Der Weg zu sys­te­ma­ti­scher In­for­ma­ti­ons­si­cher­heit in Un­ter­neh­men

Mit der fort­schrei­ten­den di­gi­ta­len Trans­for­ma­ti­on rückt die In­for­ma­ti­ons­si­cher­heit immer stärker in den Fokus der Un­ter­neh­men. An­ge­sichts der wach­sen­den Be­dro­hun­gen durch Da­ten­ver­lust, Hack­ing-An­grif­fe oder Geschäftsstillstand durch Da­ten­miss­brauch ist ein struk­tu­rier­tes In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tem (ISMS) nach ISO 27001 nicht nur sinn­voll, sondern un­ver­zicht­bar.

Wirksame Umsetzung eines Risikomanagementprozesses

Erhöhte Resilienz gegenüber Cyberangriffen

Informationssicherheit als Teil der Unternehmenskultur

Sicherstellung von Compliance

Beschreibung Standard/Regelwerk
Loading...

Was ist ISO 27001?

ISO/IEC 27001 ist die in­ter­na­tio­nal führende Norm für die Im­ple­men­tie­rung eines ganz­heit­li­chen In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tems (ISMS). Der Standard kon­zen­triert sich darauf, Risiken zu er­ken­nen, zu bewerten und zu managen, die In­for­ma­ti­ons­pro­zes­se be­tref­fen, und hebt die Be­deu­tung der Si­che­rung sen­si­bler Daten als ent­schei­den­des stra­te­gi­sches Element her­vor.

In der heutigen Zeit sind In­for­ma­tio­nen allgegenwärtig und ein in­te­gra­ler Be­stand­teil aller Or­ga­ni­sa­ti­ons­pro­zes­se. Oftmals sind sie be­lang­los, oft aber auch kritisch und ver­trau­lich. Um genau diese wichtige Un­ter­schei­dung für Ihre Or­ga­ni­sa­ti­on treffen zu können, müssen die ein­zel­nen In­for­ma­tio­nen klas­si­fi­ziert werden. Diese Klas­si­fi­zie­rung bildet die Grund­la­ge für die Schutz­me­cha­nis­men, die ein ISMS nach ISO 27001 vor­sieht.

Das ISMS dient dazu, ope­ra­ti­ve Daten zu sichern und deren Ver­trau­lich­keit zu gewährleisten. Zugleich ga­ran­tiert die in­ter­na­tio­nal an­er­kann­te Norm die Be­triebs­be­reit­schaft der IT-Sys­te­me, die in Un­ter­neh­mens­pro­zes­se in­vol­viert sind.

Die Zer­ti­fi­zie­rung nach ISO 27001 steht für ein starkes Signal nach außen: Sie ist ein Zeichen für die unabhängige und externe An­er­ken­nung der Wirk­sam­keit Ihres In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tems.

Die in­ter­na­tio­na­le Norm ISO/IEC 27001 kann auch unabhängig von anderen Ma­nage­ment Systemen wie etwa ISO 9001 (Qualitätsmanagement) oder ISO 14001 (Um­welt­ma­nage­ment) eigenständig eingeführt, be­trie­ben und zer­ti­fi­ziert wer­den.

mehr anzeigen
weniger anzeigen
Zielgruppe
Loading...

Revision ISO 27001:2022 – Pro­zess­ori­en­tie­rung rückt stärker in den Fokus

Im Oktober 2022 ist die überarbeitete Version der ISO 27001 er­schie­nen. Die Revision ist eine zwangsläufige Folge, nachdem die für den Anhang A von ISO 27001 maßgebliche Um­set­zungs­an­lei­tung ISO/IEC 27002 um­fas­send überarbeitet und im Februar 2022 veröffentlicht wurde. Die Übergangsfrist für be­stehen­de ISO 27001-Zer­ti­fi­ka­te beträgt drei Jahre. Das heißt, dass alle Zer­ti­fi­ka­te nach ISO/IEC 27001:2013, re­spek­ti­ve DIN EN ISO /IEC 27001:2017 bis zum 31. Oktober 2025 auf die neue Version aus 2022 um­ge­stellt sein müssen.

We­sent­li­che Änderungen der neuen ISO 27001 vom Oktober 2022:

Einführung der Har­mo­ni­zed Struc­tu­re: Mit der Revision wird die High Level Structur von der Har­mo­ni­zed Struc­tu­re abgelöst. Die ge­mein­sa­me, all­ge­mei­ne Struktur ermöglicht eine höhere Kompatibilität mit anderen Ma­nage­ment­sys­tem­nor­men.

Fo­kus auf Pro­zess­ori­en­tie­rung: Es wird ein stärkerer Schwer­punkt auf die Pro­zess­ori­en­tie­rung gelegt, einschließlich der Betonung ihrer In­ter­ak­tio­nen und Be­wer­tungs­kri­te­ri­en.

Neu struk­tu­rier­te Maßnahmenkategorien: Die Klas­si­fi­zie­rung der Sicherheitsmaßnahmen wurde in the­ma­ti­sche Blöcke überarbeitet, was die Verständlichkeit und An­wend­bar­keit ver­bes­sert.

Ak­tua­li­sier­te Sicherheitsmaßnahmen: Die Maßnahmen sind jetzt auf die ak­tu­el­len Be­dro­hun­gen und Or­ga­ni­sa­ti­ons­me­tho­den ab­ge­stimmt, was sie re­le­van­ter für moderne Un­ter­neh­mens­um­ge­bun­gen macht.

Fle­xi­ble An­pas­sung an das Ri­si­ko­ma­nage­ment: Neue At­tri­bu­te ermöglichen die An­pas­sung der Controls an un­ter­schied­li­che Ri­si­ko­ma­nage­ment­me­tho­den und globale Cy­ber­si­cher­heits­stan­dards.

Mit der re­vi­dier­ten ISO/IEC 27001:2022-10 ist auch der Anhang A überarbeitet er­schie­nen. Dieser umfasst nun 93 Maßnahmen in 4 The­men­be­rei­chen umfasst und damit ge­ziel­ter auf heutige Si­cher­heits­an­for­de­run­gen ein­geht.

Ei­ne um­fas­sen­de­re Be­trach­tung der re­le­van­ten Änderungen lesen Sie in unserem Blog­bei­tragNeue ISO/IEC 27001:2022 – we­sent­li­che Änderungen.

Die neue ISO-Norm kann über den Beuth Ver­lag in eng­li­scher Sprache bezogen werden. Die deutsche DIN-Norm liegt aktuell als Entwurf vor: DIN EN ISO/IEC 27001:2023-04 – Ent­wurf.

mehr anzeigen
weniger anzeigen
Grundsätze
Loading...

EU-Richt­li­nie NIS2: Neue An­for­de­run­gen an Cy­ber­se­cu­ri­ty für Un­ter­neh­men

Die NIS2-Richt­li­nie wurde von der EU eingeführt, um die Cy­ber­se­cu­ri­ty in kri­ti­schen Branchen wie Energie, Ge­sund­heit, Trans­port, Banken und Di­gi­tal­dienst­leis­tun­gen zu stärken. Sie betrifft auch zahl­rei­che mittelgroße Un­ter­neh­men mit sys­te­mi­scher Be­deu­tung. Die Richt­li­nie muss bis Oktober 2024 in na­tio­na­les Recht um­ge­setzt werden. Sie verlangt von Un­ter­neh­men, ihre Widerstandsfähigkeit und Reaktionsfähigkeit gegenüber Cy­ber­an­grif­fen und Sicherheitsvorfällen zu erhöhen.

Bedeutung für Un­ter­neh­men in Deutsch­land:

  • Er­wei­ter­ter Gel­tungs­be­reich: Mehr Branchen und Un­ter­neh­men fallen unter die Richt­li­nie, ins­be­son­de­re in kri­ti­schen Sektoren wie Energie, Ge­sund­heit und Transport.
  • Sicherheitsmaßnahmen: Un­ter­neh­men müssen um­fas­sen­de tech­ni­sche und or­ga­ni­sa­to­ri­sche Sicherheitsmaßnahmen um­set­zen.
  • Mel­de­pflich­ten: Un­ter­neh­men sind ver­pflich­tet, schwere Sicherheitsvorfälle den Behörden zu melden.
  • Bußgelder: Verstöße gegen die Richt­li­nie können er­heb­li­che Geld­stra­fen nach sich zie­hen.

Un­ter­neh­men, die bereits ein ISMS nach ISO 27001 eingeführt haben, erfüllen viele der NIS2-An­for­de­run­gen und können so die Ein­hal­tung der ge­setz­li­chen Vorgaben mit einer ISO 27001 Zer­ti­fi­zie­rung ent­spre­chend nachweisen. 

Chancen und Risiken
Loading...

Welche Or­ga­ni­sa­tio­nen pro­fi­tie­ren von einer ISO 27001 Zer­ti­fi­zie­rung?

Die ISMS-Norm ISO 27001 gilt welt­weit. Sie bietet Or­ga­ni­sa­tio­nen aller Größen und Branchen einen Rahmen zur Planung, Um­set­zung und Überwachung ihrer In­for­ma­ti­ons­si­cher­heit. Die An­for­de­run­gen sind generell an­wend­bar und gelten sowohl für private und öffentliche Un­ter­neh­men als auch für gemeinnützige Or­ga­ni­sa­tio­nen. In Deutsch­land sind bereits mehr als 1500 Un­ter­neh­men nach ISO 27001 zer­ti­fi­ziert.

Un­ter­neh­men, die zu einem Sektor der Kri­ti­schen In­fra­struk­tur (KRITIS) zählen und einen Schwel­len­wert überschreiten, müssen laut dem Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) einen Nachweis zur Si­cher­stel­lung ihrer In­for­ma­ti­ons­si­cher­heit er­brin­gen.

Zu den KRI­TIS-Sek­to­ren zählen unter anderem Energie, Wasser, Gesundheit, Finanzen und Ver­si­che­run­gen, Ernährung, Transport und Ver­kehr, In­for­ma­ti­ons­tech­nik sowie Telekommunikation. Ent­spre­chen­de Um­set­zungs­nach­wei­se können durch Si­cher­heits­au­dits, Prüfungen oder Zer­ti­fi­zie­run­gen er­fol­gen. Dafür können entweder an­er­kann­te Normen wie DIN ISO/IEC 27001 oder al­ter­na­tiv vom BSI an­er­kann­te Bran­chen­spe­zi­fi­sche Si­cher­heits­stan­dards (B3S) als Prüfungsgrundlage ver­wen­det wer­den.

mehr anzeigen
weniger anzeigen
Mehrwert
Loading...

Vorteile von ISO 27001 Im­ple­men­tie­rung für Ihr Un­ter­neh­men

Die Im­ple­men­tie­rung eines In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tems gemäß ISO/IEC 27001 ist für Un­ter­neh­men eine stra­te­gi­sche Ent­schei­dung und muss die spe­zi­fi­sche Si­tua­ti­on wi­der­spie­geln. Der in­ter­na­tio­na­le Standard unterstützt dabei, ihre Daten sicher zu ver­wal­ten und gleich­zei­tig das Ver­trau­en von Kunden und Partnern zu stärken.

Für Or­ga­ni­sa­tio­nen in Deutsch­land bringt die ISO 27001 Zer­ti­fi­zie­rung folgende Haupt­vor­tei­le:

  • Ste­ti­ge Ver­bes­se­rung des Si­cher­heits­ni­veaus: Durch kon­ti­nu­ier­li­che An­pas­sun­gen und Ver­bes­se­run­gen wird das Si­cher­heits­ni­veau Ihrer In­for­ma­ti­ons­sys­te­me laufend erhöht.
  • Reduzierung von Risiken: Die Norm hilft, po­ten­zi­el­le Si­cher­heits­ri­si­ken zu iden­ti­fi­zie­ren und zu mi­ni­mie­ren.
  • Ein­hal­tung von Com­pli­ance-An­for­de­run­gen: ISO 27001 unterstützt Un­ter­neh­men bei der Erfüllung recht­li­cher und re­gu­la­to­ri­scher An­for­de­run­gen.
  • Sen­si­bi­li­sie­rung der Mit­ar­bei­ter: Ein gestärktes Be­wusst­sein für Da­ten­si­cher­heit trägt zur Ge­samt­si­cher­heit des Un­ter­neh­mens bei.
  • Erhöhte Kun­den­zu­frie­den­heit: Kunden erkennen und schätzen die In­ves­ti­ti­on in Da­ten­si­cher­heit und Da­ten­schutz.

In­ter­ne Audits sowie die Ma­nage­ment­be­wer­tung unter Be­tei­li­gung der obersten Un­ter­neh­mens­lei­tung sind dabei interne Stell­schrau­ben, um diese Erfolge zu er­zie­len.

Wei­te­re positive Aspekte sind, dass in­ter­es­sier­te Parteien wie zum Beispiel Aufsichtsbehörden, Ver­si­che­run­gen, Banken, Part­ner­ge­sell­schaf­ten ein höheres Ver­trau­en zu Ihrer Or­ga­ni­sa­ti­on auf­bau­en. Denn ein zer­ti­fi­zier­tes Ma­nage­ment­sys­tem si­gna­li­siert, dass sich Ihre Or­ga­ni­sa­ti­on struk­tu­riert mit Risiken befasst und der kontinuierlichen Ver­bes­se­rung (KVP) folgt und sich damit widerstandsfähiger gegen un­ge­woll­te Einflüsse macht.

mehr anzeigen
weniger anzeigen
Wer darf zertifizieren
Loading...

Wer darf eine Zer­ti­fi­zie­rung nach ISO 27001 durch­füh­ren?

Um ein In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tem zu zer­ti­fi­zie­ren, muss die je­wei­li­ge Zer­ti­fi­zie­rungs­stel­le selbst nach ISO/IEC 17021 und ISO/IEC 27006 ak­kre­di­tiert sein. ISO/IEC 17021 regelt Themen zur Konformitätsbewertung, speziell An­for­de­run­gen an Prüfstellen, die Managementsysteme au­di­tie­ren und zer­ti­fi­zie­ren.

In ISO/IEC 27006 werden ergänzend strenge An­for­de­run­gen de­fi­niert, die Zer­ti­fi­zie­rungs­stel­len für die Zer­ti­fi­zie­rung eines ISMS nach ISO 27001 ein­hal­ten müssen.

Hier­zu gehören unter an­de­rem:

  • Der Nachweis über vor­ge­ge­be­ne Aufwände bei Au­dits.
  • Die Vorgaben zur Qua­li­fi­ka­ti­on der Au­di­to­ren.

Die DQS ist durch die Deutsche Ak­kre­di­tie­rungs­stel­le GmbH (DAkkS) ak­kre­di­tiert und damit be­rech­tigt, Audits und Zer­ti­fi­zie­run­gen nach der in­ter­na­tio­nal an­er­kann­ten Norm ISO 27001 durchzuführen.

Unabhängig in welcher Branche Ihr Un­ter­neh­men tätig ist, können Sie sich auf die ausgeprägte Fach­kennt­nis der Auditoren der DQS ver­las­sen. Sie bringen langjährige Er­fah­run­gen in der Be­gut­ach­tung von In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­men für die un­ter­schied­li­chen Branchen mit.

mehr anzeigen
weniger anzeigen
Business28.png
Loading...

Wie läuft eine ISO 27001 Zer­ti­fi­zie­rung ab?

