ISO 27003: Informationssicherheitstechniken für das ISMS nach ISO 27001

Die Normenreihe ISO 27000 legt bewährte Vorgehensweisen für die Informationssicherheit dar. Durch die Anwendung dieser Normenreihe können Organisationen erfolgreich und effektiv die Integrität, Verfügbarkeit und Vertraulichkeit der von ihnen verarbeiteten Informationen schützen. Dieser Artikel beschreibt, welche Rolle die ISO 27003 bei der Unterstützung der Informationssicherheitspraktiken einer Organisation spielt, weshalb ihre Anwendung empfehlenswert und wichtig ist und in welchem Verhältnis sie zu den anderen ISO-Normen steht. 

Was ist die ISO 27003?

Der vollständige Titel der Norm lautet „ISO 27003:2017 Informationstechnik – Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anleitung“. Sie weist in die Umsetzung der ISO 27001 ein und erläutert, wie deren einzelne Kriterien zu erfüllen sind. Bei der Einführung eines ISO-zertifizierten ISMS ist es nicht zwingend erforderlich, dass Sie der Anleitung in ISO 27003 folgen. Für eine einfachere und erfolgreiche Umsetzung empfiehlt sich dies aber.

Zunächst einmal sollten Sie beachten, dass die ISO 27003 keine Zertifizierung ist. Sie ist eine grundlegende Anleitung, welche die Umsetzung der ISO 27001 und die Anforderungen für das Informationssicherheits-Risikomanagement nicht im Detail bespricht.

Was bedeuten ISO und IEC?

Die Internationale Organisation für Normung (Englisch: International Organisation for Standardisation, kurz ISO) ist eine regierungsunabhängige Vereinigung nationaler Normierungsorganisationen aus 167 Mitgliedsstaaten (Stand 2022). Schwerpunkt der Internationalen Elektrotechnischen Kommission (Englisch International Electrotechnical Commission, kurz IEC) ist die Normung in den Bereichen Elektrik, Elektronik und damit verbundenen Technologien, die nicht von der ISO abgedeckt werden. 

Gemeinsam entwickeln die ISO und die IEC globale IKT-Normen. Sehen wir uns also an, warum die ISO 27003 wichtig ist.

Warum ist die ISO 27003 wichtig?

Da viele Organisationen heutzutage in der digitalen Welt tätig sind, erfassen und speichern sie regelmäßig personenbezogene Daten. Darum ist ein ordnungsgemäßes Informationssicherheits-Management wichtig. Unabhängig von Größe oder Branche können Datenschutzverstöße ernsthafte Folgen für eine Organisation mit sich bringen, wie z. B. hohe Bußgelder, den Vertrauensverlust von Interessengruppen oder Betriebsstörungen. Ein mit ISO 27001 konformes Informationssicherheits-Managementsystem (ISMS) mindert diese Risiken und verleiht Ihrer Organisation einen Vorteil gegenüber Wettbewerbern, die nicht ISO-zertifiziert sind.

Hier kommt die ISO 27003 ins Spiel: Sie führt durch die Umsetzung eines ISO 27001-konformen ISMS und die weiteren Schritte des ISO 27001-Zertifizierungsverfahrens.

Für kleine Unternehmen oder Organisationen kann sich die erstmalige Zertifizierung nach ISO 27001 schwierig gestalten. Um eine erfolgreiche Umsetzung zu gewährleisten, empfiehlt es sich daher, den Richtlinien der ISO 27003 zu folgen.  

In welcher Beziehung stehen ISO 27003 und ISO 27001 zueinander?

 Die ISO 27001 legt die Anforderungen und Kriterien für die Planung und Umsetzung eines ISMS dar, die ISO 27003 dagegen führt durch die Umsetzung.

Die folgenden Aspekte einer ISMS-Umsetzung werden in den Kapiteln 4–10 der ISO 27003 beschrieben: 

  • Kontext der Organisation
  • Führung
  • Planung
  • Unterstützung
  • Betrieb
  • Bewertung der Leistung

Die oben genannten Kapitel entsprechen den gleichnamigen Kapiteln der ISO 27001 und enthalten Folgendes: 

  • erforderliche Schritte
  • Erläuterung
  • Anleitung
  • sonstige Informationen

Mithilfe von Kapitel 4 der ISO 27001-Norm können Sie den Kontext Ihrer Organisation definieren und ermitteln, wie Sie ein effektives ISMS einrichten, das den Anforderungen Ihrer Organisation entspricht.

Die beiden Normen ergänzen einander und sollten gemeinsam verwendet werden.

 

 

Welche Vorteile bietet die ISO 27003?

Die ISO 27003 beschreibt, wie eine Organisation die Umsetzung eines ISMS gemäß der ISO 27001-Norm durchführen sollte. Nach einer gründlichen Risikobewertung stellen Sie vielleicht fest, dass für die ISO-Konformität Ihres ISMS nur wenige Anpassungen erforderlich sind. Die ISO 27003 kann Sie auch bei der Wartung und fortlaufenden Verbesserung Ihres ISMS sowie der Erfüllung der Auditanforderungen unterstützen.

Um es kurz zu fassen: Die ISO 27003 führt Organisationen durch den gesamten Prozess von der Bewilligung für den Beginn eines ISMS-Projekts über die Definition des Umfangs des ISMS und der Umsetzung bis hin zur Projektplanung.

Die Definition des Projektumfangs wird Ihnen dabei helfen zu bestimmen, welche Richtlinien innerhalb der Norm für Ihre Organisation relevant sind.

Wer sollte die ISO 27003 anwenden?

Alle Organisationen, die ein ISMS gemäß ISO 27001 implementieren möchten, profitieren davon, die ISO 27003 zu befolgen.

Ein Teil der Orientierungshilfen in der Norm sind möglicherweise eher für größere Organisationen relevant, aber im Allgemeinen ist die Norm für Organisationen jeder Größe und Branche hilfreich, die der informationstechnischen Sicherheit Vorrang einräumen möchten. Sie können selbst entscheiden, welche Orientierungshilfen für Ihre Situation nützlich sind, und die anderen Teile der Norm ignorieren.  

In welchem Verhältnis steht die ISO 27003 zu anderen ISO-Normen? 

Die ISO-Normenreihe legt den Grundstein für die Informationssicherheit einer Organisation. Außer der ISO 27001 ergänzt die ISO 27003 auch andere ISO-Normen:

  • ISO 27002: Die Norm beschreibt mehr als 100 Kontrollmechanismen, welche durch die Grundlagen der Einführung, Umsetzung und Wartung informationstechnischer Sicherheitsverfahren führen.

  • ISO 27004: Die Norm führt durch die Überwachung, Messung, Analyse und Beurteilung der informationstechnischen Sicherheit.

  • ISO 27005: Die Norm bietet Richtlinien für das Informationssicherheits-Risikomanagement.

  • ISO 22301: Die Norm legt die Anforderungen für ein Business Continuity Management-System dar, je nach Art und Kontext der Organisation. 

Fazit

Eine Organisation kann sich nicht nach ISO 27003 zertifizieren lassen. Stattdessen unterstützt die Norm den Zertifizierungsprozess nach ISO 27001. Die Einhaltung der ISO 27003 ist zwar nicht obligatorisch, aber sehr empfehlenswert, da sie gewisse Aspekte der ISO 27001-Compliance sowie der Wartung und Verbesserung des ISMS vereinfacht und verdeutlicht.  

Zur Vermeidung von Datenschutzverstößen oder anderen Betriebsunterbrechungen ist es von zentraler Bedeutung, diese Lücken zu schließen. Lesen Sie mehr darüber, wie Ihre Organisation ISO 27001-Konformität erlangen und ihre Bestrebungen im Bereich Informationssicherheit optimieren kann.

Bei weiteren Fragen zu den Normen der ISO 27000-Reihe stehen Ihnen unsere Experten jederzeit zur Verfügung. Sprechen Sie uns einfach an und vereinbaren ein kostenloses Erstgespräch.

 
ISO 27001 documentation checklist 212x234 DE ISO 27001 documentation checklist 800x600 MOBILE DE

Alle Dokumente für eine Zertifizierung nach ISO 27001 im Überblick

In dieser Checkliste erhalten Sie einen Überblick über die vollständige Dokumentation für eine ISo 27001-Zertifizierung

Jett kostenlos herunterladen

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren