ISO27001
ISMS-Zertifizierung nach ISO27001
Die ISO/IEC 27001 ist die führende internationale Norm für Informationssicherheits-Managementsysteme (ISMS) und damit auch die wichtigste Cyber-Security Zertifizierung. Die ISO/IEC 27001 bietet Unternehmen aller Grössen klare Leitlinien für die Planung, Umsetzung, Überwachung und Verbesserung der Informationssicherheit. Die Anforderungen sind generell anwendbar und lassen sich auf alle Arten von privaten, öffentlichen und gemeinnützigen Organisationen umsetzen.
Fast alle Geschäftsprozesse in Ihrem Unternehmen arbeiten mit Informationen oder Daten. Die ISO/IEC 27001 klassifiziert die Daten und Werte anhand eines Risikomanagement und sorgt für die Verfügbarkeit, Integrität und Vertraulichkeit dieser Informationen.
Ziel
Der erste Schritt bei der Einführung eines ISMS ist es, ein klares Ziel zu definieren. Was soll das ISMS leisten, welche Werte und Informationen sollen geschützt werden.
Risikomanagement
Wurde definiert, welche Werte und Informationen zu schützen sind, besteht der nächste Schritt in der Durchführung einer Risikoanalyse. Dazu müssen mögliche Risiken erkannt und eingeordnet werden.
Massnahmen
Sobald die Risiken bekannt sind, werden zum einen Gegenmassnahmen ausgearbeitet, welche die Minimierung von Bedrohungsszenarien zum Ziel haben und zum anderen definieren, wie mit Sicherheitsvorfällen umgegangen wird.
Bei den Massnahmen wird nicht nur die IT-Abteilung mit einbezogen, sondern es werden alle Ebenen und Bereiche des Unternehmens berücksichtigt.
Überwachung
Die getroffenen Massnahmen werden kontinuierlich geprüft und überwacht. Ziel ist die Erkennung von Mängeln, neuen Risiken oder Verbesserungspotentialen.
Ziele der ISO27001
-
Vertraulichkeit
Vertrauliche Informationen dürfen nur von autorisierten Personen eingesehen und offengelegt werden. Der Zugang zu diesen Informationen muss also entsprechend abgesichert sein. Die Vertraulichkeit ist verletzt, wenn ein Angreifer beispielsweise eine Kommunikation abhören kann.
-
Integrität
Informationen müssen vor unerkannter Manipulation geschützt sein, um ihre Richtigkeit und Vollständigkeit zu wahren. Die Integrität ist verletzt, wenn ein Angreifer etwa Forschungsdaten unbemerkt verändern kann.
-
Verfügbarkeit
Informationen, Dienste oder Ressourcen müssen für legitime User jederzeit verfügbar und nutzbar sein. Die Verfügbarkeit kann zum Beispiel durch einen DDoS-Angriff gestört werden, der Systeme gezielt überlastet.
Verantwortlichkeit
Um die Informationssicherheit in einem Unternehmen zu gewährleisten, müssen klare Verantwortlichkeiten definiert werden und notwendige Ressourcen bereitgestellt werden (Geld, Personal, Zeit).
Hierfür ist die oberste Leitung im Unternehmen verantwortlich. Diese trägt die Gesamtverantwortung für die Informationssicherheit und ein angemessenes ISMS.
Die Einführung folgt dem Top-Down-Ansatz. Die oberste Leitung initiiert den Prozess und baut eine entsprechende Unternehmenskultur auf, legt Sicherheitsziele und Rahmenbedingungen fest und erlässt Leitlinien zur Durchsetzung der Informationssicherheit.
Die Ausgestaltung erfolgt dann durch beauftragte Führungskräfte und Mitarbeiter.
Idealerweise benennt das oberste Management einen Informationssicherheitsbeauftragten, welcher als zentraler Ansprechpartner für sämtliche Fragen rund um die Informationssicherheit fungiert.
ISMS Standard
Bei der Ausgestaltung eines ISMS und dessen Einführung in einem Unternehmen helfen etablierte Standards wie die ISO27000 Normenfamilie oder der in Deutschland von Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte IT-Grundschutz.
Beide Varianten betrachten Informationssicherheit als Prozess, der kontinuierlich angepasst werden muss, etwa an veränderte Rahmenbedingungen oder veränderte, interne Abläufe.
Während es sich bei IT-Grundschutz um einen nationalen (deutschen) Standard handelt, ist die ISO27001 weltweit anerkannt. Gerade Unternehmen mit Bezug ins Ausland entscheiden sich daher vorwiegend für die ISO27001 anstelle der IT-Grundschutz-Zertifizierung.
Leistungen
Entwicklung und Einführung eines Informationssicherheitsmanagementsystems nach ISO27001
Erarbeitung und Kontrolle von Prozessen und Vorgaben
Einführung eines eines Privacy Information Managemensystems (PIMS) nach ISO27701
Durchführung von Audits und GAP-Analysen
Analyse des Schutzbedarfs und Erarbeitung von Sicherheitskonzepten
Planung und Begleitung von Massnahmen im Bereich der Informationssicherheit
Durchführung von Standortbestimmungen und IT-Audits
Vorbereitung einer ISO27001-Zertifizierung