Sind alle Anforderungen von DIN EN ISO 27001 umgesetzt, können Sie Ihr Managementsystem zertifizieren lassen. Dabei durchlaufen Sie bei der DQS einen mehrstufigen Zertifizierungsprozess. Ist bereits ein zertifiziertes Managementsystem im Unternehmen etabliert, kann der Prozess verkürzt werden.

Im ersten Schritt tauschen Sie sich mit uns über Ihr Unternehmen und die Ziele einer ISO 27001Zertifizierung aus. Auf dieser Basis erhalten Sie ein detailliertes, auf die individuellen Bedürfnisse Ihres Unternehmens zugeschnittenes Angebot.

Ein Meeting zur Projektplanung kann zum Beispiel bei größeren Projekten sinnvoll sein, um Zeitpläne und die Durchführung der Audits noch besser auf Standorte oder Unternehmensbereiche abzustimmen. Das Voraudit bietet Ihnen die Möglichkeit, bereits im Vorfeld Stärken und Verbesserungspotenzial Ihres Systems zu ermitteln. Beide Dienstleistungen sind optional.

Das ISO/IEC 27001 Audit startet mit der Systemanalyse und Bewertung Ihres ISMS (Audit Stufe 1). Dabei stellt Ihr Auditor fest, ob Ihr Managementsystem ausreichend entwickelt und zertifizierungsreif ist.

Im nächsten Schritt (Systemaudit Stufe 2) begutachtet Ihr Auditor vor Ort die Wirksamkeit aller Managementprozesse unter Anwendung der Norm ISO 27001. Das Auditergebnis wird bei einem Abschlussgespräch vorgestellt. Bei Bedarf werden Maßnahmenpläne vereinbart.

Nach dem Zertifizierungsaudit werden die Ergebnisse durch die unabhängige Zertifizierungsstelle der DQS bewertet. Wenn alle Normanforderungen erfüllt sind, erhalten Sie das ISO 27001 Zertifikat.

Nach der erfolgreichen ISO 27001 Zertifizierung werden mindestens einmal jährlich wesentliche Komponenten Ihres ISMS erneut vor Ort auditiert, um kontinuierlich Verbesserungen zu erzielen.

Das ISO 27001 Zertifikat ist für maximal drei Jahre gültig. Rechtzeitig vor Ablauf wird eine Rezertifizierung durchgeführt, um die fortlaufende Erfüllung der anwendbaren Normanforderungen zu gewährleisten. Bei Erfüllung wird ein neues Zertifikat ausgestellt.

Banking13.png
Loading...

Was kostet eine ISO 27001 Zer­ti­fi­zie­rung?

Auch wenn das Audit nach ISO 27001 nach struk­tu­rier­ten Vorgaben durchzuführen ist, hängen die Kosten für die ISO 27001 Zer­ti­fi­zie­rung von un­ter­schied­li­chen Faktoren ab, bei­spiels­wei­se von der Komplexität Ihres Un­ter­neh­mens. Deshalb gibt es kein pau­scha­les Angebot über die ISO 27001 Zer­ti­fi­zie­rungs-Kos­ten für jedes Un­ter­neh­men.

Die Kosten für eine Zer­ti­fi­zie­rung nach DIN ISO 27001 bemessen sich unter anderem an fol­gen­den vier Kri­te­ri­en:

1. Die Komplexität Ihres In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tems

Hier­bei werden die kri­ti­schen Werte (zum Beispiel Patente, per­so­nen­be­zo­ge­ne Daten, Anlagen, Pro­zes­se) Ihres Un­ter­neh­mens berücksichtigt. Der Aufwand für eine Zer­ti­fi­zie­rung ori­en­tiert sich dabei vor allem an den In­for­ma­ti­ons­si­cher­heits­an­for­de­run­gen und in welchem Maße Ver­trau­lich­keit, Integrität und Verfügbarkeit (VIV) von In­for­ma­tio­nen be­trof­fen sind.

2. Das Kerngeschäft Ihres Un­ter­neh­mens im Gel­tungs­be­reich des ISMS

An dieser Stelle spielen vor allem die mit Ihren Geschäftsprozessen ver­bun­de­nen Risiken eine wichtige Rolle für die Er­mitt­lung des not­wen­di­gen Au­dit­auf­wands. Ge­setz­li­che An­for­de­run­gen werden dabei ebenso berücksichtigt wie kom­ple­xe, in­di­vi­du­el­le Kun­den­an­for­de­run­gen.

3. Die hauptsächlich ein­ge­setz­ten Tech­no­lo­gien und Kom­po­nen­ten in Ihrem ISMS

Im Rahmen des Audits werden die Tech­no­lo­gie sowie die ein­zel­nen Kom­po­nen­ten Ihres ISMS geprüft. Hierzu zählen IT-Platt­for­men, Server, Da­ten­ban­ken, Ap­pli­ka­tio­nen sowie Netz­werk­seg­men­te. Grundsätzlich gilt hier: Je höher der Anteil an Stan­dard­sys­te­men und je geringer die Komplexität Ihrer IT ist, desto geringer ist der Aufwand. Davon abhängig sind auch die Kosten einer DIN ISO 27001 Zer­ti­fi­zie­rung.

4. Der Anteil an Ei­gen­ent­wick­lun­gen in Ihrem ISMS

Gibt es keine interne Ent­wick­lung und Sie ver­wen­den überwiegend stan­dar­di­sier­te Soft­ware­platt­for­men, ist der Aufwand einer Be­gut­ach­tung ge­rin­ger. Zeichnet sich Ihr ISMS durch in­ten­si­ve Nutzung selbst ent­wi­ckel­ter Software aus und wird diese für zentrale Geschäftsbereiche ein­ge­setzt, wird der Aufwand für die Zer­ti­fi­zie­rung höher aus­fal­len.

Da­mit wir Ihnen einen Überblick über die Kosten für eine ISMS-Zer­ti­fi­zie­rung geben können, benötigen wir im Vorfeld genaue Angaben zu Ihrem Geschäftsmodell sowie zum An­wen­dungs­be­reich. So können wir Ihnen ein maßgeschneidertes Angebot mit Ihren ISO 27001-Zer­ti­fi­zie­rungs Kosten zukommen las­sen.

mehr anzeigen
weniger anzeigen
Business2.png
Loading...

Das können Sie von uns erwarten

  • Mehr als 35 Jahre Er­fah­rung in der Zer­ti­fi­zie­rung von Ma­nage­ment­sys­te­men und Pro­zes­sen
  • Bran­chen­er­fah­re­ne Au­di­to­ren und Experten mit ausgeprägter Fachkenntnis
  • Wertschöpfende Ein­bli­cke in Ihr Un­ter­neh­men
  • Zer­ti­fi­ka­te mit in­ter­na­tio­na­ler Ak­zep­tanz
  • Ex­per­ti­se und Zu­las­sun­gen für alle maßgeblichen Standards
  • Persönliche, rei­bungs­lo­se Be­treu­ung durch unsere Spe­zia­lis­ten – re­gio­nal, national und in­ter­na­tio­nal
  • In­di­vi­du­el­le Angebote mit fle­xi­blen Ver­trags­lauf­zei­ten ohne ver­steck­te Kos­ten
philipp tesar-dqs-contact person
Loading...

An­ge­bots­an­fra­ge

Ihr An­sprech­part­ner Philipp Tesar

„Gerne er­stel­len wir Ihnen ein maßgeschneidertes Angebot für die ISO 27001 Zer­ti­fi­zie­rung Ihres ISMS.“

We­sent­li­che Än­de­run­gen in der neuen ISO/IEC 27001:2022

In unserem Blog­bei­trag finden Sie die wich­tigs­ten In­for­ma­tio­nen zu den Neue­run­gen der Norm ISO 27001:2022.

Zum DQS-Blog­bei­trag