Ein Zertifizierungsprozess, der sich lohnt 5 Tipps zur Implementierung von ISO 27001

Ein Gastbeitrag von Greg Tappero Lesedauer: 5 min

Anbieter zum Thema

Unternehmen weltweit sind der Gefahr von Cyberangriffen ausgesetzt. Viele gewährleisten den Schutz ihrer IT-Systeme durch das ISO/IEC 27001 Zertifikat, ein internationaler Standard für IT-Sicherheit. Die Zertifizierung wurde letztes Jahr aktualisiert. Warum aber ist die ISO 27001 so wichtig? Was müssen Unternehmen bei der Erstzertifizierung beachten?

Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor.
Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor.
(Bild: WrightStudio - stock.adobe.com)

Mit der zunehmenden Digitalisierung der Wirtschaft werden die Cybersicherheit und der Schutz sensibler Daten zu einem entscheidenden Thema, insbesondere im Zusammenhang mit Online-Geschäftsvorgängen, Remote-Arbeitsplätzen, Open-Banking und einer steigenden Anzahl elektronischer Geräte. Das Weltwirtschaftsforum meldete, dass die Zahl der Cyberangriffe im Jahr 2021 global 125 Prozent im Vergleich zum Vorjahr gestiegen ist. Tendenz steigend für das Jahr 2022. Und wie Deloitte berichtet, wurden 35 Prozent der Angriffe während der Covid-19-Pandemie mit bisher unbekannter Malware und Methoden durchgeführt.

Der Schutz von Informationssystemen und Netzwerken ist daher von entscheidender Bedeutung – vornehmlich in postpandemischen Zeiten für Finanztransaktionen, Betriebsabläufe und den Datenaustausch.

Höchster Schutz

Um diesen Schutz zu gewährleisten, gibt es das ISO/IEC 27001-Zertifikat. Es ist eine von fast 25.000 internationalen Normen, die von der Internationalen Organisation für Normung vergeben wird. Die Norm weist nach, dass ein Unternehmen ein Informationssicherheits-Managementsystem (ISMS) eingerichtet hat, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen durch Anwendung eines überprüften Risikomanagementprozesses zu gewährleisten.

Einfach ausgedrückt: Es handelt sich um den höchsten heute existierenden globalen Standard, den ein Unternehmen einhalten kann, um sicherzustellen, dass es mit Daten auf die sicherste Art und Weise umgeht. Mit einer ISO/IEC 27001-Zertifizierung stärken Unternehmen ihren Schutz vor Cyberangriffen und beugen dem Verlust sensibler Informationen vor. Über 58.000 Organisationen weltweit setzen bereits auf den ISO/IEC 27001 Standard.

Aktualisierung der Norm 2022

Zur Bewältigung der globalen Herausforderungen im Bereich der Cybersicherheit und zur Verbesserung des digitalen Vertrauens hat die Internationale Organisation für Normung im Oktober letzten Jahres eine neue Version der ISO/IEC 27001 veröffentlicht: ISO/IEC 27001:2022, die damit die Version aus dem Jahr 2013 ablöst. Die neue ISO-Version formuliert klare Anforderungen und Maßnahmen an ein ISMS, sowie den notwendigen Handlungsbedarf für Unternehmen.

Bereits zertifizierte Unternehmen haben bis Herbst 2025 Zeit, die neuen Maßnahmen des ISO/IEC 27001:2022 umzusetzen. Alle Erstzertifizierungen nach der neuen Norm müssen ab dem 31. Oktober 2023 durchgeführt werden.

Keine Verpflichtung, aber…

Wie andere ISO-Normen für Managementsysteme ist eine Zertifizierung nach ISO/IEC 27001 nicht obligatorisch. Einige Organisationen entscheiden sich trotzdem für die Umsetzung der Norm, um von den darin enthaltenen bewährten Verfahren zu profitieren, während andere sich auch zertifizieren lassen wollen, um Vertrauen gegenüber ihren Kunden, Auftraggebern und Geschäftspartnern zu schaffen.

Jedes Unternehmen, das eine Zertifizierung durchführt, sollte die entsprechenden Ressourcen frühzeitig einplanen, denn der Prozess nimmt viel Zeit in Anspruch. Bei Silvr haben wir sechs Monate gemeinsam mit unserem Compliance-Dienstleister Vanta und der von der britischen Regierung geförderten ISO-Zertifizierungsstelle British Assessment Bureau an der Sicherung der IT-Infrastruktur gearbeitet. Bis zum Ende des Zertifizierungsprozesses wurden alle existierenden Sicherheiten, Systeme und Strukturen intensiv und bis ins kleinste Detail geprüft.

Warum ist ISO/IEC 27001 so schwer zu erreichen?

Das Verfahren erfordert die Zertifizierung des Schutzes von Daten in allen Formen. Und dazu muss Folgendes gewährleistet werden:

  • Informationen in allen Formen, digital und analog, sind geschützt.
  • Die Widerstandsfähigkeit gegen Cyberangriffe wird fortlaufend ausgebaut.
  • Die Zentralisierung von Informationen ist gewährleistet.
  • Ein unternehmensweiter Schutz (sowohl digital als auch physisch) ist gewährleistet.
  • Bedrohungen werden erkannt und unter Kontrolle gebracht.
  • Datenintegrität, Datenschutz und Verfügbarkeit sind sichergestellt.

Wie läuft der Zertifizierungsprozess ab?

Wer sich zum ersten Mal nach ISO/IEC 27001 zertifizieren lassen möchte, muss einige Vorgaben erfüllen, zum Beispiel in Bezug auf:

  • Verantwortung: Es ist unerlässlich, dass eine Führungskraft die kollektive Verantwortung für das ISMS übernimmt, zum Beispiel der CTO des Unternehmens.
  • Prozesse und Budgets: Diese müssen zeigen, dass Sicherheit nichts ist, das ausschließlich mit der IT-Abteilung zu tun hat. Das gesamte Unternehmen mit jeder einzelnen Abteilung ist daran beteiligt. Deshalb sollten alle Führungskräfte jeder Abteilung darüber informiert werden.
  • Bestandsaufnahme: Es muss eine gründliche Prüfung durchgeführt werden, um das aktuelle Datenschutzniveau zu ermitteln und den Ist-Zustand festzustellen.
  • Aktionsplan: Nach der Bestandsaufnahme legt das Unternehmen einen Plan fest, um langfristig ein geeignetes Informationsschutzniveau zu erreichen.
  • Betriebsmanagement: Es muss ein angemessenes und wirksames Management der ISMS-bezogenen Aktivitäten sichergestellt werden. Für uns bedeutete dies, 15 zusätzliche Richtlinien zu verfassen, die das gesamte Unternehmen ab sofort zu befolgen hat. Das entspricht mehr als 110 Kontrollpunkte.

Für die Fertigstellung des Stufe-1-Berichts haben wir etwa vier Monate intensiver Zusammenarbeit benötigt. In Stufe 2 bestätigte dann das britische Assessment Bureau, dass wir für jede der Anforderungen der ISO/IEC 27001-Norm einen Kontrollmechanismus definiert haben, und prüfte stichprobenartig die Anwendung dieser Kontrollen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Ihr Unternehmen denkt auch über eine ISO-Zertifizierung nach?

Trotz eines langwierigen Prozesses sind wir uns sicher, dass er sich auszahlt. Das notwendige und sorgfältige Hinterfragen aller Prozesse, sorgt für eine neue Perspektive auf die IT-Infrastruktur. Nachdem wir den Prozess durchlaufen haben, empfehlen wir Unternehmen, die noch vor dieser Aufgabe stehen, die folgenden Punkte rechtzeitig zu beachten:

  • 1. Fangen Sie so früh wie möglich an – mindestens sechs Monate im Voraus. Größere Unternehmen sollten acht bis neun Monate einplanen, da eine Prüfung durch die komplexeren Strukturen länger dauert.
  • 2. Involvieren Sie alle Führungskräfte. Wir empfehlen, dass die Führungskräfte aller Abteilungen von Anfang an gebrieft sind und in den Zertifizierungsprozess mit eingebunden werden, da er abteilungsübergreifend stattfindet.
  • 3. Eine Lizenz für eine Compliance-Plattform lohnt sich. Wir empfehlen, mit einem externen Compliance-Dienstleister zusammenzuarbeiten und eine Lizenz zu erwerben.
  • 4. Setzen Sie sich mit der ISO 27001 Norm im Detail auseinander. Es ist wichtig die ISO 27001 Norm zu verstehen und sich mit den Einzelheiten der Norm vertraut zu machen, schon bevor der Zertifizierungsprozess beginnt. Details sind verfügbar über das ISO Institut.
  • 5. Machen Sie sich die Praktikabilität bewusst: ISO 27001 ist für Unternehmen jeder Größe gedacht. Die besten Prozesse sind die, die der Norm und Ihren individuellen Unternehmensabläufen entsprechen. Egal welche Größe Ihr Unternehmen hat, Sie profitieren von den bestmöglichen Standards. Das ist die Mühe wert.

Auch wenn der Prozess der Zertifizierung aufwändig war, ist die ISO 27001 Norm ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. Das Zertifikat sorgt für die Einrichtung und Aufrechterhaltung eines effektiven Informations­sicherheits­management­systems. Es hilft Organisationen bei der Bewältigung von Sicherheitsrisiken und der Einhaltung gesetzlicher Vorschriften und schafft in Folge Vertrauen gegenüber Mitarbeitenden, Geschäftspartnern und Kunden. Die Zertifizierung nach ISO 27001 kann außerdem einen Wettbewerbsvorteil darstellen und Organisationen dabei helfen, ihre Verfahren zur Verwaltung der Informationssicherheit kontinuierlich zu verbessern.

Über den Autor: Gregory Tappero ist Mitgründer und CTO bei Silvr, Europas erstem Neolender und Marktführer für datenbasierte Finanzierungen. Die Plattform ermöglicht digitalen Wachstumsunternehmen, ihren Cashflow durch on-demand Finanzierungen flexibel zu optimieren. Vor seiner Gründung von Silvr war Herr Tappero als CTO und Gründer für mehrere Startups in den USA, Australien und Europa tätig.

(ID:49502991)