Die ISO 27001

Die Bezeich­nung ISO 27001 steht ver­kürzt für ISO/IEC 27001. Die­se ist eine welt­weit aner­kann­te Norm für ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (ISMS) für Orga­ni­sa­tio­nen aller Art und Grö­ße. In der ISO 27001 ist fest­ge­legt, wel­che Bedin­gun­gen ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem erfül­len muss. Dabei kom­men inner­halb der 2700x-Nor­men­rei­he noch wei­te­re Nor­men zum Tra­gen. Die ISO 27001 ent­hält im Anhang eine über­schau­ba­re Anfor­de­rungs­lis­te (Con­trols), wes­halb sie in Deutsch­land ger­ne mit der Vor­ge­hens­wei­se und den Anfor­de­rungs­ka­ta­lo­gen des BSI IT-Grund­schut­zes “ver­hei­ra­tet” wird.

Wie jede Norm für Infor­ma­ti­ons­si­cher­heit zielt auch die ISO 27001 auf den Schutz ver­trau­li­cher Infor­ma­tio­nen sowie die Inte­gri­tät und Ver­füg­bar­keit von Infor­ma­tio­nen in Orga­ni­sa­tio­nen jed­we­der Art. Nach Risi­ko­ana­ly­se und Risi­ko­be­wer­tung wird sys­te­ma­tisch fest­ge­legt, wel­che Maß­nah­men zu ergrei­fen sind, um die­se Pro­ble­me zu ver­mei­den (Risi­ko­mi­ni­mie­rung).

Zu den dann umzu­set­zen­den Sicher­heits­maß­nah­men gehö­ren unter ande­rem Richt­li­ni­en und tech­ni­sche Anwei­sun­gen (z.B. zu Hard­ware und Soft­ware). Für vie­le Arbeits­schrit­te wer­den orga­ni­sa­to­ri­sche Regeln erstellt, um bestehen­de Sicher­heits­lü­cken zu schlie­ßen. Die ISO 27001 beschreibt, wie die ein­zel­nen Sicher­heits-Ele­men­te in einem Manage­ment­sys­tem für Infor­ma­ti­ons­si­cher­heit (ISMS) zu einem Gan­zen zusam­men­ge­fügt wer­den und dau­er­haft wir­ken kön­nen.

Vor- und Nachteile der ISO 27001

Glau­bens­krie­ge, was denn nun die bes­se­re Norm für Infor­ma­ti­ons­si­cher­heit sei, sind aus unse­rer Sicht unan­ge­bracht. Jede Norm hat ihre Vor- und Nach­tei­le. Das Ziel der bekann­ten Nor­men­ver­tre­ter ist stets iden­tisch: Die Absi­che­rung schüt­zens­wer­ter Infor­ma­tio­nen einer Orga­ni­sa­ti­on samt der kon­ti­nu­ier­li­chen Ver­bes­se­rung des Schutz­ni­veaus.

Genau die­ses Ziel kann auch mit der ISO 27001 erreicht wer­den. Nicht umsonst wird sie welt­weit genutzt und ist — gera­de im inter­na­tio­na­len Kon­text, aber auch natio­nal — ger­ne durch Auf­trag­ge­ber gesetzt zwecks Nach­weis der vor­han­de­nen Infor­ma­ti­ons­si­cher­heit. Die ISO 27001 ver­folgt dabei einen pro­zes­sua­len Ansatz und fokus­siert sich auf die Absi­che­rung kri­ti­scher Geschäfts­pro­zes­se. Dabei liegt der Schwer­punkt auf Rege­lun­gen, Zustän­dig­kei­ten und Ver­fah­rens­wei­sen zusam­men mit sehr viel doku­men­tier­ter Infor­ma­ti­on. Die Unter­stüt­zung durch kon­kre­te Schutz­maß­nah­men aus dem Anhang der 27001 und den Detail­an­ga­ben in der ISO 27002 ist deut­lich gerin­ger aus­ge­prägt als beim BSI IT-Grund­schutz. Was die eine Orga­ni­sa­ti­on als Vor­teil emp­fin­det, ist für ande­re ein (gro­ßes) Pro­blem.

