Informationssicherheit ISO 27001
Audits, Beratung und Zertifizierung

Wo du sicher bist, setze ein Fragezeichen

Lieber auf der sicheren Seite

Heutzutage scheint kaum ein Tag ohne die Meldung von kriminell angezapften Datenbanken, Hacks und Sicherheitslücken zu vergehen. Der wirtschaftliche Schaden des Datendiebstahls ist für die Unternehmen immens! Auch die immateriellen Einbußen im Sinne von Vertrauen und Image werden unterschätzt.
Setzen Sie ein starkes Zeichen für die Sicherheit Ihrer Informationen, Daten und Systeme. Entscheiden Sie sich bewusst für die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach DIN EN ISO/IEC 27001! Dieses geht weiter als die reine IT-Sicherheit.

„Wussten Sie, dass das BKA 2021 knapp 147.000 Fälle von Cyberkriminalität meldete? Gerade KMU werden vermehrt Opfer von Angriffen auf ihre sensiblen Produkt- und Kundendaten und die Erhöhung der Informationssicherheit. Der Schutz der eigenen Firmendaten gewinnt daher an Bedeutung.“

„Cybercrime ist eines der sich am dynamischsten verändernden Kriminalitätsphänomene. Täter passen sich flexibel an technische und gesellschaftliche Entwicklungen an, agieren global und greifen dort an, wo es sich aus ihrer Sicht finanziell lohnt.“

„Nach Einschätzung des BSI ist die Gefährdungslage im Cyber-Raum so hoch wie nie. Das BSI ruft daher Unternehmen, Organisationen und Behörden dazu auf, ihre IT-Sicherheitsmaßnahmen zu überprüfen und der gegebenen Bedrohungslage anzupassen.“

Vorteile einer zertifizierten Informationssicherheit:

  • Kontinuierliche Informationssicherheit
  • Minimierung von IT-Risiken und -Schäden
  • Bedrohungen werden leichter erkannt und reduziert
  • IT-Sicherheit wird als Unternehmenskultur gelebt
  • Sicherheit, Arbeitserleichterung und Kosteneinsparung
  • Nachweis der gesetzlichen Anforderungen
  • Mehr Vertrauen bei Geschäftspartnern
  • Reduzierung der Haftung
  • Erhöhte Chance bei Ausschreibungen

Praxisorientierte Umsetzung

varISO_Infografik_Ablauf-Zertifizierung_aufgeteilt_1

1 Ist-Aufnahme

  • Ihr Unternehmen kennen lernen (z.B. durch gemeinsame Betriebsbesichtigung)
  • Überblick zur Informationssicherheits-Management nach DIN EN ISO/IEC 27001 geben
  • Die bestehenden Informationssicherheits-Prozesse im Unternehmen ermitteln und analysieren
  • Vorhandene IT-Sicherheitsvorschriften sichten und bewerten
  • IT-Struktur erfassen
varISO_Infografik_Ablauf-Zertifizierung_aufgeteilt_2

2 Analyse

  • Ist-Stand analysieren und darstellen
  • Anwendungsbereich abstimmen und definieren
  • Aufgaben und Normforderungen aufzeigen
varISO_Infografik_Ablauf-Zertifizierung_aufgeteilt_3

3 Normenkonformität sicherstellen

  • Prozess- & Verfahrensbeschreibungen erstellen
  • Anforderungen aus der Anwendbarkeitserklärung im Anhang A der ISO/IEC 27001 erläutern und umsetzen
  • Vorlagen an das Unternehmen anpassen und zur Verfügung stellen
  • Verantwortlichkeiten festlegen
  • Informationssicherheits-System (ISMS) aufbauen und normkonform dokumentieren
  • Mitarbeiter schulen
  • Vorbereitung auf die Informationssicherheit-Zertifizierung
varISO_Infografik_Ablauf-Zertifizierung_aufgeteilt_4

4 Zertifizierung

  • Begleitung während des gesamten Zertifizierungsprozesses
varISO_Infografik_Ablauf-Zertifizierung_aufgeteilt_5

Oft gestellte Fragen zur Informationssicherheit ISO 27001

Was beinhaltet die DIN EN ISO 27001:2017?

Die internationale Norm ISO 27001 regelt Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen. Sie beschreibt die Anforderungen für das Einrichten, Realisieren, Betreiben und Optimieren eines dokumentierten Informationssicherheits-Managementsystems (IMSM). Sie spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation. Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation. Im Anhang sind mehr als 100 Umsetzungsmaßnahmen aufgeführt (ISO 27002). Der Standard ist technikneutral, d.h. die Anweisungen werden nur konzeptionell beschrieben und müssen für den Einsatz im Unternehmen organisatorisch und technisch koordiniert werden.

Die ISO 27001 ist für verschiedene Bereiche anwendbar sein, insbesondere

  • zur Formulierung von Anforderungen und Zielen für die Informationssicherheit
  • für das kostengünstige Management von Sicherheitsrisiken
  • zur Gewährleistung der Einhaltung gesetzlicher und behördlicher Vorschriften
  • als Rahmen für den Prozess der Umsetzung und Verwaltung von Maßnahmen
  • zur Definition neuer Informationssicherheits-Managementprozesse
  • zur Identifizierung bestehender und Definition neuer Informationssicherheits-Managementprozesse sowie von Aktivitäten im Zusammenhang mit dem Informationssicherheitsmanagementsystem (ISMS)
Welche Unternehmen können sich nach DIN EN ISO 27001 zertifizieren lassen?

Da heute fast alle Unternehmen Informationstechnologiesysteme verwenden und sich auf deren Sicherheit verlassen, lässt sich die ISO 27001 in jedem Unternehmen integrieren. Die nach dem Standard vorgeschriebene Entwurfsmethode macht sie für jedes Unternehmen anwendbar, unabhängig von Branche und Größe.

Wann sollte Informationssicherheit für Ihr Unternehmen von besonderer Bedeutung sein?

Mit ISO 27001 haben Unternehmen die Möglichkeit, ihre Sicherheitsaktivitäten strukturiert zu planen und umzusetzen. Die ISO 27001 definiert die Anforderungen an ein Informationssicherheits-Managementsystem (oft auch als ISMS bezeichnet). Hier wurde ein kontinuierlicher Verbesserungsprozess (KVP) eingerichtet, der es dem Unternehmen ermöglicht, die erforderlichen Sicherheitsmaßnahmen in einem risikoorientierten Prozess zu bestimmen und eine kontinuierliche Verbesserung umzusetzen. ISMS wird oftmals als Software-Tool angesehen, das ist es aber nicht. ISMS ist eine Methode und ein Prozess, und im ersten Schritt sind nicht unbedingt Softwaretools erforderlich. In großen Unternehmen kann Software diesen Ansatz sicherlich unterstützen, insbesondere wenn der Betrieb des ISMS mehrere Bereiche oder Mitarbeiter umfasst.

Welche Rolle hat der Informationssicherheitsbeauftragte? Ab wann bedarf es eines ISB?

Ein Informationssicherheitsbeauftragter kann für viele Unternehmer eine Unterstützung oder sogar eine Erleichterung sein. Denn oft ist das Management eines Unternehmens im Bereich IT, Datenschutz und Schutz von Informationen nicht ausreichend ausgestattet. Die Ernennung eines Informationssicherheitsbeauftragten ist nicht obligatorisch, wird jedoch empfohlen. Gibt es einen Informationssicherheitsbeauftragten berichtet dieser direkt an die Unternehmensleitung und fungiert als zentraler Ansprechpartner. Es handelt im Namen der Unternehmensleitung, die jedoch weiterhin für die Informationssicherheit verantwortlich ist. Ein Informationssicherheitsbeauftragter kann mehrere Aufgaben haben, die sich auch von Unternehmen zu Unternehmen unterscheiden.

Daher hängen die Aufgaben von dem Konzept, das das jeweilige Unternehmen bereits hat, den angestrebten Zielen und den umzusetzenden Ideen ab. Zu den Aufgaben eines Informationssicherheitsbeauftragten gehören in der Regel die Schulung der Mitarbeiter, die Beratung des Managements, interne Audits, die Klärung von Zweifeln und Problemen, die Entwicklung von Sicherheitskonzepten und die Umsetzung der geltenden Vorschriften.

Auch die Ernennung bzw. Bestellung eines externen Informationssicherheitsbeauftragten kann von Vorteil sein. Für diese Aufgabe sind in der Regel umfangreiche technische und organisatorische Kenntnisse erforderlich. Interne Mitarbeiter sind dazu oftmals nicht in der Lage, weil sie nur die Prozesse ihres eigenen Unternehmens kennen. Oft kann ein externer Informationssicherheitsbeauftragter besser beurteilen, welches Konzept für das betreffende Unternehmen am besten geeignet ist. Gerne übernehmen unsere Berater und Auditoren diese Rolle als externer Informationssicherheitsbeauftragter auch für Sie. Sprechen Sie uns dazu gerne jederzeit an.

Welche Version der ISO 27001 ist aktuell gültig?

Seit Juni 2017 ist die aktuelle Version der DIN EN ISO/IEC 27001:2017 in deutscher Sprache veröffentlicht. Im Vergleich zur Vorgängerversion sind neben internen verstärkt auch externe Anforderungen (inklusive der interessierten Parteien) in das Informationssicherheitsmanagementsystem (IMSM) aufzunehmen. Es wird also ein stärkerer Fokus auf das Unternehmen als Teil eines Ökosystems gelegt. Ebenso wurden Anforderungen an die Führung durch das Management verstärkt, u.a. durch Festlegung konkreter Ziele in der Informationssicherheitsleitlinie. Seit 2017 bezieht sich die Verbesserung des Informationssicherheitsmanagements nicht mehr auf einzelne Maßnahmen sondern auf das gesamte Management. Desweiteren wurden konkrete Anforderungen an die Planung interner und externer Kommunikation neu eingefügt. Darüberhinaus muss jeweils ein Risikoverantwortlicher festgelegt werden und die Trennung zwischen korrigierenden und vorbeugenden Maßnahmen wurde aufgehoben.

Zudem werden in der aktuellen Norm:

  • Die Anforderungen an die Risikobewertung und die Risikobehandlung wichtiger und dem Standard ISO 31000 angepasst
  • Neben Risiken auch Chancen durch die anzuwendenden Maßnahmen adressiert
  • Ein konkretes Überwachungskonzept zur Auswertung der Leistung des Informationssicherheitssystems und der Wirksamkeit des Informationssicherheitsmanagementsystems (IMSM) gefordert
  • Die Anwendung der Maßnahmen im Anhang A liberaler behandelt als in der Vorgängerversion und sind nicht mehr verbindlich. In der Anwendbarkeitserklärung (SoA) muss jedoch für jede einzelne Maßnahme begründet werden, warum diese ausgeschlossen wurde.
Welche Alternativen gibt es zur ISO 27001 Informationssicherheit?

Die ISO 27001 hat sich als Standard für kleine und mittlere Unternehmen durchgesetzt, u.a. aufgrund ihrer Integrationsmöglichkeit zur ISO 9001 Qualitätsmanagement. Mit ISIS12, dem Standard VdS 10000 oder auch dem BSI-Standard gibt es jedoch natürlich auch Alternativen im Kontext Informationssicherheit, auf die wir nachfolgend kurz eingehen möchten:

BSI-Standard:
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit den IT-Grundschutz-Katalogen eine sehr gute Anleitung für die Errichtung eines ISMS in Unternehmen und Behörden. Die Kataloge sind mit über 4.800 Seiten recht umfangreich und beschreiben die Umsetzung der Maßnahmenziele und Maßnahmen für ein ISMS. Einen direkten Vergleich der ISO/IEC 27001 und den Grundschutz-Katalogen finden Sie auf der Webseite des BSI.

ISIS12:
ISIS12 ist eine weniger zeit- und kostenintensive Alternative zu ISO/IEC 27001 und dem IT-Grundschutz. Das „Netzwerk für Informationssicherheit im Mittelstand (NIM)“ hat in Anlehnung an den IT-Grundschutz und der Norm ISO/IEC 27001 ein Modell zur Einführung eines ISMS entwickelt, das 12 konkrete Schritte vorsieht. Der wesentliche Unterschied zum IT-Grundschutz und der ISO/IEC 27001 besteht darin, dass nicht jedes Bedrohungsszenario analysiert und abgedeckt wird. Unternehmen erhalten vielmehr in begrenztem Umfang eine klare Handlungsanweisung für ein ISMS.
Hinweis: Ein ISMS nach ISIS12 ist nicht geeignet für Anbieter „kritischer Infrastrukturen“ gemäß dem IT-Sicherheitsgesetz.

