Informationssicherheit ISO 27001
Audits, Beratung und Zertifizierung

Die internationale Norm ISO 27001 regelt Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen. Sie beschreibt die Anforderungen für das Einrichten, Realisieren, Betreiben und Optimieren eines dokumentierten Informationssicherheits-Managementsystems (IMSM). Sie spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation. Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation. Im Anhang sind mehr als 100 Umsetzungsmaßnahmen aufgeführt (ISO 27002). Der Standard ist technikneutral, d.h. die Anweisungen werden nur konzeptionell beschrieben und müssen für den Einsatz im Unternehmen organisatorisch und technisch koordiniert werden.

Die ISO 27001 ist für verschiedene Bereiche anwendbar sein, insbesondere

• zur Formulierung von Anforderungen und Zielen für die Informationssicherheit
• für das kostengünstige Management von Sicherheitsrisiken
• zur Gewährleistung der Einhaltung gesetzlicher und behördlicher Vorschriften
• als Rahmen für den Prozess der Umsetzung und Verwaltung von Maßnahmen
• zur Definition neuer Informationssicherheits-Managementprozesse
• zur Identifizierung bestehender und Definition neuer Informationssicherheits-Managementprozesse sowie von Aktivitäten im Zusammenhang mit dem Informationssicherheitsmanagementsystem (ISMS)

Da heute fast alle Unternehmen Informationstechnologiesysteme verwenden und sich auf deren Sicherheit verlassen, lässt sich die ISO 27001 in jedem Unternehmen integrieren. Die nach dem Standard vorgeschriebene Entwurfsmethode macht sie für jedes Unternehmen anwendbar, unabhängig von Branche und Größe.

Mit ISO 27001 haben Unternehmen die Möglichkeit, ihre Sicherheitsaktivitäten strukturiert zu planen und umzusetzen. Die ISO 27001 definiert die Anforderungen an ein Informationssicherheits-Managementsystem (oft auch als ISMS bezeichnet). Hier wurde ein kontinuierlicher Verbesserungsprozess (KVP) eingerichtet, der es dem Unternehmen ermöglicht, die erforderlichen Sicherheitsmaßnahmen in einem risikoorientierten Prozess zu bestimmen und eine kontinuierliche Verbesserung umzusetzen. ISMS wird oftmals als Software-Tool angesehen, das ist es aber nicht. ISMS ist eine Methode und ein Prozess, und im ersten Schritt sind nicht unbedingt Softwaretools erforderlich. In großen Unternehmen kann Software diesen Ansatz sicherlich unterstützen, insbesondere wenn der Betrieb des ISMS mehrere Bereiche oder Mitarbeiter umfasst.

Ein Informationssicherheitsbeauftragter kann für viele Unternehmer eine Unterstützung oder sogar eine Erleichterung sein. Denn oft ist das Management eines Unternehmens im Bereich IT, Datenschutz und Schutz von Informationen nicht ausreichend ausgestattet. Die Ernennung eines Informationssicherheitsbeauftragten ist nicht obligatorisch, wird jedoch empfohlen. Gibt es einen Informationssicherheitsbeauftragten berichtet dieser direkt an die Unternehmensleitung und fungiert als zentraler Ansprechpartner. Es handelt im Namen der Unternehmensleitung, die jedoch weiterhin für die Informationssicherheit verantwortlich ist. Ein Informationssicherheitsbeauftragter kann mehrere Aufgaben haben, die sich auch von Unternehmen zu Unternehmen unterscheiden.

Daher hängen die Aufgaben von dem Konzept, das das jeweilige Unternehmen bereits hat, den angestrebten Zielen und den umzusetzenden Ideen ab. Zu den Aufgaben eines Informationssicherheitsbeauftragten gehören in der Regel die Schulung der Mitarbeiter, die Beratung des Managements, interne Audits, die Klärung von Zweifeln und Problemen, die Entwicklung von Sicherheitskonzepten und die Umsetzung der geltenden Vorschriften.

Auch die Ernennung bzw. Bestellung eines externen Informationssicherheitsbeauftragten kann von Vorteil sein. Für diese Aufgabe sind in der Regel umfangreiche technische und organisatorische Kenntnisse erforderlich. Interne Mitarbeiter sind dazu oftmals nicht in der Lage, weil sie nur die Prozesse ihres eigenen Unternehmens kennen. Oft kann ein externer Informationssicherheitsbeauftragter besser beurteilen, welches Konzept für das betreffende Unternehmen am besten geeignet ist. Gerne übernehmen unsere Berater und Auditoren diese Rolle als externer Informationssicherheitsbeauftragter auch für Sie. Sprechen Sie uns dazu gerne jederzeit an.

Seit Juni 2017 ist die aktuelle Version der DIN EN ISO/IEC 27001:2017 in deutscher Sprache veröffentlicht. Im Vergleich zur Vorgängerversion sind neben internen verstärkt auch externe Anforderungen (inklusive der interessierten Parteien) in das Informationssicherheitsmanagementsystem (IMSM) aufzunehmen. Es wird also ein stärkerer Fokus auf das Unternehmen als Teil eines Ökosystems gelegt. Ebenso wurden Anforderungen an die Führung durch das Management verstärkt, u.a. durch Festlegung konkreter Ziele in der Informationssicherheitsleitlinie. Seit 2017 bezieht sich die Verbesserung des Informationssicherheitsmanagements nicht mehr auf einzelne Maßnahmen sondern auf das gesamte Management. Desweiteren wurden konkrete Anforderungen an die Planung interner und externer Kommunikation neu eingefügt. Darüberhinaus muss jeweils ein Risikoverantwortlicher festgelegt werden und die Trennung zwischen korrigierenden und vorbeugenden Maßnahmen wurde aufgehoben.

Zudem werden in der aktuellen Norm:

• Die Anforderungen an die Risikobewertung und die Risikobehandlung wichtiger und dem Standard ISO 31000 angepasst
• Neben Risiken auch Chancen durch die anzuwendenden Maßnahmen adressiert
• Ein konkretes Überwachungskonzept zur Auswertung der Leistung des Informationssicherheitssystems und der Wirksamkeit des Informationssicherheitsmanagementsystems (IMSM) gefordert
• Die Anwendung der Maßnahmen im Anhang A liberaler behandelt als in der Vorgängerversion und sind nicht mehr verbindlich. In der Anwendbarkeitserklärung (SoA) muss jedoch für jede einzelne Maßnahme begründet werden, warum diese ausgeschlossen wurde.

Die ISO 27001 hat sich als Standard für kleine und mittlere Unternehmen durchgesetzt, u.a. aufgrund ihrer Integrationsmöglichkeit zur ISO 9001 Qualitätsmanagement. Mit ISIS12, dem Standard VdS 10000 oder auch dem BSI-Standard gibt es jedoch natürlich auch Alternativen im Kontext Informationssicherheit, auf die wir nachfolgend kurz eingehen möchten:

BSI-Standard:
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit den IT-Grundschutz-Katalogen eine sehr gute Anleitung für die Errichtung eines ISMS in Unternehmen und Behörden. Die Kataloge sind mit über 4.800 Seiten recht umfangreich und beschreiben die Umsetzung der Maßnahmenziele und Maßnahmen für ein ISMS. Einen direkten Vergleich der ISO/IEC 27001 und den Grundschutz-Katalogen finden Sie auf der Webseite des BSI.

ISIS12:
ISIS12 ist eine weniger zeit- und kostenintensive Alternative zu ISO/IEC 27001 und dem IT-Grundschutz. Das „Netzwerk für Informationssicherheit im Mittelstand (NIM)“ hat in Anlehnung an den IT-Grundschutz und der Norm ISO/IEC 27001 ein Modell zur Einführung eines ISMS entwickelt, das 12 konkrete Schritte vorsieht. Der wesentliche Unterschied zum IT-Grundschutz und der ISO/IEC 27001 besteht darin, dass nicht jedes Bedrohungsszenario analysiert und abgedeckt wird. Unternehmen erhalten vielmehr in begrenztem Umfang eine klare Handlungsanweisung für ein ISMS.
Hinweis: Ein ISMS nach ISIS12 ist nicht geeignet für Anbieter „kritischer Infrastrukturen“ gemäß dem IT-Sicherheitsgesetz.

VdS 10000:
Eine weitere Alternative zur ISO/IEC 27001 und dem IT-Grundschutz sind die Richtlinien VdS 10000. Dieses Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU) enthält Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen. Sie sind speziell für KMU sowie für kleinere und mittlere Organisationen ausgelegt mit der Zielsetzung, ein angemessenes Schutzniveau zu gewährleisten, ohne sie organisatorisch oder finanziell zu überfordern. Die VdS 10000 ist der Nachfolger der VdS 3473. Die Richtlinien wurden von Experten der VdS Schadenverhütung GmbH konzipiert und sind mit dem ISO/IEC 27001 und dem IT-Grundschutz kompatibel.

In welche Richtung Sie auch gehen möchten, wir begleiten Sie und unterstützen Sie bei der Entwicklung und der Einführung eines ISMS. Nehmen Sie bitte Kontakt über unser Kontaktformular auf.

Neben der Unterstützung bei der Einführung Ihres Informationssicherheitssystems, helfen wir (z.B. bei wiederholten Problemen oder Auditfeststellungen) gerne auch dabei Ihr bestehendes ISMS zu verbessern oder unterstützen Sie bei internen und externen Audits. Wir freuen uns auch, Ihnen unser Fachwissen als externer Informationssicherheitsbeauftragter (ISMB) zur Verfügung zu stellen. Wenn Sie weitere Ideen haben, wie wir Ihnen helfen können, zögern Sie bitte nicht, uns zu kontaktieren. Wir werden gemeinsam mit Ihnen eine Lösung finden.