Die ISO 27001 ist ein internationaler Sicherheitsstandard zur Lenkung und Steigerung der Informationssicherheit in Unternehmen. Im Fokus steht der Schutz von (vertraulichen) Informationen im Unternehmen vor Verlust, unbefugtem Zugriff und Veränderung, unberechtigter Nutzung sowie Veröffentlichung oder Zerstörung.
Die Einführung eines Informationssicherheitsmanagementsystems (ISMS) ist für jegliche Unternehmen unterschiedlicher Größen und Industriezweige geeignet.
Bei der Norm steht besonders die Gewährleistung eines angemessenen Risikomanagement im Vordergrund. Hierbei muss ermittelt werden,welche Probleme im Unternehmen in Verbindung mit wichtigen Informationen entstehen können (Einschätzung) und welche Maßnahmen zur Verhinderung dieser Probleme ergriffen werden müssen (Notfallplanung).
Die Norm wurde sowohl von der International Organization for Standardization (ISO) als auch von der International Electrotechnical Commission (IEC) entwickelt, weswegen die vollständige Schreibweise der Norm DIN EN ISO/IEC 27001 ist. Nachfolgend wird jedoch der im allgemeinen Sprachgebrauch etablierte Term ISO 27001 verwendet.
Wichtig ist an dieser Stelle zu erwähnen, dass es im Oktober 2022 eine Revision der ISO/IEC 27001 gab. Unternehmen, die Ihr Managementsystem derzeit nach der alten Version zertifiziert haben, sind verpflichtet, ihre bestehenden System gemäß der neuen Revision zu überarbeiten. Aktuelle Zertifikate sind noch bis November 2025 gültig.
Der Inhalt der ISO 27001 Norm beschreibt verbindliche Vorschriften für die Einführung, die Umsetzung, die Überwachung und die ständige Verbesserung eines ISMS nach ISO 27001. Die Norm behandelt dabei drei wichtige Themen: Vertraulichkeit, Verfügbarkeit und Integrität von Informationen.
Zu den Vorschriften der Norm gehören zum Beispiel Richtlinien, Verfahren, Ressourcen und zugehörige Aktivitäten, die von einem Unternehmen ausgeführt werden müssen, um vertrauliche und wichtige Informationen zu schützen. Dazu zählen ebenfalls technische Vorschriften wie beispielsweise für die Hard- und Software.
Die Norm hat im Allgemeinen drei Teile - Einleitung, Hauptteil und Schluss/Anhang - und ist dazu in 10 Kapitel unterteilt, die auf der von der ISO vorgegebenen High Level Structure basieren. Die Einleitung besteht aus den Kapiteln 0-3, in denen die Einführung in die Norm und ihre Begrifflichkeiten geschrieben steht.
In den Kapiteln 4-10 des Hauptteils sind die Anforderungen, die ein Unternehmen für die Zertifizierung erfüllen muss, die Erläuterung der Maßnahmenziele und die Vorschläge für einen erfolgreiche Implementierung der Norm im Unternehmen festgehalten.
Kapitel 4: Kontext der Organisation
Kapitel 5: Leitung
Kapitel 6: Planung
Kapitel 7: Unterstützung
Kapitel 8: Betrieb
Kapitel 9: Bewertung der Leistung
Kapitel 10: Verbesserung
Im Schluss bzw. im Anhang werden 114 spezifische Maßnahmen aus 14 Kategorien für den Umgang mit Informationssicherheitsrisiken sowie zur Umsetzung der Normforderungen definiert. Diese Maßnahmen gelten als Ergänzung zu den allgemein gehaltenen Normtexten. Ebenfalls im Anhang befindet sich eine Checkliste, die zum Abgleich der im Unternehmen umgesetzten Maßnahmen mit den Anforderungen an eine ISMS auszufüllen ist.
Die wichtigste Anforderung an ein ISMS nach ISO/IEC 27001 ist die Normkonformität, sprich die Einhaltung aller Vorschriften der ISO 27001. Im Allgemeinen muss es die Verfügbarkeit, Vertraulichkeit und Integrität von Informationen in Unternehmen darlegen und die Datensicherheit sowie die Datenverwaltungsstruktur des Unternehmens festhalten.
Unternehmen, die eine Zertifizierung nach ISO/IEC 27001 anstreben, müssen zunächst den Kontext des Unternehmens festlegen. Hierbei muss bestimmt werden, warum das Unternehmen tätig ist, was das Unternehmen ausmacht und welchen unternehmerischen Ansatz oder Strategie es verfolgt. Außerdem müssen relevante Sicherheitsstandards und gesetzliche Vorgaben zusammengefasst und mit Maßnahmen zur Einhaltung versehen sein.
