Informationssicherheit (nach ISO 27001:2022)

Wer kennt die beiden folgenden Situationen nicht? Mitarbeitende haben im Büro auf ihren Tischen die Unterlagen aus diversen Besprechungen liegen. Sie sind somit oftmals ungeschützt vor fremden Blicken, für die diese Informationen nicht bestimmt sind. Auch das Postit, auf dem ein Passwort ungeschützt vor fremden Blicken geschrieben steht, lässt sich heute noch in Büroräumlichkeiten finden.

Für die Informationssicherheit bedarf es als Fundament von der obersten Leitung ausgehend einer Informationssicherheitsstrategie bzw. Informationssicherheitspolitik, die von allen Mitarbeitenden gekannt und gelebt wird. Passwortrichtlinien für Systeme des Unternehmens, die sichere Verschlüsselung von Dateien, die physische Zutrittskontrolle und Zutrittsüberwachung bezogen auf Räumlichkeiten mit Informationssicherheitsrelevanz, Zugriffsbeschränkungen auf Informationen durch Berechtigungskonzepte, der Schutz aller Assets des Unternehmens, Regelungen für die Telearbeit, laufende Bewusstseins- und Achtsamkeitsschulungen der Mitarbeitenden stellen nur einen kleinen Bruchteil der durchaus notwendigen und proaktiven Schutzmaßnahmen dar, um den informationssicherheitsgefährdenden Situationen adäquat entgegenzutreten. Genau hier setzt die ISO 27001 als international anerkannte und zertifizierbare Norm an. Der risikobasierte Ansatz der Norm, bei dem Risiken systematisch durch einen Prozess identifiziert und bewertet und daraus notwendige Präventivmaßnahmen abgeleitet werden, soll den Organisationen dazu verhelfen, die Vertraulichkeit, Integrität und Verfügbarkeit ihrer notwendigen Informationen zu gewährleisten und so die Informationssicherheit der Organisation zu stärken.

Als zertifizierter Manager und Auditor für Informationssicherheitsmanagementsysteme nach der ISO 27001 kann ich Ihnen beratend mit Expertise zur Seite stehen. Mein fachliches Know-How als Informatiker erlaubt es mir zugleich, Ihnen auch in der Beratung von technisch notwendigen Maßnahmen im Sinne der Informationssicherheit nach der ISO 27001 behilflich zu sein.

Beratungsschwerpunkte in der Informationssicherheit (nach ISO 27001)

Implementierung eines Informationssicherheitsmanagementsystems nach ISO 27001:2022

ISO 27001 Gap-Analyse – Bewertung des Reifegrades von Sicherheitsmaßnahmen nach ISO 27001:2022 mit dem Ergebnis Ihres aktuellen Compliance-IST-Standes gegenüber der Norm und einem zugehörigen Aktionsplan für die normkonforme Zertifizierung

Planung und Durchführung interner Audits nach ISO 27001:2022

Integrierte Managementsysteme – ISO 27001:2022 und ISO 9001:2015 unter einem gemeinsamen Dach durch gezielte Nutzung der Synergien

Lassen Sie sich von uns im in der Informationssicherheit beraten und unterstützen.

Jetzt Beratung unverbindlich anfragen

Häufig gestellte Fragen (FAQ)

Was ist die ISO 27001?

Die ISO 27001 ist eine internationale, weltweit anerkannte, zertifizierbare und von der Internationalen Organisation für Normierung (International Organization for Standardization) entwickelte und im Jahr 2005 erstveröffentlichte Norm. Sie legt Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems fest. Ziel der ISO 27001 ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen und somit das Risiko von Sicherheitsvorfällen zu minimieren.

Unternehmen, die die ISO 27001 Zertifizierung anstreben, müssen nachweisen, dass sie in vielen Belangen angemessene Sicherheitsmaßnahmen implementiert haben, um die Informationssicherheit zu gewährleisten. Dazu gehören unter anderem die Identifizierung von Risiken, die Implementierung von Sicherheitskontrollen, regelmäßige Schulungen der Mitarbeitenden im Umgang mit sensiblen Informationen, das Screening von Personen, die sich im Unternehmen bewerben, die regelmäßige Überprüfung und Aktualisierung des Informationssicherheitsmanagementsystems uvm.

Die ISO 27001 Zertifizierung ist nicht nur ein wichtiger Schritt zur Sicherung sensibler Informationen, sondern kann auch das Vertrauen der Kundschaften, Stakeholdern und dergleichen stärken. Unternehmen, die ISO 27001 zertifiziert sind, signalisieren damit ihre Verpflichtung zur Informationssicherheit und zeigen, dass sie die international anerkannten Best Practices im Bereich Informationssicherheit einhalten.

Welche Grundsätze verfolgt die ISO 27001?

Vertraulichkeit: Sicherstellung, dass auf Informationen nur von autorisierten Personen oder Systemen unter festgelegten Bedingungen zugegriffen werden können.
Integrität: Gewährleistung, dass Informationen und Systeme vor unbefugter Manipulation geschützt sind und nur von berechtigten Personen oder Prozessen verändert werden können .
Verfügbarkeit: Sicherstellung, dass autorisierte Nutzer jederzeit auf benötigte Informationen und Ressourcen zugreifen können .

Diese drei Säulen – Vertraulichkeit, Integrität und Verfügbarkeit – bilden das Fundament der ISO 27001 und sind die Grundlage für die Maßnahmenziele und Kontrollen im normativen Hauptteil und Anhang A der Norm .

Weitere wichtige Prinzipien sind:
Risikobasierter Ansatz: Die Informationssicherheitsmaßnahmen werden auf Basis einer Risikobewertung festgelegt.
Kontinuierliche Verbesserung: Das ISMS soll kontinuierlich überwacht, überprüft und verbessert werden, um auf neue Bedrohungen zu reagieren.
Dokumentation: Alle relevanten Informationen, Prozesse und Verfahren müssen dokumentiert werden, um Transparenz und Nachvollziehbarkeit zu gewährleisten.

Welche Vorteile bringt ein zertifiziertes ISMS nach ISO 27001?

1. Verbessertes Risikomanagement: Die ISO 27001 hilft Unternehmen dabei, ihre Risiken im Bereich der Informationssicherheit systematisch zu identifizieren, zu bewerten und zu behandeln. Durch die Implementierung angemessener Sicherheitsmaßnahmen können Unternehmen potenzielle Sicherheitsrisiken minimieren und so die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationen gewährleisten.

2. Steigerung des Vertrauens der Kundschaft: Eine Zertifizierung nach ISO 27001 signalisiert der Kundschaft und Stakeholdern, dass angemessene Maßnahmen zum Schutz sensibler Informationen implementiert wurden. Das stärkt das Vertrauen der Kundschaft.

3. Wettbewerbsvorteil: Unternehmen, die nach ISO 27001 zertifiziert sind, können sich gegenüber der Konkurrenz am selben Markt abheben, die keine entsprechende Zertifizierung vorweisen können. Eine Zertifizierung nach ISO 27001 kann somit ein wichtiger Wettbewerbsvorteil sein und dazu beitragen, neue Kundschaft zu gewinnen und bestehende Kundschaft durch ihr Vertrauen ins Unternehmen zu halten.

4. Erfüllung gesetzlicher Anforderungen: Die ISO 27001 hilft Unternehmen dabei, die gesetzlichen und regulatorischen Anforderungen im Bereich Informationssicherheit einzuhalten. Eine Zertifizierung nach ISO 27001 kann somit dazu beitragen, dass Unternehmen gesetzliche Vorschriften im Bereich Informationssicherheit einhalten und mögliche Bußgelder oder rechtliche Konsequenzen vermeiden. Die Einhaltung der Datenschutzgrundverordnung (DSGVO) als gesetzliche Vorgabe stellt beispielsweise somit eine zwingende Vorgabe der Norm dar.

5. Kontinuierliche Verbesserung: Die ISO 27001 legt Wert auf die kontinuierliche Überprüfung und Verbesserung des Informationssicherheitsmanagementsystems. Unternehmen, die nach ISO 27001 zertifiziert sind, sind daher dazu angehalten, ihre Prozesse und Maßnahmen regelmäßig zu überprüfen und zu optimieren, um die Informationssicherheit kontinuierlich zu verbessern.

6. Business Continuity Management: Die Norm behandelt in einem Kapitel das Business Continuity Management. Das Business Continuity Management zielt darauf ab, einen ganzheitlichen Managementprozess etabliert zu haben, der gravierende Risiken für eine Organisation frühzeitig aufdeckt und effektive Maßnahmen dagegensetzt. Um das Überleben eines Unternehmens zu sichern, bedarf es somit geeigneter Präventivmaßnahmen, die zum einen die Ausfallsicherheit der Geschäftsprozesse erhöhen und zum anderen ein schnelles und zielgerichtetes Reagieren in einer Krise ermöglichen. Eine klare Forderung der Norm ist, auch im Notfall bzw. in der Krise die Informationssicherheit gewährleisten zu können.

Diese genannten Vorteile sind nur ein Bruchteil dessen, was ein Informationssicherheitsmanagementsystem zu bieten hat.

Wie lange dauert der Aufbau bzw. die Einführung eines ISMS und wie läuft die Zertifizierung ab?

Der Aufbau bzw. die Einführung eines zertifizierbaren Informationssicherheitsmanagementsystem nach der ISO 27001:2022 hängt von mehreren Faktoren wie der Unternehmensgröße, gewünschter Geltungsbereich der Norm, bereits vorhandene Richtlinien und Sicherheitsmaßnahmen, investierbare Personalressourcen und dergleichen ab. Im Schnitt kann davon ausgegangen werden, dass der Aufbau bzw. die Einführung eines zertifizierbaren Informationssicherheitsmanagementsystems neun bis zwölf Monate beansprucht.

Der Ablauf der Zertifizierung sieht wie folgt aus:

Die Vorbereitung ist der erste wichtige Schritt zur erfolgreichen Zertifizierung. Die Unternehmen sollen dabei sicherstellen, dass sie alle Grundanforderung der Norm ausreichend erfüllen und ihr Qualitätsmanagementsystem dokumentiert ist. Eine GAP-Analyse kann helfen, die Lücken im Qualitätsmanagementsystem zu finden und zu schließen.

Die nach der Vorbereitung durchzuführenden Erstaudits werden von einer akkreditierten Zertifizierungsstelle durchgeführt und dienen der Überprüfung, ob das Qualitätsmanagementsystem den Anforderung der Norm entspricht.

Nach Abschluss der Erstaudits wird durch einen Bericht verschriftlicht, welche Abweichungen von der Norm und etwaige Schwächen des Qualitätsmanagementsystem vorhanden sind.

Die vom Unternehmen daraufhin eingeleiteten Korrekturmaßnahmen zielen darauf ab, die in den Erstaudits festgestellten Normabweichungen zu korrigieren und das System damit zu verbessern und eine Zertifizierung zu ermöglichen.

In einem Zweitaudit wird überprüft erneut das Qualitätsmanagementsystem geprüft. Ziel der erneuten Prüfung ist die Feststellung, ob die Korrekturmaßnahmen wirksam waren und das QM-System nun den Normanforderungen entspricht.

Die Zertifizierung wird durch Verleihung eines Zertifikates seitens der akkreditierten Zertifizierungsstelle vollzogen und gilt ab dann i.d.R. für drei Jahre. Nach Ablauf der dreijährigen Frist bedarf es einer Rezertifizierung.

Innerhalb der dreijährigen Gültigkeitsdauer der Zertifizierung wird mindestens einmal jährlich ein Überwachungsaudit durch die jeweilige Zertifizierungsstelle durchgeführt und zielt darauf ab, die Normkonfomität weiterhin zu überprüfen.

Was kostet ein ISMS nach ISO 27001?

Wie viel der Aufbau und Erhalt eines Informationssicherheitsmanagementsystems schlussendlich kosten wird, lässt sich nicht pauschal beziffern und hängt analog zur Dauer der Implementierung vor allem von den folgenden Faktoren ab:

Anforderungen und Wünsche des Unternehmens
Vorhandene Unternehmensorganisation
Zertifizierung oder keine Zertifizierung
Größe und Komplexität des Unternehmens
Personalkapazitäten für den Aufbau des Qualitätsmanagementsystems

Eines ist aber gewiss: Der Aufbau und Erhalt eines Informationssicherheitsmanagementsystems wird Ihnen weniger kosten als die Folgeschäden eines Imageverlustes durch ein Datenleck mangels unzureichender Schutzmaßnahmen oder diverse Strafzahlungen aufgrund Gesetzesverstöße (DSG, DSGVO etc.).

Gerne lege ich Ihnen ein individuelles Angebot nach Abstimmung und Vorliegen konkreter Daten.

Ist eine Zertifizierung nach ISO 27001 erforderlich?

Eine Zertifizierung nach ISO 27001 ist dann erforderlich, wenn ein Unternehmen oder eine Organisation nachweisen können möchte oder muss, dass angemessene Maßnahmen zum Schutz von vertraulichen Informationen und Daten implementiert sind. Dies kann beispielsweise der Fall sein, wenn das Unternehmen sensible Daten im Rahmen diverser Geschäftsbeziehungen verarbeitet oder speichert, oder wenn es gesetzliche oder vertragliche Anforderungen erfüllen muss, die den Schutz von Informationen vorschreiben. Zugleich kann eine Zertifizierung auch als Wettbewerbsvorteil gegenüber der Konkurrenz erachtet werden. Gerade bei Geschäftsbeziehungen, in denen sensible Daten und Informationen verarbeitet werden, möchte man diese gut geschützt wissen. Ein Nachweis eines implementierten Informationssicherheitsmanagementsystems nach international anerkannten Standards kann hier die beste Lösung sein.