ISO 27001 steht für ISO/IEC 27001, eine weltweit anerkannten Norm für ein Informationssicherheitsmanagementsystem (ISMS). In der ISO 27001 ist festgelegt, welche Bedingungen ein Informationssicherheitsmanagementsystem erfüllen muss. Die ISO 27001 enthält im Anhang eine entsprechende Anforderungsliste (Controls).
Ein Informationssicherheitsmanagementsystem (ISMS) trägt signifikant dazu bei, Cyberangriffe abzuwehren, und wirkt unterstützend bei der Verhinderung von Datendiebstahl. Die Norm ISO 27001 legt den Rahmen für die Erarbeitung und Umsetzung eines effektiven ISMS fest. Mit der Zertifizierung nach ISO 27001 haben Unternehmen und Organisationen die Möglichkeit, Risiken in der Informationssicherheit zu senken. Weiterhin hilft das ISMS, den Sicherheitsvorschriften besser gerecht zu werden und die Entwicklung einer Sicherheitskultur zu fördern.
Organisationen und Unternehmen können mit der Zertifizierung nachweisen, dass sie die Anforderungen der Informationssicherheit erfüllen und Maßnahmen zum Datenschutz durchgeführt haben. Die Garantie ausreichender Informationssicherheit schafft Vertrauen gegenüber Kunden und Geschäftspartnern. Organisationen profitieren auf vielen verschiedenen Ebenen von einer Zertifizierung: Haftungs- und Geschäftsrisiken werden minimiert, Versicherungsprämien können gesenkt werden, die Wettbewerbsfähigkeit wird gesteigert und es wird mehr Vertrauen aufgebaut. Durch das Informationssicherheitsmanagementsystem werden Bedrohungen im Unternehmen zuverlässig erkannt und reduziert. Vertrauliche Daten werden vor Missbrauch, Offenlegung und Verlust geschützt.
Im Vordergrund der ISO 27001 steht der Schutz vertraulicher Informationen sowie die Integrität und Verfügbarkeit von Informationen in Organisationen und Unternehmen. Im ersten Schritt muss untersucht werden, welche potentiellen Probleme in Zusammenhang mit Informationen entstehen könnten (Risikoeinschätzung). Darauf aufbauend wird systematisch festgelegt, welche Maßnahmen ergriffen werden sollten, um diese Probleme zu vermeiden (Risikominderung).
Zu den umzusetzenden Sicherheitsmaßnahmen gehören Richtlinien und technische Anweisungen (z.B. zu Hardware und Software). Für viele Arbeitsschritte werden organisatorische Regeln erstellt, um bestehende Sicherheitslücken zu schließen. Die ISO 27001 beschreibt, wie die einzelnen Elemente im Managementsystem für Informationssicherheit (ISMS) zu einem Ganzen zusammengefügt werden.
Die Zertifizierung nach ISO 27001 verläuft ähnlich wie bei anderen Managementsystemen, wie z.B. der ISO 9001. Das Verfahren umfasst im Wesentlichen die folgenden Schritte:
Die Zertifizierung wird auf Basis der Anforderungskriterien der ISO 27001 vorgenommen. Im Zusammenhang mit der Zertifizierung wird häufig die ISO 27002 angeführt. Diese enthält eine ausführliche Sammlung von Hinweisen für das Informationssicherheitsmanagement.
Die Umsetzung der ISO 27001 in Unternehmen umfasst viele vorbereitende Arbeiten des Kunden: Dieser muss u.a. einen Anwendungsbereich des ISMS definieren, eine Risikoeinschätzung und Risikobehandlung sowie eine Erklärung zur Anwendbarkeit ausarbeiten, einen Plan zur Risikobehandlung erstellen, Verzeichnisse des Assets erstellen, die Sicherheits-Rollen und Verantwortlichkeiten sowie Richtlinien definieren.
Die ISO 27001 besteht aus elf Abschnitten und einem Anhang A. Die Abschnitte 0 bis 3 führen allgemein in das Thema ein. Die Abschnitte 4 bis 10 sind obligatorisch. Alle darin enthaltenen Anforderungen müssen umgesetzt werden, um die Zertifizierung zu erreichen. Die Maßnahmen des Anhangs A müssen nur dann umgesetzt werden, wenn dazu in der Erklärung zur Anwendbarkeit die Umsetzbarkeit bestätigt wurde.