Die ISO 27001
Die Bezeichnung ISO 27001 steht verkürzt für ISO/IEC 27001. Diese ist eine weltweit anerkannte Norm für ein Informationssicherheitsmanagementsystem (ISMS) für Organisationen aller Art und Größe. In der ISO 27001 ist festgelegt, welche Bedingungen ein Informationssicherheitsmanagementsystem erfüllen muss. Dabei kommen innerhalb der 2700x-Normenreihe noch weitere Normen zum Tragen. Die ISO 27001 enthält im Anhang eine überschaubare Anforderungsliste (Controls), weshalb sie in Deutschland gerne mit der Vorgehensweise und den Anforderungskatalogen des BSI IT-Grundschutzes “verheiratet” wird.
Wie jede Norm für Informationssicherheit zielt auch die ISO 27001 auf den Schutz vertraulicher Informationen sowie die Integrität und Verfügbarkeit von Informationen in Organisationen jedweder Art. Nach Risikoanalyse und Risikobewertung wird systematisch festgelegt, welche Maßnahmen zu ergreifen sind, um diese Probleme zu vermeiden (Risikominimierung).
Zu den dann umzusetzenden Sicherheitsmaßnahmen gehören unter anderem Richtlinien und technische Anweisungen (z.B. zu Hardware und Software). Für viele Arbeitsschritte werden organisatorische Regeln erstellt, um bestehende Sicherheitslücken zu schließen. Die ISO 27001 beschreibt, wie die einzelnen Sicherheits-Elemente in einem Managementsystem für Informationssicherheit (ISMS) zu einem Ganzen zusammengefügt werden und dauerhaft wirken können.
Vor- und Nachteile der ISO 27001
Glaubenskriege, was denn nun die bessere Norm für Informationssicherheit sei, sind aus unserer Sicht unangebracht. Jede Norm hat ihre Vor- und Nachteile. Das Ziel der bekannten Normenvertreter ist stets identisch: Die Absicherung schützenswerter Informationen einer Organisation samt der kontinuierlichen Verbesserung des Schutzniveaus.
Genau dieses Ziel kann auch mit der ISO 27001 erreicht werden. Nicht umsonst wird sie weltweit genutzt und ist — gerade im internationalen Kontext, aber auch national — gerne durch Auftraggeber gesetzt zwecks Nachweis der vorhandenen Informationssicherheit. Die ISO 27001 verfolgt dabei einen prozessualen Ansatz und fokussiert sich auf die Absicherung kritischer Geschäftsprozesse. Dabei liegt der Schwerpunkt auf Regelungen, Zuständigkeiten und Verfahrensweisen zusammen mit sehr viel dokumentierter Information. Die Unterstützung durch konkrete Schutzmaßnahmen aus dem Anhang der 27001 und den Detailangaben in der ISO 27002 ist deutlich geringer ausgeprägt als beim BSI IT-Grundschutz. Was die eine Organisation als Vorteil empfindet, ist für andere ein (großes) Problem.
Die ISO 27001 lässt als größtenteils generische Norm viel Freiräume in der Umsetzung. Das bringt zu Beginn einen hohen externen Beratungsaufwand mit sich und setzt für den späteren Betrieb den Aufbau von viel internem Know-How voraus. Dagegen unterstützt der IT-Grundschutz mit mehr konkreten Details zur Identifikation von Risiken und Anforderungen zur Beseitung eben dieser Risiken. Das kann den Blick auf das Thema einengen und durchaus auch trügerischere Sicherheit erzeugen.
Bei der Entscheidung für die Einführung eines ISMS auf Basis der ISO 27001 sollten daher — idealerweise mit externer Unterstützung — die Ziele und Ressourcen der Organisation ermittelt werden, welche Norm die Anforderungen erfüllt.
Die Erfahrung hat gezeigt, dass die ISO 27001 gerade im Unternehmensumfeld meist die bessere Wahl ist. Dahingegen sind Behörden und Kommunen oft im IT-Grundschutz oder auch CISIS12 besser aufgehoben. CISIS12 findet auch im Unternehmensumfeld zurecht immer mehr Zuspruch.
Unsere als ISO 27001 Officer und ISO 27001 Auditor zertifizierten Mitarbeiter unterstützen Sie gerne bei der Einführung eines ISMS auf Basis der ISO 27001, aber auch bei Fragestellungen im laufenden Betrieb.
Übersicht und Informationen zur ISO 27001
- Eine gute Übersicht über die aktuellen ISO 2700x Normen finden Sie bei onlinesicherheit.gv.at
- Die englisch- oder deutschsprachigen Normen der Reihe können gedruckt oder als PDF beim Beuth-Verlag bezogen werden (Hinweis: Mit dem Dokument der ISO 27001 alleine ist es nicht getan 🙂 )
ISO 27001 Zertifikat “native”
Ein erfolgreich eingeführtes ISMS auf Basis ISO 27001 kann durch DakkS-akkrediterte Zertifizierungsorganisationen wie die DQS GmbH zertifiziert werden. Das Zertifikat ist 3 Jahre gültig. Im Abstand von 12 Monaten finden sog. Überwachungsaudits statt, um den Beibehalt der Zertifikatsreife und den Betrieb des ISMS zu prüfen.
Zertifikat ISO 27001 auf Basis IT-Grundschutz
Eine Verschmelzung der ISO 27001 mit der Kern- oder Standard-Absicherung des BSI IT-Grundschutz kann durch ein Zertifikat “ISO 27001 auf Basis IT-Grundschutz” abgeschlossen werden. Die Gültigkeit beträgt ebenfalls 3 Jahre mit jährlichen Überwachungsaudits zur Prüfung der kontinuierliche Weiterentwicklung des ISMS.