- Ihr Nutzen durch die ISO 27001 Zertifizierung
- Für wen ist die Norm ISO/IEC 27001 relevant?
- Was ist für eine ISO/IEC 27001:2013 Zertifizierung zu erfüllen
- ISO/IEC 27001:2005 vs. ISO/IEC 27001:2013
- ISO 27001 vs. BSI IT Grundschutz
Ihr Nutzen durch die ISO 27001 Zertifizierung
Unternehmenswerte schützen
Durch die ISO 27001 Vorbereitung erhalten Sie einen detaillierten Überblick über die Bereiche in Ihrem Unternehmen, die es zu schützen gilt. Und im Zuge der Risikoanalyse finden Sie heraus wo genau es noch Schwachstellen gibt und wie diese mit geeigneten Maßnahmen zu beseitigen sind. Dabei wird vor allem auf die Zuverlässigkeit, die Integrität und die Vertraulichkeit geachtet und sichergestellt, dass dies jetzt und auch in der Zukunft den Anforderungen des Unternehmen entspricht.
» Liste von zertifizierten Unternehmen
Kundenvertrauen steigern
Mit der ISO/IEC 27001 zeigen Sie auch nach außen, dass Ihnen Information Security ein Anliegen ist und Sie die erforderlichen Maßnahmen zum Schutz Ihrer und der Daten Ihrer Kunden und Geschäftspartner umsetzen.
Kaptialgeber überzeugen
Durch die Zertifizierung zeigen Sie auch Ihren Kapitalgebern und anderen Stakeholdern, dass Sie verantwortungsvoll mit den Ihnen anvertrauten Werten und Informationen umgehen. Das Risiko eines Problems, verursacht durch die IT, kann damit verringert werden und somit finanzieller Schaden und mögliche rechtliche Folgen vermieden werden.
Verminderung des Haftungsrisikos
Als verantwortlicher Manager sind sie verpflichtet, zumindest dem Stand der Technik entsprechende Maßnahmen zu treffen um Sicherheitsvorfälle zu vermeiden. Eine ISO 27001 Zertifizierung hilft Ihnen dabei, dies notfalls auch vor Gericht glaubhaft zu machen.
Für wen ist die Norm ISO/IEC 27001 relevant?
Diese Norm ist für alle Organisationen relevant, unabhängig von der Branche und Größe. Überall dort wo Informationen IT-technisch genutzt werden, bzw. wo Unternehmen von der IT abhängig sind. Speziell aber in jenen Organisationen, die sensible Daten verarbeiten, wie zum Beispiel Gesundheitsdaten oder andere personenbezogene Daten, ist die Implementierung eines Information Security Managements sinnvoll. Auch in Bereichen mit erhöhtem Schutzbedarf, wie kritischer Infrastruktur (z.B. Energieversorger) oder bei Finanzinstitutionen zeigt eine Zertifizierung nach ISO/IEC 27001, dass das Thema IT Sicherheit ernst genommen wird und geeignete Maßnahmen zur Risikoreduktion getroffen werden.
Was ist für eine ISO/IEC 27001:2013 Zertifizierung zu erfüllen
Die ISO/IEC 27001 spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken innerhalb der gesamten Organisation. Es ist somit nachzuweisen, dass alle relevanten Aspekte zur Informationssicherheit betrachtet werden, die zum Funktionieren eines Unternehmens oder einer Organisation notwendig sind. Dies umfasst nicht nur die eigentliche Risikoanalyse, sondern auch alle technisch-organisatorischen Maßnahmen. Auditiert und zertifiziert wird dabei das Information Security Management System kurz ISMS (Informationssicherheits-Managementsystem), welches prozessorientiert alle für einen ausgewiesenen Geltungsbereich (Scope der Zertifizierung) relevanten Informationen zur Informationssicherheit umfasst.
» Liste von ISO 27001 Zertifizierungsstellen in Österreich
ISO/IEC 27001:2005 vs. ISO/IEC 27001:2013
Im Oktober 2013 wurde die englische Version der neuen Version der ISO 27001 (ISO 27001:2013) vorgestellt. Dies bedeutet, dass spätestens ab dem 1. Oktober 2014 bei Erst- und Re-Zertifizierungsverfahren nur noch Zertifikate erteilt werden, die auf der neuen Norm ISO/IEC 27001:2013 basieren. Am 1. Oktober 2015 endet dann auch die Übergangszeit für die Vorgängernorm ISO/IEC 27001:2005.
Die Version 2013 der ISO/IEC 27001 verwendet nun die High Level Struktur die in allen neuen Management System Standards (wie zum Beispile ISO 9001, ISO 20000) verwendet wird. Damit ist eine Integration der ISO/IEC 27001 mit anderen Mangement Systemen einfacher zu erreichen. Es wird in der neuen Version der Norm sehr viel mehr Wert auf die Management Attention einschließlich seiner Risikobetrachtung und Kommunikation gelegt und die die kontinuierliche Verbesserung wie in der Version 2005 mit dem Plan-Do-Check-Act circle beschrieben kann nun individuell flexibler geregelt werden. Wichtig ist der neuen Norm dabei, aber die Messung und Beurteilung wie gut das ISMS funktioniert. Neu sind auch acht Maßnahmenziele, die sich unter anderem auf das Projektmanagement, die Zusammenarbeit mit Lieferanten sowie auf die Nutzung mobiler Endgeräte beziehen. Die Schwerpunkte wurden neu gewichtet, beispielsweise wird anstelle spezifischer ISMS Kern Anforderungen die Dokumentation nun als eine der Support Anforderungen verstanden – was zu begrüßen ist.
Neben der Neustrukturierung der Kapitel gibt es auch eine Reihe von neuen Controlls – wie zum Beispiel zum Thema Outsourcing. Generell wurde die die Anzahl der Kapitel und der Control Sections der neuen Norm erhöht, die Anzahl der Controlls aber verringert. Insgesamt sind die Änderungen der neuen Version der Norm sehr zu begrüßen, da sie mehr Fokus aufs Wesentliche legen und dabei mehr Freiheit in der individuellen Gestaltung lassen.
ISO/IEC 27001:2013 vs. ISO/IEC 27001:2022
Die ISO 27001:2022 ist die neueste Version des international anerkannten Rahmens für Informationssicherheit. Im Vergleich zur ISO 27001:2013 weist sie einige wichtige Änderungen auf. Der Schwerpunkt liegt nun stärker auf dem Datenschutz, wobei Organisationen verpflichtet sind, ein Datenschutz-Management-System einzuführen. Die Verantwortung für die Einhaltung von Datenschutzgesetzen und -regelungen wurde auf alle Ebenen der Organisation ausgeweitet. Der integrierte Ansatz fordert, dass Informationssicherheit in alle Geschäftsprozesse und Aktivitäten integriert wird. Darüber hinaus umfasst die erweiterte Risikoanalyse eine gründlichere Überprüfung und Beurteilung potenzieller Risiken für die Informationssicherheit. Diese Änderungen sorgen für eine noch umfassendere Absicherung von Daten und Informationen innerhalb von Organisationen.
Weitere Details zum Unterschied der beiden Versionen ISO 27001:2013 und ISO 27001:2022 finden Sie hier.
ISO 27001 vs. BSI IT Grundschutz
Kommt es in einem Unternehmen zum Thema “Information Security”, stehen Unternehmen oftmals zwischen der Entscheidung zwischen einer Zertifizierung durch die ISO 27001 oder dem BSI IT Grundschutz. Mehr zu diesem Thema finden Sie hier.