Was ist ISO 27001?
Zertifizierung auf Basis von IT-Grundschutz
Die ISO 27001 ist eine internationale Norm, die von der internationalen Organisation für Standardisierung, der ISO, veröffentlicht wurde. Sie soll die Informationssicherheit in privaten, öffentlichen sowie gemeinnützigen Unternehmen sicherstellen. Zudem befasst sie sich auch mit der Analyse und der Behandlung von Risiken der Informationssicherheit. Für Unternehmen besteht die Möglichkeit, sich nach ISO 27001 zertifizieren zu lassen.
Was ist ISO 27001?
Die ISO 27001 ist eine internationale Norm, die von der internationalen Organisation für Standardisierung, der ISO, veröffentlicht wurde. Sie soll die Informationssicherheit in privaten, öffentlichen sowie gemeinnützigen Unternehmen sicherstellen. Zudem befasst sie sich auch mit der Analyse und der Behandlung von Risiken der Informationssicherheit. Für Unternehmen besteht die Möglichkeit, sich nach ISO 27001 zertifizieren zu lassen.
Was beinhaltet ISO 27001?
Durch die Entscheidung für ein Informationssicherheits-Managementsystem nach ISO 27001 können Unternehmen in verschiedener Hinsicht profitieren. So wird dadurch eine kontinuierliche Informationssicherheit erreicht. Dies ist möglich, da gemäß des PDCA-Zyklus die Ist-Situation in regelmäßigen Abständen analysiert wird. Falls erforderlich, können dann Anpassungen und Verbesserungen vorgenommen werden.
Zudem ist eine Risikominimierung möglich. Bedrohungen können erkannt und reduziert werden. Vertrauliche Daten können vor Angriffen durch Hacker, Datenverlust und Missbrauch geschützt werden. Gehen doch einmal Daten verloren, wird eine rasche Wiederherstellung gewährleistet (bei ordnungsgemäßer Umsetzung). Durch ein vorhandenes internes Informationssicherheits-Managementsystem kann das Vertrauen von Geschäftspartnern gewonnen werden.
Anforderungen und Durchführung einer Zertifizierung
Mithilfe einer Zertifizierung nach ISO 27001 kann ein Unternehmen den Nachweis leisten, dass die Anforderungen der Informationssicherheit eingehalten wurden und die erforderlichen Maßnahmen zum Datenschutz in die Tat umgesetzt wurden. Für Kunden und Geschäftspartner schließlich ist eine Zertifizierung ein Nachweis dafür, dass in dem betreffenden Unternehmen die IT-Sicherheit in ausreichendem Maße sichergestellt wurde.
Prinzipiell kann zwischen 2 Möglichkeiten der Zertifizierung ausgewählt werden. So kann entweder direkt nach ISO 27001 zertifiziert werden oder es ist eine ISO-27001-Zertifizierung auf Basis IT-Grundschutz möglich. Die zweitgenannte Möglichkeit ist zwar aufwendiger und umfangreicher, besitzt aber dadurch auch mehr Aussagekraft.
Um ein Zertifikat nach ISO 27001 zu erhalten, müssen 5 Schritte durchlaufen werden: die Einführung eines Informationssicherheits-Managementsystems, die Klassifizierung von Unternehmenswerten, die Erstellung einer Risikoanalyse, die Durchführung von Maßnahmen sowie das Absolvieren eines Zertifizierungsaudits.
Um ein Zertifizierungsverfahren durchzuführen, muss zunächst ein Antrag auf eine ISO 27001-Zertifizierung bei der zuständigen Stelle eingereicht werden. Dieser enthält nähere Informationen zum Antragssteller und zu dem zu zertifizierenden Unternehmen.
Im Rahmen eines Voraudits wird eine erste Bestandsaufnahme durchgeführt, d.h. es wird der Status der Informationssicherheit in dem jeweiligen Unternehmen geprüft. Die Dokumente des Informationssicherheits-Managementsystems werden auf Vollständigkeit, Normkonformität und Angemessenheit untersucht. Nach dem Voraudit wird das anstehende Zertifizierungsaudit näher geplant. Dazu werden Termine, Interviewpartner und die zu prüfenden Räumlichkeiten festgelegt.
Bei den Audits gibt es 3 verschiedene Typen. Im Rahmen eines Erst-Zertifizierungsaudit wird der betreffende Betrieb erstmals auditiert. Nach erfolgreicher Erstzertifizierung finden dann jährliche Überwachungsaudits statt. Nach Ablauf von 3 Jahren schließlich findet ein Rezertifizierungsaudit statt.
Für jedes Audit ist ein Auditbericht zu erstellen. Sobald der Auditprozess positiv bewertet wurde, wird von der Zertifizierungsstelle ein Zertifikat nach ISO 27001 erstellt.
Fazit
Durch die Anwendung der ISO 27001 bzw. eine erfolgreich durchgeführte Zertifizierung können Unternehmen in vielerlei Hinsicht profitieren. So lassen sich dadurch IT-Risiken und Schäden minimieren. Weiterhin werden dadurch klare Prozesse und Verantwortlichkeiten etabliert. Dies führt zu einer wesentlichen Arbeitserleichterung und Kosteneinsparung. Eine Zertifizierung führt dazu, dass das betreffende Unternehmen als qualifiziert angesehen wird – die Reputation nach Außen steigt. Dies kann einen erheblichen Wettbewerbsvorteil gegenüber Mitbewerbern verschaffen. Durch ein zertifiziertes System signalisiert das Unternehmen ein hohes IT-Sicherheitsniveau.
Rückmeldungen