ISO 27001: Die DIN-Norm im Überblick

Autor: Yannick Rech | 16. März 2021

ISO 27001

Mit der wachsenden Digitalisierung und Vernetzung steigt auch das Bedürfnis, einen gemeinsamen IT-Sicherheitsstandard zu erfüllen. Dadurch wird sichergestellt, dass die Arbeit mit Partnern und Dienstleistern nicht zu einem Qualitätsverlust in der Sicherheit Ihrer Daten führt. Dieses Bedürfnis erfüllt seit einiger Zeit die ISO 27001 Zertifizierung, die für viele Marktteilnehmer bereits verpflichtend abzuschließen ist.

Was ist die ISO Norm 27001?

ISO 27001 ist ein weltweiter Standard für Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen. Diese DIN-Norm ist skalierbar. Das bedeutet, dass die Größe des Unternehmens keinen Einfluss darauf hat, ob eine Zertifizierung möglich ist. Die Basis der Norm ist die Implementation eines Informationssicherheits-Managementsystems (ISMS), das individuell an die jeweiligen Gegebenheiten der Organisation angepasst werden soll.

Dieses dient auch dazu, dass die persönliche Haftung der Unternehmensleitung  für IT-Sicherheitsvorfälle reduziert wird. Des Weiteren findet während des Zertifizierungsprozesses eine detaillierte Risikoanalyse bezogen auf IT-Sicherheitsthemen statt. In Artikel 28 und 32 der DSGVO (Datenschutzgrundverordnung) ist die Zertifizierung als Qualitätskriterium und Garantie für IT-Sicherheitsstandards verankert.

Die Zertifizierungsabnahme erfolgt durch einen vom BSI genehmigten Auditor. Bekannte Namen sind an dieser Stelle der TÜV und DEKRA. Das Audit erfolgt üblicherweise nach zwei Jahren Vorprojekten, welche das Unternehmen auf die anstehende Prüfung vorbereiten. Die Vorbereitung selbst erfolgt in Plan-Do-Act-Check Iterationen. Die Zertifizierung gilt für 3 Jahre, anschließend ist ein Re-Zertifizierungsaudit nötig, welches auf die Ergebnisse des Erst-Zertifizierungsaudit zugreift und so eine weitere Zertifizierung ermöglicht. Für die zwei Jahre zwischen den Zertifizierungen sind sogenannte Überwachungsaudits vorgesehen.

Wer braucht die Norm?

Organisationen, die der Gruppe der KRITIS-Betreiber angehören – also Unternehmen, die kritische Infrastruktur betreiben – müssen die  ISO 27001 Zertifizierung abschließen. Durch den immer weiter steigenden Grad der Vernetzung zwischen Kunde und Lieferant müssen aber auch immer mehr Zulieferer von KRITIS-Organisationen eine ISO 27001 Zertifizierung abschließen. Des Weiteren wird die Norm international als Qualitätskriterium verwendet, um große und gute IT-Sicherheitsstandards nachzuweisen und zu fordern. So ist diese Richtlinie ebenfalls in vielen großen Ausschreibungen als Pflichtkriterium zu finden.

Der Image-Aspekt, den eine solche große und angesehene Zertifizierung mit sich bringt, ist ebenfalls nicht zu unterschätzen. Für Großunternehmen, die eine maximal effiziente und daher maximal detaillierte Vernetzung mit Ihren Lieferanten erreichen wollen, ist das Erfüllen von Sicherheitsstandards essenziell wichtig. Gerade im internationalen Markt ist dies daher besonders interessant. Im zweiten Beitrag dieser Reihe, “In 5 Schritten der Ablauf zur ISO 27001 Zertifizierung”, erklären wir Ihnen den Ablauf eines gesamten ISO 27001 Projektes bis hin zur Zertifizierung.

Wenn Sie Fragen zum Thema oder Beratungsbedarf haben, schreiben Sie uns gerne eine Mail an info@rz10.de.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Yannick Rech

Autor

Yannick Rech

B. Sc. Wirtschaftsinformtiak

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support