Die ISO 27001 Zertifizierung ist wichtig, um Risiken bei der Informationssicherheit in Unternehmen zu senken und dadurch Kosten zu sparen. Dies kann mithilfe eines Informationssicherheitsmanagementsystems (ISMS) geschehen. Ein ISMS ist für jegliche Unternehmen unterschiedlicher Größen und Industriezweige geeignet.
Der Inhalt der ISO 27001 Norm beschreibt verbindliche Vorschriften für die Einführung, die Umsetzung, die Überwachung und die ständige Verbesserung eines ISMS nach ISO 27001. Die Norm behandelt dabei drei wichtige Themen: Vertraulichkeit, Verfügbarkeit und Integrität von Informationen.
Die Vorteile einer ISO 27001 Zertifizierung sind beispielsweise die Verbesserung der Informationssicherheit und der Leitung im Unternehmen sowie die Minderung von Risiken für Verstöße gegen die Informationssicherheit. Dies schützt nicht nur die persönlichen Daten der Kunden, sondern auch die der Mitarbeiter.
Wichtig ist an dieser Stelle zu erwähnen, dass es im Oktober 2022 eine Revision der ISO/IEC 27001 gab. Unternehmen, die Ihr Managementsystem derzeit nach der alten Version zertifiziert haben, sind verpflichtet, ihr bestehendes System gemäß der neuen Revision zu überarbeiten. Aktuelle Zertifikate sind noch bis November 2025 gültig.
Die ISO 27001 ist ein internationaler Sicherheitsstandard zur Lenkung und Steigerung der Informationssicherheit in Unternehmen. Im Fokus steht der Schutz von (vertraulichen) Informationen im Unternehmen vor Verlust, unbefugtem Zugriff und Veränderung, unberechtigter Nutzung sowie Veröffentlichung oder Zerstörung.
Bei der zehnteiligen Norm steht besonders die Gewährleistung eines angemessenen Risikomanagements im Vordergrund. Hierbei muss ermittelt werden, welche Probleme im Unternehmen in Verbindung mit wichtigen Informationen entstehen können (Einschätzung) und welche Maßnahmen zur Verhinderung dieser Probleme ergriffen werden müssen (Notfallplanung).
Die Norm wurde im Jahr 2005 sowohl von der International Organization for Standardization (ISO) als auch von der International Electrotechnical Commission (IEC) entwickelt, weswegen die vollständige Schreibweise der Norm DIN EN ISO/IEC 27001 ist. Nachfolgend wird jedoch der im allgemeinen Sprachgebrauch etablierte Term ISO 27001 verwendet.
Zu den Vorschriften der Norm gehören zum Beispiel Richtlinien, Verfahren, Ressourcen und zugehörige Aktivitäten, die von einem Unternehmen ausgeführt werden müssen, um vertrauliche und wichtige Informationen zu schützen. Dazu zählen ebenfalls technische Vorschriften wie beispielsweise für die Hard- und Software.
Der Aufbau der ISO 27001 ist in drei Teile gegliedert - Einleitung, Hauptteil und Schluss/Anhang - und ist dazu in 10 Kapitel unterteilt, die auf der von der ISO 9001 vorgegebenen Harmonized Structure (früher High Level Structure) basieren. Die Einleitung besteht aus den Kapiteln 0-3, in denen die Einführung in die Norm und ihre Begrifflichkeiten geschrieben steht.
In den Kapiteln 4 - 10 des Hauptteils sind die Anforderungen, die ein Unternehmen für die Zertifizierung erfüllen muss, die Erläuterung der Maßnahmenziele sowie die Vorschläge für einen erfolgreiche Implementierung der Norm im Unternehmen festgehalten. Die folgende Liste zeigt die Inhalte der einzelnen Kapitel der ISO 27001 noch einmal detailliert.
Im Schluss bzw. im Anhang der Norm werden 114 spezifische Maßnahmen aus 14 Kategorien für den Umgang mit Informationssicherheitsrisiken sowie zur Umsetzung der Normforderungen definiert. Diese Maßnahmen gelten als Ergänzung zu den allgemein gehaltenen Normtexten. Ebenfalls im Anhang befindet sich eine Checkliste, die zum Abgleich der im Unternehmen umgesetzten Maßnahmen mit den Anforderungen an eine ISMS auszufüllen ist.
Die Anforderungen der ISO 27001 können der folgenden Auflistung entnommen werden.
Eine ISO 27001 Zertifizierung ist ein offizieller Nachweis, dass ein Unternehmen ein vollständiges, wirksames und effektives Informationssicherheitsmanagementsystem gemäß den Vorgaben der ISO 27001 eingeführt hat. Das Zertifizierungsaudit gilt als externe Prüfung und wird ebenfalls Third-Party-Audit genannt.
Eine Zertifizierung nach ISO 27001 lässt die Wahrscheinlichkeit von Vorfällen im Bereich der Cybersicherheit und des Datenschutzes sinken, optimiert die Kontrollen der Informationssicherheit und sorgt dafür, dass Unternehmen wirksam auf Bedrohungen reagieren können. Darüber hinaus lässt eine Zertifizierung das Risiko für Datenschutzverstöße und Bußgelder sinken.
Mithilfe einer Zertifizierung können Unternehmen Nachweise für angemessene Sicherheitsmaßnahmen für Kunden und Partner liefern. Dies stärkt das Vertrauen der Partner, Kunden und andere Interessengruppen. Des Weiteren kann dadurch die Minimierung von Haftungs- und Geschäftsrisiken ein höherer Schutz der Informationen gewährleistet werden.
Ein zertifiziertes Informationssicherheitsmanagementsystem wird vor allem von Institutionen gefordert, die selbst aufgrund Ihres Unternehmen besonderen Wert auf Informationen legen müssen. Dazu zählen beispielsweise Institutionen, die nach der BSI-Kritisverordnung als kritische Infrastruktur eingestuft sind und eine besondere Bedeutung für das staatliche Gemeinwesen haben. Beispiele hierfür sind Energieversorger, Krankenhäuser, öffentliche Einrichtungen und Verteidigungseinrichtungen.
Die ISO 27001 Zertifizierung kostet für kleine Unternehmen etwa 3000 bis 6000 Euro, wobei die Kosten für mittelständische und große Unternehmen im fünfstelligen Bereich liegen. Die genaue Kalkulation der Kosten wird jedoch für jedes Unternehmen individuell von der jeweiligen Zertifizierungsstelle übernommen.
Bei der Ermittlung des exakten Preises werden vor allem die Unternehmensgröße, der Unternehmensstandort, die derzeitige Normkonformität und der Prozessaufwand im Zertifizierungsaudit einberechnet. Der oben genannte Preis ist nur der Preis für die Zertifizierung nach ISO 27001. Werden zusätzliche Berater oder Auditoren für das interne Audit eingesetzt, müssen diese Kosten ebenfalls berücksichtigt werden.
Die ISO 27001 Zertifizierung ist drei Jahre gültig und muss nach dieser Zeit wiederholt werden. Es ist jedoch Pflicht, nach der Zertifizierung jedes Jahr ein Überwachungsaudit durchzuführen, um bestimmte Prozesse und Bereiche in komprimierter Form zu auditieren. Auf diese Weise kann jährlich sichergegangen werden, dass das ISMS stets den Vorgaben entspricht. Zertifizierungen gemäß der ISO 27001 hingegen haben den gleichen Ablauf und Umfang wie die Erstzertifizierung.
Die ISO 27001 Zertifizierung erhält man zunächst mit einem Voraudit und schließlich mit einem Hauptaudit. Sind beim Hauptaudit Abweichungen zur Norm oder Fehler aufgetreten, muss ein Nachaudit zur Zertifizierung nach ISO 27001 durchgeführt werden.
Während des Voraudits werden vom zuständigen Zertifizierungsauditor sowohl das Informationssicherheitsmanagementsystem nach ISO 27001 als auch relevante Management-Dokumente geprüft. Werden dabei kleinere Abweichungen oder Fehler vom Auditor aufgedeckt, können diese in der Regel bis zum Hauptaudit berichtigt werden.
Sollten jedoch große Risiken oder schwerwiegende Nicht-Konformitäten erkannt worden sein, kann der Auditor das Zertifizierungsaudit bereits im Voraudit abbrechen. Dies passiert jedoch nur dann, wenn der Auditor den Erhalt des Zertifikats mit diesem Zustand des ISMS im Unternehmen für problematisch oder unrealistisch hält.
War das Voraudit erfolgreich, wird das Unternehmen zur Stufe 2, zum Hauptaudit, zugelassen. Im Hauptaudit prüft der jeweilige Zertifizierungsauditor erneut die Effektivität des ISMS nach ISO 27001. Diese Prüfung und die damit einhergehende Sichtung der wichtigen Management-Dokumentation erfolgt ausführlicher als im Voraudit.
Zusätzlich führt der Auditor Gespräche mit involvierten Mitarbeitern sowie der Leitung des Unternehmens, um die derzeitige Informationssicherheit in der Praxis zu analysieren und zu bewerten. Gleichzeitig wird dabei der unmittelbare Kenntnisstand der ISO 27001 im Unternehmen beurteilt. Nach dem Audit wird ein Abschlussgespräch mit dem Zertifizierungsauditor über den Verlauf geführt.
Gab es Auffälligkeiten, erhebliche Mängel, Abweichungen von der Norm oder sonstige Sicherheitsrisiken, müssen Maßnahmen zur Korrektur dieser gemäß der ISO 27001 ergriffen werden. Danach muss ein erneutes Audit, ein sogenanntes Nachaudit durchgeführt werden. Wurden nach dem Hauptaudit keine Fehler oder Verbesserungspotenziale erkannt, erhält das Unternehmen die Zertifizierung nach ISO 27001.
Ein Nachaudit muss nur dann durchgeführt werden, wenn schwerwiegende Mängel und Schwächen im Informationsmanagementsystem aufgedeckt wurden. Sind die Optimierungen vom Unternehmen vorgenommen wurden, sind diese an den Auditor zu senden. Bei erfolgreicher Korrektur erhält das Unternehmen das Zertifikat für die ISO 27001.
Das Nachaudit bei der ISO 27001 Zertifizierung muss jedoch nur in Einzelfällen durchgeführt werden. Sollten wir Sie nicht bei der Einführung eines ISMS gemäß ISO 27001 begleitet haben, melden Sie sich bei uns und wir unterstützen Sie dabei, die Nichtkonformitäten zu beseitigen, um eine erfolgreiche Zertifizierung durchführen zu können.
Wir bieten Leistungen für kleine, mittlere und große Unternehmen rund um die ISO 27001 zur Beratung, zum internen Audit, zum Seminar und zum Rechtskataster.
Unsere ISO 27001 Beratung beinhaltet eine Gap-Analyse zur Ermittlung des IST-Zustand in Ihrem Unternehmen mit Hinblick auf die derzeitige Informationssicherheit. Danach unterstützen wir Sie bei der Einführung oder Optimierung eines Informationssicherheitsmanagementsystems und entwickeln für Sie die notwendige Management-Dokumentation. Darüber hinaus führen wir ebenfalls das interne Audit bei Ihnen durch und helfen Ihnen im ISO 27001 Zertifizierungsprozess.
Möchten Sie, dass wir in Ihrem Unternehmen ein internes ISO 27001 Audit durchführen, stellen wir Ihnen für den nötigen Blick von außen einen externen Auditor. Dieser identifiziert während des Audits potenzielle Abweichungen oder Verbesserungsvorschläge und hält diese in einem Bericht schriftlich fest. Dieser Bericht enthält ebenfalls Maßnahmen, die bis zur Zertifizierung nach ISO 27001 noch getroffen werden müssen.
