Von der Norm in die Praxis: ISO 27001 umsetzen

Autor: Jonas Krueger | 19. August 2022

#Informationssicherheit
ISO 27001 umsetzen

Cyberangriffe und Datenklau sind in unserer digitalisierten Welt keine Seltenheit mehr. Umso wichtiger ist es, vertrauliche Daten vor Angriffen zu schützen und eine gewisse Sicherheit zu gewährleisten. Diese Sicherheit soll durch die sogenannte ISO 27001-Norm gegeben sein – eine internationale Norm für die Sicherstellung von Informationssicherheit. Was es genau damit auf sich hat und wie sich die ISO 27001 in die Praxis umsetzen lässt, erfahren Sie im Folgenden.

Was ist die ISO 27001?

Die ISO/IEC 27001 bezeichnet einen international anerkannten Sicherheitsstandard für Informationssicherheit, der 2005 erstmals von der Internationalen Organisation für Normung (ISO) eingeführt wurde. Seitdem regelt diese Norm gesetzeskonforme IT-Sicherheit in Unternehmen. Sie dient dazu, ein Informationssicherheitsmanagementsystem (kurz: ISMS) umzusetzen, das Sicherheitsrisiken verhindert und Informationsschutz fördert. Dieses System kann je nach Organisation unterschiedlich aussehen und angepasst werden. Die ISO 27001 gibt dabei Bedingungen und Anforderungen vor, die erfüllt sein müssen, um ein ISMS aufzubauen, aufrecht zu erhalten und zu verbessern.

Aufbau des ISMS

Informationssicherheitsmanagementsysteme beinhalten immer andere Maßnahmen, Vorschriften und Bedingungen, je nachdem, wie das Unternehmen aufgebaut ist, in dem es funktionieren soll. Je nach Branche gibt es unterschiedliche Sicherheitsrisiken, die es zu bewältigen gilt und auch Arbeitsumgebungen sind nicht immer gleich. Die Maßnahmen müssen auf das Unternehmen abgestimmt sein, können sich aber an allgemeinen Vorgaben und Standards orientieren.

Ein funktionierendes ISMS sollte fortlaufend verbessert und angepasst werden. So kann es langfristig für eine starke IT-Sicherheit sorgen und der Betrieb ist für etwaige Prüfungen und Anforderungen, z.B. nach der KRITIS-Verordnung, gewappnet.

Umsetzung ISO 27001 in die Praxis – Dienstleistungsunternehmen im Mittelstand

Wie Norm und ISMS praktisch umgesetzt werden können, möchte ich Ihnen anhand eines Kundenbeispiels erläutern. Hier unterstützten wir ein mittelständisches Unternehmen aus der Dienstleistungsbranche, das sich nach der ISO 27001-Norm zertifizieren lassen und ein ISMS einführen wollte.

Live-Webinar: Informationssicherheit verbessern durch ISMS und ISO 27001

Im Webinar erfahren Sie, durch welche Anforderungen der ISO 27001 Sie Ihre Informationssicherheit optimieren können und wie ein Information Security Management System (ISMS) Sie dabei unterstützt – auch, wenn Sie sich nicht direkt zertifizieren lassen möchten.

Ausgangslage

Das Unternehmen bekam von seinen Auftraggebern die Anforderung, die Informationssicherheit im eigenen Unternehmen nachzuweisen (Lieferantenaudit). Dafür erhielt es verschiedene Arbeitsanweisungen und Vorgaben bezüglich IT-Security und Informationssicherheit.

Zielsetzung

Jetzt wollte unser Kunde eine Zertifizierung gemäß der ISO 27001-Norm erlangen, um die Informationssicherheit den Auftraggebern gegenüber nachweisen zu können. Ein ISMS sollte eingeführt werden, um sicherer zu sein, Ergebnisse zu messen und sich kontinuierlich zu verbessern.

Lösung

Ein ISMS nach der ISO 27001-Norm musste also her. Aber wie? Wir lösten das Problem in sieben Schritten.

  1. Zunächst führten wir eine Analyse des Unternehmens im Hinblick auf die Informationssicherheit durch. Dabei wird eingeschätzt, welche Bereiche in welchem Maße geschützt werden müssen und wie schwerwiegend bspw. ein Verlust dessen wäre. Zu analysierende Aspekte reichen von Informationen und Daten über physische Assets bis hin zu vorhandenen Strukturen im Unternehmen.
  2. Anschließend wurde der Risikomanagement-Prozess durchgeführt. An diesem wurde deutlich, gegen welche Risiken Maßnahmen ergriffen werden müssen.
  3. Dann machten wir eine Bestandsaufnahme der schon vorhandenen Vorgaben und Arbeitsanweisungen, um einen Überblick zu bekommen, was bereits umgesetzt wird und welche Sicherheitslücken existierten.
  4. Es folgte der Aufbau der ISMS-Struktur. Dabei wurden alle Regelungen und Anweisungen zur Informationssicherheit strukturiert dargestellt und mit Anhang A der ISO 27001 abgeglichen. Noch offene Bereiche wurden erarbeitet.
  5. Der nächste Schritt beinhaltete die Messung der erzielten Ergebnisse und die Etablierung kontinuierlicher Verbesserungen. Das bedeutete, dass intern regelmäßig Audits und Management Reviews abgehalten wurden, um Ergebnisse zu berichten und das ISMS weiter zu verbessern.
  6. Mit erfolgreicher Einrichtung des ISMS fand dann das Zertifizierungsaudit sowie die offizielle Zertifizierung statt.
  7. Langfristig gibt es jährliche Überwachungsaudits sowie eine Rezertifizierung alle drei Jahre.

Ergebnis

Das Unternehmen wurde gemäß ISO 27001 erfolgreich zertifiziert und mit einem normgerechten ISMS ausgestattet. Das Finding aus dem Lieferantenaudit wurde ausgeräumt, die Informationssicherheit konnte den Auftraggebern gegenüber nachgewiesen werden und das Unternehmen gewann weitere Aufträge.

Beratung zu IT-Sicherheit nach ISO 27001 und BSI Grundschutz

Unsere ISO 27001 Beratung richtet sich an alle, die das Thema Informationssicherheit angehen wollen - sicher werden nach ISO 27001 Standard.

Fazit

Eine Zertifizierung nach ISO 27001 ist in jedem Fall sinnvoll, weil dieser Sicherheitsstandard international anerkannt ist und die Informationssicherheit somit nachgewiesen werden kann. Jedoch ist auch schon eine Orientierung an der Norm ohne eine offizielle Zertifizierung hilfreich und sorgt für eine höhere IT-Security im Unternehmen.
Entscheidet man sich für die Einführung eines ISMS, bieten die Templates eine gute Vorlage allgemeiner Standards, die dann je nach Organisation oder Unternehmen angepasst werden müssen. Wichtig ist außerdem, das ISMS stetig zu verbessern und auf die aktuelle Situation anzupassen, sodass es langfristig Bestand haben kann und eine stabile Informationssicherheit im Unternehmen gewährleistet ist.

Vielleicht streben Sie auch eine ISO 27001 Zertifizierung an, sind aber unsicher, ob und welche Maßnahmen Sie dafür umsetzen müssen? Schauen Sie sich gerne unser Angebot Beratung zu IT-Sicherheit nach ISO 27001 und BSI Grundschutz an.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Jonas Krueger

Autor

Jonas Krueger

B.Sc. Angewandte Informatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice