ISO/IEC 27001 – Die Norm

• Ihr Nutzen durch die ISO 27001 Zertifizierung
  • Unternehmenswerte schützen
  • Kundenvertrauen steigern
  • Kapitalgeber überzeugen
  • Verminderung des Haftungsrisikos
• Für wen ist die Norm ISO/IEC 27001 relevant?
• Was ist für eine ISO/IEC 27001:2013 Zertifizierung zu erfüllen
• ISO/IEC 27001:2005 vs. ISO/IEC 27001:2013
• ISO 27001 vs. BSI IT Grundschutz

Ihr Nutzen durch die ISO 27001 Zertifizierung

Unternehmenswerte schützen

Durch die ISO 27001 Vorbereitung erhalten Sie einen detaillierten Überblick über die Bereiche in Ihrem Unternehmen, die es zu schützen gilt. Und im Zuge der Risikoanalyse finden Sie heraus wo genau es noch Schwachstellen gibt und wie diese mit geeigneten Maßnahmen zu beseitigen sind. Dabei wird vor allem auf die Zuverlässigkeit, die Integrität und die Vertraulichkeit geachtet und sichergestellt, dass dies jetzt und auch in der Zukunft den Anforderungen des Unternehmen entspricht.

» Liste von zertifizierten Unternehmen

Kundenvertrauen steigern

Mit der ISO/IEC 27001 zeigen Sie auch nach außen, dass Ihnen Information Security ein Anliegen ist und Sie die erforderlichen Maßnahmen zum Schutz Ihrer und der Daten Ihrer Kunden und Geschäftspartner umsetzen.

Kaptialgeber überzeugen

Durch die Zertifizierung zeigen Sie auch Ihren Kapitalgebern und anderen Stakeholdern, dass Sie verantwortungsvoll mit den Ihnen anvertrauten Werten und Informationen umgehen. Das Risiko eines Problems, verursacht durch die IT, kann damit verringert werden und somit finanzieller Schaden und mögliche rechtliche Folgen vermieden werden.

Verminderung des Haftungsrisikos

Als verantwortlicher Manager sind sie verpflichtet, zumindest dem Stand der Technik entsprechende Maßnahmen zu treffen um Sicherheitsvorfälle zu vermeiden. Eine ISO 27001 Zertifizierung hilft Ihnen dabei, dies notfalls auch vor Gericht glaubhaft zu machen.

Für wen ist die Norm ISO/IEC 27001 relevant?

Diese Norm ist für alle Organisationen relevant, unabhängig von der Branche und Größe. Überall dort wo Informationen IT-technisch genutzt werden, bzw. wo Unternehmen von der IT abhängig sind. Speziell aber in jenen Organisationen, die sensible Daten verarbeiten, wie zum Beispiel Gesundheitsdaten oder andere personenbezogene Daten, ist die Implementierung eines Information Security Managements sinnvoll. Auch in Bereichen mit erhöhtem Schutzbedarf, wie kritischer Infrastruktur (z.B. Energieversorger) oder bei Finanzinstitutionen zeigt eine Zertifizierung nach ISO/IEC 27001, dass das Thema IT Sicherheit ernst genommen wird und geeignete Maßnahmen zur Risikoreduktion getroffen werden.

Was ist für eine ISO/IEC 27001:2013 Zertifizierung zu erfüllen

Die ISO/IEC 27001 spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken innerhalb der gesamten Organisation. Es ist somit nachzuweisen, dass alle relevanten Aspekte zur Informationssicherheit betrachtet werden, die zum Funktionieren eines Unternehmens oder einer Organisation notwendig sind. Dies umfasst nicht nur die eigentliche Risikoanalyse, sondern auch alle technisch-organisatorischen Maßnahmen. Auditiert und zertifiziert wird dabei das Information Security Management System kurz ISMS (Informationssicherheits-Managementsystem), welches prozessorientiert alle für einen ausgewiesenen Geltungsbereich (Scope der Zertifizierung) relevanten Informationen zur Informationssicherheit umfasst.

» Liste von ISO 27001 Zertifizierungsstellen in Österreich

ISO/IEC 27001:2005 vs. ISO/IEC 27001:2013

Im Oktober 2013 wurde die englische Version der neuen Version der ISO 27001 (ISO 27001:2013) vorgestellt. Dies bedeutet, dass spätestens ab dem 1. Oktober 2014 bei Erst- und Re-Zertifizierungsverfahren nur noch Zertifikate erteilt werden, die auf der neuen Norm ISO/IEC 27001:2013 basieren. Am 1. Oktober 2015 endet dann auch die Übergangszeit für die Vorgängernorm ISO/IEC 27001:2005.

Die Version 2013 der ISO/IEC 27001 verwendet nun die High Level Struktur die in allen neuen Management System Standards (wie zum Beispile ISO 9001, ISO 20000) verwendet wird. Damit ist eine Integration der ISO/IEC 27001 mit anderen Mangement Systemen einfacher zu erreichen. Es wird in der neuen Version der Norm sehr viel mehr Wert auf die Management Attention einschließlich seiner Risikobetrachtung und Kommunikation gelegt und die die kontinuierliche Verbesserung wie in der Version 2005 mit dem Plan-Do-Check-Act circle beschrieben kann nun individuell flexibler geregelt werden. Wichtig ist der neuen Norm dabei, aber die Messung und Beurteilung wie gut das ISMS funktioniert. Neu sind auch acht Maßnahmenziele, die sich unter anderem auf das Projektmanagement, die Zusammenarbeit mit Lieferanten sowie auf die Nutzung mobiler Endgeräte beziehen. Die Schwerpunkte wurden neu gewichtet, beispielsweise wird anstelle spezifischer ISMS Kern Anforderungen die Dokumentation nun als eine der Support Anforderungen verstanden – was zu begrüßen ist.

Neben der Neustrukturierung der Kapitel gibt es auch eine Reihe von neuen Controlls – wie zum Beispiel zum Thema Outsourcing. Generell wurde die die Anzahl der Kapitel und der Control Sections der neuen Norm erhöht, die Anzahl der Controlls aber verringert. Insgesamt sind die Änderungen der neuen Version der Norm sehr zu begrüßen, da sie mehr Fokus aufs Wesentliche legen und dabei mehr Freiheit in der individuellen Gestaltung lassen.

ISO 27001 vs. BSI IT Grundschutz

Kommt es in einem Unternehmen zum Thema “Information Security”, stehen Unternehmen oftmals zwischen der Entscheidung zwischen einer Zertifizierung durch die ISO 27001 oder dem BSI IT Grundschutz. Mehr zu diesem Thema finden Sie hier.

Weitere Informationen zur ISO 27001

Wenn Sie mehr zur ISO 27001 wissen wollen, dann nutzen Sie doch unser Angebot an Webinaren und individuellen Workshops oder rufen Sie uns an unter +43(699)12521252.