Abschnitt 4.2 der ISO27001 sieht vor, dass die Bedürfnisse und Erwartungen interessierter Parteien zu ermitteln sind, damit diese Erwartungen im Rahmen des InformationsSicherheitsManagementSystems (ISMS) entsprechend berücksichtigt werden können.
Interessierte Parteien sind dabei nichts anderes als Stakeholder, also Personen oder Organisationen, die Ihre Informationssicherheit beeinflussen können, oder von Ihren Aktivitäten in Bezug auf die Informationssicherheit betroffen sein können.
In Frage kommen demnach:
- Angestellte
- Gesellschafter bzw. Eigentümer des Unternehmens
- Behörden und öffentliche Instutionen, sowie Aufsichtsbehörden
- Kunden
- Medien
- Lieferanten und Partner
- Die Liste ist dabei nicht abschließend und kann bzw. muss von Ihnen vervollständigt werden.
Weshalb sind die interessierten Parteien zu ermitteln?
Die interessierten Parteien stellen Anforderungen an Ihr Unternehmen. Diese Anforderungen müssen Sie kennen, damit Sie am Ende feststellen können, ob Sie alle Anforderungen mit Ihrem ISMS erfüllen können. Die Anforderungen sollten dabei schriftlich festgelegt sein. Üblicherweise werden die Anforderungen in Gesetzen und Verträgen festgehalten.
Beispiele für die Forderungen der interessierten Parteien:
- Gesellschafter bzw. Eigentümer erwarten in der Regel ein sicheres und gewinnbringendes Investment, Schäden und Bußgelder sind daher vom Unternehmen fernzuhalten.
- Behörden setzen in vielfältiger Weise Fristen fest. Diese Fristen sind einzuhalten, andererseits ist mit Strafen zu rechnen.
- Kunden vertrauen Ihrem Unternehmen Daten an und erwarten, dass die Daten zweckgebunden verarbeitet werden und während der Speicherdauer sicher aufbewahrt werden. Zudem werden Ihnen möglicherweise vertragliche Pflichten auferlegt.
Wie könnte der Prozess zur Ermittlung der Anforderungen aussehen?
- Fragen Sie Ihre Führungskräfte oder Abteilungsleiter, wer für ihr Geschäft wichtig ist.
- Ermitteln Sie nun, ob die zuvor ermittelten Gruppen Anforderungen an Ihr Unternehmen stellen.
(Mögliche Quellen für die Anforderungen sind beispielsweise Gesetz, Verträge oder Geschäftspläne.)
Wer ermittelt die Anforderungen?
Die Verantwortlichkeit kann auf die jeweiligen Fachabteilungen verteilt werden, so dass jede Fachabteilung eigenständig die jeweiligen Anforderungen ermittelt und die Ergebnisse an das Informationssicherheitsteam (IST) zurückmeldet. Sofern vorhanden kann die Aufgabe auch dem Qualitätsmanagement und der der Compliance-Abteilung zur Erledigung übertragen werden.
Wenn keine übergeordnete Abteilung zur Erfüllung der Aufgabe gefunden wird, oder die Fachabteilungen sich nicht dazu in der Lage sehen, bleibt die Ermittlung der Anforderungen die Aufgabe des Informationssicherheitskoordinators (ISK).
Was passiert nach der Ermittlung der Anforderungen?
Sobald die Anforderungen ermittelt wurden, können diese durch die Planung und Durchführung entsprechender Maßnahmen berücksichtigt werden. Geheimhaltungspflichten können beispielsweise über die Personalabteilung erfüllt werden, in dem entsprechenden Geheimhaltungsvereinbarungen vorbereitet werden. Möglicherweise ergeben sich auch technische Anforderungen, die beispielsweise von der IT-Abteilung umgesetzt werden. Auch organisatorische Maßnahmen, die der Informationssicherheitskoordinator durch die Veröffentlichung neuer Richtlinien im Unternehmen umsetzt, sind möglich.