VdS 10000:
Eine weitere Alternative zur ISO/IEC 27001 und dem IT-Grundschutz sind die Richtlinien VdS 10000. Dieses Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU) enthält Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen. Sie sind speziell für KMU sowie für kleinere und mittlere Organisationen ausgelegt mit der Zielsetzung, ein angemessenes Schutzniveau zu gewährleisten, ohne sie organisatorisch oder finanziell zu überfordern. Die VdS 10000 ist der Nachfolger der VdS 3473. Die Richtlinien wurden von Experten der VdS Schadenverhütung GmbH konzipiert und sind mit dem ISO/IEC 27001 und dem IT-Grundschutz kompatibel.

In welche Richtung Sie auch gehen möchten, wir begleiten Sie und unterstützen Sie bei der Entwicklung und der Einführung eines ISMS. Nehmen Sie bitte Kontakt über unser Kontaktformular auf.

Auf welchen Gebieten kann varISO im Bereich Informationssicherheit unterstützen?

Neben der Unterstützung bei der Einführung Ihres Informationssicherheitssystems, helfen wir (z.B. bei wiederholten Problemen oder Auditfeststellungen) gerne auch dabei Ihr bestehendes ISMS zu verbessern oder unterstützen Sie bei internen und externen Audits. Wir freuen uns auch, Ihnen unser Fachwissen als externer Informationssicherheitsbeauftragter (ISMB) zur Verfügung zu stellen. Wenn Sie weitere Ideen haben, wie wir Ihnen helfen können, zögern Sie bitte nicht, uns zu kontaktieren. Wir werden gemeinsam mit Ihnen eine Lösung finden.

Haben Sie allgemeine Fragen zu Managementsystemen und Zertifizierungen?

CyberRisiko-Check nach DIN SPEC 27076: zeit- und kosteneffizient.

Auch immer mehr kleine Unternehmen sind von Hackerangriffen oder Sicherheitslücken betroffen. Aufgrund von Zeit- und Personalmangel ist es jedoch oft schwierig sich mit der Sicherheit der eigenen IT-Infrastruktur und Daten auseinanderzusetzen und die richtigen Maßnahmen zu ergreifen. Der neue IT-Sicherheitsstand DIN SPEC 27076 ermöglicht kleinen Unternehmen (<50 Mitarbeiter) eine zeit- und kosteneffiziente Beratung.

Tipps & Tricks zur Informationssicherheit

Mit dem richtigen Know-how zur erfolgreichen Umsetzung der ISO 27001

Sicherheitsrichtlinie

Erstellen Sie eine Sicherheitsrichtlinie!

Mitarbeiterschulung

Schulen und binden Sie Ihre Mitarbeiter mit ein!

Zugangskontrolle

Beschränken Sie den Zugang zu kritischen Informationen!

Datenverschlüsselung

Verschlüsseln Sie sensible Daten!

Systemüberwachung

Überwachen Sie Ihre IT-Systeme kontinuierlich!

Notfallvorsorge

Erstellen Sie Notfallpläne für Systemausfälle!

Compliance

Achten Sie auf die Regelkonformität Ihres Unternehmens!

Risikobewertung

Führen Sie regelmäßige Risikobewertungen durch!

IT-Sicherheitslösungen

Verwenden Sie moderne IT-Sicherheitslösungen!

Sprechen Sie varISO an!

Wir helfen Ihnen gerne weiter!

Kosten und Fördermöglichkeiten

Wir liefern Ihnen punktgenau, das was sie zum Aufbau und zur Zertifizierung Ihres Informationssicherheitmanagementsystems benötigen. Branchen- und Größen-spezifisch, unbürokratisch und individuell an Ihr Unternehmen angepasst. Das senkt Ihre Kosten und erhält Ihre volle unternehmerische Flexibilität.

Selbstverständlich kalkulieren wir anhand Ihrer individuellen Unternehmensparameter auch für Sie den genauen Festpreis für eine Beratung zur Erstzertifizierung und die Kosten für die Aufrechterhaltung des Zertifikats durch die jährlichen Überwachungsaudits. Nutzen Sie unser Kontaktformular oder sprechen Sie am besten doch gleich mit einem unserer Experten.

Die Kosten für eine ISO-Beratung, inkl. Zertifizierung, richten sich unter anderem nach folgenden Kriterien: 

* Gerne prüfen wir für Sie eine mögliche Bewilligung ihrer Fördergelder und unterstützen bei der Antragstellung zur BAFA-Förderung. Wir sind bei der BAFA als Berater gelistet, so dass die Fördermittel aus dem Programm “Förderung unternehmerischen Know-hows” genutzt werden können.