Suchen

Definition ISO 27001 Was ist ISO 27001?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

ISO 27001 ist eine internationale Norm für Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen. Sie beschreibt die Anforderungen für das Einrichten, Realisieren, Betreiben und Optimieren eines dokumentierten Informationssicherheits-Managementsystems.

Firmen zum Thema

Die ISO 27001 Norm bietet einen systematisch strukturierten Ansatz für Informationssicherheit im Unternehmen.
Die ISO 27001 Norm bietet einen systematisch strukturierten Ansatz für Informationssicherheit im Unternehmen.
(Bild: Pixabay / CC0 )

Bei der DIN ISO/IEC 27001, kurz ISO 27001, handelt es sich um eine internationale Norm, mit deren Hilfe die Informationssicherheit in Organisationen wie Unternehmen, Non-Profitorganisationen oder öffentlichen Institutionen gewährleistet werden soll. Basis der Norm bildet die Beschreibung der Anforderungen zur Implementierung und zum Betrieb eines Informationssicherheits-Managementsystems (ISMS). Das System ist an die Gegebenheiten der jeweiligen Organisation angepasst und berücksichtigt individuelle Besonderheiten.

Neben dem Informationssicherheits-Managementsystem beschäftigt sich ISO 27001 mit der Analyse und der Behandlung von Risiken der Informationssicherheit. Im Rahmen der beschriebenen Anforderungen werden die Werte und Wertschöpfungsketten durch die Auswahl der geeigneten Sicherheitsmechanismen geschützt. Für Unternehmen bietet ISO 27001 einen systematisch strukturierten Ansatz, die Integrität der betrieblichen Daten und deren Vertraulichkeit zu schützen. Gleichzeitig sorgt sie für die Sicherstellung der Verfügbarkeit der an den Unternehmensprozessen beteiligten IT-Systeme.

Die Norm ist Teil der Normenfamilie ISO/IEC 2700x und wurde von der Internationalen Organisation für Standardisierung (ISO) veröffentlicht. Es existieren inzwischen mehrere Revisionen von ISO 27001. Die erste Revision entstand 2005, die aktuellste Ausgabe stammt aus dem Jahr 2015. ISO 27001 ist auch als DIN-Norm DIN ISO/IEC 27001 bekannt. Organisationen können sich nach ISO 27001 zertifizieren lassen und dadurch die Umsetzung und Einhaltung der geltenden Normen zur Informationssicherheit dokumentieren. ISO 27001 hat sich weltweit als Standard etabliert und ist eine der bekanntesten Normen für Informationssicherheit. Zahlreiche Unternehmen sind nach ISO 27001 zertifiziert.

Vorteile einer Zertifizierung nach ISO 27001

Um sich nach ISO 27001 zertifizieren zu lassen, müssen Organisationen Ressourcen bereitstellen und Investitionen tätigen. Trotz diese Aufwands bietet eine Zertifizierung zahlreiche Vorteile und einen nachweisbaren Nutzen. Vorteile der Zertifizierung können unter anderem folgende sein:

  • Minimierung von Haftungsrisiken
  • Minimierung von Geschäftsrisiken
  • Senkung von Versicherungsprämien
  • Optimierung von Prozess- und IT-Kosten
  • Steigerung der Wettbewerbsfähigkeit
  • Schaffung von Vertrauen bei Kunden, Geschäftspartnern und in der Öffentlichkeit
  • Bedrohungen im Unternehmen zuverlässig erkennen und reduzieren
  • Schutz von vertraulichen Daten vor Missbrauch, Verlust und Offenlegung

Mit der Zertifizierung erbringt die Organisation den dokumentierten Nachweis, dass die Anforderungen der Informationssicherheit eingehalten und die Maßnahmen zum Schutz von Daten umgesetzt sind. Kunden und Geschäftspartner erhalten dank der Zertifizierung einen vertrauenswürdigen Beleg dafür, dass eine ausreichende IT-Sicherheit gewährleistet werden kann. Das Unternehmen führt eine kontinuierliche Eigenkontrolle durch und optimiert ständig die IT-Prozesse im Hinblick auf die Informationssicherheit. Da ISO 27001 einen ganzheitlichen Ansatz verfolgt, ist die Berücksichtigung der Norm in der Organisation über alle Hierarchieebenen hinweg sichergestellt. Sie hilft damit auch die zentralen Anforderungen von Wirtschaftsprüfern und diverse Regelungen wie Basel II zu erfüllen.

Anforderungen für eine Zertifizierung

Zentrale Forderung der Norm ISO 27001 und Grundvoraussetzung für eine Zertifizierung ist die Einführung des Informationssicherheits-Management-Systems, kurz ISMS. In einem weiteren Schritt sind die Werte der Organisation zu klassifizieren und zu dokumentieren. Mögliche durch die IT oder mangelnde Informationssicherheit entstehende Risiken sind zu benennen, zu bewerten und zu überwachen. Hierbei hat die Organisation für eine Zertifizierung ein erfolgreiches Zusammenspiel der Grundwerte der Informationssicherheit Vertraulichkeit, Integrität und Verfügbarkeit nachzuweisen. In regelmäßig durchzuführenden Management Reviews ist die Führung über die offen gelegten Risiken zu unterrichten. Für die Umsetzung all dieser Anforderungen ist fachkundiges Personal innerhalb der Organisation und eventuell externe Unterstützung nötig.

Durchführung der Zertifizierung

Erster Schritt für eine Zertifizierung ist die Entscheidung der Organisation, welche Art der Zertifizierung gewünscht ist. Grundsätzlich ist es möglich, direkt nach ISO 27001 zu zertifizieren oder eine "ISO 27001-Zertifizierung auf Basis IT-Grundschutz" durchzuführen. Die zweite Möglichkeit ist etwas aufwendiger, da Maßnahmen des BSI-Grundschutzkataloges zu erfüllen sind. Aufgrund des größeren Umfangs ist diese Zertifizierung aussagekräftiger. Die Zertifizierung selbst führt ein unabhängiger und zertifizierter Auditor in einem genau festgelegten Prozess durch. Für die Erteilung des Zertifikats ist eine definierte Erfüllungsquote aller Anforderungen und Maßnahmen zu erreichen. Zertifikate sind meist drei Jahre gültig. In der Regel erfolgt ein jährlicher Überwachungsaudit zur Bestätigung des Zertifikats.

(ID:44800615)

Über den Autor