Was ist ISO 27001?

Jan-Dirk Kranz 14. August 2018
0 Kommentar

Zertifizierung auf Basis von IT-Grundschutz

Die ISO 27001 ist eine internationale Norm, die von der internationalen Organisation für Standardisierung, der ISO, veröffentlicht wurde. Sie soll die Informationssicherheit in privaten, öffentlichen sowie gemeinnützigen Unternehmen sicherstellen. Zudem befasst sie sich auch mit der Analyse und der Behandlung von Risiken der Informationssicherheit. Für Unternehmen besteht die Möglichkeit, sich nach ISO 27001 zertifizieren zu lassen.

Was ist ISO 27001?

Die ISO 27001 ist eine internationale Norm, die von der internationalen Organisation für Standardisierung, der ISO, veröffentlicht wurde. Sie soll die Informationssicherheit in privaten, öffentlichen sowie gemeinnützigen Unternehmen sicherstellen. Zudem befasst sie sich auch mit der Analyse und der Behandlung von Risiken der Informationssicherheit. Für Unternehmen besteht die Möglichkeit, sich nach ISO 27001 zertifizieren zu lassen.

Was beinhaltet ISO 27001?

Durch die Entscheidung für ein Informationssicherheits-Managementsystem nach ISO 27001 können Unternehmen in verschiedener Hinsicht profitieren. So wird dadurch eine kontinuierliche Informationssicherheit erreicht. Dies ist möglich, da gemäß des PDCA-Zyklus die Ist-Situation in regelmäßigen Abständen analysiert wird. Falls erforderlich, können dann Anpassungen und Verbesserungen vorgenommen werden.
Zudem ist eine Risikominimierung möglich. Bedrohungen können erkannt und reduziert werden. Vertrauliche Daten können vor Angriffen durch Hacker, Datenverlust und Missbrauch geschützt werden. Gehen doch einmal Daten verloren, wird eine rasche Wiederherstellung gewährleistet (bei ordnungsgemäßer Umsetzung). Durch ein vorhandenes internes Informationssicherheits-Managementsystem kann das Vertrauen von Geschäftspartnern gewonnen werden.

Anforderungen und Durchführung einer Zertifizierung

Mithilfe einer Zertifizierung nach ISO 27001 kann ein Unternehmen den Nachweis leisten, dass die Anforderungen der Informationssicherheit eingehalten wurden und die erforderlichen Maßnahmen zum Datenschutz in die Tat umgesetzt wurden. Für Kunden und Geschäftspartner schließlich ist eine Zertifizierung ein Nachweis dafür, dass in dem betreffenden Unternehmen die IT-Sicherheit in ausreichendem Maße sichergestellt wurde.
Prinzipiell kann zwischen 2 Möglichkeiten der Zertifizierung ausgewählt werden. So kann entweder direkt nach ISO 27001 zertifiziert werden oder es ist eine ISO-27001-Zertifizierung auf Basis IT-Grundschutz möglich. Die zweitgenannte Möglichkeit ist zwar aufwendiger und umfangreicher, besitzt aber dadurch auch mehr Aussagekraft.
Um ein Zertifikat nach ISO 27001 zu erhalten, müssen 5 Schritte durchlaufen werden: die Einführung eines Informationssicherheits-Managementsystems, die Klassifizierung von Unternehmenswerten, die Erstellung einer Risikoanalyse, die Durchführung von Maßnahmen sowie das Absolvieren eines Zertifizierungsaudits.

Um ein Zertifizierungsverfahren durchzuführen, muss zunächst ein Antrag auf eine ISO 27001-Zertifizierung bei der zuständigen Stelle eingereicht werden. Dieser enthält nähere Informationen zum Antragssteller und zu dem zu zertifizierenden Unternehmen.
Im Rahmen eines Voraudits wird eine erste Bestandsaufnahme durchgeführt, d.h. es wird der Status der Informationssicherheit in dem jeweiligen Unternehmen geprüft. Die Dokumente des Informationssicherheits-Managementsystems werden auf Vollständigkeit, Normkonformität und Angemessenheit untersucht. Nach dem Voraudit wird das anstehende Zertifizierungsaudit näher geplant. Dazu werden Termine, Interviewpartner und die zu prüfenden Räumlichkeiten festgelegt.
Bei den Audits gibt es 3 verschiedene Typen. Im Rahmen eines Erst-Zertifizierungsaudit wird der betreffende Betrieb erstmals auditiert. Nach erfolgreicher Erstzertifizierung finden dann jährliche Überwachungsaudits statt. Nach Ablauf von 3 Jahren schließlich findet ein Rezertifizierungsaudit statt.
Für jedes Audit ist ein Auditbericht zu erstellen. Sobald der Auditprozess positiv bewertet wurde, wird von der Zertifizierungsstelle ein Zertifikat nach ISO 27001 erstellt.

Fazit

Durch die Anwendung der ISO 27001 bzw. eine erfolgreich durchgeführte Zertifizierung können Unternehmen in vielerlei Hinsicht profitieren. So lassen sich dadurch IT-Risiken und Schäden minimieren. Weiterhin werden dadurch klare Prozesse und Verantwortlichkeiten etabliert. Dies führt zu einer wesentlichen Arbeitserleichterung und Kosteneinsparung. Eine Zertifizierung führt dazu, dass das betreffende Unternehmen als qualifiziert angesehen wird – die Reputation nach Außen steigt. Dies kann einen erheblichen Wettbewerbsvorteil gegenüber Mitbewerbern verschaffen. Durch ein zertifiziertes System signalisiert das Unternehmen ein hohes IT-Sicherheitsniveau.

Kategorien: IT-Sicherheit und Cybersecurity, Wirtschaft in der IT–Branche, Wissen
Tags: , , , , , , , , , , , , , , , , , , , ,
Jan-Dirk Kranz
IT-Enthusiast und Code-Bezwinger. Jan-Dirk hat an der Universität Bielefeld Politikwissenschaft und Informatik studiert. Seit 2015 widmet er sich mit Leidenschaft der IT- und SEO-Welt im Rahmen von IT-Talents.de und eigenen Code-Projekten. Sein Steckenpferd ist die IT und das Web. Diese Technologien haben unsere Welt bereits heute massiv verändert und bieten disruptives Innovationspotential, das es auszuschöpfen gilt. Auch zu finden auf Xing, LinkedIn und addictedtocode.de

Rückmeldungen