ISO / IEC 27001
IT-Beratung Stephan Selnerat
ISO / IEC 27001
Bei der DIN ISO / IEC 27001, kurz ISO 27001, handelt es sich um eine internationale Norm, mit deren Hilfe die Informationssicherheit in Organisationen wie Unternehmen, Non-Profitorganisationen oder öffentlichen Institutionen gewährleistet werden soll. Basis der Norm bildet die Beschreibung der Anforderungen zur Implementierung und zum Betrieb eines Informationssicherheits-Managementsystems (ISMS). Das System ist an die Gegebenheiten der jeweiligen Organisation angepasst und berücksichtigt individuelle Besonderheiten.
Neben dem Informationssicherheits-Managementsystem beschäftigt sich ISO 27001 mit der Analyse und der Behandlung von Risiken der Informationssicherheit. Im Rahmen der beschriebenen Anforderungen werden die Werte und Wertschöpfungsketten durch die Auswahl der geeigneten Sicherheitsmechanismen geschützt. Für Unternehmen bietet ISO 27001 einen systematisch strukturierten Ansatz, die Integrität der betrieblichen Daten und deren Vertraulichkeit zu schützen. Gleichzeitig sorgt sie für die Sicherstellung der Verfügbarkeit der an den Unternehmensprozessen beteiligten IT-Systeme.
Zertifizierung
Vorteile der Zertifizierung
- Minimierung von Haftungsrisiken
- Minimierung von Geschäftsrisiken
- Senkung von Versicherungsprämien
- Optimierung von Prozess- und IT-Kosten
- Steigerung der Wettbewerbsfähigkeit
- Schaffung von Vertrauen bei Kunden, Geschäftspartnern und in der Öffentlichkeit
- Bedrohungen im Unternehmen zuverlässig erkennen und reduzieren
- Schutz von vertraulichen Daten vor Missbrauch, Verlust und Offenlegung
Mit der Zertifizierung erbringt die Organisation den dokumentierten Nachweis, dass die Anforderungen der Informationssicherheit eingehalten und die Maßnahmen zum Schutz von Daten umgesetzt sind. Kunden und Geschäftspartner erhalten dank der Zertifizierung einen vertrauenswürdigen Beleg dafür, dass eine ausreichende IT-Sicherheit gewährleistet werden kann. Das Unternehmen führt eine kontinuierliche Eigenkontrolle durch und optimiert ständig die IT-Prozesse im Hinblick auf die Informationssicherheit. Da ISO 27001 einen ganzheitlichen Ansatz verfolgt, ist die Berücksichtigung der Norm in der Organisation über alle Hierarchieebenen hinweg sichergestellt. Sie hilft damit auch die zentralen Anforderungen von Wirtschaftsprüfern und diverse Regelungen wie Basel II zu erfüllen.
Zentrale Forderung der Norm ISO 27001 und Grundvoraussetzung für eine Zertifizierung ist die Einführung des Informationssicherheits-Management-Systems, kurz ISMS. In einem weiteren Schritt sind die Werte der Organisation zu klassifizieren und zu dokumentieren. Mögliche durch die IT oder mangelnde Informationssicherheit entstehende Risiken sind zu benennen, zu bewerten und zu überwachen. Hierbei hat die Organisation für eine Zertifizierung ein erfolgreiches Zusammenspiel der Grundwerte der Informationssicherheit Vertraulichkeit, Integrität und Verfügbarkeit nachzuweisen. In regelmäßig durchzuführenden Management Reviews ist die Führung über die offen gelegten Risiken zu unterrichten.