ISO 27000/27001

Was ist ISO/IEC 27001?

ISO/IEC 27001 ist ein international anerkannter Standard, der von der ISO (Internationale Organisation für Standardisierung) in Zusammenarbeit mit der IEC (International Electrotechnical Commission) formuliert und herausgegeben wurde und auch ständig weiterentwickelt wird.

An wen richtet sich der Standard ISO/IEC 27001?

ISO/IEC 27001 richtet sich an ein breites Spektrum von Organisationen. Insbesondere die beiden Hauptdokumente können für sämtliche Arten von Organisationen verwendet werden. Mitunter wurden jedoch auch Publikationen veröffentlicht, die einen sehr starken Branchenfokus aufweisen. Dies wird in den folgenden Fragestellungen genauer erläutert.

Wie ist der Standard ISO/IEC 27001 aufgebaut?

Der ISO/IEC 27001 Standard umfasst eine Reihe von Dokumenten, die sich in normativer (fordernder) oder in informativer Weise mit dem Informationssicherheitsmanagement von Service-Organisationen beschäftigen. Die jeweiligen Dokumente verfolgen unterschiedliche Zielsetzungen und sind auch an verschiedene Zielgruppen adressiert. Von zentraler Bedeutung für die gesamte Norm ist Dokument ISO/IEC 27001. Darin werden die Mindestanforderungen an ein Informationssicherheits-Managementsystem erläutert (ISMS) (Kapitel 4 bis 10). Im Anhang A werden 114 Sicherheitsmaßnahmen – sogenannte Controls – erläutert. Das zweite Hauptdokument, ISO/IEC 27002 schildert auf ca. 90 Seiten Umsetzungshinweise (Implementation Guidance) für die in ISO/IEC 27001 genannten Controls und ist bekannt unter dem Namen „Code of Practice“.

Was versteht man unter einem ISMS (Informationssicherheits-Managementsystem)?

Unter einem Managementsystem versteht man die Gesamtheit aller Prozesse, Ressourcen (Arbeitskraft, Maschinen) und Werkezeuge (Tools), die dem Management zur Verfügung stehen. Durch zielgerichtetes koordinieren dieser Mittel sollen die anfallenden Managementaufgaben möglichst ziel-, kunden- und qualitätsorientiert geplant, ausgeführt und dokumentiert werden. Auf Grundlage dieser Erkenntnisse soll eine ständige Verbesserung des Managementsystems erfolgen. Der Begriff ISMS umfasst somit alle Prozesse, Verfahren und Maßnahmen (Controls) in einer Organisation, die dazu dienen die notwendige Informationssicherheit zu gewährleisten. Von besonders hoher Bedeutung sind dabei die Controls.

Ausgewiesene Informationssicherheit nach ISO/IEC 27001

Mit einer Zertifizierung Ihres ISMS nach ISO 27001 zeigen Sie, dass dieses den internationalen Sicherheitsstandards für Informationen, Daten und Systemen entspricht. So präsentieren Sie sich vor Ihren Kunden als zukunftsfähiges Unternehmen, dessen Dienste hohe Sicherheitsstandards erfüllen. In einer Zeit in der Diebstahl, Missbrauch und Offenlegung vertraulicher Daten permanente Risiken sind, können Sie mit einer ISO 27001 Zertifizierung ein Statement für Informationssicherheit in Ihrer Organisation setzen.

Was ist die ISMS-Zertifizierung nach ISO 27001?

ISO 27001 ist der international führende Standard für Informationssicherheits-Managementsysteme (ISMS). Darin werden Leitlinien für jegliche Arten von Organisationen zur Planung, Umsetzung, Überwachung und stetigen Verbesserung der Informationssicherheit erläutert. ISO 27001 ist nicht branchenspezifisch und kann somit für private, öffentliche oder auch gemeinnützige Organisationen verwendet werden.

Hintergrund einer ISO 27001 Zertifizierung ist nicht nur Ihr ISMS vor gezielten Angriffen zu schützen, sondern auch ungeplante Ausfälle zu unterbinden. Dies bringt Ihnen einen enormen Wettbewerbsvorteil gegenüber anderen Service-Organisationen. Mit ISO 27001 können Sie Ihre gesamte IT-Security systematisch und strukturiert optimieren und an Ihre individuellen Anforderungen anpassen. Der Schutz von betrieblichen Daten sowie Ihre gesamte IT-Infrastruktur wird verbessert. Bei entsprechender Anwendung wird auch der Schutz personenbezogener Daten verbessert.

Mittels Stakeholder- und Risikoanalysen wird die spezifische Situation Ihrer Organisation ermittelt. Diese stellt den zentralen Ausgangspunkt für Ihr ISMS dar. Auf dieser Grundlage wird ein maßgeschneidertes Sicherheitskonzept für die ermittelten Erwartungen und Risiken entworfen. Durch diesen regelmäßig durchgeführten Prozess wird sichergestellt, dass Ihr Sicherheitskonzept immer auf dem neuesten Stand ist und den ständig wechselnden Anforderungen entspricht.

Sämtliche Ihrer Geschäftsprozesse basieren auf Daten und Informationen. Einige dieser Daten und Informationen sind hochsensibel und müssen streng vertraulich behandelt werden, andere wiederum sind als weitaus weniger vertraulich einzustufen. Der Spagat zwischen Verfügbarkeit und Schutz dieser Daten und Informationen ist in einer aktuellen und dynamischen IT-Infrastruktur von extrem hoher Bedeutung. Ein ISMS hilft dabei dieses Problem zu lösen. Dabei wird mittels Risikomanagement die jeweilige Priorität ermittelt und für den Anwender sichtbar gemacht. Daraus können Sie großen Nutzen ziehen:

• Stetige Informationssicherheit: Ein nach den Grundsätzen von ISO 27001 entwickeltes ISMS ist nicht starr, sondern durchläuft einen kontinuierlichen Verbesserungs- und Anpassungsprozess. Es unterliegt dem PDCA-Zyklus (Plan – Do – Check – Act). Interne Auditoren erstellen regelmäßig Analysen der Ist-Situation und erkennen somit frühzeitig die Notwendigkeit von Anpassungen. Durch diese ständige Eigenkontrolle und die daraus resultierenden Optimierungsmaßnahmen wird Sicherheit geschaffen.

• Minimierung der Risiken: Mit Hilfe von ISO/IEC 27001 strukturieren Sie Ihr ISMS und können dadurch Schwachstellen frühzeitig erkennen und beheben – noch bevor diese zur Sicherheitslücke werden.

• Steigerung der Informationssicherheit: Mittels ISO/IEC 27001 reduzieren Sie die Auswirkungen von Hackerangriffen, Datenverlust und Missbrauch auf ein Minimum. Sollte es doch einmal zu Störfällen kommen, sind Sie in der Lage das Datenleck zeitnah aufzuspüren und entsprechende Gegenmaßnahmen einzuleiten. Dadurch minimieren Sie den Schaden und garantieren eine schnelle Wiederherstellung Ihrer Systeme.

• Sicherheit als Teil der Unternehmenskultur: Betrachtungsgegenstand von ISO/IEC 27001 ist die gesamte Organisation. Sämtliche Hierarchieebenen und Abteilungen werden in den Schutz sensibler Daten einbezogen. Die Verantwortung des Managements, Schulungen der Mitarbeiter und interne Audits haben einen hohen Stellenwert. Die Kombination dieser Normanforderungen verankert die Informationssicherheit fest im Unternehmensalltag und somit kann die volle Wirksamkeit entfaltet werden.

• Umsetzung externer Anforderungen: Ein ISO/IEC 27001 basiertes ISMS sichert die drei zentralen Merkmale von Informationen: Integrität, Vertraulichkeit und Verfügbarkeit. Es stellt sicher, dass Informationen bei Bedarf jederzeit verfügbar sind, andererseits aber auch sicher verwahrt werden. Ein nach den Grundsätzen von ISO/IEC 27001 konstruiertes ISMS trägt somit zum Schutz vor operationellen Risiken bei. Dies wird nicht nur von Ihrem Wirtschaftsprüfer verlangt, sondern auch international geltende Regelungen wie Basel II stellen diese Anforderungen an Service-Organisationen.

• Vertrauen durch Informationssicherheit: Der Umgang mit sensiblen Daten ist häufig Hauptkriterium für potentielle Kunden und Partner einer Service-Organisation. Verschaffen Sie sich einen Wettbewerbsvorteil und lassen Sie Ihr ISMS nach ISO/IEC 27001 zertifizieren und zeigen Sie Ihren Kunden und Partnern, dass sie sich auf Sie verlassen können – jetzt und in Zukunft.

Die Experten der BFMT verfügen ebenfalls über den Titel "ISO 27000 Lead Auditor". Die ISO/IEC 27000 Auditor-Zertifizierungen sind Referenzen für Fachleute, die ein Service Management System (SMS) auditieren können. Als "ISO 27000 Lead Auditor" ist man ebenfalls in der Lage , ein Team von Auditoren zu leiten.