ISO 27001

5

Mit der wachsenden Digitalisierung und Vernetzung steigt auch das Bedürfnis, einen gemeinsamen IT-Sicherheitsstandard zu erfüllen. Dieser IT-Sicherheitsstandard garantiert bei der Arbeit mit Partnern und Dienstleistern die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationen. Dieses Bedürfnis der Sicherheit ihrer Daten erfüllt seit einiger Zeit die ISO 27001 Zertifizierung, die für viele Unternehmen bereits verpflichtend abzuschließen ist.

Was ist ISO 27001?

Bei der ISO 27001 Norm handelt es sich um eine internationale Norm, die die Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen sicherstellen soll. Sie beschreibt die Anforderungen für das Einrichten, Realisieren, Betreiben und Optimieren eines dokumentierten Informationssicherheits-Managementsystems (ISMS). Ein ISMS wird im Rahmen der Zertifizierung nach ISO 27001 im Unternehmen auditiert und auf seine Wirksamkeit überprüft.

Demnach ist die Grundlage für ISO 27001 durch die Beschreibung der Anforderungen zur Implementierung und zum Betrieb eines Informationssicherheits-Managementsystems gekennzeichnet. Das ISMS ist dabei an die Gegebenheiten der jeweiligen Organisation angepasst und berücksichtigt individuelle Besonderheiten. Weiterhin definiert es Regeln, Verfahren, Maßnahmen und Tools, um die Informationssicherheit zu steuern, zu kontrollieren, sicherzustellen und zu optimieren.

Was versteht man unter Informationssicherheit?

Informationssicherheit dient dazu, die Daten und Informationen von Organisationen vor Gefahren und Bedrohungen zu schützen und wirtschaftliche Schäden zu verhindern. Dafür werden entsprechende technische und organisatorische Maßnahmen definiert, um Schwachstellen und Sicherheitslücken zu erkennen und zu beheben. Die Informationssicherheit ist durch drei Kernziele definiert:

  • Vertraulichkeit: Schutz von vertraulichen Informationen vor unberechtigtem Zugriff
  • Integrität: Minimierung von Risiken und Absicherung der Vollständigkeit und Richtigkeit von Daten und Informationen
  • Verfügbarkeit: Sicherstellung des verlässlichen Zugangs und der Nutzbarkeit für den berechtigten Zugriff auf Informationen und Informationssysteme

Warum verwendet man die ISO 27001 Zertifizierung?

Unternehmenswerte schützen:

Durch die ISO 27001 Vorbereitung erhält man einen detaillierten Überblick über die Bereiche im Unternehmen, die es zu schützen gilt. Im Rahmen der Risikoanalyse werden die Schwachstellen ermittelt und analysiert, wie diese mit geeigneten Maßnahmen beseitigt werden können. Für Unternehmen bietet ISO 27001 folglich einen strukturierten Ansatz, die Integrität der betrieblichen Daten und deren Vertraulichkeit zu schützen.

Wettbewerbsvorteil:

Die Nutzung einer ISO 27001 Zertifizierung dient für Marketing und Vertrieb als Argument gegenüber Kunden, dass sich das Unternehmen im Bereich der Informationssicherheit nachweislich an anerkannte Standards hält, die durch eine unabhängige Stelle (der Zertifizierer) bestätigt werden. Dies steigert das Vertrauen der Kunden, da nach außen gezeigt wird, dass erforderliche Maßnahmen zum Schutz der Daten von Unternehmen, Kunden und Geschäftspartner umgesetzt werden. Folglich kann das Risiko eines Problems, das durch die IT verursacht wird, verringert und finanzielle Schäden sowie mögliche rechtliche Folgen abgewendet werden.

Haftung für Unternehmensleitung:

Als Unternehmen ist man verpflichtet, zumindest dem „Stand der Technik“ entsprechende Maßnahmen zu treffen, um geeignete Schutzmaßnahmen gemäß Artikel 32 DSGVO zu gewährleisten und Sicherheitsrisiken zu vermeiden. Eine ISO 27001 Zertifizierung hilft bei der Reduzierung der persönlichen Haftung der Unternehmensleitung durch Vermeidung eines Organisationsverschuldens. Denn die Kunden des Unternehmens können die Zertifizierung unter anderem als Garantien gemäß dem Artikel 28 der DSGVO (Auftragsverarbeiter) und gemäß Artikel 32 (Datensicherheitsmaßnahmen) nutzen.

Wer verwendet ISO 27001?

Eine ISO-27001 Zertifizierung ist insbesondere für Unternehmen relevant, die eine kritische Infrastruktur betreiben. Diese werden auch KRITIS-Betreiber genannt. Ihnen kommt ein erhöhter Schutzbedarf zu, da sie sensible Daten verarbeiten. Die Implementierung eines Information Security Managements (ISMS) und die damit verbundene Zertifizierung nach ISO 27001 erweisen sich hierbei als sinnvoll, um zu zeigen, dass das Thema IT-Sicherheit ernst genommen wird und geeignete Maßnahmen zur Risikoreduktion getroffen werden.

KRITIS

Übersicht der KRITIS-Sektoren

Was ist für eine Zertifizierung zu erfüllen?

1. Einführung eines Informationssicherheits-Managements (ISM)

Die Grundvoraussetzung für eine ISO 27001 Zertifizierung ist die Einführung des Informations-Sicherheits-Systems, kurz ISMS. Dabei erfolgt seitens des Risikomanagements eine Bewertung der Sicherheitsrichtlinien, Benutzerzugriffskontrollen und Abläufe. Gleichzeitig wird geprüft, welche Prozesse und Technologien hinsichtlich der IT-Sicherheit bereits implementiert sind. Das Plan-Do-Check-Act-Modell (PDCA) bietet beim Prozess des Risikomanagements einige Vorteile. Dieses sollte mindestes einmal im Jahr durchlaufen werden.

2. Klassifizierung von Unternehmenswerten

Im nächsten Schritt erfolgen eine Klassifikation und Dokumentation der Unternehmenswerte, die in der ISO 27001 als Assets beschrieben werden. Die Inventarisierung der relevanten Unternehmenswerte stellt dabei eine Anforderung der ISO 27001 Norm dar. Solche Unternehmenswerte können beispielsweise materielle Güter (Anlagen, Grundstücke), Information Assets (Daten, Systeme, IT-Service) oder Soft Assets (Image, Kreditwürdigkeit) sein.

3. Erstellung einer Risikoanalyse

Anschließend werden mithilfe der Risikoanalyse mögliche Risiken benannt, bewertet und überwacht. Sie entstehen häufig durch die IT oder mangelnde Informationssicherheit. Die Risiken werden auf einen akzeptablen Wert reduziert, um Nachweis von Vertraulichkeit, Integrität und Verfügbarkeit zu signalisieren.

4. Umsetzung der Maßnahmen

Im Rahmen der Einhaltung der daraus resultierenden Maßnahmen ist es wichtig, alle Abteilungen zu involvieren und einen Ansprechpartner festzulegen. Des Weiteren müssen regelmäßige Test und Prüfungen durchgeführt werden, um den Datenschutz im gesamten Unternehmen sicherzustellen.

Mehr Informationen finden Sie in unserem Beitrag In 5 Schritten zur ISO 27001 Zertifizierung.

Durchführung der Zertifizierung

Die Zertifizierung führt ein unabhängiger und vom BSI zertifizierter ISO-27001-Auditor in einem festgelegten Prozess durch. Dabei müssen die Maßnahmen des BSI-Grundschutzkataloges eingehalten werden. Bekannte Auditoren sind beispielsweise der TÜV und DEKRA.

Um das Zertifikat zu erhalten, ist es erforderlich die definierte Erfüllungsquote aller Anforderungen und Maßnahmen zu erreichen. Dazu werden üblicherweise innerhalb eines zweijährigen Vorprojektes Plan-Do-Act-Check Iterationen durchgeführt, die das Unternehmen auf die anstehende Prüfung vorbereiten.

