ISO 27001, der globale Weg zu einer Zertifizierung

In jeder Ecke Eurer IT habt Ihr an die Informationssicherheit gedacht, natürlich. Die ISO 27001 gibt Euch eine Basis damit Ihr nichts überseht.

Ob BSI-Grundschutz oder KRITIS, überall versteckt sich der internationale Standard für Informationssicherheit 27001. Zeit für eine kurze Vorstellung

InformationssicherheitBlogThema

ISO 27001 ist ein Informationssicherheitsstandard, der die Informationssicherheit unter Managementkontrolle stellt und spezifische Anforderungen umreißt. Es zielt insbesondere darauf ab, ein Informationssicherheitsmanagementsystem oder ISMS einzurichten, um eine umfassende Abdeckung aller Vermögenswerte und Daten zu gewährleisten. Das bedeutet nicht nur IT, sondern auch Dinge wie Papierkram und proprietäres Wissen. 

Ursprünge

Diese Norm wird gemeinsam von ISO oder der International Organization for Standardization und der IEC oder International Electrotechnical Commission herausgegeben. Es wurde ursprünglich 1995 von der BSI-Gruppe unter dem Namen BS 7799 veröffentlicht. Es wurde vom Handels- und Industrieministerium der britischen Regierung verfasst. Sie wurde mehrmals überarbeitet und im November 2005 in die Serie 27000 aufgenommen. Die zuletzt veröffentlichte Version stammt aus dem Jahr 2013.

Forderungen und Förderungen

ISO 27001 schreibt keine speziellen Kontrollen formal vor. Es ermöglicht Flexibilität. Organisationen können auswählen, welche Kontrollen anwendbar sind, indem sie eine umfassende Bewertung ihrer Risiken durchführen. Darüber hinaus sind Unternehmen nicht verpflichtet, alle Risiken zu mindern. Sie müssen lediglich die Analyse durchführen und eine geeignete Risikostrategie auswählen. Vermeiden, übertragen, akzeptieren oder mindern Sie das Risiko.

Häppchen​

Es gibt 10 Abschnitte in dieser Norm. Die ersten drei skizzieren allgemeine Anforderungen, Referenzen und Definitionen. Abschnitt vier erörtert interessierte Parteien oder Interessengruppen. Abschnitt fünf skizziert, dass sich das Top-Management dem ISMS verpflichten muss. Abschnitt sechs definiert den Prozess zur Identifizierung, Analyse und Planung der Behandlung dieser Risiken. Und Abschnitt sieben informiert uns, dass eine Organisation über Kompetenzen, Schulungen und Unterlagen verfügen muss. Abschnitt acht beschreibt die Bewertung und Behandlung von Risiken und das Management von Veränderungen. In Abschnitt neun wird erläutert, wie Sie Ihre Kontrollen überwachen und messen oder prüfen. Und in Abschnitt 10 wird beschrieben, wie Sie mit den Ergebnissen Ihrer Überprüfungen umgehen können, um das ISMS kontinuierlich zu verbessern.

Kontrollen

Anhang A ist eine Liste der Kontrollen und ihrer Ziele. Es gibt 114 Kontrollen in 14 Klauseln und 35 Kontrollkategorien. Ein ISMS kann von einem akkreditierten Registrar als konform zertifiziert werden.

Zertifizierung

Der Zertifizierungsprozess besteht aus drei Stufen. Stufe eins ist eine vorläufige informelle Überprüfung eines ISMS mit einem Auditor. Stufe zwei ist das formelle umfassende Compliance-Audit. Und dann gibt es laufende Audits, um zu bestätigen, dass eine Organisation die Norm weiterhin einhält, indem sie Neubewertungsaudits durchführt. Obwohl eine Organisation als ISO 27001-konform zertifiziert werden kann, ist es nicht erforderlich, dieses Framework verwenden zu können. ISO 27001 kann von jedem verwendet werden, unabhängig davon, ob Sie eine Zertifizierung anstreben oder nicht.

Fazit

Die ISO 27001 ist ein gutes Fundament für die Informationssicherheit nicht nur in Eurer IT, sondern auch in Eurem Unternehmen.