Die ISO 27001 lässt als größ­ten­teils gene­ri­sche Norm viel Frei­räu­me in der Umset­zung. Das bringt zu Beginn einen hohen exter­nen Bera­tungs­auf­wand mit sich und setzt für den spä­te­ren Betrieb den Auf­bau von viel inter­nem Know-How vor­aus. Dage­gen unter­stützt der IT-Grund­schutz mit mehr kon­kre­ten Details zur Iden­ti­fi­ka­ti­on von Risi­ken und Anfor­de­run­gen zur Besei­tung eben die­ser Risi­ken. Das kann den Blick auf das The­ma ein­engen und durch­aus auch trü­ge­ri­sche­re Sicher­heit erzeu­gen.

Bei der Ent­schei­dung für die Ein­füh­rung eines ISMS auf Basis der ISO 27001 soll­ten daher — idea­ler­wei­se mit exter­ner Unter­stüt­zung — die Zie­le und Res­sour­cen der Orga­ni­sa­ti­on ermit­telt wer­den, wel­che Norm die Anfor­de­run­gen erfüllt.

Die Erfah­rung hat gezeigt, dass die ISO 27001 gera­de im Unter­neh­mens­um­feld meist die bes­se­re Wahl ist. Dahin­ge­gen sind Behör­den und Kom­mu­nen oft im IT-Grund­schutz oder auch CISIS12 bes­ser auf­ge­ho­ben. CISIS12 fin­det auch im Unter­neh­mens­um­feld zurecht immer mehr Zuspruch.

Unse­re als ISO 27001 Offi­cer und ISO 27001 Audi­tor zer­ti­fi­zier­ten Mit­ar­bei­ter unter­stüt­zen Sie ger­ne bei der Ein­füh­rung eines ISMS auf Basis der ISO 27001, aber auch bei Fra­ge­stel­lun­gen im lau­fen­den Betrieb.

Übersicht und Informationen zur ISO 27001

  • Eine gute Über­sicht über die aktu­el­len ISO 2700x Nor­men fin­den Sie bei onlinesicherheit.gv.at
  • Die eng­lisch- oder deutsch­spra­chi­gen Nor­men der Rei­he kön­nen gedruckt oder als PDF beim Beuth-Ver­lag bezo­gen wer­den (Hin­weis: Mit dem Doku­ment der ISO 27001 allei­ne ist es nicht getan 🙂 )

ISO 27001 Zertifikat “native”

Ein erfolg­reich ein­ge­führ­tes ISMS auf Basis ISO 27001 kann durch DakkS-akkre­di­ter­te Zer­ti­fi­zie­rungs­or­ga­ni­sa­tio­nen wie die DQS GmbH zer­ti­fi­ziert wer­den. Das Zer­ti­fi­kat ist 3 Jah­re gül­tig. Im Abstand von 12 Mona­ten fin­den sog. Über­wa­chungs­au­dits statt, um den Bei­be­halt der Zer­ti­fi­kats­rei­fe und den Betrieb des ISMS zu prü­fen.

Zertifikat ISO 27001 auf Basis IT-Grundschutz

Eine Ver­schmel­zung der ISO 27001 mit der Kern- oder Stan­dard-Absi­che­rung des BSI IT-Grund­schutz kann durch ein Zer­ti­fi­kat “ISO 27001 auf Basis IT-Grund­schutz” abge­schlos­sen wer­den. Die Gül­tig­keit beträgt eben­falls 3 Jah­re mit jähr­li­chen Über­wa­chungs­au­dits zur Prü­fung der kon­ti­nu­ier­li­che Wei­ter­ent­wick­lung des ISMS.

Unver­bind­li­che Anfra­ge