Die Gültigkeit des Zertifikates beträgt in der Regel drei Jahre und wird jährlich in Form eines Überwachungsaudit bestätigt. Nach drei Jahren wird ein Re-Zertifizierungsaudit durchgeführt.

ISO 27001 Zertifizierungsprozess DEKRA

Zertifizierungsprozess der DEKRA Quelle: DEKRA | https://www.dekra.de/media/iso-27001-faq-de-dekra-de.pdf

ISO 27001 vs. BSI IT-Grundschutz

Beim Thema Informationssicherheit stellt sich für viele Unternehmen oftmals die Frage: ISO 27001 oder BSI IT-Grundschutz?

Der BSI IT-Grundschutz ist eine vom deutschen Bundesamt für Informationssicherheit (BSI) entwickelte Vorgehensweise zur Analyse und Verbesserung der Informationstechnik. Als Grundlage dienen die IT-Grundschutz-Kataloge, die von BSI herausgegeben und regelmäßig aktualisiert werden. Diese IT-Grundschutz Kataloge beinhalten konkrete Maßnahmen, um die Informationssicherheit zu gewährleisten.

Gemeinsamkeiten:

Sowohl ISO 27001 als auch der BSI IT-Grundschutz haben die Sicherheit der Informationen zum Ziel und können für ein Information Security Management System (ISMS) genutzt werden. Sie ermitteln Risiken aus der IT und tragen mithilfe von geeigneten Maßnahmen zur Risikoreduktion bei. Beide Standards bieten die Möglichkeit der Zertifizierung.

Unterschiede:

Obwohl beide Standards das gleiche Ziel verfolgen, liegen ihnen unterschiedliche Vorgehensweisen zu Grunde. Demnach ist es für Unternehmen vorteilhaft, beide Möglichkeiten der Ausrichtung näher zu betrachten und sich frühzeitig für einen Standard zu entscheiden.

Während ISO 27001 an Geschäftsprozessen orientiert ist und somit einen größeren Spielraum bei der Umsetzung des ISMS bietet, ist der BSI IT Grundschutz technisch ausgerichtet. Er ist konkreter und detaillierter als die abstrakter und offenere ISO 27001 Norm.

FAQ

Was ist ISO 27001?

Die ISO 27001 ist eine internationale Norm, die auf die Informationssicherheit von Organisationen ausgerichtet ist. Sie wurde von der International Organisation for Standardization (ISO) veröffentlicht und hat sich als weltweit anerkannter Standard etabliert.

Welche Anforderungen müssen für eine ISO 27001 Zertifizierung erfüllt werden?

Bei der ISO 27001 Zertifizierung wird das ISMS im Unternehmen auditiert und auf seine Wirksamkeit überprüft. Die Grundvoraussetzung für eine Zertifizierung ist somit zunächst die Einführung des Informations-Sicherheit-Management-Systems (ISMS). Weiterhin müssen Unternehmenswerte klassifiziert und dokumentiert werden. Im Rahmen der Risikoanalyse werden durch die IT oder mangelnde Informationssicherheit entstehende Risiken benannt, bewertet und überwacht. Auf dieser Grundlage werden auch technisch-organisatorische Maßnahmen abgeleitet, die regelmäßig geprüft werden und im Rahmen der Informationssicherheit Vertraulichkeit, Integrität und Verbindlichkeit sicherstellen sollen.

Welche Vorteile bietet die ISO 27001 Zertifizierung?

  • Minimierung der Unternehmens- und Haftungsrisiken
  • Erkennung und Reduzierung von Gefahren und Bedrohungen fürs Unternehmen
  • Schutz von vertraulichen Daten und Informationen
  • Sicherung des Vertrauens von Kunden und Geschäftspartnern
  • Steigerung der Wettbewerbsfähigkeit
  • Kostenersparnis, da risikobehaftete Zwischenfälle mit einem monetären Aufwand in Verbindung stehen
  • Erfüllung der Anforderungen von Wirtschaftsprüfern

Weiterführende Informationen


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support