ISO 27001

ISO 27001 steht für ISO/IEC 27001, eine weltweit anerkannten Norm für ein Informationssicherheitsmanagementsystem (ISMS).

ISO 27001: Definition

In der ISO 27001 ist festgelegt, welche Bedingungen ein Informationssicherheitsmanagementsystem erfüllen muss. Die ISO 27001 enthält im Anhang eine entsprechende Anforderungsliste (Controls).

Ziel des ISMS

Ein Informationssicherheitsmanagementsystem (ISMS) trägt signifikant dazu bei, Cyberangriffe abzuwehren, und wirkt unterstützend bei der Verhinderung von Datendiebstahl. Die Norm ISO 27001 legt den Rahmen für die Erarbeitung und Umsetzung eines effektiven ISMS fest. Mit der Zertifizierung nach ISO 27001 haben Unternehmen und Organisationen die Möglichkeit, Risiken in der Informationssicherheit zu senken. Weiterhin hilft das ISMS, den Sicherheitsvorschriften besser gerecht zu werden und die Entwicklung einer Sicherheitskultur zu fördern.

Vorteile einer Zertifizierung nach ISO 27001

Organisationen und Unternehmen können mit der Zertifizierung nachweisen, dass sie die Anforderungen der Informationssicherheit erfüllen und Maßnahmen zum Datenschutz durchgeführt haben. Die Garantie ausreichender Informationssicherheit schafft Vertrauen gegenüber Kunden und Geschäftspartnern. Organisationen profitieren auf vielen verschiedenen Ebenen von einer Zertifizierung: Haftungs- und Geschäftsrisiken werden minimiert, Versicherungsprämien können gesenkt werden, die Wettbewerbsfähigkeit wird gesteigert und es wird mehr Vertrauen aufgebaut. Durch das Informationssicherheitsmanagementsystem werden Bedrohungen im Unternehmen zuverlässig erkannt und reduziert. Vertrauliche Daten werden vor Missbrauch, Offenlegung und Verlust geschützt.

Wie funktioniert die ISO 27001?

Im Vordergrund der ISO 27001 steht der Schutz vertraulicher Informationen sowie die Integrität und Verfügbarkeit von Informationen in Organisationen und Unternehmen. Im ersten Schritt muss untersucht werden, welche potentiellen Probleme in Zusammenhang mit Informationen entstehen könnten (Risikoeinschätzung). Darauf aufbauend wird systematisch festgelegt, welche Maßnahmen ergriffen werden sollten, um diese Probleme zu vermeiden (Risikominderung).

Richtlinien und technische Anweisungen

Zu den umzusetzenden Sicherheitsmaßnahmen gehören Richtlinien und technische Anweisungen (z.B. zu Hardware und Software). Für viele Arbeitsschritte werden organisatorische Regeln erstellt, um bestehende Sicherheitslücken zu schließen. Die ISO 27001 beschreibt, wie die einzelnen Elemente im Managementsystem für Informationssicherheit (ISMS) zu einem Ganzen zusammengefügt werden.

Weitere Erklärung zur ISO 27001: das Zertifizierungsverfahren

Die Zertifizierung nach ISO 27001 verläuft ähnlich wie bei anderen Managementsystemen, wie z.B. der ISO 9001. Das Verfahren umfasst im Wesentlichen die folgenden Schritte:

  • Umsetzung der Anforderungen, die in der ISO 27001 vorgegeben sind
  • Überprüfung der Umsetzung durch einen Auditor
  • Bewertung des Auditberichts und Erteilung des Zertifikats durch eine ausgewiesene Zertifizierungsstelle

Die Zertifizierung wird auf Basis der Anforderungskriterien der ISO 27001 vorgenommen. Im Zusammenhang mit der Zertifizierung wird häufig die ISO 27002 angeführt. Diese enthält eine ausführliche Sammlung von Hinweisen für das Informationssicherheitsmanagement.

Vorbereitende Arbeiten zur ISO 27001

Die Umsetzung der ISO 27001 in Unternehmen umfasst viele vorbereitende Arbeiten des Kunden: Dieser muss u.a. einen Anwendungsbereich des ISMS definieren, eine Risikoeinschätzung und Risikobehandlung sowie eine Erklärung zur Anwendbarkeit ausarbeiten, einen Plan zur Risikobehandlung erstellen, Verzeichnisse des Assets erstellen, die Sicherheits-Rollen und Verantwortlichkeiten sowie Richtlinien definieren.

Welche Abschnitte umfasst die ISO 27001?

Die ISO 27001 besteht aus elf Abschnitten und einem Anhang A. Die Abschnitte 0 bis 3 führen allgemein in das Thema ein. Die Abschnitte 4 bis 10 sind obligatorisch. Alle darin enthaltenen Anforderungen müssen umgesetzt werden, um die Zertifizierung zu erreichen. Die Maßnahmen des Anhangs A müssen nur dann umgesetzt werden, wenn dazu in der Erklärung zur Anwendbarkeit die Umsetzbarkeit bestätigt wurde.

Schulungen von ibau mit Tipps und Tricks zu öffentlichen Vergaben

Erfahren Sie Tipps und Tricks rund um das Thema öffentliche Vergabe. Fragen Sie einfach unverbindlich eine Schulung an. Unsere Experten beraten Sie gerne.

Schulung unverbindlich anfragen
Bei ibau Ausschreibungen und Aufträge finden

Bei uns finden Sie alle relevanten Ausschreibungen, passend für Ihre Branche und Ihr Angebot. Suchen Sie jetzt nach für Sie interessanten Aufträgen.

Aufträge suchen
Das E-Book von ibau mit Tipps und Tricks zur Auftragsgewinnung

Erhalten Sie Tipps und Tricks für die Auftragsgewinnung zum Nachlesen. Nutzen Sie unser kostenloses E-Book und kurbeln Sie Ihren Vertrieb an.

Kostenloses E-Book erhalten