Warum brauchen Unternehmen eine ISO 27001-Zertifizierung?
Die ISO 27001 definiert Verfahren und Vorschriften, denen Sie nachkommen müssen, um eine Zertifizierung zu erhalten. Eine solche Zertifizierung verleiht Ihnen Vertrauenswürdigkeit gegenüber Ihren Interessenvertretern sowie einen Wettbewerbsvorteil. Weitere Informationen zur ISO 27001 finden Sie in unserem vollständigen Leitfaden zur ISO 27001.
Für Ihre Organisation bedeutet die Implementierung der Standardmaßnahmen der ISO 27001 viel mehr als nur die Einhaltung gewisser Vorschriften – sie ist außerdem ein Schritt in die richtige Richtung auf dem Weg zu einer höheren Datensicherheit und einem besseren Datenschutzmanagement.
Was ist ein ISMS und warum ist es wichtig?
Ein Informationssicherheits-Managementsystem (ISMS) ist ein System, das aus Prozessen und Technologie besteht, mithilfe derer eine Organisation ihre Daten verwalten und schützen kann.
Es legt fest, wie die Datensicherheit und Datenverwaltungsstruktur Ihrer Organisation aussehen. Mithilfe dieses Systems kann Ihre Organisation Risiken wie Datenlücken erkennen, durch die Ihr Datenmanagementsystem angreifbar wird.
Um die Anforderungen der ISO 27001-Norm zu erfüllen, benötigen Sie ein aktuelles ISMS, denn heutzutage, wo Informationssicherheit immer wichtiger wird, hilft Ihnen ein solches System, Ihre Organisation mühelos durch das Meer der Datensicherheit zu steuern.
Vor der Implementierung eines ISMS sollte Ihre Organisation die Anforderungen der ISO 27001 und deren Kontext verstehen. Ihre Organisation kann sich nicht aussuchen, welche dieser Anforderungen sie erfüllen möchte, da sie zur Einhaltung der ISO 27001 alle erforderlich sind. Gehen wir einmal näher auf diese Anforderungen ein.
Was sind die ISO 27001-Anforderungen?
Nachdem wir nun die Grundlagen zur Umsetzung der ISO 27001-Anforderungen und den Zweck der Implementierung eines ISMS zusammengefasst haben, wenden wir uns den Anforderungen selbst zu, die in der internationalen Norm ISO 27001 als Kapitel aufgeführt sind.
Diese Anforderungen müssen Sie nicht nur während der Vorbereitung auf die Zertifizierung einhalten, sondern auch, wenn Sie die ISO 27001 generell einhalten möchten. Ziel sollte nämlich nicht nur die Erlangung der Zertifizierung sein, sondern auch, eine starke Informationssicherheitsrichtlinie für Ihre Organisation aufzustellen.
Umsetzung der ISO 27001 Controls und Aufbau eines ISMS
In bis zu 3 Monaten machen wir Sie bereit für das ISO 27001 Audit.
Reduzieren Sie dabei Ihren manuellen Aufwand um bis zu 75%
Kapitel 4: Kontext der Organisation
4.1 – Verstehen der Organisation und ihres Kontextes
Dieses Kapitel ist die Grundlage oder der erste Schritt der ISO 27001-Implementierung in einer Organisation. Hier geht es darum, den Kontext der Organisation und relevante Aspekte für Ihre Organisation zu definieren.
4.2 – Verstehen der Erfordernisse und Erwartungen interessierter Parteien
Diese Anforderung kann erfüllt werden, nachdem der Kontext der Organisation definiert wurde. Denn erst, nachdem Kapitel 4.1 erfüllt und die Ziele der Organisation verstanden wurden, können wir deren potenzielle Interessenvertreter verstehen.
4.3 – Festlegen des Anwendungsbereichs des Informationssicherheits-Managementsystems
In diesem Schritt bestimmen Sie den Anwendungsbereich (Scope) des ISMS, das genau auf Ihre Organisation zugeschnitten ist. Dieser Schritt ist wichtig, da Interessenvertreter so verstehen können, welche Bereiche durch das ISMS geschützt sind und welche nicht.
4.4 – Informationssicherheits-Managementsystem
Hier führt Ihre Organisation, das ISMS ein. Nach der Einführung sind eine fortlaufende Aktualisierung und Verbesserung des Systems sowie angemessene Schulungen für Ihre Mitarbeiter/Ihr Personal erforderlich.
Kapitel 5: Führung
5.1 – Führung und Verpflichtung
In diesem Kapitel wird die Anforderung an die Führungsebene bzw. den Vorstand der Organisation gestellt, die Informationssicherheit in den Mittelpunkt zu rücken und ein ernsthaftes Interesse dafür zu zeigen. So soll sichergestellt werden, dass sie ihren Beschäftigten mit gutem Beispiel vorangehen.
5.2 – Politik
An Mitglieder der Führungsebene bzw. des Vorstands wird die Anforderung gestellt, eine Informationssicherheitsrichtlinie aufzustellen. Die Erstellung dieses Grundsatzdokuments ist vielleicht nicht besonders schwierig, aber der Inhalt des Dokuments spielt hinsichtlich des ISMS eine wichtige Rolle, da es Vertrauen gegenüber der Organisation vonseiten der Interessenvertreter schaffen soll.
5.3 – Rollen, Verantwortlichkeiten und Befugnisse in der Organisation
Bei der Einführung des ISMS ist es die Aufgabe der Führungsebene bzw. des Vorstands, die Rollen, Verantwortlichkeiten und Befugnisse angemessen auf die Mitarbeiter zu verteilen. In der Regel bietet sich auch die Benennung eines Informationssicherheitsbeauftragten (CISO) an.
Kapitel 6: Planung
6.1 – Maßnahmen zum Umgang mit Risiken und Chancen
In der ISO 27001 kommt der Risikobehandlung eine zentrale Rolle zu. Die Risikobehandlung und Risikobeurteilung innerhalb eines ISMS ermöglichen Organisationen, Risiken und Chancen zu erkennen und die Anforderungen der Organisation zu beurteilen.
6.2 – Informationssicherheitsziele und Planung zu deren Erreichung
Für den Erfolg einer Organisation spielt Informationssicherheit eine zentrale Rolle, da sie als Wettbewerbsvorteil genutzt werden kann. Aus diesem Grund muss sich eine Organisation darüber im Klaren sein, warum sie ein ISMS einführt. So können Prozesse schneller und transparenter – und im Einklang mit den Zielen der Organisation – durchgeführt werden.
Kapitel 7: Unterstützung
7.1 – Ressourcen
Eine Organisation muss angemessene Ressourcen zur Verfügung stellen, um die Anforderungen der ISO 27001 zu erfüllen. Ergänzend zu Kapitel 5.3 ist es zwar nicht obligatorisch, dauerhaft Personal bereitzustellen, um das ISMS zu aktualisieren, zu warten und zu verbessern, doch Ressourcen müssen nach Bedarf zur Verfügung gestellt werden.
7.2 – Kompetenz
Die ISO 27001 fordert dazu auf, dass die Beschäftigten, die für Prozesse bezüglich des ISMS und der ISO 27001 verantwortlich sind, über relevante Kenntnisse verfügen und fortlaufend aktuelle Schulungen durchlaufen, um ihre Kompetenzen über die Norm und über Informationssicherheit im Allgemeinen aufrechtzuerhalten.
7.3 – Bewusstsein
Die Beschäftigten, die für Prozesse bezüglich des ISMS und der ISO 27001 verantwortlich sind, müssen die Informationssicherheitsrichtlinie der Organisation kennen und fortlaufend Aktualisierungen dazu erhalten. Dazu gehören: die Vorteile des ISMS, Methoden zur Feststellung von Risiken und Chancen durch Risikobeurteilungen und Risikobehandlung sowie die Gefahr von Fehlern, sollte das ISMS nicht die Anforderungen der Sicherheitsrichtlinie der Organisation erfüllen.
7.4 – Kommunikation
Die Beschäftigten, die für Prozesse bezüglich des ISMS und der ISO 27001 verantwortlich sind, müssen in der Lage sein, Begriffe zum Thema Informationssicherheit, wie sie in der DSGVO, im ISMS, in der ISO 27001 und in anderen Sicherheitsnormen verwendet werden, zu verstehen. Außerdem müssen die Beschäftigten wissen, mit wem und wie sie zu kommunizieren haben.
7.5 – Dokumentierte Information
Die ISO 27001 und andere ISO-Normen stellen strenge Anforderungen an die Richtigkeit und Genauigkeit der von der Organisation bereitgestellten Dokumentation. Hier empfiehlt es sich, dass Sie sich in Ruhe überlegen, wie das ISMS Ihrer Organisation aufgebaut ist, damit Sie dessen Ziele und Begrenzungen dokumentieren können.
Kapitel 8: Betrieb
8.1 – Betriebliche Planung und Steuerung
Es ist wichtig, dass eine Organisation vor und während der Einführung eines ISMS und der ISO 27001 über strukturelle Prozesse verfügt, wie jene, die oben in den Artikeln 6.1, 6.2 und 7.5 genannt sind. Dies ermöglicht effektive Prozesse und führt langfristig zum Erfolg.
8.2 – Informationssicherheitsrisikobeurteilung
Im Rahmen einer Sicherheitsrisikobeurteilung findet die Erkennung, Bewertung und Umsetzung wichtiger Informationssicherheitsmaßnahmen statt. Ein weiterer Schwerpunkt liegt auf der Vermeidung von Sicherheitsschwachstellen in Anwendungen. Diese Beurteilungen müssen regelmäßig durchgeführt werden, da Veränderungen am ISMS und der Informationssicherheitsrichtlinie vorgenommen werden können.
8.3 – Informationssicherheitsrisikobehandlung
Die Möglichkeiten einer Risikobehandlung umfassen die Vermeidung, Optimierung, Überwälzung und Beibehaltung von Risiken. Diese Optionen können aus einer Liste über die Sicherheitsmaßnahmen, welche das ISMS der Organisation verwendet, ausgewählt werden.
Kapitel 9: Bewertung der Leistung
9.1 – Überwachung, Messung, Analyse und Bewertung
Wenn Ihre Organisation nach ISO 27001 zertifiziert werden möchte, kann ein durch die DAkkS (Deutsche Akkreditierungsstelle) akkreditierter Auditor für Informationssicherheit Ihre Informationssicherheitsprozesse und -maßnahmen, Ihre ISMS-Instandhaltung sowie Ihre Erfüllung der ISO 27001 im Allgemeinen prüfen. Hierzu ist eine fortlaufende Überwachung, Messung, Analyse und Bewertung Ihres ISMS durch Ihre Organisation erforderlich.
9.2 – Internes Audit
Für eine Zertifizierung muss Ihre Organisation regelmäßig interne Audits durchlaufen, um sicherzustellen, dass Ihr ISMS Ihre Informationssicherheitsrichtlinie einhält und die Anforderungen der ISO 27001-Norm erfüllt.
9.3 – Managementbewertung
Die Führungsebene bzw. der Vorstand muss in regelmäßigen Abständen das ganze Jahr über Managementbewertungen durchführen. Diese Managementbewertungen helfen bei der Erkennung von Bereichen, die im ISMS Ihrer Organisation und allgemein hinsichtlich der ISO 27001-Norm verbessert werden können.
Zwar werden diese Bewertungen üblicherweise ein- oder zweimal jährlich gefordert, eine häufigere Durchführung ist jedoch empfehlenswert, da sich die Technologie heutzutage schneller entwickelt und das Risiko, Bedrohungen ausgesetzt zu sein, viel höher ist als früher.
Kapitel 10: Verbesserung
10.1 – Nichtkonformität und Korrekturmaßnahmen
Wenn eine Nichtkonformität im ISMS erkannt wird, stellt die daraufhin ergriffene Maßnahme einen wesentlichen Bestandteil der ISMS-Verbesserung in der Organisation dar. Sowohl die Nichtkonformität als auch die daraufhin ergriffene Korrekturmaßnahme sind zu dokumentieren.
10.2 – Fortlaufende Verbesserung
Zur Erreichung und Aufrechterhaltung der Eignung, Angemessenheit und Wirksamkeit der Informationssicherheit im Hinblick auf die Ziele der Organisation ist das ISMS auf eine fortlaufende Verbesserung angewiesen.
Die Erfüllung der in den oben genannten Kapiteln beschriebenen Anforderungen durch die Organisation und die Behandlung von Informationssicherheit als Schwerpunktthema spielen für die Zertifizierung nach ISO 27001 eine wesentliche Rolle.
Die Einhaltung sämtlicher oben aufgelisteter Anforderungen ist für eine Zertifizierung unerlässlich. Dahingegen müssen nicht alle ISO 27001-Maßnahmen erfüllt werden. Neben der Erfüllung der Anforderungen ist vor allem die Auswahl der Maßnahmen, die für Ihre Organisation relevant sind, ein zentraler Aspekt der ISO 27001. Diese Maßnahmen listen wir unten auf. Werfen Sie einen Blick darauf und überlegen Sie sich, was sie für Ihre Organisation bedeuten.
ISO 27001-Zertifizierung und DSGVO-Compliance sind entscheidend, um den langfristigen Erfolg unseres Unternehmens zu sichern.
Calin Coman-Enescu
Behaviour Lab
100% unserer Kunden bestehen die
ISO 27001-Zertifizierung beim ersten Mal
Was sind die ISO 27001-Maßnahmen (Controls) und welche Bedeutung haben sie für Ihre Organisation?
Die ISO 27001-Maßnahmen (Controls) werden in Annex A der Norm beschrieben und auch Annex A-Maßnahmen genannt. Annex A umfasst 114 Informationssicherheitsmaßnahmen und -ziele in 14 Kategorien, welche Organisationen für die Einhaltung der ISO 27001 und die Einführung eines ISMS beachten sollten.
Dies sind die 14 Kategorien des Annex A:
-
Informationssicherheitsrichtlinien
-
Organisation der Informationssicherheit
-
Asset-Management
-
Zugangssteuerung
-
Kryptografie
-
Physische und umgebungsbezogene Sicherheit
-
Betriebssicherheit
-
Kommunikationssicherheit
-
Anschaffung, Entwicklung und Instandhalten von Systemen
-
Lieferantenbeziehungen
-
Handhabung von Informationssicherheitsvorfällen
-
Informationssicherheitsaspekte beim Business Continuity Management
-
Compliance/Konformität
Der Annex A der ISO 27001 ist der wohl bekannteste Annex aller ISO-Normen, da er ein wichtiges Werkzeug für die Handhabung von Informationssicherheitsrisiken bietet.
Der Annex A kann auch als Übersicht über Informationssicherheitsmaßnahmen betrachtet werden, aus denen Sie wählen können. Suchen Sie sich diejenigen der 114 Maßnahmen aus Annex A aus, die für den Betrieb Ihrer Organisation relevant sind. Nach der Auswahl dieser Maßnahmen speziell für Ihre Organisation können Sie mit der Dokumentation für das ISMS beginnen.
Achtung: Der Anhang A der ISO 27001 wurde überarbeitet und besteht jetzt aus 93 Controls, aufgeteilt in vier Kategorien. Mehr zum Thema finden Sie in unserem Beitrag zu den Controls aus Anhang A der ISO 27001.
Welche Dokumente sind für die Erfüllung der ISO 27001 erforderlich?
Für die Einhaltung der ISO 27001-Norm ist die Dokumentation von zentraler Bedeutung, da externe Parteien wie der TÜV diese in regelmäßigen Audits prüfen. Wenn sich Ihre Organisation einem Audit nach ISO 27001 unterzieht, benötigen die externen Auditoren Nachweise über alle Bestandteile der ISO 27001- und der ISMS-Einführung.
Die obligatorischen Dokumente für eine ISO 27001-Zertifizierung sind:
-
3 Anwendungsbereich des ISMS
-
2 Politik/Informationssicherheitsrichtlinie
-
1.2 Prozess zur Informationssicherheitsrisikobeurteilung
-
1.3 Plan für die Informationssicherheitsrisikobehandlung
-
1.3 Erklärung zur Anwendbarkeit
-
2 Informationssicherheitsziele
-
2 Nachweise über die Kompetenz
-
5.1 Dokumentierte Information, die von der Organisation als notwendig für die Wirksamkeit des ISMS erachtet wird
-
1 Betriebliche Planung und Steuerung
-
2 Ergebnisse der Informationssicherheitsrisikobeurteilung
-
3 Ergebnisse der Informationssicherheitsrisikobehandlung
-
1 Nachweise über die Überwachung und Messung der Ergebnisse
-
2 Ein dokumentierter interner Auditprozess
-
2 Nachweise über die Auditprogramme und Auditergebnisse
-
3 Nachweise über die Ergebnisse der Managementbewertungen
-
1 Nachweise über die Art der Nichtkonformitäten und ergriffenen Folgemaßnahmen
-
1 g) Nachweise über die Ergebnisse jeglicher Korrekturmaßnahmen
Sämtliche dieser Dokumente sind Bestandteil der oben beschriebenen ISO 27001-Anforderungen. Alle Kriterien müssen entsprechend befolgt und dokumentiert werden, damit eine Organisation die erforderlichen Dokumente in externen Audits vorlegen kann.
Die Erklärung zur Anwendbarkeit (Statement of Applicability) in Kapitel 6.1.3 ist eines der zentralen Dokumente und Teil von Kapitel 6.1 Maßnahmen zum Umgang mit Risiken und Chancen.
Was ist die Erklärung zur Anwendbarkeit?
Wenn Sie mit der Umsetzung der ISMS-Maßnahmen beginnen, stoßen Sie bestimmt auch auf die Erklärung zur Anwendbarkeit, ein obligatorisches Dokument, das als zentrales Bindeglied zwischen einer Risikobeurteilung und einer Risikobehandlung in einer Organisation fungiert.
Die Erklärung zur Anwendbarkeit (Englisch: statement of applicability, kurz SoA) ist Teil von 6.1.3 der vorrangigen ISO-Normen für ISO 27001 und ein Bestandteil der umfassenderen Anforderungen in Kapitel 6.1, das sich mit Maßnahmen zum Umgang mit Risiken und Chancen befasst. Bei einem Audit ist die SoA eines der ersten Dokumente, die sich ein Auditor ansieht. Weitere Informationen zur SoA finden Sie in unserem Beitrag zur Erklärung zur Anwendbarkeit in der ISO 27001.
Mithilfe der SoA kann eine Organisation feststellen, welche ISO 27001-Maßnahmen und ‑Richtlinien derzeit vorliegen und diese mit den Maßnahmen aus Annex A vergleichen.
Fazit:
Nachdem Sie sich nun einen Überblick über die ISO 27001 verschafft haben, können Sie mit der Implementierung beginnen. Mit einer ISO 27001-Zertifizierung können Sie Ihren Interessenvertretern zeigen, dass Ihre Organisation Informationssicherheit nicht auf die leichte Schulter nimmt.
Gerne bieten wir Ihnen Unterstützung zur Erreichung Ihrer ISO 27001 Zertifizierung und beim Erfüllen der Anforderungen. Vereinbaren Sie dazu einfach eine kostenlose Erstberatung mit unseren Informationssicherheitsexperten.