Was ist die ISO 27001?

aktualisiert am 25. Juni 2024

Die ISO 27001 ist ein internationaler Sicherheitsstandard zur Lenkung und Steigerung der Informationssicherheit in Unternehmen. Im Fokus steht der Schutz von (vertraulichen) Informationen im Unternehmen vor Verlust, unbefugtem Zugriff und Veränderung, unberechtigter Nutzung sowie Veröffentlichung oder Zerstörung. 

Die Einführung eines Informationssicherheits­­managementsystems (ISMS) ist für jegliche Unternehmen unterschiedlicher Größen und Industriezweige geeignet.

Bei der Norm steht besonders die Gewährleistung eines angemessenen Risikomanagement im Vordergrund. Hierbei muss ermittelt werden,welche Probleme im Unternehmen in Verbindung mit wichtigen Informationen entstehen können (Einschätzung) und welche Maßnahmen zur Verhinderung dieser Probleme ergriffen werden müssen (Notfallplanung).

Die Norm wurde sowohl von der International Organization for Standardization (ISO) als auch von der International Electrotechnical Commission (IEC) entwickelt, weswegen die vollständige Schreibweise der Norm DIN EN ISO/IEC 27001 ist. Nachfolgend wird jedoch der im allgemeinen Sprachgebrauch etablierte Term ISO 27001 verwendet.

Wichtig ist an dieser Stelle zu erwähnen, dass es im Oktober 2022 eine Revision der ISO/IEC 27001 gab. Unternehmen, die Ihr Managementsystem derzeit nach der alten Version zertifiziert haben, sind verpflichtet, ihre bestehenden System gemäß der neuen Revision zu überarbeiten. Aktuelle Zertifikate sind noch bis November 2025 gültig.

Was ist der Inhalt der ISO 27001 Norm?

Der Inhalt der ISO 27001 Norm beschreibt verbindliche Vorschriften für die Einführung, die Umsetzung, die Überwachung und die ständige Verbesserung eines ISMS nach ISO 27001. Die Norm behandelt dabei drei wichtige Themen: Vertraulichkeit, Verfügbarkeit und Integrität von Informationen.

Zu den Vorschriften der Norm gehören zum Beispiel Richtlinien, Verfahren, Ressourcen und zugehörige Aktivitäten, die von einem Unternehmen ausgeführt werden müssen, um vertrauliche und wichtige Informationen zu schützen. Dazu zählen ebenfalls technische Vorschriften wie beispielsweise für die Hard- und Software.

Die Norm hat im Allgemeinen drei Teile - Einleitung, Hauptteil und Schluss/Anhang - und ist dazu in 10 Kapitel unterteilt, die auf der von der ISO vorgegebenen High Level Structure basieren. Die Einleitung besteht aus den Kapiteln 0-3, in denen die Einführung in die Norm und ihre Begrifflichkeiten geschrieben steht. 

In den Kapiteln 4-10 des Hauptteils sind die Anforderungen, die ein Unternehmen für die Zertifizierung erfüllen muss, die Erläuterung der Maßnahmenziele und die Vorschläge für einen erfolgreiche Implementierung der Norm im Unternehmen festgehalten. 

Kapitel 4: Kontext der Organisation

Kapitel 5: Leitung

Kapitel 6: Planung

Kapitel 7: Unterstützung

Kapitel 8: Betrieb

Kapitel 9: Bewertung der Leistung

Kapitel 10: Verbesserung

Im Schluss bzw. im Anhang werden 114 spezifische Maßnahmen aus 14 Kategorien für den Umgang mit Informationssicherheits­risiken sowie zur Umsetzung der Normforderungen definiert. Diese Maßnahmen gelten als Ergänzung zu den allgemein gehaltenen Normtexten. Ebenfalls im Anhang befindet sich eine Checkliste, die zum Abgleich der im Unternehmen umgesetzten Maßnahmen mit den Anforderungen an eine ISMS auszufüllen ist.

Welche Anforderungen gibt es an ein ISMS nach ISO/IEC 27001?

Die wichtigste Anforderung an ein ISMS nach ISO/IEC 27001 ist die Normkonformität, sprich die Einhaltung aller Vorschriften der ISO 27001. Im Allgemeinen muss es die Verfügbarkeit, Vertraulichkeit und Integrität von Informationen in Unternehmen darlegen und die Datensicherheit sowie die Datenverwaltungsstruktur des Unternehmens festhalten. 

Unternehmen, die eine Zertifizierung nach ISO/IEC 27001 anstreben, müssen zunächst den Kontext des Unternehmens festlegen. Hierbei muss bestimmt werden, warum das Unternehmen tätig ist, was das Unternehmen ausmacht und welchen unternehmerischen Ansatz oder Strategie es verfolgt. Außerdem müssen relevante Sicherheitsstandards und gesetzliche Vorgaben zusammengefasst und mit Maßnahmen zur Einhaltung versehen sein.

Dazu müssen Unternehmen definieren, inwiefern die Tätigkeit des Unternehmens interne oder externe Auswirkungen hat. Beispiele sind der Umgang mit Lieferanten und Kunden, behördliche Anforderungen, die Mitarbeiterführung, Prozessbeschreibungen für die Erkennung der Belange externer Parteien. Risiken und Chancen, die sich aus der Geschäftstätigkeit des Unternehmens ergeben, müssen ebenfalls ermittelt, bewertet und dokumentiert werden.

Im Unternehmen müssen außerdem Prozesse und Technologien eingeführt werden, die Daten des Unternehmens verwalten und schützen können. Informationssicherheits­risiken, - chancen und -gefahren in einem Unternehmen müssen demnach kontrollierbar gemacht werden. 

Aus dem ISMS muss die Beschreibung des Risikomanagements im Unternehmen sowie die Einhaltung wichtiger Bestimmungen (u.A. DSGVO) hervorgehen. Das ISMS muss Sicherheitsvorschriften nachgehen und die Entwicklung der Informationssicherheit begünstigen. Für erkannte Sicherheitsrisiken müssen entsprechende Schutzmaßnahmen bestimmt werden.

Was sind die Vorteile einer ISO 27001 Zertifizierung?

Die Vorteile einer ISO 27001 Zertifizierung sind beispielsweise die Verbesserung der Informationssicherheit und der Leitung im Unternehmen sowie die Minderung von Risiken für Verstöße gegen die Informationssicherheit. Dies schützt nicht nur die persönlichen Daten der Kunden, sondern auch die der Mitarbeiter. 

Eine Zertifizierung nach ISO 27001 lässt die Wahrscheinlichkeit von Vorfällen im Bereich der Cybersicherheit und des Datenschutzes sinken, optimiert die Kontrollen der Informationssicherheit und sorgt dafür, dass Unternehmen wirksam auf Bedrohungen reagieren können. Darüber hinaus lässt eine Zertifizierung das Risiko für Datenschutzverstöße und Bußgelder sinken.

Außerdem können Unternehmen mithilfe einer Zertifizierung Nachweise für angemessene Sicherheitsmaßnahmen für Kunden und Partner liefern. Dies stärkt das Vertrauen der Partner, Kunden und andere Interessengruppen. Des Weiteren kann dadurch die Minimierung von Haftungs- und Geschäftsrisiken gewährleistet werden.

Ein zertifiziertes Informationssicherheits­managementsystem wird besonders von Institutionen gefordert, die selbst aufgrund Ihres Unternehmen besonderen Wert auf Informationen legen müssen. Dazu zählen beispielsweise Institutionen, die nach der BSI-Kritisverordnung als kritische Infrastruktur eingestuft sind und einen besondere Bedeutung für das staatliche Gemeinwesen haben. Beispiele hierfür sind Energieversorger, Krankenhäuser, öffentliche Einrichtungen, Verteidigungseinrichtungen etc.

