a11r - rant machine?

Ein Auszug aus dem Artikel "Am Drehkreuz" aus der <kes> 2007#6, S.43ff:
(..)"Die Normenreihe ISO/IEC 27000 behandelt Informationssicherheits-Managementsysteme (ISMS), Anforderungen zur Zertifizierung eines ISMS enthält dabei ISO/IEC 27001:2005 "Information technology - Security techniques - Information security managements systems - Requirements". Darin sind auf 17 Seiten im Anhang A "Control objectives and controls" (Sicherheitsziele und Prüfpunkte) die normativen, also zertifizierungsrelevanten, Anforderungen aufgelistet." (..)

Der zweite Satz ist in dieser Formulierung dermassener Schwachsinn, das es weh tut. Leider liest/hört man ihn zu häufig.

Der Annex A ist als normativ benannt, das ist korrekt.
Jedoch liest es sich so, als ob allein die Umsetzung der in Annex A gelisteten Controls reichen würde, um ein ISMS erfolgreich zu betreiben.
Und das wäre so falsch, das es gar nicht mehr geht.

Fakt ist: Die relevanten Anforderungen an ein ISMS nach ISO/IEC 27001:2005 befinden sich in den Kapiteln 4 bis einschliesslich 8, auf den Seiten 3 bis 12 des Standards.
Setze ich diese Forderungen als Prozesse korrekt um, besitze ich ein ISMS. Punkt.

Die Controls aus Annex A bzw. deren erläuterte Langform in ISO/IEC 27002:2005 (ex-ISO 17799) kommen (erst) dann zu Aufmerksamkeit, wenn ich im Rahmen des zwingend erforderlichen Risikomanagements zur Entscheidung gelange, erfasste Risiken für die Informationssicherheit mit einem Control aus Annex A zu behandeln. ( Siehe Kap. 4.2.1.g) )

Von Relevanz im Kontext ist der Prozess der Risikoerkennung, -abschätzung und schliesslich der -behandlung. Wenn ich mich dazu entschliesse, einen Control um- bzw. einzusetzen, wird dessen Begründung zertifizierungsrelevant - und damit auch die Implementation des Controls. Erst dann!

Soll ebenfalls heissen: ich kann ein ISMS komplett ohne Controls aus Annex A betreiben, wenn ich es für den konkreten Fall angemessen begründen kann und die verbleibenden Risiken akzeptiere.

Ich kann auch ein ISMS mit eine variablen Anzahl der angebotenen Controls betreiben, und bin standardkonform, wenn der Prozess den Anforderungen aus den Kapiteln 4 bis 8 genügt.

Ich kann auch ein ISMS betreiben, das zusätzliche Controls beinhaltet, welche NICHT im Annex A aufgeführt wurden. Schliesslich sagt der Standard selber, das es sich dabei um eine nicht erschöpfende Liste handelt, welche als allgemein relevant betrachtete Controls beinhaltet und dafür sorgen möchte, das nicht Bereiche übersehen werden. ( Siehe Kap. 4.2.1.g) NOTE )

Ja, ich könnte auch ein ISMS nur mit Controls betreiben, welche nicht im Annex A aufgeführt sind. Zum Beispiel: komplett mit den geforderten Schutzmassnahmen aus dem PCI-DSS. (Wobei dies Überlappungen ergäbe, weil PCI-DSS durchaus vergleichbare Schutzmassnahmen fordert, welche bereits als Controls im Annex A erfasst wurden. Selber Fall mit so ziemlich jedem anderen Standard.)
Wobei ich zugebe, das dieses Beispiel dann besser einen extrem fokussierten Scope des ISMS benötigen würde, welcher sich auf die relevanten Bereiche (Geschäftsprozesse, Organisationseinheiten, Netzwerke, IT-Systeme, etc.) beschränkt, welche mit cardholder data in Kontakt kommen. Zumindest, wenn es nicht ziemlich unhandlich sein soll.

Oh: Und natürlich kann ich auch ein ISMS betreiben, wenn nirgendwo ein IT-System herumsteht.
Die Erklärung des Unterschiedes zwischen Informationssicherheit und IT-Sicherheit gibt es als Hausaufgabe zum selbermachen.