Wie Sie Ihre IT-Landschaft nach ISO 27001 sicherer machen
Autor: Luca Cremer | 3. März 2022
Im Feld der Informationssicherheit stellt die ISO 27001 den De-Facto-Standard für die allgemeinen Anforderungen eines Unternehmens oder einer Organisation dar. Durch die Orientierung an der ISO 27001 können Sie Ihre IT-Landschaft sicherer machen.
Was ist die ISO 27001?
ISO ist eine Abkürzung für International Organization for Standardization und beschreibt eine weltweit gültige Normierung. Im Fall der ISO 27001 handelt es sich dabei um einen Standard für Anforderungen an ein Managementsystem für Informationssicherheit (ISMS).
Durch die Orientierung an der ISO 27001 erhalten dabei nicht nur die Unternehmen selbst Gewissheit über ihre Informationssicherheit, sondern auch alle Partner können so in die Datensicherheit der Geschäftsbeziehung vertrauen. Neben dem Benefit, dass durch die ISO 27001 die Integrität der betrieblichen Daten und deren Vertraulichkeit geschützt ist, verschafft die Sicherheitsnormierung aber auch Wettbewerbsvorteile und hilft nicht zuletzt bei der Reduzierung der persönlichen Haftung in IT-Sicherheitsfragen. KRITIS-Betreiber müssen einen gewissen Standard in der Informationssicherheit nachweisen und nutzen dafür häufig die ISO 27001 Zertifizierung. Aber auch andere Unternehmen nutzen die Vorteile des ISO-27001-Standards und lassen sich freiwillig zertifizieren.
Was beinhaltet die ISO 27001?
Die ISO 27001 setzt sich aus mehreren Abschnitten zusammen. Entscheidend ist insbesondere der normative Hauptteil, welcher die Ziele der Sicherheitsnormierung beschreibt. Die ISO 27001 stellt allerdings keine Anleitung oder Checkliste dar, sondern bietet übergreifende Informationen und Tipps zur Implementierung eines Sicherheitsstandards entlang der drei Säulen Integrität, Verfügbarkeit sowie Vertraulichkeit.
Durch die Orientierung an den von der ISO 27001 beschriebenen Sicherheitsaspekten sollen die folgenden Ziele in der Informationssicherheit erreicht werden:
- Eine Sicherstellung der Vertraulichkeit von Informationen
- Die Einhaltung entsprechender Compliance-Anforderungen
- Die Minimierung von technischen Risiken, Schäden sowie Kosten
- Eine Vertrauenssteigerung gegenüber dem BSI, Geschäftspartnern, Kunden, den Wirtschaftsprüfern und der allgemeinen Öffentlichkeit
- Die Einhaltung weltweit anerkannter Sicherheitsanforderungen
Gut zu wissen: Unsere Fachmail-Serie
In unserer Mail-Serie geben wir Tipps, wie Sie Ihre Informationssicherheit verbessern und rechtliche Anforderungen (wie z. B. das IT-Sicherheitsgesetz 2.0) erfüllen können. Einmal in der Woche wird sie Ihnen zugesendet und Sie können sich jederzeit auch wieder austragen.
Zur Fachmail-Serie anmelden
Im Vergleich: Der BSI IT-Grundschutz
Der BSI IT-Grundschutz ist eine vom deutschen Bundesamt für Informationssicherheit (BSI) entwickelte Vorgehensweise zur Analyse und Verbesserung der Informationstechnik. Während die ISO 27001 sich an Geschäftsprozessen orientiert, ist der BSI IT-Grundschutz deutlich technischer und konkreter ausgerichtet. Die BSI Standards und das so genannte IT-Grundschutz-Kompendium bilden dabei die Basis für die allgemein geltenden Maßnahmen für die Informationssicherheit nach deutschem Gesetzgeber.
Das BSI setzt hier zunächst bei elementaren Sicherheitsgefahren wie etwa Brandfälle oder Diebstahl an. Technischer wird es bei den so genannten Prozessbausteinen, die beispielsweise Anforderungen zum Datenschutz beschreiben. Im dritten Abschnitt werden dann die Maßstäbe für alle verwendeten Systeme erläutert. Dazu zählen etwa die Webbrowser, ERP-Systeme oder auch die genutzten Maildienste. Das gesamte Dokument mit allen Abschnitten und Erläuterungen finden Sie hier zum Download.
ISO 27001 zertifizieren
Die Einhaltung der ISO 27001 ist für systemrelevante Unternehmen und ihre Zulieferer empfehlenswert. Allerdings dürfen ISO 27001 Zertifikate ausschließlich von Auditoren ausgestellt werden, die zuvor von einer anerkannten Zertifizierungsstelle die Berechtigung zur ISO 27001 Prüfung erhalten haben. Der zertifizierte Auditor sichtet dann die Referenzdokumente, führt die Prüfung durch und legt einen Auditbericht an. Dieser Auditbericht wird im Anschluss bei der Zertifizierungsstelle vorgelegt, welche final über die Ausstellung eines offiziellen ISO 27001 Zertifikats entscheidet.
Im Gesamtüberblick beinhaltet die Zertifizierung die folgenden Schritte:
- Einführung eines ISMS
- Klassifizierung von Unternehmenswerten
- Erstellung einer Risikoanalyse
- Umsetzung der Maßnahmen
ISO 27001 Anforderungen umsetzen
Da die Vorteile der ISO 27001 Einhaltung auch unabhängig vom Gesetzgeber überwiegen, lohnt sich die Orientierung an der Sicherheitsnorm auch ohne das Ziel einer offiziellen Zertifizierung. Dafür können sich Unternehmen beispielsweise selbstständig am IT-Grundschutz-Kompendium orientieren. Konkret definiert aber auch der BSI-Standard 200-1 die Anforderungen an ein ISMS, während der BSI-Standard 200-2 den Aufbau eines soliden ISMS beschreibt. Der BSI-Standard 200-3 ergänzt die Informationen dann zusätzlich um Wissen zum Risikomanagement.
Da die ISO 27001 im Gegensatz zum BSI IT-Grundschutz allerdings recht offen formuliert ist, empfehlen wir in dem Fall die Nutzung externer Berater mit praktischem Knowhow und Best Practice Lösungen für Ihr Unternehmen. So stellen Sie sicher, dass Sie alle allgemeinen Hinweise in konkrete Maßnahmen umwandeln und Ihre IT-Landschaft entlang der Gesetzeslage optimal schützen.
Wenn Sie Fragen oder Beratungsbedarf zum Thema Informationssicherheit oder ISO 27001 haben, schreiben Sie uns gerne eine Mail an info@rz10.de.