Dazu müssen Unternehmen definieren, inwiefern die Tätigkeit des Unternehmens interne oder externe Auswirkungen hat. Beispiele sind der Umgang mit Lieferanten und Kunden, behördliche Anforderungen, die Mitarbeiterführung, Prozessbeschreibungen für die Erkennung der Belange externer Parteien. Risiken und Chancen, die sich aus der Geschäftstätigkeit des Unternehmens ergeben, müssen ebenfalls ermittelt, bewertet und dokumentiert werden.
Im Unternehmen müssen außerdem Prozesse und Technologien eingeführt werden, die Daten des Unternehmens verwalten und schützen können. Informationssicherheitsrisiken, - chancen und -gefahren in einem Unternehmen müssen demnach kontrollierbar gemacht werden.
Aus dem ISMS muss die Beschreibung des Risikomanagements im Unternehmen sowie die Einhaltung wichtiger Bestimmungen (u.A. DSGVO) hervorgehen. Das ISMS muss Sicherheitsvorschriften nachgehen und die Entwicklung der Informationssicherheit begünstigen. Für erkannte Sicherheitsrisiken müssen entsprechende Schutzmaßnahmen bestimmt werden.
Die Vorteile einer ISO 27001 Zertifizierung sind beispielsweise die Verbesserung der Informationssicherheit und der Leitung im Unternehmen sowie die Minderung von Risiken für Verstöße gegen die Informationssicherheit. Dies schützt nicht nur die persönlichen Daten der Kunden, sondern auch die der Mitarbeiter.
Eine Zertifizierung nach ISO 27001 lässt die Wahrscheinlichkeit von Vorfällen im Bereich der Cybersicherheit und des Datenschutzes sinken, optimiert die Kontrollen der Informationssicherheit und sorgt dafür, dass Unternehmen wirksam auf Bedrohungen reagieren können. Darüber hinaus lässt eine Zertifizierung das Risiko für Datenschutzverstöße und Bußgelder sinken.
Außerdem können Unternehmen mithilfe einer Zertifizierung Nachweise für angemessene Sicherheitsmaßnahmen für Kunden und Partner liefern. Dies stärkt das Vertrauen der Partner, Kunden und andere Interessengruppen. Des Weiteren kann dadurch die Minimierung von Haftungs- und Geschäftsrisiken gewährleistet werden.
Ein zertifiziertes Informationssicherheitsmanagementsystem wird besonders von Institutionen gefordert, die selbst aufgrund Ihres Unternehmen besonderen Wert auf Informationen legen müssen. Dazu zählen beispielsweise Institutionen, die nach der BSI-Kritisverordnung als kritische Infrastruktur eingestuft sind und einen besondere Bedeutung für das staatliche Gemeinwesen haben. Beispiele hierfür sind Energieversorger, Krankenhäuser, öffentliche Einrichtungen, Verteidigungseinrichtungen etc.
Die wichtigste Voraussetzung für eine Zertifizierung nach ISO 27001 ist das Implementieren eines wirksamen Informationssicherheitsmanagementsystems nach ISO 27001 und die Erbringung wichtiger Nachweise in Form einer umfassenden und vollständigen Management-Dokumentation.
Folgende Dokumente müssen bei einer ISO 27001 Zertifizierung vorgelegt werden.
Eine weitere Voraussetzung für eine Zertifizierung nach ISO 27001 ist ein jährlich durchgeführtes internes Audits.
Möchten Sie weitere Informationen zur ISO/IEC 27001 erhalten oder überlegen Sie, ob Sie ein ISMS in Ihrem Unternehmen einführen möchten, können wir Ihnen unsere ISO 27001 Beratung empfehlen.
Damit wir ein individuelles und auf Ihr Unternehmen abgestimmtes Informationssicherheitsmanagementsystem entwickeln können, arbeiten wir eng mit Ihnen und Ihrem Team zusammen, um wichtige Informationen in Ihrem Unternehmen zu schützen.
Wir werden dafür sorgen, dass verantwortliche Personen im Unternehmen das Managementsystem eigenständig aufrechterhalten und pflegen können, sodass das ISMS bestmöglich in das Unternehmen integriert werden kann..
Die ISO 27001 Beratung können wir Ihnen ebenfalls in Form von Online-Meetings anbieten, das interne ISO 27001 Audit sollte jedoch persönlich abgehalten werden. Falls wir Ihr Interesse wecken konnten, kontaktieren Sie uns gerne über das untenstehende Formular!