ISO 27000: Wie Sie Ihre Organisation mit dem Sicherheitsstandard effektiv schützen

Im Jahr 2018 verhängte das Ministerium für Gesundheitspflege und Soziale Dienste der USA (Department of Health and Human Services, HHS) gegen das Krankenversicherungsunternehmen Anthem eine Geldstrafe in Höhe von 16 Millionen  US-Dollar (Link nur auf Englisch verfügbar).

Der Grund? Anthems ineffiziente Datensicherheitsmaßnahmen führten zu einer schwerwiegenden Sicherheitsverletzung, bei der die privaten Gesundheitsdaten von 79 Millionen US-Amerikanern für Diebe, Hacker und Erpresser zugänglich wurden.

Das HHS legt im US-Gesetz HIPAA (Health Insurance Portability and Accountability Act) Bestimmungen zum Schutz von Patientendaten fest und verhängt bei Nichteinhaltung hohe Geldstrafen.

Auch außerhalb des Gesundheitssektors gelten ähnliche Regelungen und Strafen. Die Payment Card Industry (PCI) kann Organisationen, die nicht PCI-DSS-konform sind, mit Geldstrafen von bis zu 500.000 US-Dollar (Link nur auf Englisch verfügbar) belegen.

Wie können Organisationen ihre wichtigen, sensiblen Daten effektiv schützen? Eine Möglichkeit besteht darin, ein robustes Informationssicherheits-Managementsystem (ISMS) auf der Grundlage der ISO-27000-Standards aufzubauen.

In diesem Blogbeitrag werden wir diese Sicherheitsstandards genauer besprechen und Ihnen zeigen, wie Sie sie in Ihrer Organisation umsetzen können. 

Was ist die ISO-27000-Reihe? 

Die ISO 27000 umfasst eine Reihe von Standards, mit deren Hilfe Organisationen ein effektives ISMS implementieren können und die von zwei internationalen Organisationen entwickelt und veröffentlicht wurden:  

  • Internationale Organisation für Normung (International Organization for Standardization, ISO) 
  • Internationale Elektrotechnische Kommission (International Electrotechnical Commission, IEC) 

Da beide Organisationen an der Entwicklung der Standards beteiligt waren, wird auch die Bezeichnung „ISO/IEC-27000-Reihe“ verwendet.  

Die Standards sind nicht als Bestimmungen zu verstehen. Es gibt keine gesetzliche Verpflichtung, sich daran zu halten, und keine Organisation, die die Einhaltung prüft. 

Stattdessen sollen die ISO-27000-Standards Unternehmen helfen, ihnen durch nationale und internationale Gesetze sowie Governance-Organisationen auferlegte Sicherheitsanforderungen einzuhalten. Insbesondere soll die Compliance mit folgenden Bestimmungen ermöglicht werden: 

  • HIPAA 
  • PCI-DSS 
  • DSGVO 

Der HIPAA legt Sicherheitsbestimmungen für Gesundheits- und Krankenversicherungsunternehmen fest, die private Gesundheitsdaten schützen. Der PCI-DSS-Standard umfasst Sicherheitsanforderungen für Zahlungsdienstleister. 

Die DSGVO ist weitreichender. Alle Unternehmen und Non-Profit-Organisationen, die personenbezogene Daten von EU-Bürgern speichern, sind zur Einhaltung der DSGVO verpflichtet.  

Wenn es in einem Unternehmen zu einer Sicherheitsverletzung kommt und sich herausstellt, dass es gegen die Verordnung verstoßen hat, kann die EU Geldstrafen in Höhe von bis zu 22,8 Millionen US-Dollar verhängen – oder 4 % des Brutto-Jahresumsatzes des Unternehmens, je nachdem, welcher Betrag größer ist. 

Glücklicherweise lässt sich das Risiko solcher Verstöße mithilfe eines gemäß der ISO-27000-Reihe entwickelten ISMS wesentlich verringern. Compliance ist der Hauptvorteil einer ISO-27000-Zertifizierung.  

Informationssicherheits-Managementsystem (ISMS) 

Mit einem soliden ISMS lassen sich zwei Arten von Risiken mindern und managen. Erstens: Informationsrisiken. Jegliche potenzielle Einschränkung des Zugriffs auf Informationen, die laut Gesetz zugänglich sein müssen, und jede potenzielle Verletzung der Vertraulichkeit personenbezogener Daten wird als Informationsrisiko betrachtet. 

Und zweitens: Cybersicherheitsrisiken.  

Ein effektives ISMS bietet Unternehmen eine Reihe von Tools, die den Umgang mit Informationen und damit die Informationssicherheit im Unternehmen optimieren und das Risiko für Sicherheitsvorfälle verringern.  Gemäß ISO 27000 sollte ein ISMS Folgendes umfassen: 

  • Richtlinien 
  • Abläufe  
  • Workflows 
  • Pläne 
  • Kulturelle Normen 
  • Ziele in Bezug auf Cybersicherheit und Resilienz 
  • Tools zum Schutz von Assets 
  • Einschränkung nicht autorisierten Zugriffs 
  • Risikomanagement-Tools für die Lieferkette 

All dies ermöglicht die Einhaltung gesetzlicher und branchenbezogener Sicherheitsbestimmungen.  

ISO-27000-Framework: Zusammenfassungen, Umfang, zentrale Elemente 

Die ISO-27000-Reihe umfasst 46 separat veröffentlichte Standards. Jeder Standard bezieht sich auf eine der drei Säulen der Informationssicherheit:  

  • Menschen 
  • Prozesse 
  • Technologie 

und beschreibt optimale Verfahren in Bezug auf verschiedene Aspekte. Einige Standards gelten allgemein, andere beziehen sich auf bestimmte Branchen oder Unternehmensarten.  

Da wir in diesem Artikel nicht alle 46 Standards im Detail besprechen können, haben wir die bekanntesten und am häufigsten angewendeten Standards für Sie zusammengefasst.  

ISO 27000 (Einleitung) 

Die ISO 27000 bietet einen Überblick über die gesamte ISO-27000-Serie. Außerdem werden Prinzip und Zweck eines ISMS erläutert. Dieser Standard ist öffentlich zugänglich. 

Die ISO 27000 umfasst auch ein Glossar, das bei der Implementierung der Standards verwendete Begriffe definiert.  

ISO 27001 

Die ISO 27001 wurde 2017 zuletzt aktualisiert und beschreibt die Anforderungen zur Entwicklung eines Informationssicherheits-Managementsystems (ISMS). Folgende Themen werden abgedeckt: 

  • Leadership im Bereich Informationssicherheit 
  • Planung, Aufbau und Aufrechterhaltung eines ISMS 
  • Messwerte für die Leistungsbewertung 
  • Abläufe zur Optimierung des ISMS 
  • Liste von Controls und Zielen 

Die ISO bietet keine 27001-Zertifizierung an. Über die IAF-Suche (International Accreditation Forum) finden Sie hier autorisierte Zertifizierungsstellen. 

Die ISO 27001 ist nicht öffentlich zugänglich, Zertifizierungsstellen bieten aber Zugriff auf zugehörige Ressourcen. DataGuard stellt eine Roadmap für die Implementierung der ISO 27001 zur Verfügung, die kostenlos heruntergeladen werden kann.  

ISO 27002 

Die ISO 27002 standardisiert Informationssicherheitsmaßnahmen. Sie umfasst Best Practices für Einzelpersonen und Teams, die für das ISMS eines Unternehmens zuständig sind. Diese haben folgenden Zweck: 

  • Vertraulichkeit beibehalten 
  • Datenintegrität gewährleisten 
  • Datenverfügbarkeit sicherstellen (für autorisierte Nutzer)  

Die ISO 27002 deckt Best Practices für drei sicherheitsrelevante Unternehmensbereiche ab: Erstens: die physische Infrastruktur des Unternehmens. Dies umfasst zum Beispiel physische Datenspeicherung und den Zugang zum Unternehmensgebäude. 

Zweitens: Mitarbeiter. Durch Umsetzung der Best Practices in diesem Bereich soll sichergestellt werden, dass Mitarbeiter die Datensicherheit im Unternehmen nicht gefährden. 

Und drittens: Zugriffskontrolle. Mit den hier erwähnten Verfahren werden Netzwerkdesign, Datenzugriff sowie Nutzerpraktiken beim Umgang mit Daten standardisiert. 

Die ISO 27002 ist nicht öffentlich zugänglich. 

ISO 27003 

Die ISO 27003 spezifiziert IT-Sicherheitsmaßnahmen auf Grundlage des PDCA-Zyklus. Außerdem wird erläutert, wie sich die PDCA-Methode bei der Implementierung oder Optimierung eines ISMS am besten umsetzen lässt.  

ISO 27004 

In der ISO 27004 erfahren Sie, wie Sie die Effektivität Ihres ISMS am besten prüfen können.    

Anschließend wird erklärt, wie Sie diese Prüfungen in Ihre Datensicherheitsstrategie integrieren können. Dazu gehört zum Beispiel die Implementierung von Überwachungstools. 

Die in der ISO 27004 aufgeführten Best Practices betreffen die Analyse und Bewertung Ihres ISMS anhand erfasster Daten.  

ISO 27005 

Thema der ISO 27005 sind bewährte Verfahren zur Beurteilung von Informationssicherheitsrisiken. Der Standard umfasst Richtlinien für die Entwicklung, Verwaltung und Aufrechterhaltung von Informationssicherheitsrisiko-Management (ISRM) in Unternehmen.  

Als Erstes werden der Ablauf einer Risikobewertung und relevante Begriffe behandelt. Anschließend geht es um Best Practices zu folgenden Themen: 

  • Umgang mit Informationssicherheitsrisiken 
  • Akzeptanz von Informationssicherheitsrisiken 
  • Kommunikation von Informationssicherheitsrisiken 
  • Überwachung und  Prüfung von Informationssicherheitsrisiken 

Außerdem werden Beispiele für typische Bedrohungen sowie spezifische Methoden zur Schwachstellenbewertung aufgeführt. Die ISO 27005 ist nicht öffentlich zugänglich. 

ISO 27007 

Bei der ISO 27007 liegt der Fokus auf der empfohlenen Vorgehensweise zur Entwicklung eines ISMS-Auditprogramms. Außerdem wird erklärt, wie Audits durchzuführen sind und wie sich die Kompetenz eines ISMS-Auditors ermitteln lässt.  

ISO 27033 

Zweck der ISO 27033 ist die Gewährleistung von Netzwerksicherheit. Zu den behandelten Themen gehören Netzwerkarchitektur-Design, Risikobewertung und Anforderungen in Bezug auf Netzwerksicherheit sowie entsprechende Controls. Netzwerksicherheit umfasst Folgendes: 

  • Gerätesicherheit 
  • Sicherheit von Aktivitäten in Bezug auf Geräteverwaltung 
  • Anwendungen und Softwaredienste 
  • Sicherheitsprotokolle für Endnutzer 
  • Sicherheit von Daten während der Übertragung 

Die ISO 27033 ist nicht nur für Netzwerkinhaber relevant, sondern für alle, die das Netzwerk verwenden, inklusive Endnutzer außerhalb der IT.  

Weitere Standards der ISO-27000-Reihe 

Wenn Sie mehr über die anderen Standards der ISO-27000-Reihe erfahren möchten, besuchen Sie die Website ISO.org oder wenden Sie sich an einen Experten für Informationssicherheit.  

Implementierung der ISO-27000-Standards in Ihrem Unternehmen 

Die Implementierung der ISO-27000-Standards ist komplex und braucht Zeit – etwa zwischen drei Monate und zwei Jahre.  

Jeder Standard der Serie umfasst eigene Prozesse und Best Practices, die implementiert werden müssen, um ihn zu erfüllen.  

Sehen wir uns zum Beispiel die Anforderungen zur Implementierung der ISO 27001 an, die auf einem PDCA-Zyklus basiert. PDCA steht für: 

  • Plan (Planen) 
  • Do (Umsetzen)  
  • Check (Überprüfen) 
  • Act (Handeln) 

ISMS aufbauen  

Um ein ISMS für Ihr Unternehmen zu entwickeln, benötigen Sie Ressourcen für die Implementierung. Außerdem ist Folgendes erforderlich: 

  • Managementsysteme und -tools 
  • Umsetzbare Richtlinien und Einschränkungen 
  • Strategien zur Kommunikation und zur Einbindung von Stakeholdern 
  • Systeme für das Supply-Chain-Management 
  • Ressourcen für Betrieb und Optimierung 

So kann Ihr Unternehmen Sicherheitsrisiken in allen Bereichen effektiver bewerten und mindern. In diesem Leitfaden erfahren Sie mehr über die Ressourcen zum Aufbau eines ISMS.  

Ablauf der Risikobewertung festlegen 

Der Ablauf der Risikobewertung in Ihrem Unternehmen ist für eine erfolgreiche Implementierung entscheidend. Die Best Practices in diesem Bereich variieren je nach Branche. Dieser Leitfaden umfasst sieben Schritte zur Durchführung einer ISO-27001-Risikobewertung. 

Erwerb einer ISO-27000-Zertifizierung 

Um eine ISO-27000-Zertifizierung zu erhalten, muss Ihre Organisation mit einem zugelassenen Auditor zusammenarbeiten. Der Sicherheitsexperte kann Ihnen den Ablauf des Auditprozesses erklären. Wenn Ihr ISMS das Audit besteht, können Sie sich die Zertifizierung ausstellen lassen.  

Phasen der ISO-Zertifizierung 

Der Auditprozess beginnt mit einer Vorab-Risikobewertung, die den Umfang des Audits bestimmt. 

Anschließend definieren Sie den Umfang Ihres ISMS. Darauf folgt eine detaillierte Risikobewertung und Gap-Analyse innerhalb des vorab festgelegten Umfangs. An diesem Punkt entwickeln und implementieren Sie Verfahren und Controls gemäß ISO-27000-Standards.  

Als Nächstes schließen Sie relevante Schulungen ab, dokumentieren Ihren ISMS-Prozess und sammeln Nachweise für die Existenz des ISMS sowie für sichere Abläufe, die den ISO-Standards entsprechen. 

Zum Schluss werden die relevanten Audits durchgeführt.  

Nach Bestehen des ISO-27001-Audits 

Sobald Ihre Organisation das Audit bestanden hat, kann der Auditor Ihre Zertifizierung bewilligen. 

Sie sollten Ihr ISMS kontinuierlich überwachen, um dauerhafte Compliance zu gewährleisten.   

Effektive Informationssicherheit 

Die ISO-27000-Reihe umfasst für Unternehmen wichtige und nützliche Standards, auf deren Grundlage Sie ein solides ISMS aufbauen und die Informationssicherheit in Ihrer Organisation verbessern können.  

Die Umsetzung der Standards ist zeitaufwändig und komplex.  

Die ISO 27017 ist beispielsweise sehr abstrakt formuliert und enthält kaum konkrete Anforderungen oder Handlungsempfehlungen. Zur Implementierung solcher Standards ist eine Beratung durch einen Branchenexperten erforderlich. 

Mit unserer „Informationssicherheit-as-a-Service“-Lösung unterstützen wir Sie dabei, Ihr Informationssicherheits-Managementsystems (ISMS) aufzubauen und Ihr Unternehmen auf ein externes ISO-27001-Audit vorzubereiten. 

Wenn Sie mehr wissen möchten, vereinbaren Sie gern einen Termin oder lesen Sie unsere anderen Blogartikel zu Sicherheitsstandards. 

Kostenlose Erstberatung vereinbaren

 

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren