Definition ISO 27001

Was ist ISO 27001?

| Autor / Redakteur: Tutanch / Peter Schmitz

Die ISO 27001 Norm bietet einen systematisch strukturierten Ansatz für Informationssicherheit im Unternehmen.
Die ISO 27001 Norm bietet einen systematisch strukturierten Ansatz für Informationssicherheit im Unternehmen. (Bild: Pixabay / CC0)

ISO 27001 ist eine internationale Norm für Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen. Sie beschreibt die Anforderungen für das Einrichten, Realisieren, Betreiben und Optimieren eines dokumentierten Informationssicherheits-Managementsystems.

Bei der DIN ISO/IEC 27001, kurz ISO 27001, handelt es sich um eine internationale Norm, mit deren Hilfe die Informationssicherheit in Organisationen wie Unternehmen, Non-Profitorganisationen oder öffentlichen Institutionen gewährleistet werden soll. Basis der Norm bildet die Beschreibung der Anforderungen zur Implementierung und zum Betrieb eines Informationssicherheits-Managementsystems (ISMS). Das System ist an die Gegebenheiten der jeweiligen Organisation angepasst und berücksichtigt individuelle Besonderheiten.

Neben dem Informationssicherheits-Managementsystem beschäftigt sich ISO 27001 mit der Analyse und der Behandlung von Risiken der Informationssicherheit. Im Rahmen der beschriebenen Anforderungen werden die Werte und Wertschöpfungsketten durch die Auswahl der geeigneten Sicherheitsmechanismen geschützt. Für Unternehmen bietet ISO 27001 einen systematisch strukturierten Ansatz, die Integrität der betrieblichen Daten und deren Vertraulichkeit zu schützen. Gleichzeitig sorgt sie für die Sicherstellung der Verfügbarkeit der an den Unternehmensprozessen beteiligten IT-Systeme.

Die Norm ist Teil der Normenfamilie ISO/IEC 2700x und wurde von der Internationalen Organisation für Standardisierung (ISO) veröffentlicht. Es existieren inzwischen mehrere Revisionen von ISO 27001. Die erste Revision entstand 2005, die aktuellste Ausgabe stammt aus dem Jahr 2015. ISO 27001 ist auch als DIN-Norm DIN ISO/IEC 27001 bekannt. Organisationen können sich nach ISO 27001 zertifizieren lassen und dadurch die Umsetzung und Einhaltung der geltenden Normen zur Informationssicherheit dokumentieren. ISO 27001 hat sich weltweit als Standard etabliert und ist eine der bekanntesten Normen für Informationssicherheit. Zahlreiche Unternehmen sind nach ISO 27001 zertifiziert.

Vorteile einer Zertifizierung nach ISO 27001

Um sich nach ISO 27001 zertifizieren zu lassen, müssen Organisationen Ressourcen bereitstellen und Investitionen tätigen. Trotz diese Aufwands bietet eine Zertifizierung zahlreiche Vorteile und einen nachweisbaren Nutzen. Vorteile der Zertifizierung können unter anderem folgende sein:

  • Minimierung von Haftungsrisiken
  • Minimierung von Geschäftsrisiken
  • Senkung von Versicherungsprämien
  • Optimierung von Prozess- und IT-Kosten
  • Steigerung der Wettbewerbsfähigkeit
  • Schaffung von Vertrauen bei Kunden, Geschäftspartnern und in der Öffentlichkeit
  • Bedrohungen im Unternehmen zuverlässig erkennen und reduzieren
  • Schutz von vertraulichen Daten vor Missbrauch, Verlust und Offenlegung

Mit der Zertifizierung erbringt die Organisation den dokumentierten Nachweis, dass die Anforderungen der Informationssicherheit eingehalten und die Maßnahmen zum Schutz von Daten umgesetzt sind. Kunden und Geschäftspartner erhalten dank der Zertifizierung einen vertrauenswürdigen Beleg dafür, dass eine ausreichende IT-Sicherheit gewährleistet werden kann. Das Unternehmen führt eine kontinuierliche Eigenkontrolle durch und optimiert ständig die IT-Prozesse im Hinblick auf die Informationssicherheit. Da ISO 27001 einen ganzheitlichen Ansatz verfolgt, ist die Berücksichtigung der Norm in der Organisation über alle Hierarchieebenen hinweg sichergestellt. Sie hilft damit auch die zentralen Anforderungen von Wirtschaftsprüfern und diverse Regelungen wie Basel II zu erfüllen.

Anforderungen für eine Zertifizierung

Zentrale Forderung der Norm ISO 27001 und Grundvoraussetzung für eine Zertifizierung ist die Einführung des Informationssicherheits-Management-Systems, kurz ISMS. In einem weiteren Schritt sind die Werte der Organisation zu klassifizieren und zu dokumentieren. Mögliche durch die IT oder mangelnde Informationssicherheit entstehende Risiken sind zu benennen, zu bewerten und zu überwachen. Hierbei hat die Organisation für eine Zertifizierung ein erfolgreiches Zusammenspiel der Grundwerte der Informationssicherheit Vertraulichkeit, Integrität und Verfügbarkeit nachzuweisen. In regelmäßig durchzuführenden Management Reviews ist die Führung über die offen gelegten Risiken zu unterrichten. Für die Umsetzung all dieser Anforderungen ist fachkundiges Personal innerhalb der Organisation und eventuell externe Unterstützung nötig.

