Definition ISO 27001

Was ist ISO 27001?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Die ISO 27001 Norm bietet einen systematisch strukturierten Ansatz für Informationssicherheit im Unternehmen.
Die ISO 27001 Norm bietet einen systematisch strukturierten Ansatz für Informationssicherheit im Unternehmen. (Bild: Pixabay / CC0)

ISO 27001 ist eine internationale Norm für Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen. Sie beschreibt die Anforderungen für das Einrichten, Realisieren, Betreiben und Optimieren eines dokumentierten Informationssicherheits-Managementsystems.

Bei der DIN ISO/IEC 27001, kurz ISO 27001, handelt es sich um eine internationale Norm, mit deren Hilfe die Informationssicherheit in Organisationen wie Unternehmen, Non-Profitorganisationen oder öffentlichen Institutionen gewährleistet werden soll. Basis der Norm bildet die Beschreibung der Anforderungen zur Implementierung und zum Betrieb eines Informationssicherheits-Managementsystems (ISMS). Das System ist an die Gegebenheiten der jeweiligen Organisation angepasst und berücksichtigt individuelle Besonderheiten.

Neben dem Informationssicherheits-Managementsystem beschäftigt sich ISO 27001 mit der Analyse und der Behandlung von Risiken der Informationssicherheit. Im Rahmen der beschriebenen Anforderungen werden die Werte und Wertschöpfungsketten durch die Auswahl der geeigneten Sicherheitsmechanismen geschützt. Für Unternehmen bietet ISO 27001 einen systematisch strukturierten Ansatz, die Integrität der betrieblichen Daten und deren Vertraulichkeit zu schützen. Gleichzeitig sorgt sie für die Sicherstellung der Verfügbarkeit der an den Unternehmensprozessen beteiligten IT-Systeme.

Die Norm ist Teil der Normenfamilie ISO/IEC 2700x und wurde von der Internationalen Organisation für Standardisierung (ISO) veröffentlicht. Es existieren inzwischen mehrere Revisionen von ISO 27001. Die erste Revision entstand 2005, die aktuellste Ausgabe stammt aus dem Jahr 2015. ISO 27001 ist auch als DIN-Norm DIN ISO/IEC 27001 bekannt. Organisationen können sich nach ISO 27001 zertifizieren lassen und dadurch die Umsetzung und Einhaltung der geltenden Normen zur Informationssicherheit dokumentieren. ISO 27001 hat sich weltweit als Standard etabliert und ist eine der bekanntesten Normen für Informationssicherheit. Zahlreiche Unternehmen sind nach ISO 27001 zertifiziert.

Vorteile einer Zertifizierung nach ISO 27001

Um sich nach ISO 27001 zertifizieren zu lassen, müssen Organisationen Ressourcen bereitstellen und Investitionen tätigen. Trotz diese Aufwands bietet eine Zertifizierung zahlreiche Vorteile und einen nachweisbaren Nutzen. Vorteile der Zertifizierung können unter anderem folgende sein:

  • Minimierung von Haftungsrisiken
  • Minimierung von Geschäftsrisiken
  • Senkung von Versicherungsprämien
  • Optimierung von Prozess- und IT-Kosten
  • Steigerung der Wettbewerbsfähigkeit
  • Schaffung von Vertrauen bei Kunden, Geschäftspartnern und in der Öffentlichkeit
  • Bedrohungen im Unternehmen zuverlässig erkennen und reduzieren
  • Schutz von vertraulichen Daten vor Missbrauch, Verlust und Offenlegung

Mit der Zertifizierung erbringt die Organisation den dokumentierten Nachweis, dass die Anforderungen der Informationssicherheit eingehalten und die Maßnahmen zum Schutz von Daten umgesetzt sind. Kunden und Geschäftspartner erhalten dank der Zertifizierung einen vertrauenswürdigen Beleg dafür, dass eine ausreichende IT-Sicherheit gewährleistet werden kann. Das Unternehmen führt eine kontinuierliche Eigenkontrolle durch und optimiert ständig die IT-Prozesse im Hinblick auf die Informationssicherheit. Da ISO 27001 einen ganzheitlichen Ansatz verfolgt, ist die Berücksichtigung der Norm in der Organisation über alle Hierarchieebenen hinweg sichergestellt. Sie hilft damit auch die zentralen Anforderungen von Wirtschaftsprüfern und diverse Regelungen wie Basel II zu erfüllen.

Anforderungen für eine Zertifizierung

Zentrale Forderung der Norm ISO 27001 und Grundvoraussetzung für eine Zertifizierung ist die Einführung des Informationssicherheits-Management-Systems, kurz ISMS. In einem weiteren Schritt sind die Werte der Organisation zu klassifizieren und zu dokumentieren. Mögliche durch die IT oder mangelnde Informationssicherheit entstehende Risiken sind zu benennen, zu bewerten und zu überwachen. Hierbei hat die Organisation für eine Zertifizierung ein erfolgreiches Zusammenspiel der Grundwerte der Informationssicherheit Vertraulichkeit, Integrität und Verfügbarkeit nachzuweisen. In regelmäßig durchzuführenden Management Reviews ist die Führung über die offen gelegten Risiken zu unterrichten. Für die Umsetzung all dieser Anforderungen ist fachkundiges Personal innerhalb der Organisation und eventuell externe Unterstützung nötig.

Durchführung der Zertifizierung

Erster Schritt für eine Zertifizierung ist die Entscheidung der Organisation, welche Art der Zertifizierung gewünscht ist. Grundsätzlich ist es möglich, direkt nach ISO 27001 zu zertifizieren oder eine "ISO 27001-Zertifizierung auf Basis IT-Grundschutz" durchzuführen. Die zweite Möglichkeit ist etwas aufwendiger, da Maßnahmen des BSI-Grundschutzkataloges zu erfüllen sind. Aufgrund des größeren Umfangs ist diese Zertifizierung aussagekräftiger. Die Zertifizierung selbst führt ein unabhängiger und zertifizierter Auditor in einem genau festgelegten Prozess durch. Für die Erteilung des Zertifikats ist eine definierte Erfüllungsquote aller Anforderungen und Maßnahmen zu erreichen. Zertifikate sind meist drei Jahre gültig. In der Regel erfolgt ein jährlicher Überwachungsaudit zur Bestätigung des Zertifikats.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Erfolgreicher Start der IT-SECURITY Conference 2019

IT-SECURITY Management & Technology Conference 2019

Erfolgreicher Start der IT-SECURITY Conference 2019

Neue Technologien wie künstliche Intelligenz in Verbindung mit Internet-of-Things und 5G lassen eine ganz neue Cybercrime-Dimension entstehen. Wie Unternehmen sich gegen moderne Bedrohungen erfolgreich zur Wehr setzen, zeigen Security-Experten auf der IT-SECURITY Management & Technology Conference 2019 der Vogel IT-Akademie. lesen

Mehr Sichtbarkeit für Cloud-Umgebungen

IT-Security Management & Technology Conference 2019

Mehr Sichtbarkeit für Cloud-Umgebungen

Wie behält man den Überblick in Cloud-Umgebungen? Wie stellt man sicher, dass man alle Regularien erfüllt? Diesen Fragen geht Stefan Fritsche von Checkpoint in seinem Vortrag auf der IT-Security Management & Technology Conference 2019 nach. lesen

Systemüberwachung beim Automotive-Unternehmen FEV

Endpoint-Sicherheit mit Nexthink

Systemüberwachung beim Automotive-Unternehmen FEV

Proaktiv auf Herausforderungen reagieren zu können und die gesamte IT-Infrastruktur im Blick behalten – das wünschten sich die Verantwortlichen der FEV Gruppe. Der international anerkannte Dienstleister in der Fahrzeugentwicklung mit Hauptsitz in Aachen stand vor der großen Herausforderung, die rasant wachsende Anzahl an Clients und End Usern adäquat zu betreuen, zu warten und zu überblicken. lesen

Rettungsanker rechtzeitig vor dem Worst Case in Stellung bringen

Ganzheitliches KRITIS-Management, Korb 2

Rettungsanker rechtzeitig vor dem Worst Case in Stellung bringen

Die Zeit drängt für Unternehmen, die als Kritische Infrastrukturen (KRITIS) eingestuft sind. Bis zum 30. Juni muss ein Gesamtkonzept für das KRITIS-Management etabliert werden. lesen

Unterschätzte Risiken durch ungeschützte Accounts

Mehrwert durch Privileged Access Management

Unterschätzte Risiken durch ungeschützte Accounts

IT-Entscheider wissen, dass sich die Gefahren­lage grundlegend verändert hat und dringend Handlungsbedarf besteht. Es gibt aber wenig Einigkeit bei der richtigen Auswahl der Sicherheitsmechanismen. Scheinbar immer intelligentere Tools versprechen umfassenden Schutz. Dabei sollte man sich vor Augen führen, was die dringendsten Problemfelder sind. lesen

Best Practices für Informationssicherheit

Empfehlungen von einem Outsourcing Anbieter

Best Practices für Informationssicherheit

Für die sich immer schneller verändernden IT-Umgebungen reichen für Unternehmen minimale Sicherheitsmaßnahmen längst nicht mehr aus, um sich vor internen oder externen Attacken zu schützen. Es lohnt sich also ein Blick auf die Best Practices und Security Controls, die vertrauenswürdige Dienstleister einsetzen, um die eigenen Systeme und die ihrer Kunden vor Angreifern zu schützen. lesen

Vernetzen auf menschlicher Ebene

Security in der Fertigung

Vernetzen auf menschlicher Ebene

Fertigungsanlagen vor Cyberattacken zu schützen, ist eine technische und organisatorische Herausforderung. Teams aus Produktion und IT müssen an einem Strang ziehen, um ein Sicherheitskonzept zu erstellen, das die Bedürfnisse aller Seiten berücksichtigt. lesen

Handlungsempfehlungen für ein sicheres Smart Home

IoT-Sicherheit und Datenschutz

Handlungsempfehlungen für ein sicheres Smart Home

Alles wird smart – vom Home bis hin zum Auto. Allerdings sind Smart-Produkte inzwischen zum Einfallstor für Angriffe, Datenklau und Sabotageakte geworden und folglich zur Bewährungsprobe für Datenschutz und IT-Sicherheit. Beides muss deshalb im Unternehmen Hand in Hand gehen. lesen

Smart-Grid-Umgebungen sicher managen

Sicherheit bei Energieversorgern

Smart-Grid-Umgebungen sicher managen

Die Digitalisierung verspricht Unternehmen Effizienzsteigerungen, Kosteneinsparungen und einen direkten Kontakt zum Kunden. Mit sicheren Netzwerken können Energieversorger die mit der Digitalisierung verbundenen Risiken durch Cyber-Attacken aber minimieren. Das Management solcher Netze bringt zwar einige Herausforderungen mit sich, richtige Planung und passende Systeme schaffen aber Abhilfe. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44800615 / Definitionen)