Nachlese zum Webinar „SoA – 114 notwendige Fragen an Ihr ISMS“

Die Erklärung zur Anwendbarkeit (SoA) hilft uns, uns mit Ideen und Risiken zu beschäftigen, die sonst niemand auf dem Schirm hat.

In unserem Webinar vom 17.06.2022 gab es einige Hinweise der Diskussionsgäste zur Gestaltung der SoA, die wir an dieser Stelle gerne weitergeben.

Diskussionsgäste waren neben den Teilnehmenden Dr. Cornelia Kappler (ISMS-Auditorin & Beraterin) und Thomas Rotter (IT-Sicherheitsbeauftragter der Stadtwerke Hünfeld). Nach einer kurzen Einführung in das Thema durch die GUTcert hatten die Teilnehmenden Gelegenheit, ihre Fragen zu stellen.

Dabei kristallisierten sich drei wichtige Themenbereiche heraus:

• Schwierigkeiten bei der Vorbereitung
• Umsetzung
• Was ist zu beachten?

Dazu gab es einige – aus unserer Sicht – hilfreiche Beiträge, die wir im Folgenden gerne (fast wörtlich) wiedergeben.

Schwierigkeiten bei der Vorbereitung

„Man sollte sich zunächst um das Managementsystem selbst kümmern: Was will ich eigentlich? Also die Politik und die Ziele aufschreiben. Was bedeutet Informationssicherheit für mich?“

„Wir hatten zum Anfang […] bestimmte Themenfelder fokussiert, weil wir meinten, da wüssten wir, was gemeint ist, haben dann aber festgestellt, dass man sich wohl verplant hat.“

„Wir sind dann zu dem Schluss gekommen, dass wir eine Software einsetzen, die uns extrem hilft. Damit haben wir tatsächlich angefangen, komplett von oben nach unten durch die SoA zu gehen.“

Umsetzung

Zur Frage: Wie umfangreich muss die Erklärung ausfallen?

„Uns reicht hier und da ein Satz, warum wir etwas eingeschlossen haben und wie wir das umsetzen.“

„Es gibt Controls, die erheblich aufwändiger umzusetzen sind, daher ist es sinnvoll, frühzeitig anzufangen: Zum Beispiel bei BCM oder Lieferantenmanagement.“

„Es gibt Controls, die einen großen Einfluss auf andere Controls haben. Wie Informationsklassifizierung und Zugangskontrolle.“

Zur Frage: Wie ist Ihre Erfahrung mit Ausschlüssen?

„Wir haben die Erfahrung gemacht, dass wir alle Controls einschließen, ob sie umgesetzt werden oder nicht, […] denn uns wurde vermittelt, ihr müsst jedes Control betrachten und ihr könnt kein Control ausschließen.“

„In der Umsetzung steht drin: Wir haben keine Entwicklung. Damit waren die Auditoren durch die Bank weg einverstanden.“

„Was man oft ausschließen kann ist Outsourcing von Entwicklungsleistungen.“
„Entwicklung, das sind auch kleine Makros und Skripte. deshalb sollte man sich auch ansehen, was man da tut.“

Zur Frage: Wie geht man mit Einschlüssen um?

„Die Begründung der Einschlüsse kann man ganz simpel halten und formal abhandeln nach Kriterien: rechtliche oder vertragliche Anforderungen, Risikoanalyse, Best Practice. Man überlegt sich die Gründe, dann kann man da Häkchen setzen. Das reicht als Begründung für den Einschluss."

Was ist zu beachten?

„Man möchte die Struktur des Managementsystems u. U. nicht nach außen tragen. […] Dann ist es meiner Meinung nach in Ordnung, wenn man die Spalte [Umsetzung] einfach ausblendet, wenn man sie herausgibt.“

„Wenn man an der SoA etwas ändert, bedeutet das immer eine Zertifikatsänderung, weil die SoA mit Datum und Version auf dem Zertifikat vermerkt ist. Das sollte also ein recht stabiles Dokument sein.“

„Es geht nicht darum, den Normtext zu wiederholen, sondern um die praktische Umsetzung. So machen wir das hier.“
„Meine Empfehlung: solche Dokumente in normalem Deutsch zu schreiben, dass der Mitarbeiter es versteht. Normdeutsch auf normales Deutsch herunterbrechen. So knapp wie möglich.“

Das Webinar wurde aufgezeichnet. Gerne können Sie nach der Veranstaltung in unserem Webinar-Archiv die Aufzeichnung anschauen und die Vortragsunterlagen herunterladen.

Haben Sie Fragen?

Wenden Sie sich gerne an Andreas Lemke