ISO 27001 – der Standard für Informationssicherheit

Das Wichtigste in Kürze 

• Die ISO 27001 ist ein internationaler Sicherheitsstandard zur Regelung der Informationssicherheit in einer Organisation. 
• Der Standard stellt den Rahmen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS) bereit, um Organisationen bei der Absicherung ihrer Informationswerte (Assets) zu unterstützen. 
• Ein Informationssicherheits-Managementsystem (ISMS) ist ein Rahmenwerk aus Richtlinien und Verfahren, um Risiken zu minimieren und die Kontinuität des Betriebs durch die Abmilderung der Auswirkungen von Sicherheitsverletzungen zu sichern. 
• Mit der Umsetzung des internationalen Sicherheitsstandards werden die bestmöglichen Sicherheitspraktiken und Strategien zur Erhöhung der Informationssicherheit in einer Organisation gewährleistet. 

Was genau ist die ISO 27001?

Im Unternehmensalltag kurz „ISO 27001“ genannt, handelt es sich bei der ISO 27001 um eine internationale Norm zur Regelung der Informationssicherheit in Organisationen. Ihr offizieller Titel in aktueller deutscher Fassung lautet „DIN EN ISO/IEC 27001:2013, Informationstechnik – Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“. Ihr Rahmen- und Regelwerk wird gemeinsam von der International Standardization Organization (ISO) und der International Electrotechnical Commission (IEC) entwickelt und herausgegeben und wurde zuletzt 2013 aktualisiert.

Als internationaler Standard definiert sie die Grundprinzipien zur Verfahrensweise mit dem übergeordneten Thema Informationssicherheit. Die ISO 27001 gehört zur ISO/IEC 27000-Normenreihe, welche sich mit der Umsetzung, Implementierung, Unterhaltung, Überwachung und Unterhaltung eines Informationssicherheits-Managementsystems (ISMS) befasst.

Dieser Artikel gibt Ihnen einen Überblick, was genau unter der ISO 27001 zu verstehen ist, welchen Zweck sie verfolgt, was eine ISO 27001-Zertifizierung umfasst, welche Kosten für eine Zertifizierung anfallen, welche Bedeutung und welche Vorteile eine vollständige ISO 27001-Zertifizierung hat und warum sie das Unternehmenswachstum so begünstigt.

Was bedeutet ISO und IEC?

ISO steht für International Standardization Organization. Als Internationale Organisation für Normung ist sie eine internationale regierungsunabhängige Vereinigung nationaler Normierungsorganisationen aus 167 Mitgliedsstaaten (Stand 2022). Ihre Rolle besteht darin, für nahezu alle Bereiche internationale Standards und Normen zu erarbeiten und herauszugeben.

Die Internationale Elektrotechnische Kommission (IEC, International Electrotechnical Commission) ist ebenfalls eine internationale Standardisierungsorganisation, deren Fokus allerdings ausschließlich auf dem Bereich der Elektrik, Elektronik und damit verbundenen Technologien liegt. Diese als „Elektrotechnik“ bezeichneten Aspekte liegen ausschließlich im Zuständigkeitsbereich der IEC und werden nicht von der ISO abgedeckt.  

Um für den Bereich der Informations- und Kommunikationstechnik international gültige Normen zu entwickeln, haben die ISO und IEC daher ein gemeinsames technisches Komitee (JTC) aufgesetzt.

Warum ist die ISO 27001 so wichtig? 

Kurz gesagt: Die Funktion von ISO 27001 ist, Organisationen unabhängig von ihrer Größe und Branche einen Rahmen aus Richtlinien, Verfahren und Maßnahmen (Controls) zur Verfügung zu stellen, um das Risiko von Verstößen gegen die Informationssicherheit abzumildern. Einige der Risiken, die hierunter fallen, sind:   

• Physische Gefahren wie Brände in Serverräumen
• Gefahren, die von Mitarbeitern ausgehen, wie z. B. vorsätzlicher Datendiebstahl oder Fehler aufgrund unzureichender Schulung sowie Fahrlässigkeit
• Gefahren für Systeme und Prozesse, z. B. veraltete Software
• Bedrohungen durch Cyberkriminalität wie Ransomware-Angriffe

Der Normenrahmen gibt zu allen (physischen/technischen/rechtlichen) Risiken Maßnahmen an und gewährleistet so die Implementierung von Sicherheitsmaßnahmen zum Schutz von Daten und Informationen.

2023 kommen auf Unternehmen neue Herausforderungen in der Informationssicherheit zu - darunter neue Angriffsmethoden von Hackern und der Mangel an Fachkräften. In unserem Artikel erklären wir, wie Sie sich darauf einstellen sollten. 

Welche Vorteile bietet die Zertifizierung nach ISO 27001?

Ein ISO 27001-konformes ISMS trägt in Organisationen zur Erkennung und Behebung von Sicherheitsrisiken bei. Wieso aber ist dies für eine Organisation förderlich? Ganz allgemein bewirkt ISO 27001-Konformität folgendes:

Stärkt das Vertrauen aller Beteiligten

Die ISO 27001 stattet Organisationen mit den nötigen Informationen aus, um durch Anwendung einer guten Informationssicherheitspraxis wertvolle Daten zu schützen. Die ISO 27001-Konformität einer Organisation gibt ihren Kunden, Partnern und wichtigen Interessengruppen die Gewissheit, dass sie die nötigen Sicherheitsmaßnahmen getroffen hat, um wertvolle Informationen und sensible Daten angemessen zu behandeln.

Schützt Organisationen vor Verstößen gegen den Datenschutz

Die ISO 27001-Norm definiert Richtlinien und Verfahren für Sicherheitsmaßnahmen, die – wenn sie getroffen werden – eine Organisation vor unbefugtem Zugriff auf ihre Daten und ultimativ vor vollständigem Datenverlust schützen. Durch Implementierung der vorgeschlagenen Maßnahmen sinkt zudem das Risiko, dass Datenschutzverstöße auftreten oder Bußgelder für derartige Vorfälle anfallen. Die Richtlinien decken die Informationssicherheit bereichsübergreifend ab. Für den Fall, dass doch einmal Daten in irgendeiner Weise kompromittiert werden, zeigt die ISO 27001-Norm Verfahren für verantwortungsvolles und effektives Vorfallsmanagement auf.

Sichert die persönlichen Daten von Mitarbeitenden ab

Unter ISO 27001 werden nicht nur sensible Daten von Dritten geschützt, sondern auch die persönlichen Daten der Mitarbeitenden einer Organisation. Eine Organisation ist dazu verpflichtet, die von ihr getroffenen Informationssicherheitsmaßnahmen allen Parteien gegenüber offenzulegen, damit diese davon Kenntnis haben, mit ihnen einverstanden sind und ihnen zustimmen können. Dies ist eine der Voraussetzungen, damit eine Organisation unter dieser Norm als konform mit Branchenvorgaben und Arbeitsanweisungen gilt.

Obwohl viele Unternehmen gerne eine fertige Vorlage für die Umsetzung der Informationssicherheit hätten, ist die ISO 27001 doch sehr vage und abstrakt gehalten. Und das aus gutem Grund: Sie ist für Organisationen jeder Art und Größe gedacht. Das Ziel ist nicht etwa eine „100-prozentige Sicherheit“. Stattdessen muss jede Organisation ihre Risiken selbst einschätzen und sie gemäß ihrer individuellen Risikobereitschaft abmildern. 

Zu diesem Zweck ist jede Organisation und jedes Unternehmen dazu angehalten, ein Informationssicherheits-Managementsystem, kurz ISMS einzurichten – ein effizientes, technologieunabhängiges, risikobasiertes Mittel zur Absicherung von Informationsassets, das auf regelmäßigen Information Security Assessments (ISA) zur Risikobewertung beruht.

Was ist ein ISMS?

Ein Informationssicherheits-Managementsystem (ISMS, engl. Information Security Management System) ist ein Ansatz bzw. System zur Wahrung der Informationssicherheit einer Organisation oder eines Unternehmens. Es setzt sich aus einer Reihe von Vorgaben zusammen, die eine Organisation implementieren sollte, damit sie ...

• weiß, wer ihre Interessengruppen sind und welche Erwartungen diese hinsichtlich der Informationssicherheit ihrer Organisation haben,
• weiß, welchen Risiken die Informationen ausgesetzt sind,
• die definierten Anforderungen erreichen und dazu die Risiken managen, Maßnahmen (Sicherungsmechanismen) entwickeln und sonstige Strategien zur Schadensminderung einrichten kann,
• klare Ziele definieren kann, welche Mindestmaßnahmen im Hinblick auf die Informationssicherheit zu ergreifen sind,
• alle nötigen Maßnahmen und sonstigen Strategien zur Risikominderung implementieren kann,
• regelmäßig überprüfen kann, inwieweit die eingerichteten Maßnahmen plangemäß funktionieren, und
• fortlaufende Verbesserungen an der Gesamtleistung des ISMS vornehmen kann.

Grundsätzlich ergeben sich aus einem ISMS für eine Organisation folgende Vorteile:

• Konformität mit rechtlichen Vorgaben
• Wettbewerbsvorteile gegenüber Mitbewerbern
• Kostenreduktion oder -wegfall
• Verbesserte Organisationsstruktur

Es besteht die Möglichkeit, ein ISMS nach ISO 27001 zertifizieren zu lassen. In einigen Branchen ist diese Zertifizierung unverzichtbar, wenn es um den Abschluss großer Verträge geht. Die Zertifizierung stärkt das Vertrauen aller Geschäftspartner und trägt so zum Ausbau von Geschäftsmöglichkeiten bei. Die ISO 27001 ist inzwischen zum „Goldstandard“ für Managementsysteme zur Informationssicherheit avanciert und wird in zahlreichen Organisationen als integraler Bestandteil ihrer Verfahren für IT-Governance-, Risiko- und Compliance-Management eingesetzt. 

Nachdem wir den Begriff ISMS nun geklärt haben, sehen wir uns an, wie das ISO 27001-Framework (Rahmenwerk) eingesetzt wird und wie die beiden zusammenhängen.

Wie wird das ISO 27001-Rahmenwerk eingesetzt?

ISO 27001 ist eine Herangehensweise an Informationen, bei der die Risiken im Mittelpunkt stehen. Ihr Hauptanliegen besteht darin, Risiken zur Informationssicherheit zu erkennen und sie systematisch mittels Kontrollmaßnahmen zu beheben. Die ISO 27001-Norm ist zur klaren Strukturierung des vorgegebenen Rahmens in sogenannte Clauses (Klauseln) und Controls (Maßnahmen) unterteilt.

Welche Klauseln enthält die ISO 27001?

Die Clauses (Klauseln) der ISO 27001 dienen der Erläuterung dieser Norm und spezifizieren ihre Anforderungen im Detail. Kurzum, sie stellen das Grundgerüst dar, das jede Organisation dazu nutzen kann, um sich den Vorgaben dieses Standards anzupassen.   

• Klausel 0: Einführung
• Klausel 1: Anwendungsbereich
• Klausel 2: Normative Bezüge
• Klausel 3: Begriffe und Definitionen

Die Klauseln 0 bis 3 geben allgemeine Hinweise und führen in die Norm und ihre Begrifflichkeiten ein. Die Klauseln 4 bis 10 spezifizieren die Anforderungen, die eine Organisation für die Zertifizierung zwingend erfüllen muss.

• Klausel 4: Kontext der Organisation

Diese Klausel unterstreicht die Wichtigkeit, den Kontext zu berücksichtigen, in dem sich eine Organisation bewegt, und daran den Anwendungsbereich für das ISMS festzumachen. Denn ihre Anforderungen können über die regulatorischen Aspekte hinausgehen. Dies gilt es zu erkennen und zu berücksichtigen.

• Klausel 5: Führung

Die vermutlich kritischste Komponente für den Erfolg eines ISMS ist das uneingeschränkte Engagement der obersten Führungsebene. Die Klausel verlangt von der Organisation, die Ziele, Rollen, Verantwortlichkeiten und Befugnisse im Bereich der Informationssicherheit eindeutig festzulegen. Demgemäß sind auch die Ressourcen zur Verfügung zu stellen.

• Klausel 6: Planung

Bei der Planung einer ISMS-Umgebung ist Folgendes zu berücksichtigen: Die Informationssicherheitsziele sollten sich auf die Risikobewertung stützen und mit den allgemeinen Organisationszielen einhergehen. Genauso sollten alle an der Organisation Beteiligten ihre Aktivitäten an diesen Sicherheitszielen ausrichten.

• Klausel 7: Unterstützung

Bei der Einführung und Umsetzung von Informationssicherheitsrichtlinien in einer Organisation sind das Bewusstsein und Commitment der Mitarbeiter ausschlaggebend. Die Klausel sieht außerdem vor, dass alle relevanten Informationen dokumentiert, erstellt, aktualisiert und kontrolliert werden. Die Intakthaltung dieser Informationen stellen die Grundlage für ein effektives ISMS dar.

• Klausel 8: Betrieb

Die während einer Risikobewertung erkannten Risiken bedürfen weiterer Behandlung. Hierzu sieht diese Klausel vor, Methodiken und Maßnahmen zur Risikobehandlung einzuführen.

• Klausel 9: Bewertung der Wirksamkeit

Zur Bestätigung und Bewertung der Wirksamkeit und Leistung des ISMS sowie der implementierten Maßnahmen sind interne Audits und Routineprüfungen durchzuführen. Die ISO 27001-Norm sieht außerdem vor, die Zielerfüllung des ISMS anhand geeigneter Messgrößen durchgängig zu überwachen, messen, analysieren und evaluieren.

• Klausel 10: Verbesserung

Zur regelmäßigen Behebung von Nichtkonformitäten und unwirksamen Maßnahmen sollte ein Prozess implementiert sein, der die stetige Verbesserung des ISMS unterstützt.

Was sind die Maßnahmen (Controls) nach ISO 27001 Anhang A?

Die Controls (Maßnahmen) aus ISO 27001 Annex A (Anhang A) sind Verfahren, die die potenziellen Risiken zu allen Aspekten einer Organisation erheblich verringern können. Sie sind in 14 Kategorien unterteilt. Welche der Maßnahmen eine Organisation wählt, bestimmt sich nach den von ihr ermittelten Risiken. Diese Schwerpunkte decken die Maßnahmen nach Anhang A ab:

• 5 – Informationssicherheitsrichtlinien
• 6 – Organisation der Informationssicherheit
• 7 – Personalsicherheit
• 8 – Asset Management
• 9 – Zugangssteuerung
• 10 – Kryptographie
• 11 – Physische und Umgebungssicherheit
• 12 – Betriebssicherheit
• 13 – Kommunikationssicherheit
• 14 – Anschaffung, Entwicklung und Instandhaltung von Systemen
• 15 – Lieferantenbeziehungen
• 16 – Management von Informationssicherheitsvorfällen (Incident Management)
• 17 – Informationssicherheitsaspekte beim betrieblichen Kontinuitätsmanagement (Business Continuity Management)
• 18 – Compliance-Richtlinien der Organisation

Die Compliance nach ISO 27001 beschränkt sich nicht alleine auf die Informationstechnik (IT), sie deckt auch alle weiteren Bereiche einer Organisation ab, wie Mitarbeiter, Prozesse und Technik. Mehr zu diesem speziellen Thema enthält unser ausführlicher Leitfaden ISO 27001 Controls aus Annex A.

Die Maßnahmen, oder auch Referenzmaßnahmenziele, in Anhang A der Norm fallen in der Regel in eine der folgenden Kategorien:

• Technische Maßnahmen im Rahmen des ISMS sind Komponenten, die vorwiegend zur Absicherung der Software, Hardware und Firmware implementiert werden. Ein Beispiel hierfür ist die Installation eines Virenscanners.

• Organisatorische Maßnahmen legen die Regeln und Erwartungen fest, die im Zusammenhang mit der organisationseigenen technischen Ausstattung, Software und Systemumgebung befolgt werden müssen. 

• Rechtliche Maßnahmen betreffen die Compliance. Sie werden implementiert, damit sichergestellt ist, dass alle Regeln und Erwartungen den rechtsgültigen Verträgen und Vorgaben folgen, an die die Organisation gebunden ist.

• Physische Maßnahmen regulieren die Sicherheit im Hinblick auf den Einsatz technischer Geräte und Gegenstände durch Personen, beispielsweise Überwachungssysteme und Alarmanlagen.
• Personalbezogene Maßnahmen werden implementiert, um einzelne Personen auf die Ausführung ihrer Aufgaben vorzubereiten und sie mit dem nötigen Wissen auszustatten, damit sie diese vollständig konform zu den Sicherheitszielen der Organisation ausführen können. Beispiele hierfür sind Trainingsprogramme und Schulungsmaßnahmen.

Was ist der Unterschied zwischen ISO 27001:2013 and ISO 27001:2017?

Vielleicht ist Ihnen aufgefallen, dass die ISO 27001-Versionen von 2013 und 2017 gleichzeitig verwendet werden. Die letzte inhaltliche Aktualisierung fand 2013 statt. 2017 brachte die IEC jedoch die ISO 27001:2017 heraus, die sich nur marginal in ein paar Formulierungen unterscheidet und in ihrem vollen Namen ein „EN“ enthält – die Abkürzung für „Europäische Norm“. Die Änderungen zeigen die Anerkennung der ISO 27001 durch das Europäische Komitee für Normung (CEN/CENELEC). 

Um es noch einmal zu betonen: Es gibt zwar ganz geringfügige Änderungen am Wortlaut und am Layout, nicht an den Anforderungen selbst. Die Gültigkeit von Zertifizierungen wurde durch das Update nicht beeinflusst. 

Besteht eine rechtliche Verpflichtung zur Anwendung der ISO 27001?

Die ISO 27001-Norm erkennt an, dass jede Organisation unterschiedliche Bedürfnisse und Anforderungen hinsichtlich der Informationssicherheit hat, und sieht daher vor, dass die implementierten Maßnahmen darauf abgestimmt werden. Konformität mit der ISO 27001 ist zwar kein allgemeines Muss, dennoch schreiben einige Länder Organisationen aus bestimmten Industriezweigen Konformität vor.

Organisationen im öffentlichen wie im privatwirtschaftlichen Sektor haben ebenfalls die Möglichkeit, in den Rechtsinstrumenten (wie Verträgen und Vereinbarungen), die von ihnen ausgehen, von ihren Interessengruppen, darunter Zulieferern und Auftragnehmern, als vertragliche Voraussetzung ISO 27001-Konformität zu verlangen. In gleicher Weise können Länder zum Schutz der Daten ihrer Bevölkerung von den in ihrem Land tätigen Organisationen ISO 27001-Konformität verlangen.

Wie erlangt man ISO 27001-Konformität?

Selbst wenn sie keine offizielle Zertifizierung anstreben, besteht für Organisationen jederzeit die Option, Konformität mit den ISO 27001-Standardvorgaben zu verfolgen. Die folgende Auflistung zeigt, welche Best Practices Sie hierzu am besten umsetzen, und lässt sich sehr gut als Checkliste verwenden:

• Ermitteln Sie in Gesprächen mit Ihren Interessengruppen, welche Erwartungen an die Informationssicherheit bei ihnen bestehen.
• Stecken Sie den Anwendungsbereich Ihres ISMS sowie die Maßnahmen zur Informationssicherheit ab.
• Definieren Sie eine klare Sicherheitsrichtlinie.
• Führen Sie eine Risikobewertung durch, um jegliche bestehenden und potenziellen Risiken hinsichtlich Ihrer Informationssicherheit aufzudecken.
• Führen Sie Maßnahmen und Risikomanagementmethoden ein, die klare Ziele vorgeben.
• Evaluieren Sie die Wirksamkeit Ihrer Praktiken zur Informationssicherheit fortlaufend und führen Sie diesbezüglich regelmäßig Risikobewertungen durch.

In Einzelschritte aufgebrochen sieht der Weg zur ISO 27001-Konformität wie folgt aus:

Bereiten Sie sich gut vor

• Beim Durchlesen der Norm erhalten Sie bereits einen guten Einblick in die ISO 27001 und ihre Anforderungen. Darüber hinaus gibt es zahlreiche Möglichkeiten, sich weiteres Wissen zur ISO 27001 anzueignen.
• Bei uns können Sie sich kostenlos ein Whitepaper herunterladen, das diese Norm ausführlich bespricht.
  

Definieren Sie Ihren Kontext, Anwendungsbereich und Ihre Ziele

• Als zentrales Kriterium für den Erfolg hat sich bewährt, zuallererst die Projekt- und ISMS-Ziele und damit einhergehend den Budget- und Zeitrahmen festzulegen. Außerdem braucht es an diesem Punkt eine Entscheidung, ob Sie zur Umsetzung dieses Vorhabens intern über die nötigen Fachkenntnisse und Ressourcen verfügen oder besser einen Berater hinzuziehen.
  

Setzen Sie eine Managementstruktur auf

• Ein Management-Framework definiert sämtliche Verfahren, die eine Organisation zur Erreichung ihrer ISO 27001-Implementierungsziele umsetzen muss.
• Die Accountability, also wer im Management das ISMS verantwortet, ein Zeitplan aller Aktivitäten und die regelmäßige Überprüfung des ISMS auf seine Wirksamkeit gehören zu den Mechanismen, die zyklisch für Verbesserung des ISMS sorgen.
  

Führen Sie eine Risikobewertung durch

• Die ISO 27001 verlangt zwar die Durchführung einer formellen Risikobewertung, gibt dafür aber keine Methodik vor.
• Als „formell“ gilt: Die Vorgehensweise zur Risikobewertung wird im Vorfeld geplant und die zugehörigen Daten, Analysen und Ergebnisse werden dokumentiert.
  

Implementieren Sie Maßnahmen zur Risikominderung

• Es ist Aufgabe der Organisation festzulegen, wie mit den aufgedeckten Risiken im Weiteren zu verfahren ist. Sollen sie toleriert, beendet oder übertragen werden?
• Sämtliche Entscheidungen, die zur Risikobehandlung getroffen werden, sind zu dokumentieren. Diese wird ein Auditor während eines Registrierungs- bzw. Zertifizierungsaudits sehen wollen.
  

Überprüfen und aktualisieren Sie die zugehörige Dokumentation

Dokumentation ist eine der Anforderungen, um die Sie bei ISO 27001 nicht herumkommen – Sie müssen alle Prozesse, Regeln und Verfahren, die zu Ihrem ISMS gehören, dokumentieren, um ihre angemessene Umsetzung sicherstellen zu können. Die Norm verlangt die Dokumentation folgender Aspekte:

• Anwendungsbereich des ISMS
• Framework mit Informationssicherheitsrichtlinien
• Verfahren zur Risikobewertung der Informationssicherheit
• Verfahren zur Bewertung und Behandlung von Informationssicherheitsrisiken
• Statement of Applicability (SoA, Erklärung zur Anwendbarkeit)
• Ziele zur Informationssicherheit
• Nachweis der Kompetenz
• Informationen, die aus Sicht der Organisation für die Wirksamkeit des ISMS erforderlich sind
• Kontrolle und Planung von Tätigkeiten
• Ergebnisse der Risikobewertung zur Informationssicherheit
• Ergebnisse, die aus der Behandlung der Informationssicherheitsrisiken hervorgegangen sind
• Nachweise zur Ergebnisüberwachung und -messung
• Verfahrensweise für interne Audits
• Nachweise zum Audit-Programm sowie seinen Audit-Ergebnissen
• Nachweise zu den Ergebnissen von Management Reviews
• Nachweise zu der Art aufgetretener Nichtkonformitäten und aller daraufhin getroffenen Maßnahmen
• Nachweise zu den Ergebnissen sämtlicher Korrekturmaßnahmen, die getroffen wurden

Stellen Sie sich selbst auf den Prüfstand – Messen, Nachverfolgen und Evaluieren

• Fortlaufende Verbesserung ist einer der Eckpfeiler der ISO 27001. Hierzu müssen Sie wissen, wie wirksam die Maßnahmen Ihres ISMS greifen und wie ISMS-konform Sie in der Organisation agieren. Fortlaufende Überwachung und Analysen enthüllen, an welchen der bestehenden Prozesse und Maßnahmen Änderungen nötig sind.

Führen Sie ein internes Audit durch

• Interne Audits Ihres ISMS sind nach ISO 27001 regelmäßig durchzuführen. Hierzu benötigt die Führungskraft, die die Umsetzung und Aufrechterhaltung der Konformität mit ISO 27001 verantwortet, praktisches Wissen zur Vorgehensweise als Lead Auditor.

An dieser Stelle bietet sich auch die ISO 27001-Zertifizierung an, sofern Ihre Organisation bereits volle Konformität erreicht hat – insbesondere dann, wenn Sie sich an die Best Practices gehalten haben und die Informationssicherheitsverfahren Ihrer Organisation bereits den Anforderungen der Norm folgen.

Warum ist die ISO 27001-Zertifizierung für eine Organisation vorteilhaft?

Mit der ISO 27001-Zertifizierung entstehen Organisationen gewisse Wettbewerbsvorteile – in der Regel überzeugen sie in der Wahrnehmung ihrer Geschäftspartner eher als nicht-zertifizierte Mitbewerber und schließen leichter neue Geschäftsverträge ab. Von den weiteren zahlreichen Vorteilen sind dies nur einige:

• Sie gewinnen Neukunden und erhöhen ihre Wettbewerbsfähigkeit.
• Sie vermeiden Bußgelder und Verluste, die durch Datenschutzverstöße entstehen können.
• Die Wahrnehmung ihrer Marke verbessert sich stetig.
• Sie erlangen Konformität in allen Bereichen: mit geschäftlichen, rechtlichen, wirtschaftlichen und gesetzlichen Vorgaben.
• Ihre Struktur und ihr Fokus verbessern sich.
• Die Anzahl der erforderlichen Audits sinkt.
• Sie erhalten eine unvoreingenommene Bewertung zu ihrer Sicherheitslage.

Unsere Team versierter ISO 27001-Berater bei DataGuard kann Hand in Hand mit Ihnen ein ISO 27001-konformes ISMS entwickeln und Hilfestellung geben, damit es Ihnen erfolgreich dauerhaft erhalten bleibt – bis hin zur Zertifizierung und darüber hinaus. Vereinbaren Sie ganz einfach eine kostenlose Erstberatung.

Was kostet eine ISO 27001-Zertifizierung?

Die Kosten für eine ISO 27001-Zertifizierung lassen sich nicht pauschal beziffern, da sie von verschiedenen Faktoren abhängen:

• Organisationsgröße und physische/logische Anwendungsbereiche des ISO 27001-Zertifikats
• Reifegrad des bereits bestehenden ISMS (also Ihr Ausgangspunkt)
• Größe der Diskrepanz zwischen dem aktuellen Status und dem Zielstatus für das Kontrollsystem
• Verfügbarkeit von internen Kapazitäten/Kenntnissen zur Entwicklung des ISMS und zum Schließen erkannter Lücken
• Zeitrahmen, der für die Zertifizierung zur Verfügung steht

Eine detaillierte Kostenaufstellung finden Sie in unserem Leitfaden ISO 27001-Zertifizierung: Kosten.

Welcher Unterschied besteht zwischen ISO 27001:2013 und ISO 27001:2017? 

Die letzte veröffentlichte Version der ISMS-Norm trägt den Titel „DIN EN ISO/IEC 27001: 2017“. Tatsächlich fand die Publikation 2017 lediglich deshalb statt, um sie förmlich als europäische Norm anzuerkennen (daher der Zusatz „EN“). Diese Anerkennung erfolgte durch das European Committee for Standardisation (CEN, Europäisches Komitee für Normung) und das European Committee for Electrotechnical Standardisation (CENELEC, Europäisches Komitee für elektrotechnische Normung). 

Sprich: Es gibt keine signifikanten Unterschiede zwischen diesen beiden Fassungen der Norm. ISO 27001:2017 enthält einige wenige geringfügige Änderungen an den Begrifflichkeiten, speziell in Klausel 6.1.3 und Anhang A Klausel 8.1. Diese ändern jedoch nichts an dem grundsätzlichen Vorgehen zur Erlangung von Konformität.

Fazit

Eine Zertifizierung nach ISO 27001 erleichtert die Einhaltung gesetzlicher Anforderungen, unterstreicht die Vertrauenswürdigkeit Ihres Unternehmens gegenüber Ihren Geschäftspartnern und ist ein Beweis für Ihr Engagement, die höchsten Informationssicherheitsstandards zu erfüllen. Ihr Markenwert wird eindeutig gesteigert und führt zweifellos zu einer Win-Win-Situation. Informieren Sie sich in unserem Artikel zu einer ISO 27001 Checkliste darüber, welche Maßnahmen Sie zur Umsetzung der ISO 27001 implementieren müssen.

Benötigen Sie Orientierungshilfen im Bereich der Informationssicherheit oder bei der Vorbereitung auf ein Zertifizierungsaudit? Wir helfen Ihnen gerne weiter – wenden Sie sich noch heute an einen unserer Informationssicherheitsexperten. 

FAQ: Häufige Fragen

Wofür steht ISO 27001?

Die ISO 27001 ist eine international anerkannte Norm für die Informationssicherheit und wurde in einem gemeinsamen Projekt von der ISO und IEC entwickelt. Ihr vollständiger Titel lautet DIN EN ISO/IEC 27001:2017.

Welche Anforderungen bestehen bei der ISO 27001-Zertifizierung?

Der Zertifizierungsprozess ist sehr streng und dauert in der Regel mehrere Monate. Im Rahmen der Zertifizierung werden verschiedene Dokumente, Aufzeichnungen und Prozesse abgefragt, die von Fall zu Fall variieren. Zu erwarten sind Folgende, wobei diese Liste bei weitem nicht vollständig ist:

• Anwendungsbereich des Informationssicherheits-Managementsystems (ISMS)
• Informationssicherheitsrichtlinie und -ziele
• Methodik zur Risikobewertung und -behebung
• Statement of Applicability (SoA, Erklärung zur Anwendbarkeit)
• Maßnahmenkatalog zur Risikobehandlung
• Aufzeichnungen zur Risikobewertung und -behandlung
• Definition der Rollen und Verantwortlichkeiten für die Sicherheit
• Auflistung aller Assets
• Zulässige Verwendungsweise von Assets
• Richtlinie für die Zugangskontrolle
• Arbeitsanweisungen für das IT-Management
• Prinzipien zur Entwicklung sicherer Systeme
• Sicherheitsrichtlinie für Lieferanten
• Verfahren zum Vorfallsmanagement
• Verfahren zur Gewährleistung des Geschäftsbetriebs (Business Continuity)
• Gesetzliche, rechtliche und vertragliche Vorgaben
• Nachweise zu Schulungen, Kenntnissen, Erfahrung und Qualifikationen
• Nachweise zur Ergebnisüberwachung und -messung
• Interne Audit-Programme und deren Ergebnisse
• Ergebnisse von Management Reviews
• Nichtkonformitäten und Ergebnisse getroffener Korrekturmaßnahmen
• Protokolle zu Nutzeraktivitäten, Ausnahmen/Exceptions und Sicherheitsvorfällen

Was ist die ISO 27001 und warum ist sie so wichtig?

Die ISO 27001 ist ein internationaler Sicherheitsstandard für die Informationssicherheit und eine Selbstverpflichtung, wertvolle Informationsassets hinreichend zu schützen. Die Umsetzung der vorgegebenen Maßnahmen verhindert Datenschutzverstöße und damit einhergehende Bußgelder und verschafft Organisationen einen Wettbewerbsvorteil.

Auf welchen drei Prinzipien beruht die ISO 27001?

Die ISO 27001 adressiert drei Säulen der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Hierzu sieht sie für das Risikomanagement einen ganzheitlichen Ansatz vor, der drei Bereiche einer Organisation abdeckt: Mitarbeiter, Prozesse und Technik. 

Trägt die Implementierung eines ISMS nach ISO 27001 zur DSGVO-Konformität bei?

Leider nicht wirklich. Grund hierfür ist, dass Datenschutz und Informationssicherheit zwei völlig unterschiedliche Ausgangspunkte haben. Datenschutzgesetze wie die DSGVO verfolgen das Ziel, die Menschen hinter den Daten zu schützen. Informationssicherheit soll Unternehmen und Organisationen vor bestimmten Risiken schützen. 

Zwischen den beiden gibt es jedoch gewisse Überschneidungen. So sehen beide Werke, die DSGVO wie auch die ISO 27001, die Implementierung technischer und organisatorischer Maßnahmen vor. Nehmen wir einmal an, ein Cyberangriff könnte zu einem Vorfall führen, bei dem große Mengen an Daten kompromittiert werden. Hier liegt es nicht nur im Interesse des Datenschutzes, sondern auch der Informationssicherheit, einen solchen Vorfall zu verhindern. Daher kann eine enge Zusammenarbeit zwischen dem Data Protection Officer (DPO) und dem Chief Information Security Officer (CISO) – oder dem jeweiligen Informationssicherheitsbeauftragen einer Organisation – sehr vorteilhaft sein.