Welche Voraussetzungen gibt es für eine Zertifizierung nach ISO 27001?

Die wichtigste Voraussetzung für eine Zertifizierung nach ISO 27001 ist das Implementieren eines wirksamen Informationssicherheits­managementsystems nach ISO 27001 und die Erbringung wichtiger Nachweise in Form einer umfassenden und vollständigen Management-Dokumentation.

Folgende Dokumente müssen bei einer ISO 27001 Zertifizierung vorgelegt werden.

  • Schriftlich festgelegter Anwendungsbereich des ISMS
  • Vorgehen zur Risikobeurteilung und Plan für die Risikobehandlung
  • Darlegung der Informationssicherheitsziele
  • Nachweise über die Wirksamkeit des ISMS (Vertraulichkeit, Integrität und Verfügbarkeit)
  • Betriebliche Planung und Steuerung von Prozessen
  • Ergebnisse der Informationssicherheits­risikobeurteilung und -behandlung
  • Nachweise über die Überwachung und Messung der Ergebnisse
  • Nachweise über die Durchführung der internen Audits und deren Ergebnisse
  • Ergebnisse der Managementbewertungen
  • Falls vorhanden: Nachweise über Nichtkonformitäten und ergriffene Korrekturmaßnahmen

Eine weitere Voraussetzung für eine Zertifizierung nach ISO 27001 ist ein jährlich durchgeführtes internes Audits.

Möchten Sie weitere Informationen zur ISO/IEC 27001?

Möchten Sie weitere Informationen zur ISO/IEC 27001 erhalten oder überlegen Sie, ob Sie ein ISMS in Ihrem Unternehmen einführen möchten, können wir Ihnen unsere ISO 27001 Beratung empfehlen. 

Damit wir ein individuelles und auf Ihr Unternehmen abgestimmtes Informationssicherheits­managementsystem entwickeln können, arbeiten wir eng mit Ihnen und Ihrem Team zusammen, um wichtige Informationen in Ihrem Unternehmen zu schützen. 

Wir werden dafür sorgen, dass verantwortliche Personen im Unternehmen das Managementsystem eigenständig aufrechterhalten und pflegen können, sodass das ISMS bestmöglich in das Unternehmen integriert werden kann..

Die ISO 27001 Beratung können wir Ihnen ebenfalls in Form von Online-Meetings anbieten, das interne ISO 27001 Audit sollte jedoch persönlich abgehalten werden. Falls wir Ihr Interesse wecken konnten, kontaktieren Sie uns gerne über das untenstehende Formular!

Mehr zur ISO 27001

Mehr zu Definitionen & Normen

Sprechen sie uns an

Kontakt Formular
02933. 78 63 185
info@iqi-gmbh.de
IQI Privates Institut für Qualität und Innovation GmbH 
Niedensteinsweg 8
59846 Sundern
Die IQI GmbH ist seit mehr als 20 Jahren nach DIN EN ISO 9001 zertifiziert und wendet damit aktiv ein Qualitätsmanagementsystem an. Damit wollen wir zeigen, dass wir selbst aktiv leben, was wir Ihnen anbieten.

Als Mitglied in der Deutschen Gesellschaft für Luft-und Raumfahrt (DGLR) und der Deutschen Gesellschaft für Qualität (DGQ) beteiligen wir uns an Experten-Netzwerken und stellen unsere fachliche Weiterentwicklung sicher.

Mit unserer Mitgliedschaft im “Wirtschaft in Südwestfalen e.V.” wollen wir gemeinsam mit regionalen Unternehmen den Standort Südwestfalen als Marke fördern.
Copyright © 2023
iqi-gmbh.de
Alle Rechte vorbehalten
envelopephone-handsetmap-markermagnifiercross linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram