Wissenswertes zur ISO 27000

2018 belegte das Ministerium für Gesundheitspflege und Soziale Dienste der USA (Department of Health and Human Services, HHS) das Krankenversicherungsunternehmen Anthem mit einer Geldstrafe in Höhe von 16 Millionen US-Dollar. Der Grund? Anthems ineffiziente Datensicherheit führte zu einer folgenschweren Sicherheitsverletzung – die privaten Gesundheitsdaten von 79 Millionen US-Amerikanern wurden für Diebe, Hacker und Erpresser zugänglich. 

Das HHS legt im US-Gesetz HIPAA (Health Insurance Portability and Accountability Act) Bestimmungen zum Schutz von Patientendaten fest und verhängt hohe Geldstrafen bei Nichteinhaltung.  

Auch außerhalb des Gesundheitssektors werden ähnliche Regelungen und Strafen angewendet. Die Payment Card Industry (PCI) kann Organisationen, die nicht PCI-DSS-konform sind, Geldstrafen von bis zu 500.000 US-Dollar auferlegen.  

Wie können Organisationen ihre wichtigen, sensiblen Daten effektiv schützen?  

Eine Möglichkeit ist, auf Grundlage der ISO-27000-Standards ein robustes Informationssicherheits-Managementsystems (ISMS) aufzubauen. Im Folgenden besprechen wir diese Sicherheitsstandards und zeigen Ihnen, wie Sie sie in Ihrer Organisation umsetzen können.  

Was ist die ISO-27000-Reihe? 

Die ISO 27000 umfasst eine Reihe von Standards, mit deren Hilfe Organisationen ein effektives ISMS implementieren können und die von zwei internationalen Organisationen entwickelt und veröffentlicht wurden:  

  • Internationale Organisation für Normung (International Organization for Standardization, ISO) 
  • Internationale Elektrotechnische Kommission (International Electrotechnical Commission, IEC) 

Da beide Organisationen an der Entwicklung der Standards beteiligt waren, wird auch die Bezeichnung „ISO/IEC-27000-Reihe“ verwendet.  

Die Standards sind nicht als Bestimmungen zu verstehen. Es gibt keine gesetzliche Verpflichtung, sich daran zu halten, und keine Organisation, die die Einhaltung prüft. 

Stattdessen sollen die ISO-27000-Standards Unternehmen helfen, ihnen durch nationale und internationale Gesetze sowie Governance-Organisationen auferlegte Sicherheitsanforderungen einzuhalten. Insbesondere soll die Compliance mit folgenden Bestimmungen ermöglicht werden: 

  • HIPAA 
  • PCI-DSS 
  • DSGVO 

Der HIPAA legt Sicherheitsbestimmungen für Gesundheits- und Krankenversicherungsunternehmen fest, die private Gesundheitsdaten schützen. Der PCI-DSS-Standard umfasst Sicherheitsanforderungen für Zahlungsdienstleister. 

Die DSGVO ist weitreichender. Alle Unternehmen und Non-Profit-Organisationen, die personenbezogene Daten von EU-Bürgern speichern, sind zur Einhaltung der DSGVO verpflichtet.  

Wenn es in einem Unternehmen zu einer Sicherheitsverletzung kommt und sich herausstellt, dass es gegen die Verordnung verstoßen hat, kann die EU Geldstrafen in Höhe von bis zu 22,8 Millionen US-Dollar verhängen – oder 4 % des Brutto-Jahresumsatzes des Unternehmens, je nachdem, welcher Betrag größer ist. 

Glücklicherweise lässt sich das Risiko solcher Verstöße mithilfe eines gemäß der ISO-27000-Reihe entwickelten ISMS wesentlich verringern. Compliance ist der Hauptvorteil einer ISO-27000-Zertifizierung.  

Informationssicherheits-Managementsystem (ISMS) 

Mit einem soliden ISMS lassen sich zwei Arten von Risiken mindern und managen. Erstens: Informationsrisiken. Jegliche potenzielle Einschränkung des Zugriffs auf Informationen, die laut Gesetz zugänglich sein müssen, und jede potenzielle Verletzung der Vertraulichkeit personenbezogener Daten wird als Informationsrisiko betrachtet. 

Und zweitens: Cybersicherheitsrisiken.  

Ein effektives ISMS bietet Unternehmen eine Reihe von Tools, die den Umgang mit Informationen und damit die Informationssicherheit im Unternehmen optimieren und das Risiko für Sicherheitsvorfälle verringern.  Gemäß ISO 27000 sollte ein ISMS Folgendes umfassen: 

  • Richtlinien 
  • Abläufe  
  • Workflows 
  • Pläne 
  • Kulturelle Normen 
  • Ziele in Bezug auf Cybersicherheit und Resilienz 
  • Tools zum Schutz von Assets 
  • Einschränkung nicht autorisierten Zugriffs 
  • Risikomanagement-Tools für die Lieferkette 

All dies ermöglicht die Einhaltung gesetzlicher und branchenbezogener Sicherheitsbestimmungen.  

ISO-27000-Framework: Zusammenfassungen, Umfang, zentrale Elemente 

Die ISO-27000-Reihe umfasst 46 separat veröffentlichte Standards. Jeder Standard bezieht sich auf eine der drei Säulen der Informationssicherheit:  

  • Menschen 
  • Prozesse 
  • Technologie 

und beschreibt optimale Verfahren in Bezug auf verschiedene Aspekte. Einige Standards gelten allgemein, andere beziehen sich auf bestimmte Branchen oder Unternehmensarten.  

Da wir in diesem Artikel nicht alle 46 Standards im Detail besprechen können, haben wir die bekanntesten und am häufigsten angewendeten Standards für Sie zusammengefasst.  

ISO 27000 (Einleitung) 

Die ISO 27000 bietet einen Überblick über die gesamte ISO-27000-Serie. Außerdem werden Prinzip und Zweck eines ISMS erläutert. Dieser Standard ist öffentlich zugänglich.  

Die ISO 27000 umfasst auch ein Glossar, das bei der Implementierung der Standards verwendete Begriffe definiert.  

ISO 27001 

Die ISO 27001 wurde 2017 zuletzt aktualisiert und beschreibt die Anforderungen zur Entwicklung eines Informationssicherheits-Managementsystems (ISMS). Folgende Themen werden abgedeckt: 

  • Leadership im Bereich Informationssicherheit 
  • Planung, Aufbau und Aufrechterhaltung eines ISMS 
  • Messwerte für die Leistungsbewertung 
  • Abläufe zur Optimierung des ISMS 
  • Liste von Controls und Zielen 

Die ISO bietet keine 27001-Zertifizierung an. Über die IAF-Suche (International Accreditation Forum) finden Sie autorisierte Zertifizierungsstellen. 

Die ISO 27001 ist nicht öffentlich zugänglich, Zertifizierungsstellen bieten aber Zugriff auf zugehörige Ressourcen. DataGuard stellt eine Roadmap für die Implementierung der ISO 27001 zur Verfügung, die kostenlos heruntergeladen werden kann.  

ISO 27002 

Die ISO 27002 standardisiert Informationssicherheitsmaßnahmen. Sie umfasst Best Practices für Einzelpersonen und Teams, die für das ISMS eines Unternehmens zuständig sind. Diese haben folgenden Zweck: 

  • Vertraulichkeit beibehalten 
  • Datenintegrität gewährleisten 
  • Datenverfügbarkeit sicherstellen (für autorisierte Nutzer)  

Die ISO 27002 deckt Best Practices für drei sicherheitsrelevante Unternehmensbereiche ab: Erstens: die physische Infrastruktur des Unternehmens. Dies umfasst zum Beispiel physische Datenspeicherung und den Zugang zum Unternehmensgebäude. 

Zweitens: Mitarbeiter. Durch Umsetzung der Best Practices in diesem Bereich soll sichergestellt werden, dass Mitarbeiter die Datensicherheit im Unternehmen nicht gefährden. 

Und drittens: Zugriffskontrolle. Mit den hier erwähnten Verfahren werden Netzwerkdesign, Datenzugriff sowie Nutzerpraktiken beim Umgang mit Daten standardisiert. 

Die ISO 27002 ist nicht öffentlich zugänglich. 

ISO 27003 

Die ISO 27003 spezifiziert IT-Sicherheitsmaßnahmen auf Grundlage des PDCA-Zyklus. Außerdem wird erläutert, wie sich die PDCA-Methode bei der Implementierung oder Optimierung eines ISMS am besten umsetzen lässt.  

ISO 27004 

In der ISO 27004 erfahren Sie, wie Sie die Effektivität Ihres ISMS am besten prüfen können.    

Anschließend wird erklärt, wie Sie diese Prüfungen in Ihre Datensicherheitsstrategie integrieren können. Dazu gehört zum Beispiel die Implementierung von Überwachungstools. 

Die in der ISO 27004 aufgeführten Best Practices betreffen die Analyse und Bewertung Ihres ISMS anhand erfasster Daten.  

ISO 27005 

Thema der ISO 27005 sind bewährte Verfahren zur Beurteilung von Informationssicherheitsrisiken. Der Standard umfasst Richtlinien für die Entwicklung, Verwaltung und Aufrechterhaltung von Informationssicherheitsrisiko-Management (ISRM) in Unternehmen.  

Als Erstes werden der Ablauf einer Risikobewertung und relevante Begriffe behandelt. Anschließend geht es um Best Practices zu folgenden Themen: 

  • Umgang mit Informationssicherheitsrisiken 
  • Akzeptanz von Informationssicherheitsrisiken 
  • Kommunikation von Informationssicherheitsrisiken 
  • Überwachung und  Prüfung von Informationssicherheitsrisiken 

Außerdem werden Beispiele für typische Bedrohungen sowie spezifische Methoden zur Schwachstellenbewertung aufgeführt. Die ISO 27005 ist nicht öffentlich zugänglich. 

ISO 27007 

Bei der ISO 27007 liegt der Fokus auf der empfohlenen Vorgehensweise zur Entwicklung eines ISMS-Auditprogramms. Außerdem wird erklärt, wie Audits durchzuführen sind und wie sich die Kompetenz eines ISMS-Auditors ermitteln lässt.  

ISO 27033 

Zweck der ISO 27033 ist die Gewährleistung von Netzwerksicherheit. Zu den behandelten Themen gehören Netzwerkarchitektur-Design, Risikobewertung und Anforderungen in Bezug auf Netzwerksicherheit sowie entsprechende Controls. Netzwerksicherheit umfasst Folgendes: 

  • Gerätesicherheit 
  • Sicherheit von Aktivitäten in Bezug auf Geräteverwaltung 
  • Anwendungen und Softwaredienste 
  • Sicherheitsprotokolle für Endnutzer 
  • Sicherheit von Daten während der Übertragung 

Die ISO 27033 ist nicht nur für Netzwerkinhaber relevant, sondern für alle, die das Netzwerk verwenden, inklusive Endnutzer außerhalb der IT.  

Weitere Standards der ISO-27000-Reihe 

Wenn Sie mehr über die anderen Standards der ISO-27000-Reihe erfahren möchten, besuchen Sie die Website ISO.org oder wenden Sie sich an einen Experten für Informationssicherheit.  

Implementierung der ISO-27000-Standards in Ihrem Unternehmen 

Die Implementierung der ISO-27000-Standards ist komplex und braucht Zeit – etwa zwischen drei Monate und zwei Jahre.  

Jeder Standard der Serie umfasst eigene Prozesse und Best Practices, die implementiert werden müssen, um ihn zu erfüllen.  

Sehen wir uns zum Beispiel die Anforderungen zur Implementierung der ISO 27001 an, die auf einem PDCA-Zyklus basiert. PDCA steht für: 

  • Plan (Planen) 
  • Do (Umsetzen)  
  • Check (Überprüfen) 
  • Act (Handeln) 

ISMS aufbauen  

Um ein ISMS für Ihr Unternehmen zu entwickeln, benötigen Sie Ressourcen für die Implementierung. Außerdem ist Folgendes erforderlich: 

  • Managementsysteme und -tools 
  • Umsetzbare Richtlinien und Einschränkungen 
  • Strategien zur Kommunikation und zur Einbindung von Stakeholdern 
  • Systeme für das Supply-Chain-Management 
  • Ressourcen für Betrieb und Optimierung 

So kann Ihr Unternehmen Sicherheitsrisiken in allen Bereichen effektiver bewerten und mindern. In diesem Leitfaden erfahren Sie mehr über die Ressourcen zum Aufbau eines ISMS.  

Ablauf der Risikobewertung festlegen 

Der Ablauf der Risikobewertung in Ihrem Unternehmen ist für eine erfolgreiche Implementierung entscheidend. Die Best Practices in diesem Bereich variieren je nach Branche. Dieser Leitfaden umfasst sieben Schritte zur Durchführung einer ISO-27001-Risikobewertung. 

Erwerb einer ISO-27000-Zertifizierung 

Um eine ISO-27000-Zertifizierung zu erhalten, muss Ihre Organisation mit einem zugelassenen Auditor zusammenarbeiten. Der Sicherheitsexperte kann Ihnen den Ablauf des Auditprozesses erklären. Wenn Ihr ISMS das Audit besteht, können Sie sich die Zertifizierung ausstellen lassen.  

Phasen der ISO-Zertifizierung 

Der Auditprozess beginnt mit einer Vorab-Risikobewertung, die den Umfang des Audits bestimmt. 

Anschließend definieren Sie den Umfang Ihres ISMS. Darauf folgt eine detaillierte Risikobewertung und Gap-Analyse innerhalb des vorab festgelegten Umfangs. An diesem Punkt entwickeln und implementieren Sie Verfahren und Controls gemäß ISO-27000-Standards.  

Als Nächstes schließen Sie relevante Schulungen ab, dokumentieren Ihren ISMS-Prozess und sammeln Nachweise für die Existenz des ISMS sowie für sichere Abläufe, die den ISO-Standards entsprechen. 

Zum Schluss werden die relevanten Audits durchgeführt.  

Nach Bestehen des ISO-27001-Audits 

Sobald Ihre Organisation das Audit bestanden hat, kann der Auditor Ihre Zertifizierung bewilligen. 

Sie sollten Ihr ISMS kontinuierlich überwachen, um dauerhafte Compliance zu gewährleisten.   

Effektive Informationssicherheit 

Die ISO-27000-Reihe umfasst für Unternehmen wichtige und nützliche Standards, auf deren Grundlage Sie ein solides ISMS aufbauen und die Informationssicherheit in Ihrer Organisation verbessern können.  

Die Umsetzung der Standards ist zeitaufwändig und komplex.  

Die ISO 27017 ist beispielsweise sehr abstrakt formuliert und enthält kaum konkrete Anforderungen oder Handlungsempfehlungen. Zur Implementierung solcher Standards ist eine Beratung durch einen Branchenexperten erforderlich. 

Mit unserer „Informationssicherheit-as-a-Service“-Lösung unterstützen wir Sie dabei, Ihr Informationssicherheits-Managementsystems (ISMS) aufzubauen und Ihr Unternehmen auf ein externes ISO-27001-Audit vorzubereiten. 

Wenn Sie mehr wissen möchten, vereinbaren Sie gern einen Termin oder lesen Sie unsere anderen Blogartikel zu Sicherheitsstandards. 

Kostenlose Erstberatung vereinbaren

 

Über den Autor

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile auf einen Blick

  • Datenschutz, Informationssicherheit und Compliance aus einer Hand
  • Individuelle Beratung durch qualifizierte Experten – ganz ohne Fachjargon
  • Zeitsparende Technologie zur Automatisierung repetitiver Aufgaben
  • Faire und transparente Preise für optimale Planbarkeit und Budgetierung

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000