Informationssicherheit – Fragen und Antworten zu ISO 27001

Auf Grund unzureichender Sicherheit in der Informationsverarbeitung entsteht der deutschen Wirtschaft jährlich ein Schaden in Milliardenhöhe. Die Gründe hierfür sind vielschichtig: äußere Störungen, technische Fehler, Wirtschaftsspionage oder Informationsmissbrauch durch ehemalige Mitarbeiter. Doch nur wer die Herausforderungen erkennt, kann auch angemessene Maßnahmen einleiten. Ein gut strukturiertes Informationssicherheits-Managementsystem nach der international anerkannten Norm ISO 27001 ist eine optimale Grundlage zur wirksamen Umsetzung einer ganzheitlichen Sicherheitsstrategie. Was genau bedeutet das und was ist dabei zu beachten? Antworten auf wichtige Fragen zu ISO 27001 erhalten Sie hier.

Inhalt

• Was ist Informationssicherheit?
• Was sind die Schutzziele der Informationssicherheit?
• Was ist ein Informationssicherheits-Managementsystem?
• Für welches Unternehmen ist ISO 27001 sinnvoll?
• Welche Vorteile hat ein Managementsystem für Informationssicherheit??
• Welche Rolle spielt der Mensch?
• ISO 27001 – Fragen zur Einführung
• Warum eine ISO 27001-Zertifizierung?
• DQS – Was wir für Sie tun können

Was ist Informationssicherheit?

Die Antwort auf diese Frage ist im Sinne der internationalen Normenfamilie für Informationssicherheit ISO 2700x recht einfach:

„Informationen sind Daten, die für das Unternehmen von Wert sind.“

DIN EN ISO/IEC 27000:2020-06: Informationstechnik – Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Überblick und Terminologie

Damit sind Informationen ein Wirtschaftsgut, welches nicht in die Hände Unbefugter gelangen soll und einen angemessenen Schutz erfordert.

Informationssicherheit ist also alles, was damit zu tun hat, die Informationswerte Ihres Unternehmens zu schützen. Entscheidend dabei ist, sich der im Kontext des Unternehmens bestehenden Risiken bewusst zu sein bzw. sie aufzudecken und ihnen durch angemessene, bedarfsgerechte Maßnahmen zu begegnen.

„Informationssicherheit ist nicht IT-Sicherheit.“

IT-Sicherheit bezieht sich nur auf die Sicherheit eingesetzter Technologie und somit nicht auf die zu schützenden Unternehmenswerte. Auch organisatorische Belange, zum Beispiel Zugangsberechtigungen, Verantwortlichkeiten oder Genehmigungsverfahren sowie psychologische Aspekte spielen in der Informationssicherheit eine wesentliche Rolle. Allerdings schützt eine sichere IT auch die Informationen im Unternehmen.

Was sind die Schutzziele der Informationssicherheit?

Die Schutzziele für Informationssicherheit umfassen nach der internationalen Norm DIN EN ISO/IEC 27001 drei Hauptaspekte:

• Vertraulichkeit – Schutz vertraulicher Informationen vor unbefugtem Zugriff, sei es aus datenschutzrechtlichen Gründen oder auf Grund von Betriebsgeheimnissen, die unter das Geschäftsgeheimnisgesetz fallen. Es ist der Grad der Vertraulichkeit, der hier relevant ist.
• Integrität – Minimierung jeglicher Risiken, Sicherung der Vollständigkeit und Verlässlichkeit aller Daten und Informationen.
• Verfügbarkeit – Sicherstellung des Zugangs und der Nutzbarkeit für berechtigte Zugriffe auf Informationen, Gebäude und Systeme. Sie ist wesentlich für die Aufrechterhaltung von Prozessen.

Zertifizierte Informationssicherheit nach ISO 27001

Schützen Sie Ihre Informationen mit einem Managementsystem nach internationalem Standard ✓ Die DQS bietet über 35 Jahre Erfahrung in der Zertifizierung ✓

• Mehr wertvolles Wissen erhalten Sie auf unserer Produktseite zu ISO 27001

Zentrale Fragen zur Informationssicherheit

• Welche Werte hat mein Unternehmen?
• Welche Unternehmenswerte müssen geschützt werden?
• Welchen Angriffen sind die Unternehmenswerte ausgesetzt?
• Wer hat Interesse am Schutz dieser Informationen?
• Was sind angemessene Maßnahmen?

Was ist ein Informationssicherheits-Managementsystem?

Ein Informationssicherheits-Managementsystem (Information Security Management System = ISMS) nach DIN ISO/IEC 27001 definiert Leitlinien, Regeln und Methoden, um die Sicherheit schützenswerter Informationen in einer Organisation zu gewährleisten. Es liefert ein Modell für die Einführung, Umsetzung, Überwachung und die Verbesserung des Schutzniveaus – entsprechend der systematischen Vorgehensweise des von ISO 9001 bekannten PDCA-Zyklus (Plan-Do-Check-Act).

Ziel dabei ist es, mögliche Risiken zu identifizieren, zu analysieren und durch geeignete Maßnahmen beherrschbar zu machen.

Normwissen aus erster Hand

Die neue ISO 27001:2022 bringt viele Änderungen 

In der 50-minütigen Aufzeichnung unseres Webinars "Was ändert sich in der neuen ISO/IEC 27001:2022" erhalten Sie Informationen über die wesentlichen Anforderungen der neuen Norm, Änderungen zu den Maßnahmen des Anhang A, sowie zu Terminen und Fristen für den Umstieg. 

• Mehr Informationen und zur Aufzeichnung

Warum ist ein Management für Informationssicherheit wichtig? 

Erfolgreiche Organisationen nutzen die Struktur und die Transparenz moderner Managementsysteme, um Bedrohungen aufdecken und den Einsatz zeitgemäßer Sicherheitssysteme gezielt steuern zu können. Im Mittelpunkt eines Informationssicherheits-Managementsystems (ISMS) steht die Sicherheit eigener Informationswerte, wie geistiges Eigentum, Finanz- und Personaldaten, sowie von Informationen, die Ihnen von Kunden oder Dritten anvertraut wurden.

„Informationssicherheit heißt immer, Schutz bedeutender Informationen bzw. Daten von Wert.“

Die Risiken, denen die schützenswerten Daten ausgeliefert sind, sind vielfältig. Sie können durch materielle, menschliche und technische Sicherheitsbedrohungen entstehen. Aber nur ein ganzheitlicher, präventiver Managementsystemansatz eines ISMS kann dem gesamten Gefahrenspektrum gerecht werden und die Geschäftskontinuität eines Unternehmens sichern.

Für welche Unternehmen ist ISO 27001 sinnvoll?

Die Antwort auf die Frage zu ISO 27001, für welche Unternehmen der Standard sinnvoll ist, lautet: für alle!

ISO 27001 kann grundsätzlich in allen Organisationen, unabhängig ihrer Art, Größe und der Branche, angewendet werden. Und: Von den Vorteilen eines strukturierten Managementsystems profitieren alle Organisationen. Die Umsetzung des ISMS wird durch folgende Faktoren beeinflusst:

• die Anforderungen und Unternehmensziele
• den Sicherheitsbedarf
• die angewandten Geschäftsprozesse
• die Organisationsgröße und Struktur

Welche Vorteile hat ein Managementsystem für Informationssicherheit?

Eine wichtige Frage. ISO 27001 formuliert die Anforderungen an den systematischen Aufbau und die Umsetzung eines prozessorientierten Managementsystems zur Informationssicherheit. Durch diese ganzheitliche Betrachtungsweise lassen sich entscheidende Vorteile erzielen:

• die Sicherheit sensibler Informationen wird zum integrativen Bestandteil der Unternehmensprozesse
• präventive Sicherung der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität von Informationen
• Aufrechterhaltung der Geschäftskontinuität (Business Continuity) durch fortlaufende Verbesserung des Sicherheitsniveaus
• Sensibilisierung der Mitarbeiter und ein deutlich stärkeres Sicherheitsbewusstsein auf allen Unternehmensebenen
• Etablierung eines wirksamen Risikomanagementprozesses
• Vertrauensbildung gegenüber interessierten Parteien (zum Beispiel bei Ausschreibungen) durch einen nachweisbar sicheren Umgang mit sensiblen Informationen
• Einhaltung relevanter Compliance-Anforderungen, mehr Handlungs- und Rechtssicherheit

Wie können mögliche Risiken gehandhabt werden?

Sicherheitsrisiken können durch materielle, menschliche und technische Bedrohungen entstehen. Um ein nachvollziehbares und angemessenes Sicherheitsniveau in der Organisation zu erzielen, bedarf es eines festgelegten Risikomanagementprozesses bzw. einer entsprechenden Methode zur Risikobeurteilung, Risikobehandlung und Risikoüberwachung. Eine gute Anleitung zum Informationssicherheits-Risikomanagement liefert ISO/IEC 27005.

Welche Rolle spielt der Mensch?

Auch der Mensch ist ein Risikofaktor: Denn der Umgang mit sensiblen Informationen betrifft ohne Ausnahme alle Mitarbeiter und Partner eines Unternehmens. Von ihnen geht ein erhöhtes Sicherheitsrisiko aus, sei es durch Unwissenheit oder menschliches Fehlverhalten. Doch nur in den wenigsten Organisationen ist geregelt, wer Zugang zu welchen Informationen erhalten darf und wie mit diesen umzugehen ist.

“Die neue Quelle der Macht ist nicht mehr Geld in der Hand von wenigen, sondern Information in den Händen von vielen.” John Naisbitt, *1929, amerik. Zukunftsforscher

Verbindliche Regelungen und ein ausgeprägtes Bewusstsein für alle Informationssicherheitsbelange sind daher Grundvoraussetzung. Als wesentlich gilt hier die Anpassung der Unternehmenspolitik bzw. die Entwicklung einer geeigneten Informationssicherheitspolitik. Die notwendige Sensibilisierung der Mitarbeiter auf allen (Führungs-)Ebenen ist Chefsache und kann zum Beispiel durch Schulungen, Workshops oder persönliche Gespräche erfolgen.

Unser Lesetipp

Lesen Sie auch unseren Blogbeitrag "Informationssicherheits­vorfälle: Mitarbeiter als Erfolgsfaktor"

ISO 27001 – Fragen zur Einführung

Die Frage, ob ein Unternehmen bereits ein Managementsystem, zum Beispiel nach ISO 9001, eingeführt haben muss, ist klar mit „nein“ zu beantworten. ISO 27001 ist eine generische Norm und steht – wie alle Managementsystemnormen – für sich alleine. Das bedeutet, dass eine Organisation jederzeit und unabhängig von bereits vorhandenen Strukturen ein Managementsystem für Informationssicherheit aufbauen und umsetzen kann.

Dennoch: Unternehmen, die über ein Qualitätsmanagementsystem gemäß ISO 9001 verfügen, haben bereits eine gute Basis für den schrittweisen Einstieg in eine umfassende Informationssicherheit geschaffen.

ISO 27001 orientiert sich im Aufbau und der Herangehensweise aber an der verbindlichen Grundstruktur für alle prozessorientierten Managementsystemnormen, der High Level Structure. Folglich bietet Ihnen dies die Möglichkeit der einfachen Integration eines Informationssicherheits-Managementsystems in ein bereits bestehendes Managementsystem. Ebenfalls ist eine gemeinsame Zertifizierung nach ISO 27001 mit ISO 20000-1 (IT Service Management) oder ISO 22301 (Business Continuity Management) durch die DQS möglich.  

Welche Dokumente können bei der Einführung unterstützen?

Die bevorzugte Basis zur Einführung eines ganzheitlichen Managementsystems für Informationssicherheit ist die internationale Normenfamilie ISO/IEC 2700x. Sie soll Organisationen jeder Art und Größe dabei unterstützen, ein ISMS umzusetzen und zu betreiben. Durch ein internes Audit kann der Umsetzungsgrad innerhalb der Organisation überprüft werden.

Hilfreiche Bestandteile der Standardreihe sind

• DIN EN ISO/IEC 27000:2020-06: Informationstechnik – Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Überblick und Terminologie
• ISO/IEC 27001:2022-10 – Information security, cybersecurity and privacy protection – Information security management systems – Requirements. Die überarbeitete ISO-Norm wurde am 25.10.2022 in englischer Sprache veröffentlicht. Die deutsche DIN-Norm wird in 2023 erwartet.
• ISO/IEC 27002-02 – Information security, cybersecurity and privacy protection – Information security controls. ISO 27002 definiert einen breiten Katalog allgemeiner Sicherheitsmaßnahmen, die Unternehmen bei der Umsetzung der Anforderungen aus dem Anhang A von ISO 27001 unterstützen sollen.
• ISO/IEC 27003:2017-03: Information technology – Security techniques – Information security management systems – Guidance
• ISO/IEC 27004-18: Information security management – Monitoring, measurement, analysis and evaluation 
• ISO/IEC 27005:2018-07: Information technology – Security techniques – Information security risk management 

Alle Regelwerke sind beim Beuth Verlag erhältlich.

ISO 27001 – Fragen zum IT-Sicherheitsbeauftragten?

Fordert ISO 27001 einen IT-Sicherheitsbeauftragten? Die Antwort lautet „Ja“.

Eine Aufgabe innerhalb des Informationssicherheits-Managementsystems ist die Benennung eines IT-Sicherheitsbeauftragten durch die oberste Leitung. Der IT-Sicherheitsbeauftragte ist Ansprechpartner für sämtliche IT-Sicherheitsfragen. Er sollte in alle ISMS-Prozesse integriert und eng mit den IT-Verantwortlichen verzahnt sein – beispielsweise bei der Auswahl neuer IT-Komponenten und IT-Anwendungen.

ISO 27001 in der Praxis

DQS-Auditleitfaden

Profitieren Sie von guten Auditfragen und möglichen Nachweisen zu ausgewählten Maßnahmen aus Anhang A.

Von Experten aus der Praxis.

Mehr als eine Checkliste! Jetzt herunterladen.

Warum eine ISO 27001–Zertifizierung?

Die Zertifizierung auf der Grundlage eines akkreditierten Verfahrens ist der Nachweis, dass ein Managementsystem und Maßnahmen implementiert wurden, um die Informationswerte systematisch zu schützen. Mit dem ISO 27001-Zertifikat zeigen Sie „schwarz auf weiß“, dass Sie dieses System erfolgreich aufgebaut und sich seiner fortlaufenden Verbesserung verpflichtet haben.

Das weltweit geschätzte DQS-Zertifikat ist der sichtbare Ausdruck einer neutralen Bewertung und stärkt das Vertrauen in Ihr Unternehmen. Dies ist ein Marktvorteil und bietet eine gute Voraussetzung bei Ausschreibungen und sicherheitskritischen Kundengeschäften, wie zum Beispiel bei Finanzdienstleistern.

ISO 27001 – Fragen zum Zertifizierungsprozess

Alle Managementsysteme, die auf Basis internationaler Regeln (ISO 17021) durch eine akkreditierte Zertifizierungsstelle wie die DQS begutachtet werden, unterliegen demselben Zertifizierungsverfahren.

Die Erstzertifizierung besteht aus der Systemanalyse (Stufe 1 Audit) und dem Systemaudit (Stufe 2 Audit), bei dem sich die Auditoren vor Ort von der Funktionsfähigkeit des Gesamtsystems und der Umsetzung aller Anforderungen überzeugen. Das Zertifikat hat dann eine Gültigkeit von 3 Jahren.

Um die Gültigkeit während der gesamten Laufzeit gewährleisten zu können, muss das Managementsystem jährlich verifiziert werden. Im ersten und im zweiten Jahr nach der Zertifikatserteilung führen die DQS-Auditoren daher verkürzte ISMS-Audits (Überwachungsaudits) durch, in denen sie zum Beispiel die Wirksamkeit wesentlicher Systemkomponenten oder von Korrektur- und Vorbeugemaßnahmen betrachten. Nach drei Jahren erfolgt dann die Rezertifizierung.

Unternehmen, die bereits über ein bestehendes Managementsystem verfügen, sollten ihre Auditprogramme zusammenlegen und die gemeinsame Zertifizierung ihres integrierten Managementsystems (IMS) anstreben.

Ist eine Matrix–Zertifizierung möglich?

Für Unternehmen mit mehreren Standorten ist eine Matrix-Zertifizierung möglich. Für ISO 27001 gelten dazu grundsätzlich dieselben Vorgaben wie für andere ISO-Regelwerke wie zum Beispiel ISO 9001 oder ISO 14001. Eine Integration von ISO 27001 in bestehende Matrix-Verfahren, das heißt eine gemeinsame externe Auditierung mit den anderen Standards, kann durch die DQS gewährleistet werden.

Welche Vorteile hat ISO 27001 gegenüber CISIS12^® ?

Auch kleinere und mittelständische Unternehmen sowie öffentliche Verwaltungen kommen heute kaum noch ohne angemessenen Schutz ihrer Unternehmenswerte aus. Mit CISIS12^®, einem Compliance-Informations-SIcherheits-Management-System in 12 Schritten, kann dieser Bedarf vergleichsweise einfach gedeckt werden.

CISIS12^® ist eine gute Wahl, um erste Schritte in Richtung Informationssicherheit vorzunehmen. Vorausgesetzt, die bestehenden Organisations­strukturen sowie die Informa­tions- und Datenlage sind nicht allzu komplex. Andernfalls wird ein vollumfängliches ISMS nach ISO 27001 notwendig sein, um ausreichende Informationssicherheit zu gewährleisten.

Hinweis: Mit CISIS12^® hat das IT-Sicherheitscluster eine Erweiterung der bewährten Methodik ISIS12 entwickelt und veröffentlicht. CISIS12^® rückt da das Thema Compliance stärker in den Vordergrund und entspricht der Version 3 von ISIS12.

Welche Vorteile hat ISO 27001 gegenüber TISAX?

TISAX^® (Trusted Information Security Assessment Exchange) wurde als Branchenstandard speziell für die Automobilindustrie entwickelt und die branchenspezifischen Bedürfnisse zugeschnitten. Die Basis für ein TISAX®-Assessment ist der Prüfkatalog VDA Information Security Assessment (VDA ISA), der unter anderem auf Anforderungen von ISO 27001 bzw. ISO 27002 beruht und diese um Themen wie zum Beispiel Prototypenschutz oder Datenschutz erweitert.

Mehr wertvolles Wissen erhalten Sie auf unserer Produktseite zu TISAX^®.

Ziel von TISAX^® ist es, eine umfassende (Informations-)Sicherheit für alle Stufen in der Lieferkette gewährleisten. Außerdem wird durch die Registrierung in einer Datenbank das Prozedere der gegenseitigen Anerkennung vereinfacht. Allerdings wird TISAX^® nur in der Automobilindustrie anerkannt. Es kann sein, dass Kunden aus anderen Branchen nur ISO 27001 als Nachweis für ein ISMS anerkennen.

Was ändert sich in der neuen ISO 27001:2022? 

Die neue und an zeitgemäße Informationsrisiken angepasste Version der ISO/IEC 27001 wurde am 25. Oktober 2022 veröffentlicht.   

Wir informieren Sie über die wesentlichen Änderungen in der Zertifizierungsgrundlage ISO/IEC 27001, über Struktur und Inhalte der neuen Controls des Anhang A der neuen Norm sowie über die Fristen und Termine für die Umstellung auf die neue Norm. Erfahren Sie mehr in unserem kostenfreien Webinar. 

DQS – Was wir für Sie tun können

Die DQS ist Ihr Spezialist für Audits und Zertifizierungen – für Managementsysteme und Prozesse. Mit der Erfahrung aus mehr als 35 Jahren und dem Know-how von weltweit 2.500 Auditoren sind wir Ihr kompetenter Zertifizierungspartner und liefern dabei Antworten auf alle ISO 27001 Fragen.

Wir auditieren nach rund 100 anerkannten Normen und Regelwerken sowie nach firmen- und verbandsspezifischen Standards. Unsere Akkreditierung für BS 7799-2, dem Vorläufer von DIN EN ISO/IEC 27001, erhielten wir als erste deutsche Zertifizierungsstelle im Dezember 2000. Diese Expertise ist noch heute Ausdruck unserer weltweiten Erfolgsgeschichte.

Gerne beantworten wir Ihre Fragen

Mit welchem Aufwand müssen Sie rechnen, um Ihr ISMS nach ISO 27001 zertifizieren zu lassen? Informieren Sie sich kostenfrei und unverbindlich.

Wir freuen uns auf das Gespräch mit Ihnen.