ISO 27001 und ISMS: Wieso Sie keine Angst vor der Zertifizierung haben müssen
Autor: Jonas Krüger | 9. Juni 2022
Die ISO 27001 sowie das Informationssicherheitsmanagementsystem unterstützen Unternehmen bei der Gewährleistung der Informationssicherheit. Das klingt für viele nach drastischen Veränderungen. Wieso Unternehmen aber keine Angst haben müssen, dass das Unternehmen bei der Zertifizierung auf links gekrempelt wird.
Was ist die ISO 27001?
Die ISO 27001 ist eine international anerkannte, standardisierte Zertifizierung und umfasst die Einführung eines Informationssicherheitsmanagementsystems. Die Zertifizierung ist in der Vergangenheit häufig von IT-Dienstleistern oder „IT-lastigen“ Organisationen angestrebt worden. Im Fokus steht der Schutz der Daten und die Gewährleistung der Informationssicherheit, die nach außen nachweisbar ist
Interview mit CISO Jonas Krüger
Was ist ein ISMS?
Das ISMS ist die Kurzform von Informationssicherheitsmanagementsystem. Es fungiert als Rahmenwerk, welches eingesetzt wird, um Strukturen in Unternehmen zu managen, messbar zu machen und kontinuierlich zu verbessern. Die oberste Leitung legt entsprechend Zielvorgaben fest und lässt sich regelmäßig über die Erfüllung dieser Ziele informieren. Es hat so die Möglichkeit, die Informationssicherheit weiterzuentwickeln.
Gut zu wissen: Unsere Fachmail-Serie
In unserer Mail-Serie geben wir Tipps, wie Sie Ihre Informationssicherheit verbessern und rechtliche Anforderungen (wie z. B. das IT-Sicherheitsgesetz 2.0) erfüllen können. Einmal in der Woche wird sie Ihnen zugesendet und Sie können sich jederzeit auch wieder austragen.
Zur Fachmail-Serie anmelden
Wieso ist es sinnvoll, sich an der ISO 27001 zu orientieren, sich zertifizieren zu lassen oder ein ISMS einzuführen?
Die Einführung solcher Standards unterstützt Unternehmen dabei, Stellen zu beleuchten, welche bisher noch nicht bei der Informationssicherheit bedacht wurden. Insgesamt hilft es eine bessere Kultur für Informationssicherheit zu etablieren. Im Laufe der letzten Jahre, ist die Zertifizierung für viele Unternehmen immer relevanter geworden. Mittlerweile ist es so, dass die Nachfrage auch bei nicht-klassischen-IT-Unternehmen, wie zum Beispiel Banken steigt.
Die ISO-27001-Norm besteht aus zwei Teilen. Der erste ist der normative Hauptteil der Norm. Darin sind gewisse Dinge geregelt, die verbindlich sind. Im zweiten Teil sind konkrete Dinge gelistet, auf die man im Bereich der Informationssicherheit eingehen muss. Das ist Anhang A.
Entscheiden Unternehmen sich dazu, diese Standards einzusetzen, bekommen sie bei Abschluss des Prozesses ein Zertifikat sowie ein Siegel ausgehändigt. Diese können zum Beispiel auf der Website oder in Angeboten des Unternehmens platziert werden. Kunden und Stakeholdern wird dadurch verdeutlicht, dass das Unternehmen Sicherheit und Datenschutz ernst nimmt.
Was bedeutet die ISO 27001-Zertifizierung für Unternehmen?
Häufig wird davon ausgegangen, dass die Einführung eines ISMS oder eine Orientierung an der ISO 27001 eine große Veränderung mit sich bringt und alles neu geregelt werden muss. Dass die Umstellung hohe Kosten mit sich bringt, dass Mitarbeiter unzufrieden werden, weil Passwörter 35 Zeichen haben müssen, dass nachher alle auf die IT schimpfen oder ähnliche Szenarien. So konkret ist die Norm allerdings nicht. Sie gibt ausschließlich vor, dass sichere Passwörter verwendet werden müssen. Aber ob diese nun 8, 12, 16 oder 30 Zeichen haben müssen, gibt die Norm nicht vor. Unternehmen können hier individuell und eigenverantwortlich handeln – lediglich die Vorgaben müssen festgelegt und eingehalten werden.
Das ISMS und die ISO 27001 schaffen Abhilfe
Der Kernprozess des Information Security Management System ist das sogenannte Risikomanagement. Es analysiert die Risiken, welche einem Unternehmen gegenüberstehen und leitet daraus die Handlungsmaßnahmen ab. Im ISMS muss das Unternehmen außerdem die in Anhang A geregelten Dinge ansprechen. Wenn ein Unternehmen zu dem Schluss kommt, dass ein Aspekt davon irrelevant ist, besteht sogar die Möglichkeit, diesen durch eine stichhaltige Begründung auszuschließen. Des Weiteren gibt es Regelungen zum Thema Outsourcing. Sollte ein Unternehmen ausschließlich interne Ressourcen nutzen und somit kein Outsourcing betreiben, kann dieser Aspekt theoretisch außen vorgelassen werden. Empfehlenswert ist es jedoch, den Aspekt beispielsweise unter der Regelung »machen wir nicht« zu betiteln.
Beratung zu IT-Sicherheit nach ISO 27001 und BSI Grundschutz
Unsere ISO 27001 Beratung richtet sich an alle, die das Thema Informationssicherheit angehen wollen - sicher werden nach ISO 27001 Standard.
Ausschluss von Aspekten
Die Ausschlüsse von Aspekten werden, mit einer passenden Begründung, in der Statement of Applicability (SOA), festgehalten. Die SOA ist ein Teil des Zertifikats und kann nur alle drei Jahre geändert werden. Zur Änderung muss ein Unternehmen zur Rezertifizierung zugelassen werden, oder sich komplett neu zertifizieren lassen. Wird ein Aspekt jedoch nicht ausgeschlossen, sondern durch eine Regelung gesteuert, kann diese jederzeit wieder geändert werden.
Ändert sich wirklich so viel?
Der Umfang der Änderungen ist von Unternehmen zu Unternehmen unterschiedlich. Unternehmen, deren IT-Bereich gut aufgestellt ist, müssen sich häufig nur um kleinere Änderungen bemühen. Bei den meisten Unternehmen gibt es zu vielen Dingen schon dokumentierte oder zumindest gelebte Regelungen, welche dann erstmal zusammengetragen werden. In manchen Fällen reicht das schon, um die Norm weitestgehend zu erfüllen, sodass nur noch vereinzelt Kleinigkeiten angepasst werden müssen.
Eine Zertifizierung ist also auch möglich, ohne viele neue Prozesse einzuführen oder bestehende Prozesse stark zu verschärfen. Das ganze System muss also nicht komplett umgekrempelt werden.
Sie haben Fragen oder Beratungsbedarf zu dem Thema ISO 27001? Schreiben Sie uns gerne eine Mail an info@rz10.de oder schauen Sie sich unser Beratungsangebot zu IT-Sicherheit nach ISO 27001 und BSI Grundschutz an.