In 5 Schritten zur ISO 27001 Zertifizierung

Autor: Marcel Schumacher | 16. März 2021

30 | #Informationssicherheit

Im 21. Jahrhundert kann der wirtschaftliche Erfolg oder sogar die Überlebensfähigkeit eines Unternehmens von den IT-Sicherheitsmaßnahmen abhängen. Deswegen wurde am 15. Oktober 2005 die ISO Norm 27001 veröffentlicht. In diesem Beitrag möchte ich Ihnen die klassische Vorgehensweise erläutern, mit der Sie als Unternehmen ISO zertifiziert werden können.

Wie sich in den letzten Jahren gezeigt hat, ist die Entwicklung der IT nicht vorhersehbar. Wer hätte sich am 15. August 1996 bei der Verkündung des ersten Smartphones – Nokia Communicator 9000 – vorgestellt, was heutzutage mit einem Mobiltelefon möglich ist. Selbst hier sprechen wir in den meisten Fällen schon von einem kleinen High-End Rechner. Durch diese rasante Entwicklung der Informationstechnologie stoßen wir auch immer häufiger auf relevante Sicherheitsaspekte, die in vielen Firmen beachtet werden müssen.

In diesem Beitrag erläutere ich, wie sich ISO 27001 zertifizieren lassen können. Zunächst aber: Was beinhaltet die ISO 27001 und wo kommt sie überhaupt her?

Im Webinar erfahren Sie, durch welche Anforderungen der ISO 27001 Sie Ihre Informationssicherheit optimieren können und wie ein Information Security Management System (ISMS) Sie dabei unterstützt – auch, wenn Sie sich nicht direkt zertifizieren lassen möchten.

Die ISO ging aus dem zweiten Teil des britischen Standards BS7799-2:2002 hervor und wurde als internationale Norm erstmals 2005 veröffentlicht. Kurz zusammengefasst besteht Sie aus fünf Schritten, welche durchgeführt werden müssen, um sich zertifizieren zu lassen:

  1. Einführung eines Informationssicherheits-Managementsystems (ISMS)
  2. Klassifizierung von Unternehmenswerten
  3. Erstellung einer Risikoanalyse
  4. Umsetzung von Maßnahmen
  5. Durchführung eines Zertifizierungsaudit

Einführung eines Informationssicherheits-Managementsystems (ISMS)

Hier muss erstmals eine Bewertung Ihrer Sicherheitsrichtlinien, Benutzerzugriffskontrollen und Abläufe hinsichtlich des Risikomanagements stattfinden. Zusätzlich muss betrachtet werden, welche Prozesse und Technologien zur Absicherung Ihrer IT-Sicherheit bereits implementiert sind und wie Sie die Dokumentation, Überprüfung und Nachweisbarkeit von Sicherheitsmaßnahmen sicherstellen.

Klassifizierung von Unternehmenswerten

Unternehmenswerte werden in der ISO 27001 als Assets beschrieben. Darunter wird alles verstanden, was für eine Organisation einen Wert darstellt. Dies können zunächst materielle Güter, wie z.B. Grundstücke oder Anlagen sein, aber natürlich auch die sogenannten Information Assets wie Informationen/Daten, Systeme, Anwendungen und IT Services. Ergänzend kann man auch Soft Assets betrachten, wie z.B. das Image oder die Kreditwürdigkeit einer Organisation. Eine Anforderung der Norm ist, dass alle für die Organisation relevanten Werte des Unternehmens inventarisiert werden.

Checkliste ISO 27001

Mit unserer Checkliste erhalten Sie einen Überblick über Maßnahmen und Dokumentationen, die Sie im Rahmen Ihrer Zertifizierung nach ISO 27001 sinnvoll vorbereiten können.

Erstellung einer Risikoanalyse

Hierunter wird allgemeines Risikomanagement verstanden. In diesem Schritt werden Aktionen festgelegt, die zum Ziel haben, das Restrisiko, welches immer existieren wird, auf einen akzeptablen Wert zu reduzieren. Es hat sich in der Praxis als vorteilhaft erwiesen, den Prozess für das Risikomanagement nach dem Plan-Do-Check-Act-Modell (PDCA) auszurichten und diesen zyklisch mindestens einmal im Jahr zu durchlaufen.

Umsetzung von Maßnahmen

Da sich die DSGVO auf das gesamte Unternehmen auswirken wird, müssen alle Abteilungen involviert und Verantwortliche benannt werden. Somit wird sichergestellt, dass in allen Belangen ein direkter Ansprechpartner existiert. Um sicherzugehen, dass alle Mitarbeiter sich ihrer Rolle bei der Einhaltung der Vorgaben bewusst sind, müssen regelmäßig Tests und Prüfungen durchgeführt werden.
Letztendlich muss der Datenschutz im gesamten Unternehmen umgesetzt und etabliert sein, um sich zertifizieren zu lassen. Die Projektumsetzung sollte auf Geschäftsführungsebene adressiert sein.

Gut zu wissen: Unsere Fachmail-Serie

E-Mail-MarketingIn unserer Mail-Serie geben wir Tipps, wie Sie Ihre Informationssicherheit verbessern und rechtliche Anforderungen (wie z. B. das IT-Sicherheitsgesetz 2.0) erfüllen können. Einmal in der Woche wird sie Ihnen zugesendet und Sie können sich jederzeit auch wieder austragen.
Zur Fachmail-Serie anmelden

Durchführung eines Zertifizierungsaudit

Das Zertifizierungsaudit selbst darf nur von zertifizierten ISO 27001-Auditoren auf der Basis vom IT-Grundschutz durchgeführt werden. Um ein solcher Auditor zu werden, muss man sich vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizieren lassen.

Fazit

Alles in allem ist eine ISO 27001 Zertifizierung kein Selbstläufer. Jedoch liegt das im Sinn der Sache, denn so wird sichergestellt, dass die Zertifizierung einen wirklichen Sicherheitsstandard garantiert.

Gerne steht Ihnen einer unserer RZ10-Experten in einer unverbindlichen Websession zur Verfügung!

Wenn Sie Fragen oder Beratungsbedarf zu dem Thema haben, schreiben sie uns gerne eine Mail an info@rz10.de. Gerne können Sie sich in einer unverbindlichen Websession auch mit einem unserer IT-Security Experten unterhalten: Hier anfragen.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Marcel Schumacher

Autor

Marcel Schumacher

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice