In­dus­trie 4.0, die so­ge­nann­te vierte in­dus­tri­el­le Re­vo­lu­ti­on, steht für eine in­tel­li­gen­te Ver­net­zung von Ent­wick­lung, Pro­duk­ti­on, Logistik und Kunden. Sie steht für eine Vielzahl von In­for­ma­tio­nen und Daten, die für Or­ga­ni­sa­tio­nen mitunter von exis­ten­zi­el­lem Wert sind. Ihre Verfügbarkeit, Integrität und Ver­trau­lich­keit zu schützen, ist eine zentrale Aufgabe. In­for­ma­ti­ons­si­cher­heit umfasst alle Maßnahmen, die dazu bei­tra­gen, sich be­stehen­der Risiken bewusst zu werden, sie zu iden­ti­fi­zie­ren sowie an­ge­mes­se­ne und ge­eig­ne­te Maßnahmen zu ihrem Schutz zu er­grei­fen.

In­for­ma­ti­ons­si­cher­heit – Fragen und Ant­wor­ten zu ISO 27001

Auf Grund un­zu­rei­chen­der Si­cher­heit in der In­for­ma­ti­ons­ver­ar­bei­tung entsteht der deut­schen Wirt­schaft jährlich ein Schaden in Milliardenhöhe. Die Gründe hierfür sind viel­schich­tig: äußere Störungen, tech­ni­sche Fehler, Wirt­schafts­spio­na­ge oder In­for­ma­ti­ons­miss­brauch durch ehe­ma­li­ge Mit­ar­bei­ter. Doch nur wer die Her­aus­for­de­run­gen erkennt, kann auch an­ge­mes­se­ne Maßnahmen ein­lei­ten. Ein gut struk­tu­rier­tes In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tem nach der in­ter­na­tio­nal an­er­kann­ten Norm ISO 27001 ist eine optimale Grund­la­ge zur wirk­sa­men Um­set­zung einer ganz­heit­li­chen Si­cher­heits­stra­te­gie. Was genau bedeutet das und was ist dabei zu be­ach­ten? Ant­wor­ten auf wichtige Fragen zu ISO 27001 erhalten Sie hier.

Inhalt

  • Was ist In­for­ma­ti­ons­si­cher­heit?
  • Was sind die Schutz­zie­le der In­for­ma­ti­ons­si­cher­heit?
  • Was ist ein Informationssicherheits-Managementsystem?
  • Für welches Un­ter­neh­men ist ISO 27001 sinn­voll?
  • Wel­che Vorteile hat ein Ma­nage­ment­sys­tem für In­for­ma­ti­ons­si­cher­heit??
  • Wel­che Rolle spielt der Mensch?
  • ISO 27001 – Fragen zur Einführung
  • Warum eine ISO 27001-Zer­ti­fi­zie­rung?
  • DQS – Was wir für Sie tun können 

Was ist In­for­ma­ti­ons­si­cher­heit?

Die Antwort auf diese Frage ist im Sinne der in­ter­na­tio­na­len Nor­men­fa­mi­lie für In­for­ma­ti­ons­si­cher­heit ISO 2700x recht einfach:

„Informationen sind Daten, die für das Un­ter­neh­men von Wert sind.“

DIN EN ISO/IEC 27000:2020-06: In­for­ma­ti­ons­tech­nik – Si­cher­heits­ver­fah­ren – In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­te­me – Überblick und Ter­mi­no­lo­gie

Da­mit sind In­for­ma­tio­nen ein Wirt­schafts­gut, welches nicht in die Hände Un­be­fug­ter gelangen soll und einen an­ge­mes­se­nen Schutz erfordert.

Informationssicherheit ist also alles, was damit zu tun hat, die In­for­ma­ti­ons­wer­te Ihres Un­ter­neh­mens zu schützen. Ent­schei­dend dabei ist, sich der im Kontext des Un­ter­neh­mens be­stehen­den Risiken bewusst zu sein bzw. sie auf­zu­de­cken und ihnen durch an­ge­mes­se­ne, be­darfs­ge­rech­te Maßnahmen zu begegnen.

„Informationssicherheit ist nicht IT-Sicherheit.“

IT-Sicherheit bezieht sich nur auf die Si­cher­heit ein­ge­setz­ter Tech­no­lo­gie und somit nicht auf die zu schützenden Un­ter­neh­mens­wer­te. Auch or­ga­ni­sa­to­ri­sche Belange, zum Beispiel Zu­gangs­be­rech­ti­gun­gen, Ver­ant­wort­lich­kei­ten oder Ge­neh­mi­gungs­ver­fah­ren sowie psy­cho­lo­gi­sche Aspekte spielen in der In­for­ma­ti­ons­si­cher­heit eine we­sent­li­che Rolle. Al­ler­dings schützt eine sichere IT auch die In­for­ma­tio­nen im Unternehmen.

 

Was sind die Schutz­zie­le der Informationssicherheit?

Die Schutzziele für In­for­ma­ti­ons­si­cher­heit umfassen nach der in­ter­na­tio­na­len Norm DIN EN ISO/IEC 27001 drei Hauptaspekte:

  • Vertraulichkeit – Schutz ver­trau­li­cher In­for­ma­tio­nen vor un­be­fug­tem Zugriff, sei es aus da­ten­schutz­recht­li­chen Gründen oder auf Grund von Be­triebs­ge­heim­nis­sen, die unter das Geschäftsgeheimnisgesetz fallen. Es ist der Grad der Ver­trau­lich­keit, der hier relevant ist.
  • Integrität – Mi­ni­mie­rung jeg­li­cher Risiken, Si­che­rung der Vollständigkeit und Verlässlichkeit aller Daten und Informationen.
  • Verfügbarkeit – Si­cher­stel­lung des Zugangs und der Nutz­bar­keit für be­rech­tig­te Zugriffe auf In­for­ma­tio­nen, Gebäude und Systeme. Sie ist we­sent­lich für die Auf­recht­erhal­tung von Prozessen.

