Von der Norm in die Praxis: ISO 27001 umsetzen

Was ist die ISO 27001?

Die ISO/IEC 27001 bezeichnet einen international anerkannten Sicherheitsstandard für Informationssicherheit, der 2005 erstmals von der Internationalen Organisation für Normung (ISO) eingeführt wurde. Seitdem regelt diese Norm gesetzeskonforme IT-Sicherheit in Unternehmen. Sie dient dazu, ein Informationssicherheitsmanagementsystem (kurz: ISMS) umzusetzen, das Sicherheitsrisiken verhindert und Informationsschutz fördert. Dieses System kann je nach Organisation unterschiedlich aussehen und angepasst werden. Die ISO 27001 gibt dabei Bedingungen und Anforderungen vor, die erfüllt sein müssen, um ein ISMS aufzubauen, aufrecht zu erhalten und zu verbessern.

Webinar: Informationssicherheit verbessern durch ISMS und ISO 27001

Im Webinar erfahren Sie, durch welche Anforderungen der ISO 27001 Sie Ihre Informationssicherheit optimieren können und wie ein Information Security Management System (ISMS) Sie dabei unterstützt – auch, wenn Sie sich nicht direkt zertifizieren lassen möchten.

Jetzt anmelden

Aufbau des ISMS

Informationssicherheitsmanagementsysteme beinhalten immer andere Maßnahmen, Vorschriften und Bedingungen, je nachdem, wie das Unternehmen aufgebaut ist, in dem es funktionieren soll. Je nach Branche gibt es unterschiedliche Sicherheitsrisiken, die es zu bewältigen gilt und auch Arbeitsumgebungen sind nicht immer gleich. Die Maßnahmen müssen auf das Unternehmen abgestimmt sein, können sich aber an allgemeinen Vorgaben und Standards orientieren.

Ein funktionierendes ISMS sollte fortlaufend verbessert und angepasst werden. So kann es langfristig für eine starke IT-Sicherheit sorgen und der Betrieb ist für etwaige Prüfungen und Anforderungen, z.B. nach der KRITIS-Verordnung, gewappnet.

Umsetzung ISO 27001 in die Praxis – Dienstleistungsunternehmen im Mittelstand

Wie Norm und ISMS praktisch umgesetzt werden können, möchte ich Ihnen anhand eines Kundenbeispiels erläutern. Hier unterstützten wir ein mittelständisches Unternehmen aus der Dienstleistungsbranche, das sich nach der ISO 27001-Norm zertifizieren lassen und ein ISMS einführen wollte.

Checkliste ISO 27001

Mit unserer Checkliste erhalten Sie einen Überblick über Maßnahmen und Dokumentationen, die Sie im Rahmen Ihrer Zertifizierung nach ISO 27001 sinnvoll vorbereiten können.

Jetzt anfordern

Checkliste ISO 27001

×

Ausgangslage

Das Unternehmen bekam von seinen Auftraggebern die Anforderung, die Informationssicherheit im eigenen Unternehmen nachzuweisen (Lieferantenaudit). Dafür erhielt es verschiedene Arbeitsanweisungen und Vorgaben bezüglich IT-Security und Informationssicherheit.

Zielsetzung

Jetzt wollte unser Kunde eine Zertifizierung gemäß der ISO 27001-Norm erlangen, um die Informationssicherheit den Auftraggebern gegenüber nachweisen zu können. Ein ISMS sollte eingeführt werden, um sicherer zu sein, Ergebnisse zu messen und sich kontinuierlich zu verbessern.

Lösung

Ein ISMS nach der ISO 27001-Norm musste also her. Aber wie? Wir lösten das Problem in sieben Schritten.

1. Zunächst führten wir eine Analyse des Unternehmens im Hinblick auf die Informationssicherheit durch. Dabei wird eingeschätzt, welche Bereiche in welchem Maße geschützt werden müssen und wie schwerwiegend bspw. ein Verlust dessen wäre. Zu analysierende Aspekte reichen von Informationen und Daten über physische Assets bis hin zu vorhandenen Strukturen im Unternehmen.
2. Anschließend wurde der Risikomanagement-Prozess durchgeführt. An diesem wurde deutlich, gegen welche Risiken Maßnahmen ergriffen werden müssen.
3. Dann machten wir eine Bestandsaufnahme der schon vorhandenen Vorgaben und Arbeitsanweisungen, um einen Überblick zu bekommen, was bereits umgesetzt wird und welche Sicherheitslücken existierten.
4. Es folgte der Aufbau der ISMS-Struktur. Dabei wurden alle Regelungen und Anweisungen zur Informationssicherheit strukturiert dargestellt und mit Anhang A der ISO 27001 abgeglichen. Noch offene Bereiche wurden erarbeitet.
5. Der nächste Schritt beinhaltete die Messung der erzielten Ergebnisse und die Etablierung kontinuierlicher Verbesserungen. Das bedeutete, dass intern regelmäßig Audits und Management Reviews abgehalten wurden, um Ergebnisse zu berichten und das ISMS weiter zu verbessern.
6. Mit erfolgreicher Einrichtung des ISMS fand dann das Zertifizierungsaudit sowie die offizielle Zertifizierung statt.
7. Langfristig gibt es jährliche Überwachungsaudits sowie eine Rezertifizierung alle drei Jahre.

Ergebnis

Das Unternehmen wurde gemäß ISO 27001 erfolgreich zertifiziert und mit einem normgerechten ISMS ausgestattet. Das Finding aus dem Lieferantenaudit wurde ausgeräumt, die Informationssicherheit konnte den Auftraggebern gegenüber nachgewiesen werden und das Unternehmen gewann weitere Aufträge.

Fazit

Eine Zertifizierung nach ISO 27001 ist in jedem Fall sinnvoll, weil dieser Sicherheitsstandard international anerkannt ist und die Informationssicherheit somit nachgewiesen werden kann. Jedoch ist auch schon eine Orientierung an der Norm ohne eine offizielle Zertifizierung hilfreich und sorgt für eine höhere IT-Security im Unternehmen.
Entscheidet man sich für die Einführung eines ISMS, bieten die Templates eine gute Vorlage allgemeiner Standards, die dann je nach Organisation oder Unternehmen angepasst werden müssen. Wichtig ist außerdem, das ISMS stetig zu verbessern und auf die aktuelle Situation anzupassen, sodass es langfristig Bestand haben kann und eine stabile Informationssicherheit im Unternehmen gewährleistet ist.

Vielleicht streben Sie auch eine ISO 27001 Zertifizierung an, sind aber unsicher, ob und welche Maßnahmen Sie dafür umsetzen müssen? Schauen Sie sich gerne unser Angebot Beratung zu IT-Sicherheit nach ISO 27001 und BSI Grundschutz an.