0371 / 67602728 Chemnitzer Str. 32a, 09228 Chemnitz

ISO27001

Sie sind hier: Startseite » ISO27001

ISMS-Zertifizierung nach ISO27001

Die ISO/IEC 27001 ist die führende internationale Norm für Informationssicherheits-Managementsysteme (ISMS) und damit auch die wichtigste Cyber-Security Zertifizierung. Die ISO/IEC 27001 bietet Unternehmen aller Grössen klare Leitlinien für die Planung, Umsetzung, Überwachung und Verbesserung der Informationssicherheit. Die Anforderungen sind generell anwendbar und lassen sich auf alle Arten von privaten, öffentlichen und gemeinnützigen Organisationen umsetzen.

Fast alle Geschäftsprozesse in Ihrem Unternehmen arbeiten mit Informationen oder Daten. Die ISO/IEC 27001 klassifiziert die Daten und Werte anhand eines Risikomanagement und sorgt für die Verfügbarkeit, Integrität und Vertraulichkeit dieser Informationen.

Ziel

Der erste Schritt bei der Einführung eines ISMS ist es, ein klares Ziel zu definieren. Was soll das ISMS leisten, welche Werte und Informationen sollen geschützt werden.

Risikomanagement

Wurde definiert, welche Werte und Informationen zu schützen sind, besteht der nächste Schritt in der Durchführung einer Risikoanalyse. Dazu müssen mögliche Risiken erkannt und eingeordnet werden.

Massnahmen

Sobald die Risiken bekannt sind, werden zum einen Gegenmassnahmen ausgearbeitet, welche die Minimierung von Bedrohungsszenarien zum Ziel haben und zum anderen definieren, wie mit Sicherheitsvorfällen umgegangen wird.

Bei den Massnahmen wird nicht nur die IT-Abteilung mit einbezogen, sondern es werden alle Ebenen und Bereiche des Unternehmens berücksichtigt.

Überwachung

Die getroffenen Massnahmen werden kontinuierlich geprüft und überwacht. Ziel ist die Erkennung von Mängeln, neuen Risiken oder Verbesserungspotentialen.

Ziele der ISO27001

  • Vertraulichkeit

    Vertrauliche Informationen dürfen nur von autorisierten Personen eingesehen und offengelegt werden. Der Zugang zu diesen Informationen muss also entsprechend abgesichert sein. Die Vertraulichkeit ist verletzt, wenn ein Angreifer beispielsweise eine Kommunikation abhören kann.

  • Integrität

    Informationen müssen vor unerkannter Manipulation geschützt sein, um ihre Richtigkeit und Vollständigkeit zu wahren. Die Integrität ist verletzt, wenn ein Angreifer etwa Forschungsdaten unbemerkt verändern kann.

  • Verfügbarkeit

    Informationen, Dienste oder Ressourcen müssen für legitime User jederzeit verfügbar und nutzbar sein. Die Verfügbarkeit kann zum Beispiel durch einen DDoS-Angriff gestört werden, der Systeme gezielt überlastet.

Verantwortlichkeit

Um die Informationssicherheit in einem Unternehmen zu gewährleisten, müssen klare Verantwortlichkeiten definiert werden und notwendige Ressourcen bereitgestellt werden (Geld, Personal, Zeit).

Hierfür ist die oberste Leitung im Unternehmen verantwortlich. Diese trägt die Gesamtverantwortung für die Informationssicherheit und ein angemessenes ISMS.

Die Einführung folgt dem Top-Down-Ansatz. Die oberste Leitung initiiert den Prozess und baut eine entsprechende Unternehmenskultur auf, legt Sicherheitsziele und Rahmenbedingungen fest und erlässt Leitlinien zur Durchsetzung der Informationssicherheit.

Die Ausgestaltung erfolgt dann durch beauftragte Führungskräfte und Mitarbeiter.

Idealerweise benennt das oberste Management einen Informationssicherheitsbeauftragten, welcher als zentraler Ansprechpartner für sämtliche Fragen rund um die Informationssicherheit fungiert.

ISMS Standard

Bei der Ausgestaltung eines ISMS und dessen Einführung in einem Unternehmen helfen etablierte Standards wie die ISO27000 Normenfamilie oder der in Deutschland von Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte IT-Grundschutz.

Beide Varianten betrachten Informationssicherheit als Prozess, der kontinuierlich angepasst werden muss, etwa an veränderte Rahmenbedingungen oder veränderte, interne Abläufe.

Während es sich bei IT-Grundschutz um einen nationalen (deutschen) Standard handelt, ist die ISO27001 weltweit anerkannt. Gerade Unternehmen mit Bezug ins Ausland entscheiden sich daher vorwiegend für die ISO27001 anstelle der IT-Grundschutz-Zertifizierung.

Leistungen

  • Entwicklung und Einführung eines Informationssicherheitsmanagementsystems nach ISO27001

  • Erarbeitung und Kontrolle von Prozessen und Vorgaben

  • Einführung eines eines Privacy Information Managemensystems (PIMS) nach ISO27701

  • Durchführung von Audits und GAP-Analysen

  • Analyse des Schutzbedarfs und Erarbeitung von Sicherheitskonzepten

  • Planung und Begleitung von Massnahmen im Bereich der Informationssicherheit

  • Durchführung von Standortbestimmungen und IT-Audits

  • Vorbereitung einer ISO27001-Zertifizierung

© 2021 - IT-Unternehmensberatung Pöhler - Impressum

 0371 / 67602728  Chemnitzer Str. 32a, 09228 Chemnitz