In 5 Schritten zur ISO 27001 Zertifizierung

Autor: Marcel Schumacher | 16. März 2021

25 | #Informationssicherheit

Im 21. Jahrhundert kann der wirtschaftliche Erfolg oder sogar die Überlebensfähigkeit eines Unternehmens von den IT-Sicherheitsmaßnahmen abhängen. Deswegen wurde am 15. Oktober 2005 die ISO Norm 27001 veröffentlicht. In diesem Beitrag möchte ich Ihnen die klassische Vorgehensweise erläutern, mit der Sie als Unternehmen ISO zertifiziert werden können.

Wie sich in den letzten Jahren gezeigt hat, ist die Entwicklung der IT nicht vorhersehbar. Wer hätte sich am 15. August 1996 bei der Verkündung des ersten Smartphones – Nokia Communicator 9000 – vorgestellt, was heutzutage mit einem Mobiltelefon möglich ist. Selbst hier sprechen wir in den meisten Fällen schon von einem kleinen High-End Rechner. Durch diese rasante Entwicklung der Informationstechnologie stoßen wir auch immer häufiger auf relevante Sicherheitsaspekte, die in vielen Firmen beachtet werden müssen.

In diesem Beitrag erläutere ich, wie sich ISO 27001 zertifizieren lassen können. Zunächst aber: Was beinhaltet die ISO 27001 und wo kommt sie überhaupt her?

Webinar: Informationssicherheit verbessern durch ISMS und ISO 27001

Im Webinar erfahren Sie, durch welche Anforderungen der ISO 27001 Sie Ihre Informationssicherheit optimieren können und wie ein Information Security Management System (ISMS) Sie dabei unterstützt – auch, wenn Sie sich nicht direkt zertifizieren lassen möchten.
Jetzt anmelden

Die ISO ging aus dem zweiten Teil des britischen Standards BS7799-2:2002 hervor und wurde als internationale Norm erstmals 2005 veröffentlicht. Kurz zusammengefasst besteht Sie aus fünf Schritten, welche durchgeführt werden müssen, um sich zertifizieren zu lassen:

  1. Einführung eines Informationssicherheits-Managementsystems (ISMS)
  2. Klassifizierung von Unternehmenswerten
  3. Erstellung einer Risikoanalyse
  4. Umsetzung von Maßnahmen
  5. Durchführung eines Zertifizierungsaudit

Einführung eines Informationssicherheits-Managementsystems (ISMS)

Hier muss erstmals eine Bewertung Ihrer Sicherheitsrichtlinien, Benutzerzugriffskontrollen und Abläufe hinsichtlich des Risikomanagements stattfinden. Zusätzlich muss betrachtet werden, welche Prozesse und Technologien zur Absicherung Ihrer IT-Sicherheit bereits implementiert sind und wie Sie die Dokumentation, Überprüfung und Nachweisbarkeit von Sicherheitsmaßnahmen sicherstellen.

Klassifizierung von Unternehmenswerten

Unternehmenswerte werden in der ISO 27001 als Assets beschrieben. Darunter wird alles verstanden, was für eine Organisation einen Wert darstellt. Dies können zunächst materielle Güter, wie z.B. Grundstücke oder Anlagen sein, aber natürlich auch die sogenannten Information Assets wie Informationen/Daten, Systeme, Anwendungen und IT Services. Ergänzend kann man auch Soft Assets betrachten, wie z.B. das Image oder die Kreditwürdigkeit einer Organisation. Eine Anforderung der Norm ist, dass alle für die Organisation relevanten Werte des Unternehmens inventarisiert werden.

Checkliste ISO 27001

Mit unserer Checkliste erhalten Sie einen Überblick über Maßnahmen und Dokumentationen, die Sie im Rahmen Ihrer Zertifizierung nach ISO 27001 sinnvoll vorbereiten können.

Jetzt anfordern

Erstellung einer Risikoanalyse

Hierunter wird allgemeines Risikomanagement verstanden. In diesem Schritt werden Aktionen festgelegt, die zum Ziel haben, das Restrisiko, welches immer existieren wird, auf einen akzeptablen Wert zu reduzieren. Es hat sich in der Praxis als vorteilhaft erwiesen, den Prozess für das Risikomanagement nach dem Plan-Do-Check-Act-Modell (PDCA) auszurichten und diesen zyklisch mindestens einmal im Jahr zu durchlaufen.

Umsetzung von Maßnahmen

Da sich die DSGVO auf das gesamte Unternehmen auswirken wird, müssen alle Abteilungen involviert und Verantwortliche benannt werden. Somit wird sichergestellt, dass in allen Belangen ein direkter Ansprechpartner existiert. Um sicherzugehen, dass alle Mitarbeiter sich ihrer Rolle bei der Einhaltung der Vorgaben bewusst sind, müssen regelmäßig Tests und Prüfungen durchgeführt werden.
Letztendlich muss der Datenschutz im gesamten Unternehmen umgesetzt und etabliert sein, um sich zertifizieren zu lassen. Die Projektumsetzung sollte auf Geschäftsführungsebene adressiert sein.

Gut zu wissen: Unsere Fachmail-Serie

E-Mail-MarketingIn unserer Mail-Serie geben wir Tipps, wie Sie Ihre Informationssicherheit verbessern und rechtliche Anforderungen (wie z. B. das IT-Sicherheitsgesetz 2.0) erfüllen können. Einmal in der Woche wird sie Ihnen zugesendet und Sie können sich jederzeit auch wieder austragen.
Zur Fachmail-Serie anmelden

Durchführung eines Zertifizierungsaudit

Das Zertifizierungsaudit selbst darf nur von zertifizierten ISO 27001-Auditoren auf der Basis vom IT-Grundschutz durchgeführt werden. Um ein solcher Auditor zu werden, muss man sich vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizieren lassen.

Fazit

Alles in allem ist eine ISO 27001 Zertifizierung kein Selbstläufer. Jedoch liegt das im Sinn der Sache, denn so wird sichergestellt, dass die Zertifizierung einen wirklichen Sicherheitsstandard garantiert.

Gerne steht Ihnen einer unserer RZ10-Experten in einer unverbindlichen Websession zur Verfügung!

Jetzt anfragen

Wenn Sie Fragen oder Beratungsbedarf zu dem Thema haben, schreiben sie uns gerne eine Mail an info@rz10.de. Gerne können Sie sich in einer unverbindlichen Websession auch mit einem unserer IT-Security Experten unterhalten: Hier anfragen.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Marcel Schumacher

Autor

Marcel Schumacher

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Weitere Beiträge:

SAP Basis

URLs für Web Dynpro werden nicht mehr korrekt generiert

URLs für Web Dynpro werden nach einer Systemkopie nicht mehr korrekt generiert. Wir zeigen Ihnen, welche Schritte Sie zur Korrektur vornehmen müssen.
Artikel lesen
SAP Berechtigungen » SAP GRC

Identifizieren von Kundenentwicklungen in SAP

Um zu verhindern, dass unerlaubte Kunden-Objekte ins Produktivsystem gelangen, müssen Kundenentwicklungen zielsicher identifiziert werden.
2
Artikel lesen
SAP Berechtigungen

Die 3 Phasen eines Berechtigungsprojektes

Ein standardisiertes Berechtigungsprojekt reduziert die Kosten erhöht den Nutzen nachhaltig. Wir zeigen die drei Phasen eines solchen Projekts.
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage