02541 Kurzhinweise: ISO/IEC 27021
|
Die ISO/IEC 27021 beschäftigt sich mit der Frage, was von einem Informationssicherheitssystem-Spezialisten an Kompetenzen und Fähigkeiten erwartet werden kann. Die Anforderungen leitet sie aus den relevanten Regelungen der ISO/IEC 27001 her und stellt sie in tabellarisch aufgearbeiteter Form dar.
Die Norm adressiert unterschiedliche Gruppen, die in ihrer Praxis mit dieser Fragestellung konfrontiert werden, und soll ihnen eine praxisbezogene Handreichung dazu geben. Dieser Kurzbeitrag gibt Ihnen einen ersten Überblick über die noch recht unbekannte Norm. von: |
1 Einleitung
Komplexe Anforderungen
Die Komplexität der in Organisationen eingesetzten (smarten) IT-Komponenten, einhergehend mit der allgegenwärtigen Vernetzung dieser Komponenten, steigt kontinuierlich. Damit wird es für sie auch immer schwieriger, diese komplexen Infrastrukturen mit einer erforderlichen IT-Sicherheit ordnungsgemäß zu betreiben und die einschlägigen gesetzlichen/regulatorischen Anforderungen zu erfüllen. Ein Informationssicherheitsmanagementsystem (ISMS), das im Optimalfall mit einem Datenschutzmanagementsystem (DSMS) verbunden wird, schafft Transparenz über die Datenverarbeitung und unterstützt beim Managen der (rechtlichen) IT-Sicherheitsanforderungen. Gerade für große Unternehmen/Konzerne mit hochkomplexen IT-Systemen werden IT-systemgestützte Informationssicherheits-/Datenschutzmanagementsysteme immer wichtiger und zugleich immer alternativloser (vgl. Kap. 07800).
Die Komplexität der in Organisationen eingesetzten (smarten) IT-Komponenten, einhergehend mit der allgegenwärtigen Vernetzung dieser Komponenten, steigt kontinuierlich. Damit wird es für sie auch immer schwieriger, diese komplexen Infrastrukturen mit einer erforderlichen IT-Sicherheit ordnungsgemäß zu betreiben und die einschlägigen gesetzlichen/regulatorischen Anforderungen zu erfüllen. Ein Informationssicherheitsmanagementsystem (ISMS), das im Optimalfall mit einem Datenschutzmanagementsystem (DSMS) verbunden wird, schafft Transparenz über die Datenverarbeitung und unterstützt beim Managen der (rechtlichen) IT-Sicherheitsanforderungen. Gerade für große Unternehmen/Konzerne mit hochkomplexen IT-Systemen werden IT-systemgestützte Informationssicherheits-/Datenschutzmanagementsysteme immer wichtiger und zugleich immer alternativloser (vgl. Kap. 07800).
Experten für Informationssicherheits-Managementsysteme
Verantwortliche von Unternehmen erkennen daher immer öfter (häufig durch IT-sicherheitsrelevante Vorfälle), dass sie jemanden benötigen, der sich auf die Informationssicherheit spezialisiert hat und in der Lage ist, ein entsprechendes Managementsystem aufzubauen sowie permanent zu betreuen. Doch auch wenn bei ihnen weitgehend Einigkeit darüber besteht, dass ihr Unternehmen eine Person für die Informationssicherheit braucht, die sich mit diesen Themen auskennt und diese auch hinsichtlich des Managements praxisorientiert umsetzen kann, stehen sie doch bei der Personalauswahl oftmals vor großen Herausforderungen. Insbesondere wenn es darum geht, einen Spezialisten für die Informationssicherheit neu einzustellen, fehlt es seitens der Personalabteilungen zumeist an Kenntnissen darüber, welche Qualifikationen ein solcher Spezialist eigentlich mitbringen muss und welche Aufgaben er in seinem ihm zugewiesenen Aufgabengebiet zu erfüllen hat.
Verantwortliche von Unternehmen erkennen daher immer öfter (häufig durch IT-sicherheitsrelevante Vorfälle), dass sie jemanden benötigen, der sich auf die Informationssicherheit spezialisiert hat und in der Lage ist, ein entsprechendes Managementsystem aufzubauen sowie permanent zu betreuen. Doch auch wenn bei ihnen weitgehend Einigkeit darüber besteht, dass ihr Unternehmen eine Person für die Informationssicherheit braucht, die sich mit diesen Themen auskennt und diese auch hinsichtlich des Managements praxisorientiert umsetzen kann, stehen sie doch bei der Personalauswahl oftmals vor großen Herausforderungen. Insbesondere wenn es darum geht, einen Spezialisten für die Informationssicherheit neu einzustellen, fehlt es seitens der Personalabteilungen zumeist an Kenntnissen darüber, welche Qualifikationen ein solcher Spezialist eigentlich mitbringen muss und welche Aufgaben er in seinem ihm zugewiesenen Aufgabengebiet zu erfüllen hat.
Zielsetzung der Norm
Die Fragen, was eigentlich ein ISMS-Professional (ISMS-PRO) alles für Aufgaben zu erfüllen hat, welche Kompetenzen er mitbringen sollte etc., wurden und werden in der Praxis sehr unterschiedlich beantwortet. Um da ein wenig Klarheit hineinzubringen, hat sich ein Expertengremium zusammengefunden und mit der ISO/IEC 27021 [1] einen ersten Aufschlag gemacht, um auf diese praxisrelevanten Fragen für den interessierten Adressatenkreis nachvollziehbare Antworten zu geben.
Die Fragen, was eigentlich ein ISMS-Professional (ISMS-PRO) alles für Aufgaben zu erfüllen hat, welche Kompetenzen er mitbringen sollte etc., wurden und werden in der Praxis sehr unterschiedlich beantwortet. Um da ein wenig Klarheit hineinzubringen, hat sich ein Expertengremium zusammengefunden und mit der ISO/IEC 27021 [1] einen ersten Aufschlag gemacht, um auf diese praxisrelevanten Fragen für den interessierten Adressatenkreis nachvollziehbare Antworten zu geben.