Ein ISO 27001 Seminar ist entweder Teil unserer Beratung oder kann als separater Lehrgang in Anspruch genommen werden. Als Bestandteil unserer ISO 27001 Beratung hat die Schulung einen Workshop-Charakter, damit die beteiligten Mitarbeiter in kurzer Zeit für das Thema Informationssicherheit sensibilisiert werden. Mit dieser Fortbildung für die ISO 27001 soll der Kontinuierliche Verbesserungsprozess (KVP) für das ISMS sichergestellt werden.
Wünschen Sie sich die Errichtung eines Rechtskatasters für die ISO 27001, bieten wir Ihnen unsere Hilfe dafür an. Ein Rechtskataster unterstützt Sie, bei externen und internen Audits alle wichtigen Nachweise für die Einhaltung gesetzlicher Richtlinien und Gesetze vorzulegen. Neben der Erstellung des Rechtskatasters pflegen und optimieren wir dieses aufgrund sich ständig ändernder Vorschriften.
Das Verhältnis zwischen der ISO 27001 und anderen Normen zeigt die folgende Übersicht. Wir vergleichen die ISO 27001 mit TISAX ® und der ISO 9001.
Die ISO 27001 ist eine internationale Norm, die für die verbesserte Informationssicherheit in Unternehmen aus allen Branchen verantwortlich ist. TISAX ® hingegen ist ein Standard, der nicht international anerkannt ist und nur in der Automobilindustrie eingesetzt wird. Beide sind jedoch für die Optimierung der Informationssicherheit verantwortlich.
TISAX ® basiert zwar auf der ISO 27001, ist jedoch ein eigener und unabhängiger Standard. Das heißt, dass die ISO 27001 im Unternehmen nicht implementiert sein muss, um die TISAX ® Labels zu erlangen. Dementsprechend erhält man bei der ISO 27001 eine Zertifizierung und bei TISAX ® ein Label.
Die Gemeinsamkeiten von TISAX ® und der ISO 27001 sind, dass sie beide die gleichen Anforderungen an die Informationssicherheit im Unternehmen haben, da der Katalog für TISAX ® bereits in der ISO 27001 im Anhang verankert ist. Beide verlangen darüber hinaus einen KVP.
Sowohl die ISO 27001 als auch die ISO 9001 sind internationale Qualitätsmanagement-Normen. Die ISO 27001 zielt jedoch auf den Schutz von wichtigen Informationen im Unternehmen und die ISO 9001 auf die Optimierung der Qualität von Produkten oder Dienstleistung eines Unternehmens ab.
Bei beiden Normen spielen der KVP und das Risikomanagement eine wichtige Rolle. Die ISO 9001 gibt die Kapitel-Struktur, die Harmonized Structure (früher High Level Structure), für die ISO 27001 vor. Aus diesem Grund sind die beiden Normen gleich aufgebaut, haben jedoch andere Vorgaben, weshalb die ISO 27001 derart einfach mit der ISO 9001 zu kombinieren ist.
Ja, man kann die ISO 27001 mit der ISO 9001 kombinieren, da beide die gleiche Struktur haben und mit der Verbindung beider Normen die Datensicherheit, Qualität, Kundenzufriedenheit und Sicherheitsmaßnahmen im Unternehmen sichergestellt werden können.
Sie können zwar im Nachhinein die fehlende Norm in das bestehende Managementsystem integrieren, Sie sparen sich jedoch Zeit, Geld und Ressourcen, wenn Sie von Anfang an beide Systeme gemeinsam einführen. Auf diese Weise können ebenfalls integrierte Audits durchgeführt und gleichzeitig sowohl für die Qualitätssicherung nach ISO 9001 als auch für die Informationssicherheit gemäß ISO 27001 gesorgt werden.
