ISO/IEC 27001


ISO/IEC 27001

Was ist die ISO 27001?

ISO/IEC 27001 ist eine internationale Norm, die Anforderungen an ein Informationssicherheits-Management-System (ISMS) festlegt. Sie legt fest, wie Unternehmen ihre wichtigen Informationen schützen und sicherstellen können, dass sie vor unbefugtem Zugriff, Missbrauch oder Verlust geschützt sind. Die Norm gibt Unternehmen eine strukturierte Methode an die Hand, um die Sicherheit ihrer Informationen zu verwalten und zu verbessern.

Ein Unternehmen, das die ISO/IEC 27001 einhält, muss ein ISMS implementieren und dokumentieren, das die Anforderungen der Norm erfüllt. Dazu gehört, eine Risikoanalyse durchzuführen und Maßnahmen zu ergreifen, um diese Risiken zu minimieren. Das ISMS muss auch regelmäßig überprüft und verbessert werden, um sicherzustellen, dass es weiterhin effektiv ist.

Die ISO/IEC 27001 ist eine wichtige Norm für Unternehmen, die ihre Informationssicherheit verbessern und sicherstellen möchten, dass sie gesetzeskonform und verantwortungsbewusst mit sensiblen Informationen umgehen. Sie wird oft von Regierungen, Finanzinstituten und anderen Organisationen verlangt, die sensible Daten verarbeiten oder speichern.

Die internationale Norm ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation. Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation.[2] Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt. Die Norm wurde auch als DIN-Norm veröffentlicht und ist Teil der ISO/IEC 2700x-Familie.

Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen. Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.

Die ISO/IEC 27001:2005 wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Werte (Assets) in den Wertschöpfungsketten (siehe Scope der ISO/IEC 27001, …organization's overall business risk) sicherzustellen.

Historische Entwicklung

Die ISO/IEC 27001:2005 ging aus dem zweiten Teil des britischen Standards BS 7799-2:2002 hervor. Sie wurde als internationale Norm erstmals am 15. Oktober 2005 veröffentlicht.

Seit September 2008 liegt die Norm auch als DIN-Norm DIN ISO/IEC 27001:2008 in der deutschen Übersetzung vor. Die deutsche Ausgabe wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut, der an der internationalen Normungsarbeit im zuständigen Komitee ISO/IEC JTC 1/SC 27 mitwirkt.

Am 25. September 2013 wurde die überarbeitete Version ISO/IEC 27001:2013 in englischer Sprache veröffentlicht.[3]

Am 10. Januar 2014 wurde die überarbeitete Version DIN ISO/IEC 27001:2014 als Entwurf in deutscher Sprache veröffentlicht.[4]

Im März 2015 wurde die überarbeitete Version DIN ISO/IEC 27001:2015 in deutscher Sprache veröffentlicht.[5]

Seit Juni 2017 ist die aktuelle Version der DIN EN ISO/IEC 27001:2017 in deutscher Sprache veröffentlicht.[6]

Am 25. Oktober 2022 wurde die überarbeitete Version ISO/IEC 27001:2022 in englischer Sprache veröffentlicht.

Anwendung

Die ISO/IEC 27001 soll für verschiedene Bereiche anwendbar sein, insbesondere:

  • Zur Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
  • Zum kosteneffizienten Management von Sicherheitsrisiken
  • Zur Sicherstellung der Konformität mit Gesetzen und Regulatorien
  • Als Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
  • Zur Definition von neuen Informationssicherheits-Managementprozessen
  • Zur Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen
  • Zur Definition von Informationssicherheits-Managementtätigkeiten
  • Zum Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards

Zertifizierung

Managementsysteme

Viele (Groß-)Firmen haben interne Sicherheitsrichtlinien für ihre IT. Durch eine interne Begutachtung (auch Audit genannt) können Unternehmen ihr korrektes Vorgehen im Abgleich mit ihren eigenen Vorgaben überprüfen. Unternehmen können damit allerdings ihre Kompetenzen im Bereich der IT-Sicherheit nicht öffentlichkeitswirksam gegenüber (möglichen) Kunden aufzeigen. Dazu ist eine Zertifizierung z. B. nach ISO/IEC 27001, ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz oder nach IT-Grundschutz[7] sinnvoll.

Es ist zu beachten, dass die ISO selbst keine Zertifizierungen durchführt. Eine Organisation hat vielmehr drei Möglichkeiten, die Konformität zu einer Norm zu zeigen:

  1. sie kann ihre Konformität von sich aus verkünden,
  2. sie kann ihre Kunden bitten, die Konformität zu bestätigen, und
  3. ein unabhängiger externer Auditor kann die Konformität verifizieren.[8]

Personen

Es existieren verschiedene, meist modulare, Schemata zur Ausbildung und Zertifizierung von Personen im Bereich der ISO/IEC 27000-Reihe. Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet, siehe Liste der IT-Zertifikate.

Weblinks

Einzelnachweise

  1. ISO/IEC 27001:2022. In: iso.org. Abgerufen am 4. November 2022.
  2. DIN ISO/IEC 27001:2015-03 – Beuth.de. In: www.beuth.de. Abgerufen am 24. November 2016.
  3. The new version of ISO/IEC 27001:2013 is here. In: bsigroup.com. 25. September 2013, abgerufen am 1. Oktober 2013.
  4. DIN ISO/IEC 27001:2014-02 [NEU]. In: beuth.de. 10. Januar 2014, abgerufen am 15. November 2014.
  5. DIN ISO/IEC 27001:2015-03 [NEU]. In: beuth.de. Abgerufen am 26. März 2015.
  6. DIN EN ISO/IEC 27001:2017-06 – Beuth.de. Abgerufen am 21. November 2017.
  7. Zertifizierte Informationssicherheit. In: www.bsi.bund.de. Bundesamt für Informationssicherheit, 10. Juni 2021, abgerufen am 28. Februar 2022.
  8. Management system standards. In: iso.org. International Organization for Standardization, 2013, abgerufen am 27. September 2013.

Was bringt ein ISO 27001 Zertifikat?

Ein ISO 27001 Zertifikat zeigt, dass ein Unternehmen ein Informationssicherheits-Management-System (ISMS) implementiert hat, das den Anforderungen der ISO/IEC 27001 entspricht. Dieses ISMS ist darauf ausgelegt, die Sicherheit von wichtigen Informationen zu verwalten und zu verbessern und sie vor unbefugtem Zugriff, Missbrauch oder Verlust zu schützen.

Ein ISO 27001 Zertifikat bietet für Unternehmen eine Reihe von Vorteilen:

  1. Verbesserte Sicherheit von wichtigen Informationen: Durch die Einhaltung der Anforderungen der ISO/IEC 27001 können Unternehmen sicherstellen, dass ihre wichtigen Informationen sicher sind und vor unbefugtem Zugriff geschützt werden.

  2. Steigerung des Vertrauens von Kunden und Geschäftspartnern: Ein ISO 27001 Zertifikat zeigt, dass ein Unternehmen die Sicherheit seiner Informationen ernst nimmt und bereit ist, sich auf international anerkannte Standards zu verpflichten. Das kann das Vertrauen von Kunden und Geschäftspartnern in das Unternehmen erhöhen.

  3. Verbesserung der Compliance: Viele Unternehmen sind gesetzlich verpflichtet, bestimmte Anforderungen an die Sicherheit von Informationen zu erfüllen. Ein ISO 27001 Zertifikat kann dazu beitragen, dass ein Unternehmen diese Anforderungen erfüllt und somit konform ist.

  4. Verbesserung des Risikomanagements: Das ISMS, das für ein ISO 27001 Zertifikat erforderlich ist, hilft Unternehmen, Risiken im Zusammenhang mit der Sicherheit von Informationen zu identifizieren und zu minimieren. Dies kann dazu beitragen, dass das Unternehmen insgesamt stabiler und widerstandsfähiger wird.

  5. Möglichkeit zur Verbesserung der Effizienz: Das ISMS, das für ein ISO 27001 Zertifikat erforderlich ist, hilft Unternehmen, Prozesse und Verfahren im Zusammenhang mit der Sicherheit von Informationen zu standardisieren und zu verbessern. Dies kann dazu beitragen, die Effizienz des Unternehmens zu steigern und Kosten zu reduzieren.

 

Kontaktformular

Fragen zum Thema?