ISO 27001: Was ist das und warum ist es gut für Ihre Cyber-Sicherheitsstrategie?

Diese internationale Norm bietet viele Vorteile: Neben der Optimierung der internen Organisation des Datenschutzes verbessert sie auch die Reputation des Unternehmens. Der digitale Sektor hat den Standard in großem Umfang übernommen. Eine Nichtbeachtung ist kaum noch zu rechtfertigen. Aber was genau beinhaltet die ISO/IEC 27001-Zertifizierung? Wie funktioniert ein Compliance-Programm? Was sind die Vor- und Nachteile der Implementierung von ISO 27001 in Ihrem Unternehmen?

Melissa Parsons
Technischer Redakteurin
ISO 27001 C-Risk

Was sind die Unterschiede zwischen Standards, Zertifizierungen und Vorschriften?

Wie können Sie Normen, Vorschriften, Kennzeichnung und Zertifizierungen voneinander unterscheiden? Auf der einen Seite schaffen Behörden Vorschriften, die rechtlichen Wert haben — sie werden Unternehmen auferlegt, die zur Einhaltung verpflichtet sind. Andererseits werden Normen auf freiwilliger Basis angewendet, in der Regel, um ein bestimmtes Sicherheits- oder Qualitätsniveau nachzuweisen.

Standards und Zertifizierungen

Es gibt viele ISO-Normen (wie ISO 27001, ISO 9001 und ISO 14001), die als Referenzdokumente dienen und von Normungsorganisationen oder Normungsgremien herausgegeben werden, wie z. B. Internationale Organisation für Normung (ISO) oder die Britische Standards Institution (BSI). Standards sind jedoch nicht rechtsverbindlich. Stattdessen nutzen Unternehmen sie als Aushängeschilder für ihr Engagement für Qualität oder Sicherheit.

Normung und Zertifizierung sind eng miteinander verbundene Konzepte, wobei die Zertifizierung auf der bloßen Existenz von Normen beruht, um nützlich zu sein. Die ISO 27001-Zertifizierung bedeutet, dass ein Unternehmen den Informationssicherheitsstandard ISO 27001 angewendet hat und damit freiwillig den Referenzstandard für das Management seiner Informationssicherheitsrisiken einhält. Eine akkreditierte Zertifizierungsstelle überprüft die Einhaltung der Norm und überwacht die kontinuierliche Einhaltung der Norm des Unternehmens im Laufe der Zeit.

Regularien

Vorschriften werden von Verwaltungsbehörden erlassen: dem Staat, dem Parlament oder sogar lokalen Behörden. In jedem Fall sind Vorschriften eine Rechtssache und daher rechtsverbindlich.

Die Einhaltung von Vorschriften ist eine Voraussetzung für die Einhaltung einer Norm. In einigen Ländern verlangt ISO 27001, dass Unternehmen die Informationsvorschriften einhalten, um zertifiziert zu werden. Zum Beispiel müssen unter anderem die Allgemeine Datenschutzverordnung (GDPR) einhalten.

Kennzeichnung

Labels sind einfacher zu beschaffen als Vorschriften und Normen, da öffentliche und private Stellen sie ausstellen dürfen. Labels sind weit weniger reguliert als Zertifizierungen und werden nicht immer ernst genommen. Schließlich ist ein Label nur so gut wie die Organisation, die es herausgibt.

In Hinblick auf die Onlinesicherheit hat das National Cyber Security Center (NCSC) ein neues Cyber-Sicherheitskennzeichen für IoT-Geräte geschaffen. In diesem Fall handelt es sich um ein Etikett aus einem im Mai 2019 gestarteten Regierungsplan zur Verbesserung der Sicherheit von IoT-Geräten.

Was ist der ISO 27001-Standard?

ISO/IEC 27001 besteht eigentlich aus einem Dutzend Standards, die entwickelt wurden, um die vertraulichen Informationsressourcen eines Unternehmens zu schützen.

Definition von ISO/IEC 27001

Die Internationale Organisation für Normung betrachtet ISO/IEC 27001 als den bekanntesten Standart bezüglich der Verwaltung von Informationssicherheit. Die Besonderheit dieses Textes besteht darin, dass er die „Anforderungen an Informationssicherheits-Managementsysteme (ISMS)“ spezifiziert.

In diesem Zusammenhang bekräftigt die Organisation, dass die Umsetzung der Norm ISO 27001 das Management der Sicherheit von „sensiblen Vermögenswerten“ erleichtern sollte. Dies können Finanzdaten, Personalinformationen, Dateien über geistiges Eigentum oder Daten über Ihre Geschäftspartner sein. Die Einhaltung der Anforderungen dieses Standards sollte es dem Unternehmen ermöglichen, sich vor Verlust, Diebstahl oder Änderung seiner vertraulichen Daten und allen damit verbundenen Risiken zu schützen.

Wie jede Norm ist ISO/IEC 27001 für Unternehmen nicht verpflichtend. Es ist jedoch besonders nützlich, wenn es um die Einrichtung von Informationssicherheitskontrollen geht. Einige Unternehmen nutzen es auch, um ihren Kunden und Interessenten zu zeigen, wie sehr sie sich für Cybersicherheit einsetzen.

Die Norm ISO 27001 dient dem Schutz der Informationssysteme eines Unternehmens und der Vermeidung von Cyber-Risiken durch:

  • Aufzeigen von Schutzmaßnahmen im Bereich der Informationstechnologie, die in Betracht gezogen werden können
  • Verhinderung des Risikos von Eindringlingen und Katastrophen in Computersysteme;
  • Unterstützung bei der Verbreitung guter Organisationspraktiken.

All diese Konzepte fallen unter das ISMS, das sowohl für Informationssysteme und -prozesse als auch für Personen gilt, die von Cybersicherheit betroffen sind. Dies ist ein leistungsstarkes Tool für Risikomanagement und Antizipation von Cybersicherheitsverletzungen.

ISMS and ISO 27001 standard

Wie können Sie diesen ISMS-Sicherheitsstandard erhalten?

Um nach ISO 27001 zertifiziert zu werden, muss ein Unternehmen mehrere Verfahren einhalten:

  1. den Umfang seines ISMS genau definieren;
  2. Durchführung eines internen Audits zu Informationssicherheitsrisiken, um den Datenschutz besser zu gewährleisten;
  3. Die Wahrscheinlichkeit und die Auswirkungen jedes dieser möglichen Ereignisse abschätzen, zum Beispiel mittels einer Risikomatrix
  4. Entwurf eines Riskobehandlungsplans (RTP) auf der Grundlage der Risikomatrix
  5. Verfassung einer Anwendbarkeitserklärung (SoA); ein Dokument, in dem die Geschäftsleitung ihr Engagement für die im RTP beschriebenen Cybersicherheitsmaßnahmen zum Ausdruck bringt;
  6. Umwandlung des Risikobehandlungsplans in einen Aktionsplan, der Leistungsindikatoren und regelmäßige Aktualisierungen während des ISMS-Zykluses vorsieht.

Wer stellt die ISO 27001-Zertifizierung aus?

Im Gegensatz zu dem, was man denken könnte, ist es nicht die Internationale Organisation für Normung, die die ISO-Zertifizierung ausstellt. Stattdessen wird sie von einer akkreditierten Zertifizierungsstelle ausgestellt, die nach Durchführung eines Zertifizierungsaudits entscheidet, ob ein Unternehmen die ISO 27001-Anforderungen erfüllt. Diese akkreditierte Zertifizierungsstelle entscheidet über die Art und Weise der Bewertung.

Im Vereinigten Königreich ist die bekannteste akkreditierte Zertifizierungsstelle das Centre for Assessment (CfA), während der United Kingdom Accreditation Service (UKAS) Ihnen eine Suchmaschine für die wichtigste britische akkreditierte Zertifizierungsstellen zur Verfügung stellt. Die Zertifizierung nach ISO 27001 ist in jedem Fall auf 3 Jahre befristet. Danach muss jedes Jahr ein Kontrollaudit durchgeführt werden.

ISO27001 certification and certification bodies

Was ist ISO 27001?

ISO/IEC 27001 ist eine internationale Norm für Informationssicherheitsmanagementsysteme (ISMS).

Warum sollten Sie sich um eine ISO 27001-Zertifizierung bemühen?

Diese Norm ermöglicht es Unternehmen, ihre Verfahren zum Schutz sensibler Daten zu rationalisieren. Sie verhindert den Verlust, Diebstahl und die Veränderung von Informationen. Sie schützt Informationssysteme vor Eindringlingen und Katastrophen. Sie trägt auch dazu bei, den Ruf des Unternehmens im Bereich der Cybersicherheit zu verbessern.

ISO 27001: Was ist das und warum ist es gut für Ihre Cyber-Sicherheitsstrategie?

Die Zertifizierung nach ISO 27001 erfordert die Durchführung einer Reihe von Verfahren, einschließlich eines Risikoaudits, eines Risikobehandlungsplans und einer Erklärung zur Anwendbarkeit. Die Zertifizierung erfolgt durch eine akkreditierte Zertifizierungsstelle.