ISO 27001

Dezember 8, 2018

Überblick

Der Ende 2005 von der ISO verabschiedete Standard ISO27001 ist eine praxisorientierte Basis, um einen effektiven Schutz von Informationen aufzubauen. Die ISO2700 lässt bei der Implementierung große Flexibilität zu und zeichnet sich durch folgende Punkte aus:

  • Sicherheit wird als Prozess verstanden und wird im Zyklus "Planen, Durchführen, Überprüfen, Verbessern" (engl. "plan-do-check-act") permanent an die aktuelle Situation angepasst.
  • Der Schwerpunkt liegt auf einer ganzheitlichen Informationssicherheit, nicht nur der Umsetzung von technischen Maßnahmen.
  • Es ist ein weltweit gültiger Standard, der mit anderen Standards wie z.B. ISO9001 abgestimmt ist.

Die ISO27001 ist die Vorschrift zur Einführung eines wirkungsvollen Managementsystems, die einen kostengünstigen und effektiv umsetzbaren Informationsschutz ermöglicht. Fordern Sie unsere Unterstützung an, wir beraten und informieren Sie unverbindlich in einem persönlichen Gespräch ausführlich über das komplexe und umfangreiche Thema der Anforderungen der ISO27001 und den Ablauf einer ISMS-Zertifizierung.

Wir führen Ihr Unternehmen durch die einzelnen Stadien der Implementation Ihres Informations-Sicherheits-Management-Systems (ISMS) in Ihrer Organisation, begleiten Ihre Auditierung/Zertifizierung und halten Sie auch anschließend auf dem Stand der Technik. Auf Wunsch auditieren wir Sie, Ihre Lieferanten oder Ihre Kunden nach der ISO27001, um den zuverlässigen Schutz Ihrer Informationen und Informationsträger zu überprüfen.

Nachfolgend möchten wir Sie kurz in die Standards ISO27001 einführen und Ihnen einen Überblick über Planung, Realisierung und Überprüfung eines ISMS geben.

 

ISMS

Jede Organisation wird einen anderen Anspruch an ihre Informationssicherheit haben, aber jede Organisation sollte ein Werkzeug haben, das das Management der Informationssicherheit in die Geschäftsprozesse integriert. Ein Informations-Sicherheits-Management-System (ISMS) beschreibt alle Maßnahmen, die zur Gewährleistung der Informationssicherheit umzusetzen sind.

Die Verantwortlichkeit für das ISMS liegt bei der Geschäftsleitung, da diese das Risiko und die Verantwortung für den Geschäftsbetrieb und damit auch für die Sicherheit von Informationen trägt.

Das ISMS bringt Ihrem Unternehmen folgenden Nutzen:

  • Risikomanagement und Reduktion Ihres Geschäftsrisikos
  • Sicherstellung der Leistungserbringung dank Business Continuity Management
  • Erhöhung des Vertrauens von Kunden, Geschäftspartnern und Lieferanten durch aktive Sicherheit
  • Gesteigertes Risikobewusstsein von Management und Mitarbeitenden
  • Mit der Zertifizierung: belegbare Informationssicherheit mit internationaler Anerkennung

 

ISO2700x

Mit der ISO27001 steht ein bewährter, global anerkannter und zertifizierbarer Standard für Informationssicherheit zur Verfügung. Bereits bestehende Managementsysteme – z.B. ISO 9001 Qualitätsmanagement – werden sinnvoll ergänzt und können integriert werden.

Die ISO27001 hat sich als Qualitätslabel für die risikobewußte Unternehmensführung auf dem Bereich der Informationssicherheit durchgesetzt. Durch die pragmatischen und schlanken Vorgaben für die Umsetzung des Standards lässt sich die ISO27001 auch in KMU kostengünstig anwenden.

Nach der Einführung der ISO27001 sind bzw. werden weitere Standards im Bereich der Informationssicherheit durch die ISO eingeführt. Dabei handelt es sich um:

  • ISO27000: Übersicht
  • ISO27001: Standard
  • ISO27002: Anwendungsbeispiele
  • ISO27003: Umsetzung
  • ISO27004: Messbarkeit
  • ISO27005: Risikoanalyse
  • ISO27006: Zertifizierung
  • ISO27007: Auditing
  • ISO27008: Auditing, Anleitung
  • ISO27010: WAN/S2S
  • ISO27011: Telcos
  • ISO27013: ITIL Integration
  • ISO27014: Governance
  • ISO27015: Banken
  • ISO27017: Cloud computing services
  • ISO27016: Auditing and Reviews
  • ISO27018: Data protection in cloud
  • ISO27031: Business Continuity
  • ISO27033: Networksicherheit
  • ISO27034: Anwendungssicherheit
  • ISO27035: Incident Handling

 

Planung

Die Planung der Umsetzung der ISO27001 muss von der Leitung Ihrer Organisation ausgehen. Sie muss den Aufbau und das Ziel eines ISMS beschließen, die Ressourcen zur Verfügung stellen und die Verantwortlichkeiten festlegen.

Auf dieser Grundlage werden anschließend folgende Bereiche erarbeitet:

  • Sicherheitsrichtlinie
  • Erfassung und Bewertung der zu schützenden Informationen und Informationsträger
  • Risikoerfassung, -abschätzung und -behandlung
  • Zuordnung von Kontroll- und Steuermechanismen

Jeder dieser Bereiche muss gezielt auf die Anforderungen und den Schutzbedarf Ihrer Organisation abgestimmt werden. Wir unterstützen Sie dabei, eine Balance zwischen Risiko, Kosten und Handhabbarkeit zu finden.

 

Realisierung

Anhand der Vorgaben aus der Planungsphase werden die Kontroll- und Steuermechanismen in Ihrer Organisation eingeführt. Dazu gehören ebenfalls Schulungsmaßnahmen, die durch technische Maßnahmen zur Verbesserung des Sicherheitsbewusstseins Ihrer Mitarbeiter unterstützt werden sollten.

Wir beraten und unterstützen Sie bei der Auswahl von geeigneten technischen und organisatorischen Maßnahmen, richten für Sie z.B. Awarenessprogramme ein und schulen Ihre Mitarbeiter im sicheren Umgang mit firmenkritischen Informationen.

 

Kontrolle

Das gesamte Informationssicherheits-Managementsystem unterliegt einem ständigen Überwachungs- und Kontrollprozess. Jede Änderung in der Organisation, der verwendeten Technologie, den Geschäftsprozessen oder in der Bedrohungslage wird auf ihren Einfluss auf das ISMS überprüft.

Veränderungen oder Verbesserungen werden in der ISMS eingearbeitet, eine generelle Überprüfung der Funktionsfähigkeit des ISMS sollte idealerweise halbjährlich erfolgen. Der Standard ISO27001 empfiehlt die Einbeziehung firmenexterner Spezialisten, um eine unabhängige Bewertung zu erzielen.