Eine einfache Einführung in die Grundlagen

what-is-iso27001-video-thumbnail
ISO 27001 ist eine internationale Norm, die von der Internationalen Organisation für Standardisierung (ISO) veröffentlicht wurde. Sie beschreibt, wie Informationssicherheit in einem Unternehmen gewährleistet werden kann. Die letzte Revision dieser Norm wurde im Jahr 2013 veröffentlicht. Der vollständige Name lautet daher  ISO/IEC 27001:2013. Die erste Revision stammt aus dem Jahr 2005 und wurde basierend auf dem britischen Standard BS 7799-2 entwickelt.

ISO 27001 kann in jeder Art von Organisation umgesetzt werden – kommerziell oder gemeinnützig, privat oder staatlich, klein oder groß. Er wurde von weltweit führenden Experten für Informationssicherheit verfasst und stellt die Methodologie für Informationssicherheit in einem Unternehmen zur Verfügung. Er ermöglicht auch die Zertifizierung eines Unternehmens, wobei eine unabhängige Zertifizierungsstelle bescheinigt, dass das Unternehmen Informationssicherheit in Übereinstimmung mit ISO 27001 umgesetzt hat.

ISO 27001 ist mittlerweile die weltweit bekannteste Norm für Informationssicherheit und viele Unternehmen haben sich bereits zertifizieren lassen – hier sehen Sie die Anzahl von Zertifikaten der letzten Jahre:

Quelle: ISO-Umfrage zu Zertifizierungen von Managementsystem-Normen

Wie funktioniert ISO 27001?

Der Fokus von ISO 27001 ist der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen in einem Unternehmen. Dazu muss ermittelt werden, welche potentiellen Probleme im Zusammenhang mit den Informationen auftreten könnten (z.B. Risikoeinschätzung), um danach zu definieren, was zur Vermeidung dieser Probleme unternommen werden muss (z.B. Risikominderung oder Risikobehandlung).

Die Hauptphilosophie von ISO 27001 basiert daher auf dem Umgang mit Risiken: Herauszufinden, was die Risiken sind und diese dann systematisch zu behandeln.

Die Sicherheitsmaßnahmen, die umgesetzt werden müssen, bestehen gewöhnlich aus Richtlinien, Verfahren und technischer Umsetzung (z.B. Software und Ausrüstung). In den meisten Fällen hat ein Unternehmen bereits die nötige Hardware und Software in Gebrauch, nutzt diese jedoch auf unsichere Weise. Daher besteht der größte Teil der Umsetzung von ISO 27001 in der Einführung organisatorischer Regeln (z.B. das Schreiben von Dokumenten), die zur Vermeidung von Sicherheitslücken benötigt werden.

Da eine solche Umsetzung den Umgang mit einer Vielzahl an Richtlinien, Verfahren, Personen, Werten usw. erfordert, wird in ISO 27001 beschrieben, wie all diese Elemente im Managementsystem für Informationssicherheit (ISMS) zusammengefügt werden.

Informationssicherheit umfasst also nicht nur die IT-Sicherheit (z. B. Firewalls, Anti-Viren-Software usw.) – sondern auch den Umgang mit Prozessen, juristischen Fragen, Personal, physischen Schutz usw.

Siehe auch: Die grundlegende Logik von ISO 27001: Wie funktioniert Informationssicherheit?

Warum ist ISO 27001 gut für Ihr Unternehmen?

Es gibt 4 grundlegende Vorteile, von denen ein Unternehmen nach der Umsetzung der Norm für Informationssicherheit profitieren kann:

Einhaltung gesetzlicher Vorschriften – Bezüglich der Informationssicherheit gibt es mehr und mehr Gesetze, Vorschriften und vertragliche Erfordernisse, von denen den meisten durch die Umsetzung von ISO 27001 entsprochen werden kann. Mit dieser Norm haben Sie eine perfekte Methodologie zur Hand, um all diese Regeln umzusetzen.

Erzielung eines Wettbewerbsvorteils – Wenn Ihr Unternehmen zertifiziert ist, konkurrierende Unternehmen jedoch nicht, verfügen Sie in den Augen der Kunden, die ihre Informationen sicher wissen wollen, über einen Vorteil.

Niedrigere Kosten – Das Hauptanliegen von ISO 27001 ist es, Störfälle bezüglich der Sicherheit zu vermeiden. Jeder Zwischenfall, ob groß oder klein, kostet Sie Geld – durch deren Vermeidung kann Ihr Unternehmen beträchtliche Kosten sparen. Und das Beste ist: Die Investition in ISO 27001 ist sehr viel kleiner als die erreichten Einsparungen.

Bessere Organisation – Typischerweise haben schnell wachsende Unternehmen keine Zeit, um Prozesse und Verfahren zu definieren – im Ergebnis wissen die Angestellten oft nicht, was von wem erledigt werden muss. Die Umsetzung von ISO 27001 hilft, dieses Problem zu lösen, denn die Unternehmen halten nun ihre Hauptprozesse schriftlich fest (auch die, welche mit IT-Sicherheit nichts zu tun haben) und reduzieren so die Leerlaufzeiten der Mitarbeiter.

Siehe auch: Kostenloser Rechner zum Gewinn durch die Investition in Sicherheit 

Wie passt das IT-Sicherheitsmanagement in das Unternehmen?

Im Grunde ist die Informationssicherheit  Teil des gesamten Risikomanagements in einem Unternehmen, mit Überschneidungen zu Cyber-Sicherheit, betrieblichem Kontinuitätsmanagement und IT-Management:

ISO-27001-Where-does-it-fit-DE

Wie sieht ISO 27001 wirklich aus?

ISO/IEC 27001 ist in 11 Abschnitte und den Anhang A gegliedert. Die Abschnitte 0 bis 3 sind eine allegemeine Einführung in das Thema (und nicht erforderlich für die Umsetzung), während die Abschnitte 4 bis 10 obligatorisch sind. Das bedeutet, dass alle darin enthaltenen Anforderungen umgesetzt werden müssen, falls die Organisation die Norm erfüllen will. Die Maßnahmen im Anhang A müssen nur umgesetzt werden, wenn sie in der Erklärung zur Anwendbarkeit als umsetzbar deklariert wurden.

Laut dem Anhang SL der Vorgaben der Internationalen Organisation für Standardisierung sind die Titel der Abschnitte von ISO 27001 die gleichen wie in ISO 22301:2012, im neuen ISO 9001:2015 und anderen Management-Normen, was die Integration dieser Norm leichter macht.

Abschnitt 0: Einführung – Erklärt den Zweck von ISO 27001 und die Kompatibilität mit anderen Management-Normen.

Abschnitt 1: Anwendungsbereich – Erklärt, dass diese Norm in jeder Art von Organisationen umgesetzt werden kann.

Abschnitt 2: Normative Referenzen – Bezieht sich auf ISO/IEC 27001 als eine Norm, bei dem Begriffe und Definitionen vorgegeben sind.

Abschnitt 3: Begriffe und Definitionen – Bezieht sich gleichfalls auf ISO/IEC 27001.

Abschnitt 4: Kontext der Organisation – Dieser Abschnitt ist Teil der Planungsphase des PDCA-Zyklus (Planen, Durchführen, Überprüfen, Handeln) und definiert die Anforderungen, um externe und interne Probleme sowie die Beteiligten und deren Wünsche zu verstehen und den Anwendungsbereich des ISMS (Managementsystem der Informationssicherheit) zu definieren.

Abschnitt 5: Leitung – Dieser Abschnitt ist Teil der Planungsphase des PDCA-Zyklus (Planen, Durchführen, Überprüfen, Handeln) und definiert die Verantwortlichkeiten des Top-Managements, legt Rollen und Verantwortlichkeiten fest und bestimmt die Inhalte der obersten IT-Sicherheitspolitik.

Abschnitt 6: Planung – Dieser Abschnitt ist Teil der Planungsphase des PDCA-Zyklus (Planen, Durchführen, Überprüfen, Handeln) und definiert die Anforderungen für Risikoeinschätzung, Risikobehandlung, Erklärung zur Anwendbarkeit, Plan zur Risikobehandlung und bestimmt die Ziele der Informationssicherheit.

Abschnitt 7: Support – Dieser Abschnitt ist Teil der Planungsphase des PDCA-Zyklus (Planen, Durchführen, Überprüfen, Handeln) und definiert die Anforderungen für die Verfügbarkeit von Ressourcen, Kompetenzen, Bewusstsein, Kommunikation und Kontrolle von Dokumenten und Einträgen.

Abschnitt 8: Durchführung – Dieser Abschnitt ist Teil der Durchführungsphase des PDCA-Zyklus (Planen, Durchführen, Überprüfen, Handeln) und definiert die Umsetzung von Risikoeinschätzung und -behandlung, sowie die benötigten Maßnahmen und Verfahren zum Erreichen der Ziele der Informationssicherheit.

Abschnitt 9: Evaluierung der Leistung – Dieser Abschnitt ist Teil der Überprüfungsphase des PDCA-Zyklus (Planen, Durchführen, Überprüfen, Handeln) und definiert die Anforderungen für die Überwachung, Messung, Analyse, Bewertung, interne Audits und die Managementbewertung.

Abschnitt 10: Verbesserung – Dieser Abschnitt ist Teil der Handlungsphase des PDCA-Zyklus (Planen, Durchführen, Überprüfen, Handeln) und definiert Anforderungen für Abweichungen, Korrekturen, Korrekturmaßnahmen und kontinuierliche Verbesserung.

Anhang A – Dieser Anhang enthält eine Auflistung von 114 (Schutz-) Maßnahmen, geordnet in 14 Abschnitten (Abschnitte A.5 bis A18).

Siehe auch: Wurde der PDCA-Zyklus (Planen, Durchführen, Überprüfen, Handeln) aus der neuen ISO-Norm entfernt?

Wie wird ISO 27001 umgesetzt?

Um ISO 27001 in einem Unternehmen umzusetzen, müssen diese 16 Schritte befolgt werden:

1) Die Unterstützung des Top-Managements erhalten
2) Die Methodologie für Projektmanagement verwenden
3) Den Anwendungsbereich des ISMS (Managementsystem für Informationssicherheit) definieren
4) Die oberste IT-Sicherheitspolitik erstellen
5) Die Methodologie für die Risikoeinschätzung definieren
6) Risikoeinschätzung und Risikobehandlung durchführen
7) Die Erklärung zur Anwendbarkeit schreiben
8) Den Plan zur Risikobehandlung schreiben
9) Definieren, wie die Wirksamkeit der Maßnahmen und des ISMS gemessen wird
10) Alle entsprechenden Maßnahmen und Verfahren umsetzen
11) Schulungs- und Bewusstseinsprogramme umsetzen
12) Alle täglichen Prozeduren, die in Ihrer ISMS-Dokumentation vorgeschrieben sind, durchführen
13) Ihr ISMS überwachen und evaluieren
14) Interne Audits durchführen
15) Managementbewertung durchführen
16) Korrektive Maßnahmen umsetzen

Für eine ausführliche Erklärung dieser Schritte siehe: Checkliste zur Umsetzung von ISO 27001

Erforderliche Dokumentation

ISO 27001 erfordert die folgende Dokumentation in schriftlicher Form:

  • Anwendungsbereich des ISMS (Abschnitt 4.3)
  • IT-Sicherheitspolitik und -ziele (Abschnitte 5.2 und 6.2)
  • Methodologie zu Risikoeinschätzung und Risikobehandlung (Abschnitt 6.1.2)
  • Erklärung zur Anwendbarkeit (Abschnitt 6.1.3 d)
  • Plan zur Risikobehandlung (Abschnitte 6.1.3 e und 6.2)
  • Bericht zur Risikoeinschätzung (Abschnitt 8.2)
  • Definition von Sicherheitsrollen und Verantwortlichkeiten (Abschnitte A.7.1.2 und A.13.2.4)
  • Inventar der Werte (Abschnitt A.8.1.1)
  • Tolerierbare Nutzung der Werte (Abschnitt A.8.1.3)
  • Zugangssteuerungsrichtlinie (Abschnitt A.9.1.1)
  • Durchführungsverfahren für das IT-Management (Abschnitt A.12.1.1)
  • Prinzipien für die Entwicklung sicherer Systeme (Abschnitt A.14.2.5)
  • Sicherheitspolitik für Zulieferer (Abschnitt A.15.1.1)
  • Verfahren für Vorfallmanagement (Abschnitt A.16.1.5)
  • Verfahren für betriebliches Kontinuitätsmanagement (Abschnitt A.17.1.2)
  • Gesetzliche, regulatorische und vertragliche Anforderungen (Abschnitt A.18.1.1)

Und dies sind die obligatorischen Aufzeichnungen:

  • Aufzeichnugen zu Schulungen, Fähigkeiten, Erfahrung und Qualifikationen (Abschnitt 7.2)
  • Ergebnisse der Überwachung und Messung (Abschnitt 9.1)
  • Programm für interne Audits (Abschnitt 9.2)
  • Ergebnisse der internen Audits (Abschnitt 9.2)
  • Ergebnisse der Managementbewertung (Abschnitt 9.3)
  • Ergebnisse der Korrekturmaßnahmen (Abschnitt 10.1)
  • Logs zu Nutzeraktivität, Ausnahmen und Sicherheitszwischenfällen (Abschnitte A.12.4.1 und A.12.4.3)

Natürlich kann ein Unternehmen weitere sicherheitsrelevante Dokumente hinzufügen, falls dies als notwendig erachtet wird.

Für ausführliche Informationen zu jedem dieser Dokumente bitte den kostenlosen Artikel herunterladen: Checkliste für obligatorische Dokumente für ISO 27001 (Revision von 2013)

Wie erhält man die Zertifizierung?

Es existieren zwei Arten von Zertifikaten für ISO 27001: (a) für Organisationen und (b) für Personen. Organisationen lassen sich zertifizieren, um zu zeigen, dass sie alle obligatorischen Abschnitte der Norm erfüllen, während Individuen den Kurs besuchen und den Test ablegen können, um das Zertifikat zu erhalten.

Um zertifiziert zu werden, muss eine Organisation die Norm, wie weiter oben erklärt, umsetzen und dann ein Zertifizierungsaudit von einer Zertifizierungsstelle durchführen lassen. Das Zertifizierungsaudit wird wie folgt durchgeführt:

  • Stufe 1 Audit (Überprüfung der Dokumentation) – Die Auditoren überprüfen sämtliche Dokumente
  • Stufe 2 Audit (Hauptaudit) – Die Auditoren führen einen Audit im Unternehmen durch, um zu überprüfen, ob alle Aktivitäten des Unternehmens der ISO-27001-Norm und der ISMS-Dokumentation entsprechen
  • Überwachungseinheiten – Nachdem das Zertifikat ausgestellt wurde, überprüfen die Auditoren während der 3-jährigen Gültigkeit, ob das Unternehmen das ISMS (Managementsystem der Informationssicherheit) weiterhin der Norm entsprechend aufrechterhält

Siehe auch: Die Zertifizierung für ISO 27001 erhalten – Die Vorbereitung auf das Zertifizierungsaudit

Personen können verschiedenen Kurse besuchen, um Zertifikate zu erhalten. Die beliebtesten sind:

  • Kurs für leitende Auditoren für ISO 27001 – In diesem fünftägigen Kurs lernen Sie, wie Sie Zertifizierungsaudits durchführen. Er ist für Auditoren und Berater geeignet.
  • Kurs für leitende Umsetzer für ISO 27001 – In diesem fünftägigen Kurs lernen Sie, wie Sie den Standard umsetzen. Er ist für Fachkräfte im Bereich IT-Sicherheit und Berater geeignet.
  • Kurs für interne Auditoren für ISO 27001 – In diesem zwei- bis dreitägigen Kurs lernen Sie die Grundlagen des Standards und wie interne Audits durchgeführt werden. Er ist für Anfänger und interne Auditoren geeignet.

Siehe auch: Mehr über ISO 27001 lernen.

Revisionen von ISO 27001 – 2005 und 2013

Wie weiter oben erwähnt, wurde ISO 27001 im Jahre 2005 zum ersten Mal veröffentlicht und wurde im Jahre 2013 überarbeitet – die aktuell gültige Version ist daher ISO/IEC 27001:2013.

Die wichtigsten Änderungen der Revision von 2013 sind in der Struktur des Hauptteils der Norm, Beteiligten, Zielen, Überwachung und Messung zu finden. Der Anhang A enthält nun 114 statt 133 Maßnahmen sowie 14 statt 11 Abschnitte. Einige Anforderungen wurden in der Überarbeitung von 2013 gelöscht, wie etwa verschiedene vorbeugende Maßnahmen und die Vorgabe, bestimmte Verfahren zu dokumentieren.

Siehe auch: Infografik: Der neue ISO 27001 – Was hat sich geändert?

All diese Änderungen haben den Kern der Norm jedoch kaum berührt – die Hauptphilosophie beruht noch immer auf der Einschätzung und Behandlung der Risiken. Auch die Phasen des PDCA-Zyklus sind erhalten geblieben. Die neue Fassung der Norm ist einfacher zu lesen und zu verstehen und es ist viel einfacher, ihn mit anderen Normen wie ISO 9001, ISO 22301 usw. zu integrieren.

Die Unternehmen, die nach ISO 27001:2005 zertifiziert sind, müssen bis September 2015 zur neuen Fassung des Jahres 2013 wechseln, um die Gültigkeit des Zertifikats zu erhalten. Lesen Sie hier, wie das durchzuführen ist: Wie wechselt man von ISO 27001:2005 zur neuen Fassung von 2013?

Verwandte Informationssicherheits- und andere Normen

ISO/IEC 27002 stellt Richtlinien für die Umsetzung der in ISO 27001 aufgeführten Maßnahmen zur Verfügung. ISO 27001 benennt 114 Maßnahmen, die zur Reduzierung von Sicherheitsrisiken genutzt werden können und 27002 kann dabei sehr nützlich sein, denn es werden Details zur Umsetzung dieser Schutzmaßnahmen präsentiert.

ISO/IEC 27004 stellt Richtlinien für die Messung der Informationssicherheit zur Verfügung – und passt gut zu ISO 27001, denn es wird erklärt, wie das Erreichen der Ziele des ISMS evaluiert werden kann.

ISO/IEC 27005 stellt Richtlinien für das Risikomanagement bezüglich der Informationssicherheit zur Verfügung. Er ist eine sehr gute Ergänzung zu ISO 27001, denn er enthält Details zur Umsetzung von Risikoeinschätzung und Risikobehandlung – den wahrscheinlich schwierigsten Herausforderungen in der Phase der Umsetzung. ISO 27005 wurde auf Basis des britischen Standards BS 7799-3 entwickelt.

ISO 22301 definiert die Anforderungen für betriebliches Kontinuitätsmanagement – und passt sehr gut zu ISO 27001, denn der Abschnitt A.17 von ISO 27001 erfordert die Umsetzung des betrieblichen Kontinuitätsmanagements, stellt jedoch kaum Details zur Verfügung. Erfahren Sie hier mehr über ISO 22301.

ISO 9001 definiert die Anforderungen für Qualitätsmanagementsysteme. Auch wenn Qualitätsmanagement und Informationssicherheitsmanagement auf den ersten Blick nicht viel miteinander zu tun haben, sind etwa 25% der Anforderungen für ISO 27001 und ISO 9001 gleich: Kontrolle von Dokumenten, interne Audits, Managementbewertung, Korrekturmaßnahmen, das Setzen von Zielen und der Umgang mit Kompetenzen. Wenn ein Unternehmen ISO 9001 bereits umgesetzt hat, wird es sehr viel leichter sein, auch ISO 27001 einzuführen. Erfahren Sie hier mehr über ISO 9001.

dejan-circle-new

Dejan Kosutic
Führender Experte für ISO 27001/22301

Haben Sie weitere Fragen?

Sprechen Sie kostenlos mit unseren Beratern

KOSTENLOSE BERATUNG VEREINBAREN

Kostenloser Rechner zum Gewinn durch die Investition in Sicherheit (ROSI)

Wurde Ihnen je gesagt, dass Ihre Sicherheitsmaßnahmen zu teuer sind? Oder fanden Sie es schon einmal sehr schwierig, dem Management zu erklären, was die Konsequenzen eines Sicherheitszwischenfalls wären? Zu beweisen, dass die Investition in Sicherheit sich lohnt, ist nicht leicht, aber unser Rechner für den Gewinn von Sicherheitsinvestitionen (ROSI) kann Ihnen helfen. Er ist völlig kostenlos.

SEHEN SIE SICH AN, WIE ES FUNKTIONIERT

UNSERE KUNDEN

UNSERE PARTNER

  • Advisera ist ein von Exemplar Global zertifizierter TPECS-Anbieter für die IS, QM, EM und AU Kompetenzeinheiten.
  • ITIL® ist ein eingetragenes Warenzeichen von AXELOS Limited. Wird unter der Lizenz von AXELOS Limited verwendet. Alle Rechte vorbehalten.
  • DNV GL Business Assurance ist einer der führenden Anbieter von akkreditierten Managementsystemzertifizierungen.