Was ist ISO 27001?
Wie werden Informationen in einem Unternehmen gesichert? Wer hat Zugang zu was und wann? Welche Sicherheitsvorkehrungen gibt es, um die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen zu gewährleisten? Wie werden die Daten geschützt? Was sind die Risiken? Und wie können sie minimiert werden?
Die Zertifizierung nach ISO/IEC 27001:2013 zielt darauf ab, all diese Fragen und mehr zu beantworten. Was genau ist der Zweck dieser Norm? Wie bekommen Sie es? Wir verraten Ihnen alles, was Sie schon immer über ISO 27001 wissen wollten (aber nicht zu fragen wagten).
ISO 27001-Zertifizierung, Definition
ISO/IEC 27001:2013 ist eine bahnbrechende internationale Zertifizierung für IT-Sicherheit, die von der Internationalen Organisation für Normung (ISO) eingeführt wurde.
Das ISO 27001-Zertifikat wird von einer dritten Zertifizierungsstelle wie AFNOR in Frankreich ausgestellt. Es bescheinigt, dass ein Unternehmen ein Sicherheitsmanagementsystem (SMSI) eingeführt hat.
Um die ISO/IEC 27001:2013-Zertifizierung zu erlangen, müssen Organisationen eine genau definierte Methodik anwenden, um Bedrohungen zu erkennen und Risiken durch die Umsetzung geeigneter Schutzmaßnahmen zu minimieren.
💡 Der Name ist Programm!
Warum dieser Name? Erstens, weil ISO vom griechischen "ISOs" abgeleitet ist, was so viel wie gleich bedeutet. Und zweitens, weil "Internationale Organisation für Normung" in verschiedenen Sprachen unterschiedliche Akronyme gehabt hätte (IOS auf Englisch, OIN auf Französisch), so dass die Gründer beschlossen, die Kurzform ISO zu verwenden. Egal in welchem Land, egal in welcher Sprache, ISO wird immer ISO sein!
ISO 27001: Wofür ist sie gedacht?
Die ISO 27001-Zertifizierung ermöglicht es Unternehmen, alle Risiken zu erkennen, zu analysieren und zu beseitigen, die für die Organisation, ihre Partner und Kunden bei der Durchführung einer kommerziellen, vertraglichen oder sonstigen Beziehung bestehen. Durch die Zertifizierung der Gesamtheit der Aktivitäten eines Unternehmens können Sie extrem hohe Sicherheitsstandards vorweisen, um die Risiken für alle Ihre Partner und Kunden zu begrenzen.
Wussten Sie schon? Die ISO-Norm 27001 behandelt verschiedene Aspekte, u. a. :
- die Einbeziehung des Managements in die Sicherheitsprozesse sowie die Projektleitung ;
- die Risikoanalyse und ihre Kontrollmöglichkeiten ;
- die kontinuierliche Verbesserung des IMS sowie die durchgeführten Audits und Kontrollen ;
- interne und externe Kommunikation und ihre Auswirkungen ;
- Sicherheit der Humanressourcen;
- Verwaltung von Vermögenswerten (Materialien, Werkzeuge, Prozesse, Informationen ...) ;
- Zugangskontrollen ;
- physische und ökologische Sicherheit ;
- die Verwendung und Definition von kryptografischen Mitteln, sowohl auf den Arbeitsplätzen als auch für die Daten der Kunden;
- Sicherheit bei Operationen, Netzen und Entwicklungen;
- Lieferantenmanagement ;
- Management von Sicherheitsvorfällen aller Ebenen, Geschäftskontinuität und Krisenmanagement;
- die Einhaltung hoher Sicherheitsstandards und geltender Normen und Gesetze durch ein Unternehmen und alle seine Partner.
Was umfasst die ISO/IEC 27001?
Die Norm ISO/IEC 27001 besteht aus 10 Kapiteln und einem Anhang. Der Anhang besteht aus 114 Sicherheitsmaßnahmen in 14 Abschnitten, die ein breites Spektrum von Bereichen abdecken:
- Informationssicherheitspolitik
- die Organisation der Informationssicherheit
- Kommunikationssicherheit, Erwerb, Entwicklung und Wartung von Informationssystemen
- Informationssicherheit im Rahmen von Business Continuity Management oder Compliance
- Sicherheit im Zusammenhang mit dem Betrieb (z. B. Backups)
- Vermögensverwaltung
- Zugangskontrolle, Kryptographie, physische und ökologische Sicherheit
- Sicherheit der Humanressourcen
Das ISO 27001-Glossar
ISMS: "Informationssicherheits-Managementsystem". Es besteht aus ISO 27001 durch Dokumente, Prozesse, Informationen, Werkzeuge und Technologien, die es uns ermöglichen, die Informationssicherheit zu gewährleisten.
Ziel der ISO 27001 ist es, das ISMS des Unternehmens einzurichten, seine Risiken zu analysieren und möglichst viele Maßnahmen zur Verringerung dieser Risiken zu ergreifen, um den Schutz und die Sicherheit der Informationen zu gewährleisten.
