Erhalten Sie 2 Dokumentations-Toolkits zum Preis von 1
Zeitlich begrenztes Angebot – endet am 28. März 2024

Über die Normen ISO 27001 / ISO 22301 / BS 25999-2

Was ist ISO 27001?

ISO 27001 ist eine internationale Norm, die von der Internationalen Organisation für Normierung (ISO) herausgegeben wurde und die Informationssicherheits-Managementsysteme definiert. Ihr vollständiger Name lautet ISO/IEC 27001:2013. Diese Norm wurde aus der britischen Norm BS 7799-2 entwickelt. Sie wurde zunächst als ISO/IEC 27001:2005 veröffentlicht und ist heute eine international führende Norm für Informationssicherheit. Mehr erfahren …

Was wird durch die Umsetzung der Norm ISO 27001 erreicht?

Die Umsetzung von ISO 27001 reduziert die Risiken im Zusammenhang mit Vertraulichkeit, Verfügbarkeit und Integrität von Informationen innerhalb eines Unternehmens. Mithilfe dieser Norm ist das Unternehmen auch in der Lage, die Gesetze einzuhalten, die in den meisten Ländern gelten und den Schutz vertraulicher Informationen, den Schutz von IT-Systemen, die Sicherheit personenbezogener Daten usw. regeln. Schließlich sollte die Einführung der Norm die Betriebskosten senken, weil weniger Vorfälle eintreten. Zudem bieten sich dem Marketing durch Werbung mit der Norm bessere Möglichkeiten. Mehr erfahren…

Was ist der Unterschied zwischen ISO 27001 und ISO 27002?

Die internationale Norm ISO 27002 (vollständiger Name: ISO/IEC 27002:2013) legt Richtlinien für die Umsetzung der Maßnahmen fest, die in ISO 27001 aufgelistet werden. ISO 27001 benennt 114 Maßnahmen, die umgesetzt werden können, um Sicherheitsrisiken zu vermindern. ISO 27002 vermittelt nähere Informationen, auf welche Weise diese Maßnahmen umzusetzen sind. Unternehmen können nach ISO 27001, aber nicht nach ISO 27002 zertifiziert werden. ISO 27002 wurde früher ISO/IEC 17799 genannt und entstand aus der britischen Norm BS 7799-1. Mehr erfahren…

Was ist BS 25999-2?

Dabei handelte es sich um eine britische Norm mit dem vollständigen Namen BS 25999-2:2007, in der Systeme für das betriebliche Kontinuitätsmanagement definiert wurden. Im Jahre 2012 wurde BS 25999-2 durch ISO 22301 ersetzt. Mehr erfahren…

Warum nennen Sie ISO 27001 und ISO 22301 gemeinsam?

ISO 27001 definiert Informationssicherheits-Management, welches das betriebliche Kontinuitätsmanagement umfasst. Jedoch beschreiben weder ISO 27001 noch ISO 27002, wie betriebliches Kontinuitätsmanagement umgesetzt werden sollte. Für diesen Zweck sollte optimalerweise ISO 22301 (früher BS 25999-2) verwendet werden. Außerdem enthalten ISO 27001 und ISO 22301 fast identische Elemente (Dokumentationsmanagement, Interne Audits, Managementprüfung,Korrektur- und Vorbeugungsmaßnahmen), so dass diese Standards vollständig kompatibel sind. Mehr erfahren …

Ist es möglich, ISO 22301 ohne ISO 27001 umzusetzen?

Ja – in diesem Fall liegt die Betonung darauf, wie die Verfügbarkeit von Informationen und betrieblichen Abläufen im Katastrophenfall usw. gewährleistet wird, nicht jedoch, wie Vertraulichkeit und Integrität von Informationen sichergestellt werden.

Wir haben ISO 9001 umgesetzt – kann etwas davon für ISO 27001/ISO 22301 verwendet werden?

Natürlich! Einige Teile von ISO 27001/ISO 22301 (früher BS 25999-2) und ISO 9001 sind virtuell gleich – z. B.Dokumentationsmanagement, interne Audits, Managementprüfung und Korrekturmaßnahmen. Falls diese Verfahren bereits für ISO 9001 verwendet wurden, können sie mit nur geringen Änderungen auch für ISO 27001/ ISO 22301 verwendet werden. Anders ausgedrückt: Unternehmen, die bereits ISO 9001 umgesetzt haben, werden es leichter haben, ISO 27001/ ISO 22301 umzusetzen (und umgekehrt). Mehr erfahren…

Wie lange dauert es, ISO 27001/ ISO 22301 umzusetzen?

