Firmen- und Personenzertifizierungen im Bereich IT-Sicherheit, Teil 2

ISO 27001 – International anerkannte ISMS-Zertifizierung

17.10.2011 | Autor / Redakteur: Manuela Reiss und Marco Sportelli / Stephan Augsten

Die Zertifizierung nach ISO 27001:2005 schafft Vertrauen ins Information Security Management.
Die Zertifizierung nach ISO 27001:2005 schafft Vertrauen ins Information Security Management.

ISO/IEC 27001 der einzige internationale, auditierbare Standard, der die Anforderungen an ein ISMS definiert. Firmen, Behörden und sonstige Organisationen, die ein wirksames Sicherheitsmanagement nachweisen wollen bzw. müssen, können sich entsprechend nach ISO 27001 zertifizieren lassen. Dieser Beitrag beantwortet die wichtigsten Fragestellungen.

ISO/IEC 27001:2005 (im Folgenden ISO 27001) wurde aus dem britischen Standard BS 7799-2:2002 entwickelt und als internationale Norm erstmals am 15. Oktober 2005 veröffentlicht. Inhaltlich besteht die Norm aus einem Katalog von Anforderungen, die ein ISMS (Information Security Management System) beschreiben und detaillierte Anforderungen definieren, die eine Zertifizierung ermöglichen.

ISO 27001 ist Teil einer Normenfamilie, die aus diversen Normen und Subnormen besteht. Mit Ausgabe 9.2008 liegt der Standard auch als DIN-Norm DIN ISO/IEC 27001 vor. Der vorliegende Beitrag beantwortet in kompakter Form die wichtigsten Fragen zum Thema „Zertifizierung nach 27001“. Hierzu zählen:

  • Welche Vorteile bietet eine Zertifizierung nach ISO 27001?
  • Wie findet man eine unabhängige Zertifizierungsstelle?
  • Welche Nachweise müssen erbracht werden?
  • Wie kann eine Zertifizierung aufrechterhalten werden?
  • Welchen Nutzen bringt eine Zertifizierung?

Da ISO 27001 international als Methode für Informationssicherheit anerkannt ist, stellt sie ein wichtiges Instrument zum Nachweis der Einhaltung von gesetzlichen Anforderungen sowie von Vorgaben durch Kunden, Aufsichtsbehörden oder Banken dar. Hierzu zählen neben gesetzlichen Regeln wie SOX, Basel II und MaRisk auch eine Reihe von nationalen Vorschriften, die ein ISMS fordern, wie das Produkthaftungsgesetz oder das Telemediengesetz.

Beachtenswert ist aber noch ein weiterer Punkt: Zunehmend werden Zertifizierungen zur Teilnahme an Ausschreibungen verlangt. Da öffentliche Auftraggeber an die für diesen Bereich gültigen europäischen Richtlinien gebunden sind, ist ein nationaler Ausweis nicht ausreichend. Damit erfüllt praktisch derzeit nur die ISO 27001 die Anforderungen öffentlicher Auftraggeber.

Ein weiterer Vorteil einer Zertifizierung betrifft den Bereich der Haftung. Bei haftungsrelevanten Problemen geht es immer auch um die Frage, ob die verkehrsübliche gebotene Sorgfaltspflicht eingehalten wurde. Die Einhaltung von Normen und Standards ist hierbei ein wichtiges Kriterium.

Der Nachweis einer Zertifizierung wird dann in der Regel als Beleg anerkannt, dass die gebotene Sorgfaltsplicht eingehalten wurde. Und auch Kunden, Partnern und Dienstleistern gegenüber kann sie als Nachweis der entsprechenden Kompetenz im Bereich Informationssicherheit dienen.

Derzeit (Stand Oktober 2011) sind weltweit gut 7.300 Unternehmen zertifiziert, davon haben über die Hälfte ihren Sitz in Japan. Eine Liste aller nach ISO 27001 zertifizierten Unternehmen stellt das „International Register of ISMS Certificates“ zur Verfügung. Zusätzlich sind unter dem genannten Link nützliche Informationen u.a. zum Zertifizierungsprozess zu finden.

Inhalt

  • Seite 1: Vorteile der Zertifizierung nach ISO 27001
  • Seite 2: Wer führt die Zertifizierung durch?
  • Seite 3: Welche Nachweise sind erforderlich?
  • Seite 4: Handlungsempfehlungen und Re-Zertifizierung

 

Bedeutung von ISO und IEC

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2053168 / Standards)