ISO/IEC 27001 - was dahinter steckt & worauf es ankommt

Die Sicherheit Ihrer Daten und die Ihrer Kundinnen und Kunden gehört zu den größten Unternehmenswerten Ihres Unternehmens. Entsprechend gilt es diese Sicherheit zu gewährleisten und gleichzeitig auch zu schützen, denn es können sich laufend Sicherheitsvorfälle ereignen. Eine ISO/IEC 27001-Zertifizierung erhöht nicht nur Ihre Sicherheit, sondern sendet auch ein positives Signal an Ihre Kundinnen und Kunden.

Was ISO/IEC 27001 ist

Bei ISO/IEC 27001 handelt es sich um eine international gültige Norm rund um die Informationssicherheit. Sie ist Teil der ISO/IEC 2700x-Familie und wurde auch als DIN-Norm veröffentlicht, wobei Sie definiert, welche Anforderungen in punkto Einrichtung, Umsetzung und dem Betrieb eine sogenannten Informationssicherheits-Managementsystems (ISMS) gelten. Anwendbar ist ISO/IEC 27001 sowohl für Unternehmen, staatliche Institutionen als auch Non-Profit-Organisationen und insbesondere in folgenden unterschiedlichen Bereichen:

  • Anforderungen und Zielsetzungen zur Informationssicherheit formulieren;
  • Kosteneffizientes Management von Sicherheitsrisiken;
  • Bestehende Informationssicherheits-Managementsysteme identifizieren und definieren;
  • Neue Informationssicherheits-Managementsysteme definieren;
  • Informationssicherheits-Managementmaßnahmen festlegen;
  • Gesetzeskonformität sicherstellen;
  • Als Hilfestellung für interne oder externe Audits in punkto Umsetzungsgrad von Richtlinien und Standards;
  • Hilfestellung als Rahmen für die Implementierung und Maßnahmen-Management

beim sichern der Informationssicherheit.

Umgang mit Risiken im Informationssicherheits-Bereich

Grundsätzlich will ISO 27001 die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen eines Unternehmens schützen. Voraussetzung dafür ist das Wissen darüber, welche potentiellen Gefahren bzw. Risiken bestehen. Ist erst einmal die Risikoeinschätzung gemacht, kann anschließend die Risikobehandlung und Risikominimierung angegangen werden.

Die ISO 27001 kümmert sich kurzum um den Umgang mit Risiken, wobei deren Behebung und Minimierung mittels verschiedener Richtlinien, Verfahren und der entsprechenden technischen Umsetzung erzielt wird. Zu beachten ist dabei, dass es hierbei nicht nur um die reine Hard- und Software geht, sondern vielmehr auch darum, in welcher Weise eben diese genutzt werden, wie die vorhandenen Prozesse aussehen, wie es um juristische Fragen steht usw. Entsprechend hoch die Anzahl an Richtlinien, Personen, Werten und Verfahren, die an der Informationssicherheit beteiligt sind und im Informationssicherheits-Managementsystem zusammengetragen und aufgeführt werden.

Ihre Vorteile bei einer ISO/IEC 27001-Zertifizierung

Informationssicherheit ist in der heutigen hoch technologisierten, digitalen Welt von immer größerer Bedeutung. Sowohl der Gesetzgeber als auch Wirtschaftspartner und Kundinnen und Kunden erwarten, dass sowohl privatwirtschaftliche Unternehmen als auch Non-Profit-Organisationen oder staatliche Institutionen Datensicherheit gewährleisten, technisch wie auch praktisch.

Als Unternehmen jeglicher Art und Größe gilt es daher, eben diese Sicherheit zu gewährleisten, um beispielsweise als vertragswürdig erachtet zu werden oder bei Kundinnen und Kunden in die engere Auswahl zu kommen. Eine ISO 27001-Zertifizierung schafft hier Abhilfe. Als international anerkannte Norm zeigt sie auf einen Blick, wie vertrauenswürdig bzw. sicher ein Unternehmen in punkto Daten ist. Damit ist sie ein klarer zusätzlicher Wettbewerbsvorteil, zumindest gegenüber nicht-lizenzierten Mitbewerbern.

Im Weiteren ist eine ISO 27001-Zertifizierung auch dahingehend hilfreich, dass für deren Erhalt methodisch alle relevanten Bereiche und Elemente im Unternehmen durchleuchtet werden können, anhand eines klaren und festgelegten Rasters. Unternehmen können sich so nicht nur einfacher einen Überblick über Prozesse und potenzielle Risiken verschaffen, sondern diese ebenso methodisch angehen und minimieren bzw. beheben. Wobei es hier anzuführen gilt, dass dies nicht nur Risiken betreffend der Fall ist. Ganz allgemein können im Rahmen einer Zertifizierung noch fehlende oder unvollständige Prozesse verbessert bzw. zu Ende gedacht und zusätzlich auch schriftlich festgehalten werden.

Typischerweise haben schnell wachsende Unternehmen keine Zeit, um Prozesse und Verfahren zu definieren – im Ergebnis wissen die Angestellten oft nicht, was von wem erledigt werden muss. Die Umsetzung von ISO 27001 hilft, dieses Problem zu lösen, denn die Unternehmen halten nun ihre Hauptprozesse schriftlich fest (auch die, welche mit IT-Sicherheit nichts zu tun haben) und reduzieren so die Leerlaufzeiten der Mitarbeiter.

Ein weiterer Vorteil der ISO 27001-Zertifizierung liegt darin, dass einer der Hauptfoki der Zertifizierung darauf liegt, Risiken bzw. Störfälle zu minimieren. Bedenkt man, dass solche Vorfälle und deren Behebung und Korrektur meist sehr kostenintensiv ausfallen, lassen sich durch deren Vermeidung klar Kosten einsparen. Hinzu kommt, dass die die Ausgaben für die Zertifizierung ebenfalls weit unter den Kosten eines Störfalls liegen.

Wie zu einer ISO 27001-Zertifizierung gelangen

Sie möchten nun eine ISO/IEC 27001-Zertifizierung anstreben? Wichtig zu wissen ist dabei, dass die ISO (International Organization for Standardization) selbst keine Zertifizierungen durchführt oder vergibt. Vielmehr haben Sie als Unternehmen die Möglichkeit, entweder von sich aus zu verkünden, dass Sie ISO 27001-konform sind, sich dies von Ihren Kundinnen und Kunden bestätigen zu lassen oder Ihr Unternehmen einem Audit durch einen externen Auditor zu unterziehen, der oder die Ihnen anschließend die Konformität bestätigt.

Zu beachten ist bei der Auswahl, dass von dritten bestätigte Zertifizierungen insbesondere bei Ihren Geschäftspartnern und Kundinnen und Kunden jeweils glaubhafter erscheinen, als selbst ausgesprochene. Daher empfiehlt es sich, die zweitgenannte oder drittgenannte Variante für eine ISO/IEC 27001-Zertifizierung zu wählen.

Ein weiterer Vorteil bei der Wahl eines externen Auditors liegt darin, dass dieser Sie je nach Angebot auch beim Prozess begleiten und unterstützen kann und nicht allein das Ergebnis kontrolliert. Denn es gilt im Rahmen einer ISO 27001-Zertifizierung neben 16 festgelegten Schritten auch eine genau vorgeschriebene Dokumentation über die zu führen, ein Aufwand, der mit der entsprechenden professionellen Hilfe um einiges leichter zu meistern ist, als auf eigene Faust. Hinzu kommt, dass ein Teil dieser Schritte weiterführende Handlungen erfordert, beispielsweise die Information und Befähigung des Kaders zu den Themen Datensicherheit und Informationssicherheits-Managementsysteme.

Compliance2go - Ihr automatisierter Weg zur ISO 27001-Konformität

Eine weitere Möglichkeit besteht darin, sich mit Hilfe von compliance2go sowohl auf die ISO/IEC 27001-Zertifizierung vorzubereiten. Das eigens auf diese Norm ausgerichtete Tool-Set führt Sie Schritt für Schritt durch die Analyse Ihres Unternehmens und der entsprechenden Risiko-Analyse, unterstützt Sie bei der Erarbeitung von Lösungen durch konkrete, auf Sie angepasste Vorschläge und hilft Ihnen zudem dabei, die erreichten Standards zu halten.

So können Sie nicht nur von einer selbstbestimmten und doch korrekten Überprüfung und einem fundierten Zertifizierungsprozess profitieren, sondern zudem sicherstellen, dass es mit dem externen Audit sicherlich klappt.