Dies hängt von vielen Faktoren ab, aber allgemein gilt: Kleinere Unternehmen können 3- 6 Monate benötigen, Unternehmen mit bis zu 500 Mitarbeitern werden 8 bis 12 Monate brauchen und größere Unternehmen 12 Monate oder mehr. Nutzen Sie den Rechner für die Kalkulation der Umsetzungsdauer um die Dauer genauer zu berechnen.

Muss ISO 27001/ ISO 22301 im gesamten Unternehmen umgesetzt werden?

Nein. Es ist möglich, den Rahmen der Umsetzung auf einen Teil des Unternehmens zu beschränken. Das macht bei größeren Unternehmen Sinn, die an mehreren Standorten und/oder in mehreren Ländern tätig sind. Bei kleinen Unternehmen, die an wenigen Standorten tätig sind, ist es dagegen besser, die Norm für das gesamte Unternehmen umzusetzen. Mehr erfahren…

Wir haben gehört, dass ISO 27001 eine umfassende Dokumentation mit sich bringen, die unser Tagesgeschäft behindern wird. Stimmt das?

Es stimmt, dass laut ISO 27001 einige Dokumente zwingend erforderlich sind, aber deren Anzahl hängt von der Größe und Komplexität des Unternehmens ab – ein kleines Unternehmen ohne umfassende Sicherheitsanforderungen benötigt insgesamt nur ein Dutzend Dokumente, eine große Bank kann dagegen mehrere Hundert Dokumente erforderlich machen. Der springende Punkt bei der Erstellung der Dokumente besteht darin, nur diejenigen Vorschriften festzulegen, die für das Unternehmen wirklich erforderlich sind, um nicht die Geschäftsabläufe zu bremsen. Sie finden eine Liste der notwendigen Dokumente hier.

Sind IT-Sicherheit und Informationssicherheit die gleiche Sache?

Nein. IT-Sicherheit ist Teil der Informationssicherheit – die IT-Sicherheit umfasst z. B. Back-up-Verfahren oder den Einsatz einer Firewall, während Informationssicherheit auch eine Definition von Sicherheitsrollen und -verantwortlichkeiten, Arbeitsabläufe, Schulung und Sensibilisierung, Rechtsverkehr mit Mitarbeitern und Lieferanten, physische Sicherheit usw. einschließt. IT-Sicherheit macht in der Regel 50 % der Informationssicherheit aus. Mehr erfahren…

Wie teuer ist die Umsetzung der ISO 27001?

Vor Erstellung der Risikoeinschätzung und der Erklärung zur Anwendbarkeit ist es fast unmöglich, die Kosten abzuschätzen. Die meisten Ausgaben beziehen sich üblicherweise nicht auf Hardware oder Software, sondern auf die Entwicklung der Verfahren und deren Einführung als Routineaufgabe, auf die Sensibilisierung und Schulung der Mitarbeiter, Zertifizierung usw. Die Kosten des Verfahrens hängen auch von der Größe des Unternehmens ab. Es ist jedoch wichtig zu wissen, dass nicht alle Sicherheitsmaßnahmen sofort eingeführt werden müssen, und dass einige dieser Maßnahmen erst später umgesetzt werden können. Mehr erfahren…

Zertifizierung nach ISO 27001 / ISO 22301 / BS 25999-2

Können wir über Ihre Website nach diesen drei Normen zertifiziert werden?

Nein. Die 27001Academy bietet nur Dokumentationen, Schulungen und Unterstützung bei der Umsetzung der Informationssicherheit und des betrieblichen Kontinuitätsmanagements. Wir können Ihnen helfen, alle Schritte bis zur Zertifizierung erfolgreich zu absolvieren. Die Zertifizierung erfolgt dagegen durch akkreditierte Zertifizierungsstellen.

Was benötige ich, um nach ISO 27001 oder ISO 22301 zertifiziert zu werden?

Sie müssen über alle von der Norm vorgeschriebenen Dokumente verfügen und mindestens ein internes Audit und mindestens eine Managementprüfung durchführen. Am wichtigsten ist aber, dass Sie die Anforderungen der Norm und die in Ihrer Dokumentation festgehaltenen Anforderungen umsetzen müssen. Während der Zertifizierung wird der Auditor prüfen, in welchem Umfang das Informationssicherheitssystem und/oder das System für betriebliches Kontinuitätsmanagement in Ihrem Unternehmen wirklich Gestalt angenommen hat. Mehr erfahren…

Der Auditor hat während des Zertifizierungsaudits eine größere Nichtkonformität festgestellt. Haben wir damit keine Chance mehr, ein Zertifikat zu erhalten?

Nein. Sobald Sie diese Nichtkonformität beseitigen, wird die Zertifizierungsstelle ein Zertifikat ausstellen. Es ist allerdings von grundlegender Bedeutung, eine solche Nichtkonformität innerhalb der gesetzten Frist und auf eine für den Auditor akzeptable Weise zu beseitigen. Mehr erfahren…