Wie Sie Ihre IT-Landschaft nach ISO 27001 sicherer machen

Autor: Luca Cremer | 3. März 2022

2 | #Informationssicherheit
Sicherer nach ISO 27001

Im Feld der Informationssicherheit stellt die ISO 27001 den De-Facto-Standard für die allgemeinen Anforderungen eines Unternehmens oder einer Organisation dar. Durch die Orientierung an der ISO 27001 können Sie Ihre IT-Landschaft sicherer machen.

Was ist die ISO 27001?

ISO ist eine Abkürzung für International Organization for Standardization und beschreibt eine weltweit gültige Normierung. Im Fall der ISO 27001 handelt es sich dabei um einen Standard für Anforderungen an ein Managementsystem für Informationssicherheit (ISMS).

Durch die Orientierung an der ISO 27001 erhalten dabei nicht nur die Unternehmen selbst Gewissheit über ihre Informationssicherheit, sondern auch alle Partner können so in die Datensicherheit der Geschäftsbeziehung vertrauen. Neben dem Benefit, dass durch die ISO 27001 die Integrität der betrieblichen Daten und deren Vertraulichkeit geschützt ist, verschafft die Sicherheitsnormierung aber auch Wettbewerbsvorteile und hilft nicht zuletzt bei der Reduzierung der persönlichen Haftung in IT-Sicherheitsfragen. KRITIS-Betreiber müssen einen gewissen Standard in der Informationssicherheit nachweisen und nutzen dafür häufig die ISO 27001 Zertifizierung. Aber auch andere Unternehmen nutzen die Vorteile des ISO-27001-Standards und lassen sich freiwillig zertifizieren.

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Was beinhaltet die ISO 27001?

Die ISO 27001 setzt sich aus mehreren Abschnitten zusammen. Entscheidend ist insbesondere der normative Hauptteil, welcher die Ziele der Sicherheitsnormierung beschreibt. Die ISO 27001 stellt allerdings keine Anleitung oder Checkliste dar, sondern bietet übergreifende Informationen und Tipps zur Implementierung eines Sicherheitsstandards entlang der drei Säulen Integrität, Verfügbarkeit sowie Vertraulichkeit.

Durch die Orientierung an den von der ISO 27001 beschriebenen Sicherheitsaspekten sollen die folgenden Ziele in der Informationssicherheit erreicht werden:

  • Eine Sicherstellung der Vertraulichkeit von Informationen
  • Die Einhaltung entsprechender Compliance-Anforderungen
  • Die Minimierung von technischen Risiken, Schäden sowie Kosten
  • Eine Vertrauenssteigerung gegenüber dem BSI, Geschäftspartnern, Kunden, den Wirtschaftsprüfern und der allgemeinen Öffentlichkeit
  • Die Einhaltung weltweit anerkannter Sicherheitsanforderungen

Im Vergleich: Der BSI IT-Grundschutz

Der BSI IT-Grundschutz ist eine vom deutschen Bundesamt für Informationssicherheit (BSI) entwickelte Vorgehensweise zur Analyse und Verbesserung der Informationstechnik. Während die ISO 27001 sich an Geschäftsprozessen orientiert, ist der BSI IT-Grundschutz deutlich technischer und konkreter ausgerichtet. Die BSI Standards und das so genannte IT-Grundschutz-Kompendium bilden dabei die Basis für die allgemein geltenden Maßnahmen für die Informationssicherheit nach deutschem Gesetzgeber.

Das BSI setzt hier zunächst bei elementaren Sicherheitsgefahren wie etwa Brandfälle oder Diebstahl an. Technischer wird es bei den so genannten Prozessbausteinen, die beispielsweise Anforderungen zum Datenschutz beschreiben. Im dritten Abschnitt werden dann die Maßstäbe für alle verwendeten Systeme erläutert. Dazu zählen etwa die Webbrowser, ERP-Systeme oder auch die genutzten Maildienste. Das gesamte Dokument mit allen Abschnitten und Erläuterungen finden Sie hier zum Download.

Live-Webinar: Informationssicherheit verbessern durch ISMS und ISO 27001

Im Webinar erfahren Sie, durch welche Anforderungen der ISO 27001 Sie Ihre Informationssicherheit optimieren können und wie ein Information Security Management System (ISMS) Sie dabei unterstützt – auch, wenn Sie sich nicht direkt zertifizieren lassen möchten.

ISO 27001 zertifizieren

Die Einhaltung der ISO 27001 ist für systemrelevante Unternehmen und ihre Zulieferer empfehlenswert. Allerdings dürfen ISO 27001 Zertifikate ausschließlich von Auditoren ausgestellt werden, die zuvor von einer anerkannten Zertifizierungsstelle die Berechtigung zur ISO 27001 Prüfung erhalten haben. Der zertifizierte Auditor sichtet dann die Referenzdokumente, führt die Prüfung durch und legt einen Auditbericht an. Dieser Auditbericht wird im Anschluss bei der Zertifizierungsstelle vorgelegt, welche final über die Ausstellung eines offiziellen ISO 27001 Zertifikats entscheidet.

Im Gesamtüberblick beinhaltet die Zertifizierung die folgenden Schritte:

  1. Einführung eines ISMS
  2. Klassifizierung von Unternehmenswerten
  3. Erstellung einer Risikoanalyse
  4. Umsetzung der Maßnahmen

ISO 27001 Anforderungen umsetzen

Da die Vorteile der ISO 27001 Einhaltung auch unabhängig vom Gesetzgeber überwiegen, lohnt sich die Orientierung an der Sicherheitsnorm auch ohne das Ziel einer offiziellen Zertifizierung. Dafür können sich Unternehmen beispielsweise selbstständig am IT-Grundschutz-Kompendium orientieren. Konkret definiert aber auch der BSI-Standard 200-1 die Anforderungen an ein ISMS, während der BSI-Standard 200-2 den Aufbau eines soliden ISMS beschreibt. Der BSI-Standard 200-3 ergänzt die Informationen dann zusätzlich um Wissen zum Risikomanagement.

Da die ISO 27001 im Gegensatz zum BSI IT-Grundschutz allerdings recht offen formuliert ist, empfehlen wir in dem Fall die Nutzung externer Berater mit praktischem Knowhow und Best Practice Lösungen für Ihr Unternehmen. So stellen Sie sicher, dass Sie alle allgemeinen Hinweise in konkrete Maßnahmen umwandeln und Ihre IT-Landschaft entlang der Gesetzeslage optimal schützen.

Wenn Sie Fragen oder Beratungsbedarf zum Thema Informationssicherheit oder ISO 27001 haben, schreiben Sie uns gerne eine Mail an info@rz10.de.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Luca Cremer

Autor

Luca Cremer

Fachbereichsleiter Security | Projektleiter | Security Consultant

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice