstenfalls mit kleinen Mängeln, die im Nachgang leicht zu beheben waren, die Prüfungen überstanden haben. Bei dem Konzept hat uns maßgeblich geholfen, dass wir alle relevanten Regulatorien gegen die ISO 27002 abgeglichen haben und so eine Cross Referenz zwischen ISO Standard und Regulatorien hatten. Auf der Basis war es dann leicht möglich den jeweiligen Regulatoren aufzuzeigen, welche ihrer Anforderungen jeweils auf welche Weise direkt oder mitigierend erfüllt wurden.