Durchführung der Zertifizierung

Erster Schritt für eine Zertifizierung ist die Entscheidung der Organisation, welche Art der Zertifizierung gewünscht ist. Grundsätzlich ist es möglich, direkt nach ISO 27001 zu zertifizieren oder eine "ISO 27001-Zertifizierung auf Basis IT-Grundschutz" durchzuführen. Die zweite Möglichkeit ist etwas aufwendiger, da Maßnahmen des BSI-Grundschutzkataloges zu erfüllen sind. Aufgrund des größeren Umfangs ist diese Zertifizierung aussagekräftiger. Die Zertifizierung selbst führt ein unabhängiger und zertifizierter Auditor in einem genau festgelegten Prozess durch. Für die Erteilung des Zertifikats ist eine definierte Erfüllungsquote aller Anforderungen und Maßnahmen zu erreichen. Zertifikate sind meist drei Jahre gültig. In der Regel erfolgt ein jährlicher Überwachungsaudit zur Bestätigung des Zertifikats.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Die DSGVO und ihre Auswirkungen auf den schulischen Alltag

Von Datenverarbeitung bis technischer Datenschutz

Die DSGVO und ihre Auswirkungen auf den schulischen Alltag

ABC-Schützen, Schulwechsler oder Aufrücker: Zu Beginn jedes neuen Schuljahres sammeln sich gewaltige Datenmengen an. Und die Datenberge, die die Schulen als Dateneigentümer bereits handhaben müssen, wachsen somit ständig weiter. lesen

IT-Sicherheit verbessern mit den richtigen Schwerpunkten

Analysen zur Informationssicherheit

IT-Sicherheit verbessern mit den richtigen Schwerpunkten

„Daten sind das Öl der Zukunft“ so optimistisch beurteilen Experten die Entwicklung der schnell anlaufenden Digitalisierung. Die Verbindung von internetgetriebenen, datengesteuerten Prozessen, vom digitalen Marketing bis hin zu einer datengesteuerten Produktion lassen Phantasien wahr werden. Aber wie immer, wo große Chancen locken, sind ebenso große Risiken nicht weit. lesen

Rechtssichere Messenger-Alternative

Mitarbeiter-App mit ISO-Zertifizierung

Rechtssichere Messenger-Alternative

Die professionelle Mitarbeiter-App Beekeeper hat, so der gleichnamige Hersteller, gegenüber privaten Messengern wie WhatsApp einen entscheidenden Vorteil: Unternehmen verstoßen mit dem Einsatz der nach ISO 27001 zertifizierten App nicht gegen die Bestimmungen der DSGVO. lesen

Die DSGVO im betrieblichen Alltag etablieren

Durchatmen beim Datenschutz

Die DSGVO im betrieblichen Alltag etablieren

Vorbei ist die Schonzeit für Unternehmen, die zweijährige Übergangsfrist der neuen EU-DSGVO ist am 25. Mai 2018 abgelaufen. Wer mit personenbezogenen Daten arbeitet, kämpft ab sofort mit erweiterten und verschärften Pflichten. Unternehmen haben in den vergangenen Jahren viel Zeit und Geld in die Beratung und Umsetzung zum Thema DSGVO investiert, von Durchatmen kann aber auch jetzt noch keine Rede sein. lesen

Sind Cloud-Speicher und DSGVO ein Widerspruch?

Cloud und die Datenschutz-Grundverordnung

Sind Cloud-Speicher und DSGVO ein Widerspruch?

Die Cloud aus der heutigen Arbeitswelt eigentlich nicht mehr wegzudenken. Speziell Cloud-Speicher spielen in vielen Unternehmen eine wichtige Rolle und helfen bei der effizienten, gemeinsamen Bearbeitung von Dokumenten, ohne Gefahr zu laufen, dass Informationen verloren gehen. Die Cloud ist also eigentlich eine tolle Sache, wäre da nicht der Datenschutz und die DSGVO. lesen

Sicheres Vertragsmanagement in der Cloud

Kollaborative Erstellung von Verträgen

Sicheres Vertragsmanagement in der Cloud

Die Errichtung eines Vertrags ist ein aufwendiges Unterfangen. Unzählige E-Mails gehen zwischen den unterzeichnenden Parteien hin und her – und das über mehrere interne Abteilungen hinweg und unter Zuhilfenahme von externen Rechtsberatern. lesen

Auftragsdatenverarbeitung beim Cloud-Provider

Public Cloud und Datenschutz

Auftragsdatenverarbeitung beim Cloud-Provider

Wenn Unternehmen das Angebot von Infrastruktur- (IaaS) oder Plattform-Services- (PaaS) Anbietern nutzen wollen, gilt es in Hinblick auf die Einhaltung der Datenschutz-Vorgaben einiges zu beachten. Aufgrund der unterschiedlichen Einflussmöglichkeiten von Anbieter und Nutzer muss ein Modell aus gemeinsamen und geteilten Verantwortungen entstehen. lesen

Melde- und Nachweispflicht für KRITIS-Betreiber

Countdown zum IT-Sicherheitsgesetz

Melde- und Nachweispflicht für KRITIS-Betreiber

Das IT-Sicherheitsgesetz (IT-SiG) will ein gesetzlich verbindliches Mindestniveau an IT-Sicherheit erreichen. Als erstes sind KRITIS-Betreiber aus den Bereichen IKT, Energie, Wasser und Ernährung betroffen. Bis Mai 2018 müssen sie ihre IT nach dem Stand der Technik absichern. Ein Dokumentenmanagement-System (DMS) kann bei der transparenten Dokumentation der Maßnahmen helfen. lesen

IT-Sicherheit und die Datenschutz-Grundverordnung

EU-DSGVO - Stand der Technik

IT-Sicherheit und die Datenschutz-Grundverordnung

Mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) ist für viele Unternehmen eine besondere Herausforderung verbunden, müssen sie doch ihre IT-Systeme entsprechend dem Stand der Technik absichern. So will es der Gesetzgeber. Doch was ist eigentlich der „Stand der Technik“? Hier scheiden sich die Geister. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44800615 / Definitionen)