ISO 27001: Die DIN-Norm im Überblick
Autor: Yannick Rech | 16. März 2021
Mit der wachsenden Digitalisierung und Vernetzung steigt auch das Bedürfnis, einen gemeinsamen IT-Sicherheitsstandard zu erfüllen. Dadurch wird sichergestellt, dass die Arbeit mit Partnern und Dienstleistern nicht zu einem Qualitätsverlust in der Sicherheit Ihrer Daten führt. Dieses Bedürfnis erfüllt seit einiger Zeit die ISO 27001 Zertifizierung, die für viele Marktteilnehmer bereits verpflichtend abzuschließen ist.
Was ist die ISO Norm 27001?
ISO 27001 ist ein weltweiter Standard für Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen. Diese DIN-Norm ist skalierbar. Das bedeutet, dass die Größe des Unternehmens keinen Einfluss darauf hat, ob eine Zertifizierung möglich ist. Die Basis der Norm ist die Implementation eines Informationssicherheits-Managementsystems (ISMS), das individuell an die jeweiligen Gegebenheiten der Organisation angepasst werden soll.
Dieses dient auch dazu, dass die persönliche Haftung der Unternehmensleitung für IT-Sicherheitsvorfälle reduziert wird. Des Weiteren findet während des Zertifizierungsprozesses eine detaillierte Risikoanalyse bezogen auf IT-Sicherheitsthemen statt. In Artikel 28 und 32 der DSGVO (Datenschutzgrundverordnung) ist die Zertifizierung als Qualitätskriterium und Garantie für IT-Sicherheitsstandards verankert.
Die Zertifizierungsabnahme erfolgt durch einen vom BSI genehmigten Auditor. Bekannte Namen sind an dieser Stelle der TÜV und DEKRA. Das Audit erfolgt üblicherweise nach zwei Jahren Vorprojekten, welche das Unternehmen auf die anstehende Prüfung vorbereiten. Die Vorbereitung selbst erfolgt in Plan-Do-Act-Check Iterationen. Die Zertifizierung gilt für 3 Jahre, anschließend ist ein Re-Zertifizierungsaudit nötig, welches auf die Ergebnisse des Erst-Zertifizierungsaudit zugreift und so eine weitere Zertifizierung ermöglicht. Für die zwei Jahre zwischen den Zertifizierungen sind sogenannte Überwachungsaudits vorgesehen.
Gut zu wissen: Unsere Fachmail-Serie
In unserer Mail-Serie geben wir Tipps, wie Sie Ihre Informationssicherheit verbessern und rechtliche Anforderungen (wie z. B. das IT-Sicherheitsgesetz 2.0) erfüllen können. Einmal in der Woche wird sie Ihnen zugesendet und Sie können sich jederzeit auch wieder austragen.
Zur Fachmail-Serie anmelden
Wer braucht die Norm?
Organisationen, die der Gruppe der KRITIS-Betreiber angehören – also Unternehmen, die kritische Infrastruktur betreiben – müssen die ISO 27001 Zertifizierung abschließen. Durch den immer weiter steigenden Grad der Vernetzung zwischen Kunde und Lieferant müssen aber auch immer mehr Zulieferer von KRITIS-Organisationen eine ISO 27001 Zertifizierung abschließen. Des Weiteren wird die Norm international als Qualitätskriterium verwendet, um große und gute IT-Sicherheitsstandards nachzuweisen und zu fordern. So ist diese Richtlinie ebenfalls in vielen großen Ausschreibungen als Pflichtkriterium zu finden.
Der Image-Aspekt, den eine solche große und angesehene Zertifizierung mit sich bringt, ist ebenfalls nicht zu unterschätzen. Für Großunternehmen, die eine maximal effiziente und daher maximal detaillierte Vernetzung mit Ihren Lieferanten erreichen wollen, ist das Erfüllen von Sicherheitsstandards essenziell wichtig. Gerade im internationalen Markt ist dies daher besonders interessant. Im zweiten Beitrag dieser Reihe, „In 5 Schritten der Ablauf zur ISO 27001 Zertifizierung“, erklären wir Ihnen den Ablauf eines gesamten ISO 27001 Projektes bis hin zur Zertifizierung.
Wenn Sie Fragen zum Thema oder Beratungsbedarf haben, schreiben Sie uns gerne eine Mail an info@rz10.de.