ISO 27001: Norm und Zertifizierung

Die ISO 27001:2013 ist nicht zu verwechseln mit ISO/IEC 27000:2018, einer weiteren ISO/IEC 27000-Norm, welche die im ISMS-Normenwerk verwendete gemeinsame Terminologie definieren soll.

Was wird bei ISO 27001 geprüft?

Die ISO 27001 ist deshalb so wichtig, weil sie einen Richtwert für die Art des ISMS-Rahmens setzt, den Unternehmen oder Organisationen einführen und entsprechend ihren Bedürfnissen anpassen können. Sie legt einen Mindeststandard für das Informationssicherheitsmanagementsystem fest, der von jedem Unternehmen erwartet werden kann – unabhängig von Größe, Branche oder Standort – welches als robustes IT-System anerkannt werden möchte.

Wer braucht die ISO 27001?

In dem Maße, in dem die Technologie zum integralen Bestandteil von täglichen Arbeitsprozessen wurde, wuchs auch der Bedarf an der Sicherung der digitalen Informationen, die mit dem Betrieb von Unternehmen einhergehen. Im Folgenden haben wir Ihnen einige der Branchen aufgeführt, welche mit besonderen Herausforderungen im Bereich der Informationssicherheit konfrontiert sind:

• Gesundheitswesen,
• Versorgungsunternehmen,
• Logistik,
• Bank und Finanzen,
• Staatliche Einrichtungen.

Um ein solides Informationssicherheitsmanagementsystem zu erstellen, bedarf es konzertierter Anstrengungen innerhalb eines Unternehmens. Sowie nicht unerhebliches Know-how, um dieses in weiterer Folge auch aufrecht zu erhalten.

Welche Anforderungen müssen für eine ISO-27001-Zertifizierung erfüllt werden?

Einer der Vorteile der Einführung der ISO 27001 besteht darin, dass der Nachweis erbracht werden muss, dass die bestehenden Prozesse zur Sicherheit der Informationen beitragen. Sowie, dass zusätzlich die besonderen Bedürfnisse des Unternehmens bei der Aufrechterhaltung eines starken ISMS berücksichtigt werden.

Im Folgenden werden die Abschnitte 4.1 bis 10.2 beschrieben, welche den Kern des Anforderungskatalogs der ISO 27001 darstellen. Sie helfen dabei, Prozesslücken aufzudecken und die Bereitschaft eines Unternehmens für die ISO-27001-Zertifizierung zu bewerten.

• 4. Hintergrund des Unternehmens
  • 4.1 Verstehen der Organisation und ihres Kontextes.
  • 4.2 Verständnis für die Bedürfnisse und Erwartungen der Interessensgruppen.
  • 4.3 Bestimmung des Anwendungsbereichs des Informationssicherheitsmanagementsystems.
  • 4.4 Managementsystem für die Informationssicherheit.
• 5. Unternehmensführung
  • 5.1 Führungsqualitäten und Engagement.
  • 5.2 Unternehmenspolitik.
  • 5.3 Organisatorische Aufgaben, Zuständigkeiten und Befugnisse.
• 6. Planung
  • 6.1 Maßnahmen zur Bewältigung von Risiken und Chancen.
  • 6.2 Ziele der Informationssicherheit und Pläne zu deren Erreichung.
• 7. Unterstützende Maßnahmen
  • 7.1 Ressourcen.
  • 7.2 Kompetenz.
  • 7.3 Bewusstseinsbildung.
  • 7.4 Kommunikation.
  • 7.5 Dokumentierte Informationen.
• 8. Durchführung
  • 8.1 Operative Planung und Kontrolle.
  • 8.2 Risikobewertung der Informationssicherheit.
  • 8.3 Behandlung von Informationssicherheitsrisiken.
• 9. Evaluierung der Leistung
  • 9.1 Überwachung, Messung, Analyse und Bewertung.
  • 9.2 Interne Prüfung.
  • 9.3 Überprüfung durch das Management.
• 10. Verbesserungsmaßnahmen
  • 10.1 Nichtkonformität und Korrekturmaßnahmen.
  • 10.2 Kontinuierliche Verbesserung.

Wie erhalte ich die ISO-27001-Zertifizierung?

ISO/IEC 27001:2013 ist die internationale Norm für Informationssicherheitsmanagementsysteme aus der ISO-27000-Familie, für die sich Unternehmen zertifizieren lassen können. Organisationen und Unternehmen müssen die folgenden Schritte befolgen, um sich auf die Zertifizierung auf sie vorzubereiten:

Schritt 1: Überprüfen Sie die Anforderungen des Standard

Machen Sie sich mit der Norm ISO/IEC 27001:2013 vertraut und prüfen Sie, inwieweit Ihre bestehenden Prozesse bereits mit ihr übereinstimmen. Überprüfen Sie Ihr aktuelles ISMS und insbesondere diese drei Anforderungen – Informationssicherheitspolitik, Anwendbarkeitserklärung und Plan zur Behandlung von Informationssicherheitsrisiken – da der Standard diese für die Zertifizierung einer Organisation voraussetzt.

Schritt 2: Durchführen eines internen Audit

Beurteilen Sie die Bereitschaft Ihrer Organisation, indem Sie ein internes Audit unter Verwendung einer ISO-27001-Vorlage durchführen, welche die drei hauptsächlichen sowie alle zusätzlichen Anforderungen an Ihr ISMS berücksichtigen, die von externen Prüfern während des eigentlichen Zertifizierungsaudits untersucht werden.

Schritt 3: Beauftragen Sie einen seriösen Prüfer mit der Zertifizierung

Nachdem Sie Ihr eigenes internes Audit durchgeführt und Ihre Organisation so gut wie möglich vorbereitet haben, wenden Sie sich an einen externen Prüfer, der ein objektives Audit durchführen kann, um eine Zertifizierung für Ihr Unternehmen zu erhalten.

Nach der Zertifizierung müssen Sie trotzdem dauerhaft die Einhaltung der Vorschriften aufrechterhalten. Die Durchführung regelmäßiger interner Audits trägt dabei dazu bei, dass Ihr ISMS weiterhin gegen Bedrohungen der Informationssicherheit wirksam ist und mit den globalen Standards übereinstimmt.

SafetyCulture (vormals iAuditor): ISO-27001-Software

SafetyCulture (iAuditor) wird von führenden Unternehmen verschiedenster Branche eingesetzt, um sich auf die Zertifizierung für internationale Standards vorzubereiten und deren Anforderungen zu erfüllen. SafetyCulture (iAuditor) unterstützt Unternehmen bei der Vorbereitung auf die ISO-27001-Zertifizierung durch:

• Durchführung interner Audits zur Aufdeckung von Prozesslücken unter Verwendung von Vorlagen wie unserer ISO 27001:2013-Checkliste.
• Erfassung der verbesserungswürdigen Bereiche und effiziente Aufzeichnung der zur Vorbereitung der Zertifizierung durchgeführten Korrekturmaßnahmen.
• Sichere Speicherung Ihrer Informationen, auf die nur befugtes Personal über unsere Cloud zugreifen kann. Ein System, welches übrigens bereits mit der ISO 27001 konform ist.
• Aufrechterhaltung der Einhaltung des Standards durch fortlaufende, regelmäßige Überprüfungen des aktuellen ISMS.