IMS: "Integriertes Managementsystem". Sie ist eine Mischung aus ISO 27001 und ISO 27701. Das bedeutet, dass ein ISMS auch sensible Daten behandelt und vollständig in unsere Prozesse als Unterauftragnehmer und Lieferant integriert ist.
Einige Zahlen ISO/IEC 27001:2013
- 350 - das ist die Zahl der ISO/IEC 27001-Zertifikate in Frankreich im Jahr 2019
eine Zahl, die im Vergleich zu 2018 um 57% gestiegen ist
- 36.300 - die Anzahl der ISO/IEC 27001-Zertifikate weltweit im Jahr 2019
ein Anstieg von +14% im Vergleich zu 2018
- Es gibt zwei Arten der Zertifizierung: obligatorisch und freiwillig
💡 Weiterführende Fragen
Kennen Sie ISO 27701:2019? Das ist die Erweiterung von ISO/IEC 27001 in Bezug auf den Schutz der Privatsphäre.
💡 Gut zu wissen
Für die Zertifizierung nach ISO 27001 müssen Sie mit 6 bis 12 Monaten rechnen.
Welche Ausbildung für ISO 27001?
Es gibt eine Vielzahl von ISO/IEC-Schulungskursen. Unternehmen wie Deloitte, Lead Implementer, AFNOR, HS2, IT Governance, M2i oder BSI bieten sie an, und sie dauern etwa eine Woche. Aber Sie müssen sie nicht ablegen, um zertifiziert zu werden.
Was sind die bewährten Verfahren der ISO 27001?
1) Machen Sie keine Dokumentation um der Dokumentation willen. Alles, was Sie schreiben, muss im Unternehmen angewendet werden.
2) Machen Sie es einfach zu benutzen. Ein umfangreiches SMI zu erstellen ist schön und gut, aber wenn niemand weiß, wie es zu benutzen ist, nützt es Ihnen nichts!
Lesen Sie auch:
Was ist Compliance?
Sicherheit: 15 Fragen, die Sie Ihrem CLM stellen sollten
Gut zu wissen
Seit ihrer Gründung veröffentlicht die ISO monatlich Informationen über ihre technischen Ausschüsse, veröffentlichte Normen und administrative Änderungen, die die Organisation und ihre Mitglieder betreffen.
Die kurze Geschichte der ISO
Im Jahr 1946 trafen sich 65 Delegierte aus 25 Ländern in London, um über die Zukunft der internationalen Normung zu diskutieren. 1947 wurde die ISO offiziell mit 67 technischen Komitees ins Leben gerufen: Gruppen von Experten, die sich mit einem bestimmten Thema befassen.
Die ersten ISO-Büros
1949 bezog die ISO ihre Büros in einem kleinen Privathaus in Genf. Zu Beginn der 1950er Jahre hatte das Zentralsekretariat fünf Mitarbeiter.
Die erste ISO-Norm
Im Jahr 1951 wurde die erste ISO-Norm "ISO/R 1:1951" Standard-Referenztemperatur für industrielle Längenmessungen veröffentlicht. Seitdem wurde die Norm mehrfach aktualisiert und ist jetzt ISO 1:2016 Geometrische Produktspezifikationen (GPS) - Standard-Referenztemperatur für geometrische Produktspezifikationen.
ISO und Entwicklungsländer
In den 1960er Jahren bemühte sich die ISO, mehr Entwicklungsländer in ihre internationale Normungsarbeit einzubeziehen. Im Jahr 1961 schuf sie den DEVCO, einen Ausschuss für Angelegenheiten der Entwicklungsländer, und 1968 führte sie die korrespondierende Mitgliedschaft ein. Dies ermöglicht es den Entwicklungsländern, über die Arbeit der Internationalen Normung informiert zu werden, ohne die vollen Kosten einer ISO-Mitgliedschaft tragen zu müssen.
Die korrespondierende Mitgliedschaft ist auch heute noch eine beliebte Option für viele Länder. Zu Beginn des Jahres 2012 hatte die ISO 49 Mitglieder.
Eine internationale Ausrichtung
In den 1970er Jahren machte sich ISO-Generalsekretär Olle Sturen daran, die ISO zu einer wirklich internationalen Organisation zu machen. Obwohl die ISO-Mitglieder aus der ganzen Welt kamen, waren in den frühen 1970er Jahren nur relativ wenige aktiv an der Entwicklung internationaler Normen beteiligt. Sturens Besuche bei den Mitgliedern führten zur aktiven Teilnahme von Ländern wie Australien, Japan und China. Diese Internationalität spiegelt sich auch im Zentralsekretariat wider, in dem durchschnittlich 25 Nationalitäten vertreten sind.
ISO wird digital
Im Jahr 1995 startete die ISO ihre erste Website. Fünf Jahre später, im Jahr 2000, begann die ISO, ihre Normen online zu verkaufen.
Weiterführende Informationen