 

Zertifizierte In­for­ma­ti­ons­si­cher­heit nach ISO 27001

Schützen Sie Ihre In­for­ma­tio­nen mit einem Ma­nage­ment­sys­tem nach in­ter­na­tio­na­lem Standard ✓ Die DQS bietet über 35 Jahre Er­fah­rung in der Zer­ti­fi­zie­rung ✓

  • Mehr wert­vol­les Wissen erhalten Sie auf unserer Pro­dukt­sei­te zu ISO 27001

 

Zen­tra­le Fragen zur In­for­ma­ti­ons­si­cher­heit

  • Wel­che Werte hat mein Un­ter­neh­men?
  • Wel­che Un­ter­neh­mens­wer­te müssen geschützt wer­den?
  • Wel­chen An­grif­fen sind die Un­ter­neh­mens­wer­te aus­ge­setzt?
  • Wer hat In­ter­es­se am Schutz dieser In­for­ma­tio­nen?
  • Was sind an­ge­mes­se­ne Maßnahmen?

Was ist ein In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tem?

Ein In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tem (In­for­ma­ti­on Security Ma­nage­ment System = ISMS) nach DIN ISO/IEC 27001 definiert Leit­li­ni­en, Regeln und Me­tho­den, um die Si­cher­heit schützenswerter In­for­ma­tio­nen in einer Or­ga­ni­sa­ti­on zu gewährleisten. Es liefert ein Modell für die Einführung, Um­set­zung, Überwachung und die Ver­bes­se­rung des Schutz­ni­veaus – ent­spre­chend der sys­te­ma­ti­schen Vor­ge­hens­wei­se des von ISO 9001 bekannten PDCA-Zy­klus (Plan-Do-Check-Act).

Ziel dabei ist es, mögliche Risiken zu iden­ti­fi­zie­ren, zu ana­ly­sie­ren und durch ge­eig­ne­te Maßnahmen be­herrsch­bar zu machen.

 

Normwissen aus erster Hand

Die neue ISO 27001:2022 bringt viele Änderungen 

In der 50-minütigen Auf­zeich­nung unseres Webinars "Was ändert sich in der neuen ISO/IEC 27001:2022" erhalten Sie In­for­ma­tio­nen über die we­sent­li­chen An­for­de­run­gen der neuen Norm, Änderungen zu den Maßnahmen des Anhang A, sowie zu Terminen und Fristen für den Umstieg. 

 

War­um ist ein Ma­nage­ment für In­for­ma­ti­ons­si­cher­heit wichtig? 

Erfolgreiche Or­ga­ni­sa­tio­nen nutzen die Struktur und die Trans­pa­renz moderner Managementsysteme, um Be­dro­hun­gen auf­de­cken und den Einsatz zeitgemäßer Si­cher­heits­sys­te­me gezielt steuern zu können. Im Mit­tel­punkt eines In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tems (ISMS) steht die Si­cher­heit eigener In­for­ma­ti­ons­wer­te, wie geis­ti­ges Ei­gen­tum, Finanz- und Per­so­nal­da­ten, sowie von In­for­ma­tio­nen, die Ihnen von Kunden oder Dritten an­ver­traut wurden.

„Informationssicherheit heißt immer, Schutz be­deu­ten­der In­for­ma­tio­nen bzw. Daten von Wert.“

Die Risiken, denen die schützenswerten Daten aus­ge­lie­fert sind, sind vielfältig. Sie können durch ma­te­ri­el­le, mensch­li­che und tech­ni­sche Si­cher­heits­be­dro­hun­gen ent­ste­hen. Aber nur ein ganz­heit­li­cher, präventiver Ma­nage­ment­sys­tem­an­satz eines ISMS kann dem gesamten Ge­fah­ren­spek­trum gerecht werden und die Geschäftskontinuität eines Un­ter­neh­mens si­chern.

Für welche Unternehmen ist ISO 27001 sinn­voll?

Die Antwort auf die Frage zu ISO 27001, für welche Un­ter­neh­men der Standard sinnvoll ist, lautet: für al­le!

ISO 27001 kann grundsätzlich in allen Or­ga­ni­sa­tio­nen, unabhängig ihrer Art, Größe und der Branche, an­ge­wen­det werden. Und: Von den Vor­tei­len eines struk­tu­rier­ten Ma­nage­ment­sys­tems pro­fi­tie­ren alle Or­ga­ni­sa­tio­nen. Die Um­set­zung des ISMS wird durch folgende Faktoren be­ein­flusst:

  • die An­for­de­run­gen und Un­ter­neh­mens­zie­le
  • den Si­cher­heits­be­darf
  • die an­ge­wand­ten Geschäftsprozesse
  • die Organisationsgröße und Struk­tur

Wel­che Vorteile hat ein Ma­nage­ment­sys­tem für In­for­ma­ti­ons­si­cher­heit?

Ei­ne wichtige Frage. ISO 27001 for­mu­liert die An­for­de­run­gen an den sys­te­ma­ti­schen Aufbau und die Um­set­zung eines pro­zess­ori­en­tier­ten Ma­nage­ment­sys­tems zur In­for­ma­ti­ons­si­cher­heit. Durch diese ganz­heit­li­che Be­trach­tungs­wei­se lassen sich entscheidende Vorteile erzielen:

  • die Si­cher­heit sen­si­bler In­for­ma­tio­nen wird zum in­te­gra­ti­ven Be­stand­teil der Unternehmensprozesse
  • präventive Si­che­rung der Schutz­zie­le Ver­trau­lich­keit, Verfügbarkeit und Integrität von In­for­ma­tio­nen
  • Auf­recht­erhal­tung der Geschäftskontinuität (Busi­ness Con­ti­nui­ty) durch fort­lau­fen­de Ver­bes­se­rung des Si­cher­heits­ni­veaus
  • Sen­si­bi­li­sie­rung der Mit­ar­bei­ter und ein deutlich stärkeres Si­cher­heits­be­wusst­sein auf allen Un­ter­neh­mens­ebe­nen
  • Eta­blie­rung eines wirk­sa­men Ri­si­ko­ma­nage­ment­pro­zes­ses
  • Ver­trau­ens­bil­dung gegenüber in­ter­es­sier­ten Parteien (zum Beispiel bei Aus­schrei­bun­gen) durch einen nach­weis­bar sicheren Umgang mit sen­si­blen In­for­ma­tio­nen
  • Ein­hal­tung re­le­van­ter Com­pli­ance-An­for­de­run­gen, mehr Hand­lungs- und Rechts­si­cher­heit

Wie können mögliche Risiken ge­hand­habt wer­den?

Si­cher­heits­ri­si­ken können durch ma­te­ri­el­le, mensch­li­che und tech­ni­sche Be­dro­hun­gen ent­ste­hen. Um ein nach­voll­zieh­ba­res und an­ge­mes­se­nes Si­cher­heits­ni­veau in der Or­ga­ni­sa­ti­on zu er­zie­len, bedarf es eines fest­ge­leg­ten Ri­si­ko­ma­nage­ment­pro­zes­ses bzw. einer ent­spre­chen­den Methode zur Ri­si­ko­be­ur­tei­lung, Ri­si­ko­be­hand­lung und Risikoüberwachung. Eine gute An­lei­tung zum In­for­ma­ti­ons­si­cher­heits-Ri­si­ko­ma­nage­ment liefert ISO/IEC 27005.

Wel­che Rolle spielt der Mensch?

Auch der Mensch ist ein Ri­si­ko­fak­tor: Denn der Umgang mit sen­si­blen In­for­ma­tio­nen betrifft ohne Ausnahme alle Mit­ar­bei­ter und Partner eines Un­ter­neh­mens. Von ihnen geht ein erhöhtes Si­cher­heits­ri­si­ko aus, sei es durch Un­wis­sen­heit oder mensch­li­ches Fehl­ver­hal­ten. Doch nur in den we­nigs­ten Or­ga­ni­sa­tio­nen ist ge­re­gelt, wer Zugang zu welchen In­for­ma­tio­nen erhalten darf und wie mit diesen um­zu­ge­hen ist.

“Die neue Quelle der Macht ist nicht mehr Geld in der Hand von wenigen, sondern In­for­ma­ti­on in den Händen von vielen.” John Nais­bitt, *1929, amerik. Zu­kunfts­for­scher

Ver­bind­li­che Re­ge­lun­gen und ein ausgeprägtes Be­wusst­sein für alle In­for­ma­ti­ons­si­cher­heits­be­lan­ge sind daher Grund­vor­aus­set­zung. Als we­sent­lich gilt hier die An­pas­sung der Un­ter­neh­mens­po­li­tik bzw. die Ent­wick­lung einer ge­eig­ne­ten In­for­ma­ti­ons­si­cher­heits­po­li­tik. Die not­wen­di­ge Sen­si­bi­li­sie­rung der Mit­ar­bei­ter auf allen (Führungs-)Ebenen ist Chef­sa­che und kann zum Beispiel durch Schu­lun­gen, Work­shops oder persönliche Gespräche erfolgen.

 

Unser Le­se­tipp

Le­sen Sie auch unseren Blog­bei­trag "Informationssicherheits­vorfälle: Mit­ar­bei­ter als Erfolgsfaktor"

 

ISO 27001 – Fragen zur Einführung

Die Frage, ob ein Un­ter­neh­men bereits ein Ma­nage­ment­sys­tem, zum Beispiel nach ISO 9001, eingeführt haben muss, ist klar mit „nein“ zu be­ant­wor­ten. ISO 27001 ist eine ge­ne­ri­sche Norm und steht – wie alle Ma­nage­ment­sys­tem­nor­men – für sich alleine. Das be­deu­tet, dass eine Or­ga­ni­sa­ti­on je­der­zeit und unabhängig von bereits vor­han­de­nen Struk­tu­ren ein Ma­nage­ment­sys­tem für In­for­ma­ti­ons­si­cher­heit aufbauen und umsetzen kann.

Den­noch: Un­ter­neh­men, die über ein Qualitätsmanagementsystem gemäß ISO 9001 verfügen, haben bereits eine gute Basis für den schritt­wei­sen Einstieg in eine um­fas­sen­de In­for­ma­ti­ons­si­cher­heit ge­schaf­fen.

ISO 27001 ori­en­tiert sich im Aufbau und der Her­an­ge­hens­wei­se aber an der ver­bind­li­chen Grund­struk­tur für alle pro­zess­ori­en­tier­ten Ma­nage­ment­sys­tem­nor­men, der High Level Struc­tu­re. Folglich bietet Ihnen dies die Möglichkeit der ein­fa­chen In­te­gra­ti­on eines In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tems in ein bereits be­stehen­des Ma­nage­ment­sys­tem. Eben­falls ist eine ge­mein­sa­me Zertifizierung nach ISO 27001 mit ISO 20000-1 (IT Service Ma­nage­ment) oder ISO 22301 (Business Con­ti­nui­ty Ma­nage­ment) durch die DQS möglich.  

Wel­che Do­ku­men­te können bei der Einführung unterstützen?

Die be­vor­zug­te Basis zur Einführung eines ganz­heit­li­chen Ma­nage­ment­sys­tems für In­for­ma­ti­ons­si­cher­heit ist die internationale Normenfamilie ISO/IEC 2700x. Sie soll Or­ga­ni­sa­tio­nen jeder Art und Größe dabei unterstützen, ein ISMS um­zu­set­zen und zu be­trei­ben. Durch ein internes Audit kann der Um­set­zungs­grad in­ner­halb der Or­ga­ni­sa­ti­on überprüft wer­den.

Hilf­rei­che Be­stand­tei­le der Stan­dard­rei­he sind

  • DIN EN ISO/IEC 27000:2020-06: In­for­ma­ti­ons­tech­nik – Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Überblick und Ter­mi­no­lo­gie
  • ISO/IEC 27001:2022-10 – In­for­ma­ti­on se­cu­ri­ty, cy­ber­se­cu­ri­ty and privacy pro­tec­tion – In­for­ma­ti­on security ma­nage­ment systems – Re­qui­re­ments. Die überarbeitete ISO-Norm wurde am 25.10.2022 in eng­li­scher Sprache veröffentlicht. Die deutsche DIN-Norm wird in 2023 er­war­tet.
  • ISO/IEC 27002-02 – In­for­ma­ti­on se­cu­ri­ty, cy­ber­se­cu­ri­ty and privacy pro­tec­tion – In­for­ma­ti­on security con­trols. ISO 27002 de­fi­niert einen breiten Katalog all­ge­mei­ner Sicherheitsmaßnahmen, die Un­ter­neh­men bei der Um­set­zung der An­for­de­run­gen aus dem Anhang A von ISO 27001 unterstützen sol­len.
  • ISO/IEC 27003:2017-03: In­for­ma­ti­on technology – Security techniques – In­for­ma­ti­on security ma­nage­ment systems – Gui­dance
  • ISO/IEC 27004-18: In­for­ma­ti­on security ma­nage­ment – Mo­ni­to­ring, me­a­su­re­ment, analysis and evaluation 
  • ISO/IEC 27005:2018-07: In­for­ma­ti­on technology – Security techniques – In­for­ma­ti­on security risk management 

Alle Re­gel­wer­ke sind beim Beuth Verlag erhältlich.

ISO 27001 – Fragen zum IT-Si­cher­heits­be­auf­trag­ten?

For­dert ISO 27001 einen IT-Si­cher­heits­be­auf­trag­ten? Die Antwort lautet „Ja“.

Eine Aufgabe in­ner­halb des In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tems ist die Be­nen­nung eines IT-Si­cher­heits­be­auf­trag­ten durch die oberste Lei­tung. Der IT-Si­cher­heits­be­auf­trag­te ist An­sprech­part­ner für sämtliche IT-Si­cher­heits­fra­gen. Er sollte in alle ISMS-Pro­zes­se in­te­griert und eng mit den IT-Ver­ant­wort­li­chen verzahnt sein – bei­spiels­wei­se bei der Auswahl neuer IT-Kom­po­nen­ten und IT-Anwendungen. 

War­um eine ISO 27001–Zertifizierung?

Die Zer­ti­fi­zie­rung auf der Grund­la­ge eines ak­kre­di­tier­ten Ver­fah­rens ist der Nach­weis, dass ein Ma­nage­ment­sys­tem und Maßnahmen im­ple­men­tiert wurden, um die In­for­ma­ti­ons­wer­te sys­te­ma­tisch zu schützen. Mit dem ISO 27001-Zer­ti­fi­kat zeigen Sie „schwarz auf weiß“, dass Sie dieses System er­folg­reich auf­ge­baut und sich seiner fortlaufenden Ver­bes­se­rung ver­pflich­tet ha­ben.

Das weltweit geschätzte DQS-Zer­ti­fi­kat ist der sicht­ba­re Ausdruck einer neu­tra­len Be­wer­tung und stärkt das Ver­trau­en in Ihr Un­ter­neh­men. Dies ist ein Markt­vor­teil und bietet eine gute Vor­aus­set­zung bei Aus­schrei­bun­gen und si­cher­heits­kri­ti­schen Kundengeschäften, wie zum Beispiel bei Fi­nanz­dienst­leis­tern.

ISO 27001 – Fragen zum Zer­ti­fi­zie­rungs­pro­zess

Al­le Ma­nage­ment­sys­te­me, die auf Basis in­ter­na­tio­na­ler Regeln (ISO 17021) durch eine ak­kre­di­tier­te Zer­ti­fi­zie­rungs­stel­le wie die DQS begutachtet werden, un­ter­lie­gen dem­sel­ben Zer­ti­fi­zie­rungs­ver­fah­ren.

Die Erst­zer­ti­fi­zie­rung besteht aus der Sys­tem­ana­ly­se (Stufe 1 Audit) und dem Sys­temau­dit (Stufe 2 Audit), bei dem sich die Au­di­to­ren vor Ort von der Funktionsfähigkeit des Ge­samt­sys­tems und der Um­set­zung aller An­for­de­run­gen überzeugen. Das Zer­ti­fi­kat hat dann eine Gültigkeit von 3 Jah­ren.

Um die Gültigkeit während der gesamten Laufzeit gewährleisten zu können, muss das Ma­nage­ment­sys­tem jährlich ve­ri­fi­ziert werden. Im ersten und im zweiten Jahr nach der Zer­ti­fi­kats­er­tei­lung führen die DQS-Auditoren daher verkürzte ISMS-Au­dits (Überwachungsaudits) durch, in denen sie zum Beispiel die Wirk­sam­keit we­sent­li­cher Sys­tem­kom­po­nen­ten oder von Kor­rek­tur- und Vorbeugemaßnahmen betrachten. Nach drei Jahren erfolgt dann die Re­zer­ti­fi­zie­rung.

Un­ter­neh­men, die bereits über ein be­stehen­des Ma­nage­ment­sys­tem verfügen, sollten ihre Au­dit­pro­gram­me zu­sam­men­le­gen und die ge­mein­sa­me Zer­ti­fi­zie­rung ihres integrierten Managementsystems (IMS) an­stre­ben.

Ist eine Matrix–Zertifizierung möglich?

Für Un­ter­neh­men mit mehreren Stand­or­ten ist eine Ma­trix-Zer­ti­fi­zie­rung möglich. Für ISO 27001 gelten dazu grundsätzlich die­sel­ben Vorgaben wie für andere ISO-Re­gel­wer­ke wie zum Beispiel ISO 9001 oder ISO 14001. Eine In­te­gra­ti­on von ISO 27001 in be­stehen­de Ma­trix-Ver­fah­ren, das heißt eine ge­mein­sa­me externe Au­di­tie­rung mit den anderen Stan­dards, kann durch die DQS gewährleistet wer­den.

Wel­che Vorteile hat ISO 27001 gegenüber CISIS12® ?

Auch kleinere und mittelständische Un­ter­neh­men sowie öffentliche Ver­wal­tun­gen kommen heute kaum noch ohne an­ge­mes­se­nen Schutz ihrer Un­ter­neh­mens­wer­te aus. Mit CISIS12®, einem Compliance-Informations-SIcherheits-Management-System in 12 Schrit­ten, kann dieser Bedarf ver­gleichs­wei­se einfach gedeckt werden.

CISIS12® ist eine gute Wahl, um erste Schritte in Richtung In­for­ma­ti­ons­si­cher­heit vor­zu­neh­men. Vor­aus­ge­setzt, die be­stehen­den Organisations­strukturen sowie die Informa­tions- und Da­ten­la­ge sind nicht allzu komplex. An­dern­falls wird ein vollumfängliches ISMS nach ISO 27001 not­wen­dig sein, um aus­rei­chen­de In­for­ma­ti­ons­si­cher­heit zu gewährleisten.

Hinweis: Mit CISIS12® hat das IT-Si­cher­heits­clus­ter eine Er­wei­te­rung der bewährten Methodik ISIS12 ent­wi­ckelt und veröffentlicht. CISIS12® rückt da das Thema Com­pli­ance stärker in den Vor­der­grund und ent­spricht der Version 3 von ISIS12.

Wel­che Vorteile hat ISO 27001 gegenüber TISAX?

TISAX® (Trusted In­for­ma­ti­on Security As­sess­ment Ex­ch­an­ge) wurde als Bran­chen­stan­dard speziell für die Au­to­mo­bil­in­dus­trie ent­wi­ckelt und die bran­chen­spe­zi­fi­schen Bedürfnisse zu­ge­schnit­ten. Die Basis für ein TISAX®-Assessment ist der Prüfkatalog VDA In­for­ma­ti­on Security As­sess­ment (VDA ISA), der unter anderem auf An­for­de­run­gen von ISO 27001 bzw. ISO 27002 beruht und diese um Themen wie zum Beispiel Pro­to­ty­pen­schutz oder Da­ten­schutz er­wei­tert.

Mehr wert­vol­les Wissen erhalten Sie auf unserer Produktseite zu TISAX®.

Ziel von TISAX® ist es, eine um­fas­sen­de (In­for­ma­ti­ons-)Si­cher­heit für alle Stufen in der Lie­fer­ket­te gewährleisten. Außerdem wird durch die Re­gis­trie­rung in einer Da­ten­bank das Pro­ze­de­re der ge­gen­sei­ti­gen An­er­ken­nung ver­ein­facht. Al­ler­dings wird TISAX® nur in der Au­to­mo­bil­in­dus­trie an­er­kannt. Es kann sein, dass Kunden aus anderen Branchen nur ISO 27001 als Nachweis für ein ISMS an­er­ken­nen.

Was ändert sich in der neuen ISO 27001:2022? 

Die neue und an zeitgemäße In­for­ma­ti­ons­ri­si­ken an­ge­pass­te Version der ISO/IEC 27001 wurde am 25. Oktober 2022 veröffentlicht.   

Wir in­for­mie­ren Sie über die we­sent­li­chen Änderungen in der Zer­ti­fi­zie­rungs­grund­la­ge ISO/IEC 27001, über Struktur und Inhalte der neuen Controls des Anhang A der neuen Norm sowie über die Fristen und Termine für die Um­stel­lung auf die neue Norm. Erfahren Sie mehr in unserem kos­ten­frei­en Webinar

DQS – Was wir für Sie tun können

Die DQS ist Ihr Spe­zia­list für Audits und Zer­ti­fi­zie­run­gen – für Ma­nage­ment­sys­te­me und Pro­zes­se. Mit der Er­fah­rung aus mehr als 35 Jahren und dem Know-how von weltweit 2.500 Au­di­to­ren sind wir Ihr kom­pe­ten­ter Zer­ti­fi­zie­rungs­part­ner und liefern dabei Ant­wor­ten auf alle ISO 27001 Fra­gen.

Wir au­di­tie­ren nach rund 100 an­er­kann­ten Normen und Re­gel­wer­ken sowie nach firmen- und ver­bands­spe­zi­fi­schen Stan­dards. Unsere Ak­kre­di­tie­rung für BS 7799-2, dem Vorläufer von DIN EN ISO/IEC 27001, er­hiel­ten wir als erste deutsche Zer­ti­fi­zie­rungs­stel­le im Dezember 2000. Diese Ex­per­ti­se ist noch heute Ausdruck unserer welt­wei­ten Er­folgs­ge­schich­te.

Ger­ne be­ant­wor­ten wir Ihre Fra­gen

Mit welchem Aufwand müssen Sie rechnen, um Ihr ISMS nach ISO 27001 zer­ti­fi­zie­ren zu lassen? Informieren Sie sich kos­ten­frei und un­ver­bind­lich.

Wir freuen uns auf das Gespräch mit Ih­nen.

mehr anzeigen
weniger anzeigen

B3S Kran­ken­haus

Krankenhäuser als Be­trei­ber Kri­ti­scher In­fra­struk­tu­ren (KRITIS) müssen seit In­kraft­tre­ten des IT-Si­cher­heits­ge­set­zes einen Nachweis er­brin­gen, dass ihre IT-Sys­te­me und IT-Pro­zes­se die Vorgaben des § 8a BSI-Ge­setz (BSIG) erfüllen. Der Bran­chen­spe­zi­fi­sche Si­cher­heits­stan­dard (B3S) hilft dabei, die In­for­ma­ti­ons­si­cher­heit am Stand der Technik aus­zu­rich­ten.

Blog
patientendatenschutzgesetz-dqs-arzt bedient digitale anzeige mit symbolen aus der medizin
Loading...

Pa­ti­en­ten­da­ten-Schutz-Ge­setz – In­for­ma­ti­ons­si­cher­heit im Kran­ken­haus

Blog
gesundheitswesen-header-dqs-krankenhausstation mit patientenbetten
Loading...

B3S für die Ge­sund­heits­ver­sor­gung im Kran­ken­haus

Geschäfts­geheimnis­gesetz

Pro­dukt­de­sign, Konstruktionspläne oder Stra­te­gie­pa­pie­re: In fast jedem Un­ter­neh­men finden sich In­for­ma­tio­nen, die nicht für die Augen Dritter bestimmt sind – erst recht nicht für den Wett­be­werb. Das Geschäftsgeheimnisgesetz (GeschGehG) verlangt von Un­ter­neh­men, dass „angemessene Geheimhaltungsmaßnahmen“ er­grif­fen werden, um ver­trau­li­che Geschäftsinformationen zu schützen und Know-how-Ab­fluss zu ver­hin­dern.

trade secret law-germany-dqs-analytics data on office computer
Loading...

Ge­heim­nis­schutz mit ISO-Nor­men und DS-GVO

Blog
trade secret law-germany-dqs-analytics data on office computer
Loading...

Das Ge­schäfts­ge­heim­nis-Ge­setz (GeschGehG) – Was ist zu tun?

KRITIS

Kri­ti­sche In­fra­struk­tu­ren (KRITIS) sind Sektoren und Bran­chen, die als be­son­ders schützenswert ein­ge­stuft sind. Ein Ausfall oder Störung ihrer Dienst­leis­tung würde zu er­heb­li­chen Versorgungsengpässen oder gar zur Gefährdung der öffentlichen Si­cher­heit führen. Aufgabe der Be­trei­ber Kri­ti­scher In­fra­struk­tu­ren ist es, ins­be­son­de­re durch Maßnahmen zur IT-Si­cher­heit für einen sicheren und zuverlässigen Betrieb ihrer Anlagen und Ein­rich­tun­gen zu sor­gen.

Blog
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige
Loading...

IT-SiG 2.0 – Fragen und Ant­wor­ten zur über­ar­bei­te­ten Version

Blog
data-protection-it-blog-dqs-company analysis is controlled on a modern digital device
Loading...

KRITIS En­er­gie­ver­sor­ger: IT-Si­cher­heit im En­er­gie­sek­tor

Informations­sicherheit im Un­ter­neh­men

Die Glo­ba­li­sie­rung von Pro­duk­ti­on, Handel und Dienst­leis­tung wird an­ge­trie­ben durch den Fort­schritt der Di­gi­ta­li­sie­rung. Die zu­neh­mend leistungsfähigeren In­for­ma­ti­ons­tech­no­lo­gien stellen Un­ter­neh­men beim Thema In­for­ma­ti­ons­si­cher­heit vor große Her­aus­for­de­run­gen. Dabei gilt es nicht nur, das eigene Know-how wirksam zu schützen, sondern zu­neh­mend auch, durch ein wirksam eingeführtes In­for­ma­ti­ons­ma­nage­ment­sys­tem Kun­den­for­de­run­gen zu erfüllen und Wettbewerbsfähigkeit zu stärken.

data-protection-compliance-dqs-a team works together to develop programs with a laptop
Loading...

ISO 27001 – Controls im neuen Anhang A

Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets
Loading...

Er­fah­run­gen mit ISO 27001 – Pra­xis­bei­spiel EN­TER­BRAIN Software

Blog
Mixing console in a recording studio with sliders at different heights
Loading...

Kon­fi­gu­ra­ti­ons­ma­nage­ment in der In­for­ma­ti­ons­si­cher­heit

webinar-information security-dqs-it expert checks data in server room with laptop
Loading...

Was ändert sich in der neuen ISO/IEC 27001:2022

Blog
informationssicherheit-kmu-dqs-mann in pullover mit kapuze sitzt konzentriert am laptop umgeben von mehreren desktops
Loading...

In­for­ma­ti­ons­si­cher­heit für KMU

Blog
isms-norm-dqs-alive-mann mit brille sitzt am schriebtisch und arbeitet an computer
Loading...

ISMS-Norm – Er­fah­run­gen der aLI­VE-Ser­vice GmbH

whitepaper-dqs-mann-liest-auf-einem-ipad
Loading...

ISO 27001 Au­dit­leit­fa­den

Blog
Information security in organizations-dqs-man with laptop in server room
Loading...

In­for­ma­ti­ons­si­cher­heit in Un­ter­neh­men: Die Mubea Un­ter­neh­mens­grup­pe

Blog
Information security incidents-dqs, Factory Office: Portrait of Beautiful and Confident Female Indus
Loading...

In­for­ma­ti­ons­si­cher­heits­vor­fäl­le: Mit­ar­bei­ter als Er­folgs­fak­tor

Informations­sicherheit versus IT-Si­cher­heit

Si­cher­heit von In­for­ma­ti­ons­tech­nik (IT) und Si­cher­heit von In­for­ma­tio­nen: Zwei Be­grif­fe, die oft gleich­ge­setzt werden und doch nicht aus­tausch­bar sind. Die IT-Si­cher­heit spielt zwar eine große Rolle für die In­for­ma­ti­ons­si­cher­heit, die ih­rer­seits al­ler­dings auch analoge Sach­ver­hal­te, Vorgänge und Kom­mu­ni­ka­ti­on einschließt.

Blog
informationssicherheit-standards-zwei schwarze seile laufen horizontal durch das bild und sind in der bildmitte zu einem kreuzknoten verknuepft
Loading...

Stan­dards für In­for­ma­ti­ons­si­cher­heit – ein Über­blick

Blog
protection-goals-information-security-dqs-man and woman work at the PC in a creative office area
Loading...

Schutz­zie­le der In­for­ma­ti­ons­si­cher­heit und ihre Be­deu­tung

Blog
it-security-vs-information-security-dqs-modern office space with large monitor displaying analytics
Loading...

IT-Si­cher­heit vs. In­for­ma­ti­ons­si­cher­heit - Was ist der Un­ter­schied?

Blog
iso 27001-annex-a-dqs-mitarbeiterin schaut auf laptop in it umgebung
Loading...

ISO 27001 Annex A: Ver­ant­wort­lich­kei­ten und Rollen von Mit­ar­bei­tern

Informations­sicherheit und Da­ten­schutz

Daten sind ein we­sent­li­cher Er­folgs­fak­tor. Un­ter­neh­men nutzen sie, um Produkte und Dienst­leis­tun­gen an den Wünschen und Er­war­tun­gen von Kunden und In­ter­es­sen­ten aus­zu­rich­ten. Mit Einführung der DSGVO un­ter­liegt der Umgang mit per­so­nen­be­zo­ge­nen Daten deutlich stren­ge­ren recht­li­chen Vorgaben als je zuvor. Mit einem Personal In­for­ma­ti­on Ma­nage­ment System (PIMS) nach ISO/IEC 27701 steht eine be­son­de­re Form des Da­ten­schutz­ma­nage­ments auf Basis der ISO/IEC 27001 zur Verfügung, die geeignet ist, jeg­li­chen be­trieb­li­chen Schutz per­so­nen­be­zo­ge­ner Daten um­zu­set­zen.

 

 

mehr anzeigen
weniger anzeigen
Blog
technical-measures-information-security-dqs-servers-cabinet-with-grid-door-and-lockable-door-handle
Loading...

Tech­ni­sche Maß­nah­men in der In­for­ma­ti­ons­si­cher­heit

In the meeting room, a businesswoman shows a colleague confidential statistics and business figures
Loading...

Fragen und Ant­wor­ten zu ISO 27001:2022

Blog
Cyberattack - Bildschirm zeigt Zahlencodes mit Warnsignalen
Loading...

De­tek­ti­on und Prä­ven­ti­on im In­for­ma­ti­ons­si­cher­heits­ma­nage­ment

Blog
neue-iso-iec-27001-2022-blog-dqs-projektmanager unterhalten sich bei benutzung eines tablets in einer zentrale
Loading...

Die neue ISO/IEC 27001:2022 – we­sent­li­che Än­de­run­gen

Blog
datenschutzmanagement-dqs-rechts im vordergrund ein monitor mit quellcode zeilen links im hintergrund verschwommen drei personen in einer arbeitssituation
Loading...

Da­ten­schutz­ma­nage­ment mit Zer­ti­fi­kat

Blog
dsgvo-penalties-dqs-on a background showing the golden stars of the eu member states a judge's hamme
Loading...

DSGVO: Strafen bei Ver­stö­ßen gegen den Da­ten­schutz

data protection-information security-dqs-keyboard secured with combination lock
Loading...

ISO 27701 – Da­ten­schutz-Ma­nage­ment­sys­tem

whitepaper-dqs-mann-liest-auf-einem-ipad
Loading...

ISO 27701 – ISO 27001 trifft DS-GVO

Blog
dsgvo-umsetzung-dqs-haende bedienen laptop und symbole funktionalitaeten
Loading...

DS-GVO-Um­set­zung: Ma­nage­ment­sys­te­me geben Si­cher­heit

Blog
digital-health-applications-dqs-stethoscope health symbols
Loading...

Digitale Ge­sund­heits­an­wen­dun­gen – Spe­zi­al­fall Da­ten­schutz

Blog
data protection-information security-dqs-keyboard secured with combination lock
Loading...

Da­ten­schutz und In­for­ma­ti­ons­si­cher­heit – mit ISO 27001 und ISO 27701

Blog
data-protection-compliance-dqs-a team works together to develop programs with a laptop
Loading...

Da­ten­schutzau­dit sichert Com­pli­ance

Informations­sicherheit und Ri­si­ko­ma­nage­ment

In­for­ma­ti­ons­si­cher­heit fordert den Blick auf reale Risiken in der IT-In­fra­struk­tur, denen eine Or­ga­ni­sa­ti­on aus­ge­setzt ist. Schwach­stel­len müssen iden­ti­fi­ziert und ana­ly­siert werden und es müssen Maßnahmen de­fi­niert sein, diese Schwach­stel­len zu finden und mit ge­eig­ne­ten Maßnahmen zu beheben. Diese Form des Ri­si­ko­ma­nage­ments im Kontext von ISO 27001 muss als kon­ti­nu­ier­li­cher Prozess eta­bliert wer­den.

Blog
a young woman sits at a desk in front of a screen with a reference to cloud storage
Loading...

Cloud-Si­cher­heit mit ISO 27001:2022

Blog
technical-measures-information-security-dqs-servers-cabinet-with-grid-door-and-lockable-door-handle
Loading...

Tech­ni­sche Maß­nah­men in der In­for­ma­ti­ons­si­cher­heit

Blog
ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via
Loading...

IKT-Si­cher­heit für Business Con­ti­nui­ty – Control 5.30 in ISO 27001

Blog
vulnerability-management-iso27001-dqs-breaking rope
Loading...

Schwach­stel­len­ma­nage­ment im Kontext von ISO 27001

TISAX (Informations­sicherheit in der Automobil­industrie)

In­for­ma­ti­ons­si­cher­heit spielt in der Au­to­mo­bil­in­dus­trie eine her­aus­ra­gen­de Rolle. Dienst­leis­ter und Lie­fe­ran­ten, die sensible In­for­ma­tio­nen ver­ar­bei­ten, müssen ihren Kunden regelmäßig die Erfüllung der An­for­de­run­gen an die In­for­ma­ti­ons­si­cher­heit nach­wei­sen. Mit TISAX hat sich in diesem Sektor ein Prüf- und Aus­tauschme­cha­nis­mus zur In­for­ma­ti­ons­si­cher­heit eta­bliert, der eine ge­mein­sa­me An­er­ken­nung von Prüfergebnissen zwischen den Teil­neh­mern ermöglicht.

Blog
vda-isa-5-dqs-auto in einer wolke von elektronik
Loading...

Neuer ISA Katalog 6.0 gilt ab 1. April 2024

Blog
vda-isa-5.1-dqs-electric car with AI artificial intelligence using 3D modeling technology of visuali
Loading...

TISAX® 5.1

whitepaper-dqs-mann-liest-auf-einem-ipad
Loading...

TISAX® – gut vor­be­rei­tet ins As­sess­ment starten

Blog
tisax-fragen-und-antworten-dqs-sportwagen verhuellt
Loading...

TISAX® – Ant­wor­ten auf wichtige Fragen

Informations­sicherheits Stan­dards

Mit der ISO/IEC 2700x-Fa­mi­lie steht eine in­ter­na­tio­nal an­er­kann­te Nor­men­rei­he zur Einführung eines ganz­heit­li­chen In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tems zur Verfügung. Kernstück ist ISO/IEC 27001. Sie be­inhal­tet zer­ti­fi­zier­ba­re For­de­run­gen für die Iden­ti­fi­ka­ti­on, Be­wer­tung und Steue­rung von Risiken für die in­for­ma­ti­ons­ver­ar­bei­ten­den Pro­zes­se.

information-security-dqs-several blue internet cables connected and one red one dominating
Loading...

NIS2 in der Schnitt­men­ge zu ISO 27001

Blog
Loading...

Systeme zur An­griffs­er­ken­nung werden zur Pflicht

webinar-information security-dqs-it expert checks data in server room with laptop
Loading...

Was ändert sich in der neuen ISO/IEC 27001:2022

Blog
Code, HTML, PHP Web-Programmierung Quellcode. Abstrakter Codehintergrund
Loading...

Secure Coding – Her­aus­for­de­rung in der In­for­ma­ti­ons­si­cher­heit

Blog
iso27002-aenderungen-dqs-ein code aus buchstaben und zahlen
Loading...

Revision ISO 27002 – Das sind die Än­de­run­gen

Blog
informationssicherheit-standards-zwei schwarze seile laufen horizontal durch das bild und sind in der bildmitte zu einem kreuzknoten verknuepft
Loading...

Stan­dards für In­for­ma­ti­ons­si­cher­heit – ein Über­blick

Au­to­mo­ti­ve Cyber Security

„Cybersicherheitsmanagementsystem (CSMS) be­zeich­net einen sys­te­ma­ti­schen, ri­si­ko­ba­sier­ten Ansatz zur Fest­le­gung von or­ga­ni­sa­to­ri­schen Abläufen, Zuständigkeiten und Go­ver­nan­ce beim Umgang mit Risiken im Zu­sam­men­hang mit Cy­ber­be­dro­hun­gen für Fahr­zeu­ge und beim Schutz von Fahr­zeu­gen vor Cyberangriffen.“

Blog
autonomous driving by a e-car, e-mobility
Loading...

ENX VCS versus ISO 21434: Vehicle Cyber Security Audit

Blog
automotive-cyber-security-dqs-aerial view of a massive highway intersection
Loading...

Au­to­mo­ti­ve Cyber Se­cu­ri­ty: neue ver­bind­li­che Vor­schrif­ten ab Juli 2024