Die Internationale Norm ISO 27001 beschreibt Anforderungen und Methoden zum Schutz der Informationssicherheit in Organisationen wie Unternehmen, öffentlichen Institutionen oder Non-Profitorganisationen. Die erste Revision der Norm wurde im Jahr 2005 veröffentlicht. Organisationen weisen mit einer Zertifizierung einer unabhängigen Zertifizierungsstelle nach, dass sie die Informationssicherheit gemäß ISO 27001 umsetzen und einhalten. Ein zentraler Teil der Norm ist die Beschreibung eines Informationssicherheitsmanagementsystems (ISMS).

ISO 27001 Abläufe

Ziele und Inhalte der Norm ISO 27001

Wichtigstes Ziel der Norm ist der Schutz der Verfügbarkeit, Integrität und Vertraulichkeit der in einer Organisation verwendeten Informationen durch einen strukturiert systematischen Ansatz. Zur Sicherstellung des Schutzes sind die Gefahren und Risiken, die im Zusammenhang mit der Informationsnutzung auftreten, zu identifizieren. Die Risiken werden systematisch behandelt und durch geeignete Maßnahmen minimiert. Die Maßnahmen setzen sich aus Richtlinien, Verfahren und technischen Methoden zusammen. Ein starker Fokus in der Umsetzung der Norm ISO 27001 liegt auf der Einführung organisatorischer Regeln. Basis hierfür ist die Implementierung eines Informationssicherheitsmanagementsystems (ISMS). Es ist an die Gegebenheiten der Organisation angepasst und berücksichtigt spezifische Besonderheiten.

Die Ziele der Norm ISO 27001 sind:

  • Schutz der Verfügbarkeit, Integrität und Vertraulichkeit der Informationen
  • Einhaltung gesetzlicher und regulatorischer Vorgaben
  • Ganzheitliche Betrachtung der Informationssicherheit aus technischer, prozessualer, juristischer und personeller Sicht
  • Vermeidung von Störfällen der Informationssicherheit
  • Verbesserung der Organisation und Dokumentation rund um die Informationssicherheit
  • Effizientes Management der Sicherheitsrisiken

Aufbau der Norm ISO 27001

Die Norm ISO 27001 gehört der Normenfamilie ISO/IEC 2700x an. Sie wurde von der Internationalen Organisation für Standardisierung (ISO) veröffentlicht und seit 2005 mehrfach überarbeitet. Die aktuellste Revision stammt aus dem Jahr 2017 und trägt die genaue Bezeichnung DIN EN ISO/IEC 27001:2017.

Insgesamt besteht die Norm aus zehn Abschnitten und einem Anhang. Die ersten drei Abschnitten geben eine allgemeine Einführung in das Thema Informationssicherheit. Die Abschnitte vier bis zehn beschreiben Anforderungen, die durch die Organisation umzusetzen sind. Der Abschnitt zehn ist zudem Teil der Handlungsphase des sogenannten PDCA-Zyklus (Planen, Durchführen, Überprüfen, Handeln). Er soll zu einer kontinuierlichen Verbesserung der Informationssicherheit beitragen. Die Maßnahmen des Anhangs sind nur umzusetzen, wenn sie im Rahmen der Anwendbarkeit als umsetzbar erklärt wurden.

Der PDCA-Zyklus übersichtlich dargestellt

Der PDCA-Zyklus (Planen, Durchführen, Überprüfen, Handeln) für stetige Verbesserung der Informationssicherheit.

Die ISO-27001-Zertifizierung

Organisationen können sich nach ISO 27001 zertifizieren lassen. Die Zertifizierung für Organisationen bestätigt, dass die Anforderungen der Norm zur Einhaltung der Informationssicherheit erfüllt sind. Einzelpersonen weisen mit einem Besuch einer ISO-27001-Schulung und persönlicher Zertifizierung nach, dass ihnen die Inhalte der Norm bekannt sind und sie sie anwenden können. Die geschulten Personen arbeiten beispielsweise als interne und externe Auditoren oder als ISO-27001-Berater.

Voraussetzungen und Ablauf einer Zertifizierung

ISO 27001 ZertifikatZur Zertifizierung eines Unternehmens oder einer anderen Organisation ist ein Audit durch eine Zertifizierungsstelle notwendig. Im Rahmen der Zertifizierung prüfen Auditoren Dokumentationen und Prozesse zur ordnungsgemäßen Umsetzung der ISO-27001-Norm. Grundvoraussetzung für eine Zertifizierung ist die Einführung des ISMS. Weitere Voraussetzungen sind eine Klassifizierung der zu schützenden Werte der Organisation sowie die Identifikation, Benennung und Überwachung der Risiken. Die Unternehmensführung ist in regelmäßigen Reviews über die erkannten Risiken zu informieren. Um die Zertifizierung zu erlangen, muss eine definierte Erfüllungsquote der geprüften Anforderungen und Maßnahmen erreicht werden. Ist ein Unternehmen zertifiziert, führen die Auditoren regelmäßige, meist jährliche Überprüfungen durch. Das Zertifikat ist in der Regel drei Jahre gültig.

Personen, die eine Schulungszertifizierung wünschen, besuchen Kurse zur ISO-27001-Norm. Die Inhalte sind je nach Kurs auf externe oder interne Auditoren, Berater und Umsetzer der Norm zugeschnitten. Nach erfolgreicher Zertifizierung können die Teilnehmer selbst als Auditoren und Berater oder in der Umsetzung der Norm tätig werden.

Vorteile der ISO-27001-Zertifizierung

Eine Zertifizierung bietet Organisationen zahlreiche Vorteile. Sie bestätigt, dass Organisation die Informationssicherheit wirksam vor Risiken schützen. Gegenüber Kunden, Partnern oder Lieferanten weist die Zertifizierung einen verantwortungsvollen Umgang mit Informationen nach. Durch den aktiven Schutz der Daten und Geschäftsprozesse lässt sich der Geschäftserfolg optimieren. Regelmäßige Audits und eine kontinuierliche Eigenkontrolle schaffen eine dauerhafte Sicherheit. Schwachstellen und Sicherheitslücken werden systematisch erkannt und Risiken minimiert. Die ISO-27001-Zertifizierung verankert die Sicherheit in der Unternehmenskultur. Sämtliche Bereiche und Hierarchieebenen sind in den Schutz der Informationssicherheit einbezogen. Die Einhaltung externer gesetzlicher Regeln, Compliance-Vorgaben und Leitlinien zur Informationssicherheit ist nachgewiesen. Weitere Vorteile der Zertifizierung sind die Senkung von Haftungsrisiken, die Minimierung von Prozesskosten, die Steigerung der Wettbewerbsfähigkeit und die Verbesserung des Images.

Wichtige Fakten zur Norm ISO 27001 kurz zusammengefasst

  • ISO 27001 ist eine internationale Norm zum Schutz der Informationssicherheit in Organisationen
  • Wichtiger Inhalt der Norm ist die Einführung eines Informationssicherheitsmanagementsystems
  • Die Norm erschien im Jahr 2005 in der ersten Revision und ist mehrfach überarbeitet
  • Organisationen können sich nach ISO 27001 zertifizieren lassen
  • Die Zertifizierung erbringt einen dokumentierten Nachweis über die Einhaltung der Anforderungen zum Schutz der Informationssicherheit

Wir helfen ihnen bei ihrer ISO 27001 Zertifizierung.

Kontaktieren Sie uns jetzt für ein Angebot!
Jetzt ein unverbindliches Angebot anfordern!