Der Weg zu systematischer Informationssicherheit in Unternehmen
Wirksame Umsetzung eines Risikomanagementprozesses
Erhöhte Resilienz gegenüber Cyberangriffen
Informationssicherheit als Teil der Unternehmenskultur
Sicherstellung von Compliance
Was ist ISO 27001?
In der heutigen Zeit sind Informationen allgegenwärtig und ein integraler Bestandteil aller Organisationsprozesse. Oftmals sind sie belanglos, oft aber auch kritisch und vertraulich. Um genau diese wichtige Unterscheidung für Ihre Organisation treffen zu können, müssen die einzelnen Informationen klassifiziert werden. Diese Klassifizierung bildet die Grundlage für die Schutzmechanismen, die ein ISMS nach ISO 27001 vorsieht.
Das ISMS dient dazu, operative Daten zu sichern und deren Vertraulichkeit zu gewährleisten. Zugleich garantiert die international anerkannte Norm die Betriebsbereitschaft der IT-Systeme, die in Unternehmensprozesse involviert sind.
Die Zertifizierung nach ISO 27001 steht für ein starkes Signal nach außen: Sie ist ein Zeichen für die unabhängige und externe Anerkennung der Wirksamkeit Ihres Informationssicherheits-Managementsystems.
Die internationale Norm ISO/IEC 27001 kann auch unabhängig von anderen Management Systemen wie etwa ISO 9001 (Qualitätsmanagement) oder ISO 14001 (Umweltmanagement) eigenständig eingeführt, betrieben und zertifiziert werden.
Revision ISO 27001:2022 – Prozessorientierung rückt stärker in den Fokus
Wesentliche Änderungen der neuen ISO 27001 vom Oktober 2022:
Einführung der Harmonized Structure: Mit der Revision wird die High Level Structur von der Harmonized Structure abgelöst. Die gemeinsame, allgemeine Struktur ermöglicht eine höhere Kompatibilität mit anderen Managementsystemnormen.
Fokus auf Prozessorientierung: Es wird ein stärkerer Schwerpunkt auf die Prozessorientierung gelegt, einschließlich der Betonung ihrer Interaktionen und Bewertungskriterien.
Neu strukturierte Maßnahmenkategorien: Die Klassifizierung der Sicherheitsmaßnahmen wurde in thematische Blöcke überarbeitet, was die Verständlichkeit und Anwendbarkeit verbessert.
Aktualisierte Sicherheitsmaßnahmen: Die Maßnahmen sind jetzt auf die aktuellen Bedrohungen und Organisationsmethoden abgestimmt, was sie relevanter für moderne Unternehmensumgebungen macht.
Flexible Anpassung an das Risikomanagement: Neue Attribute ermöglichen die Anpassung der Controls an unterschiedliche Risikomanagementmethoden und globale Cybersicherheitsstandards.
Mit der revidierten ISO/IEC 27001:2022-10 ist auch der Anhang A überarbeitet erschienen. Dieser umfasst nun 93 Maßnahmen in 4 Themenbereichen umfasst und damit gezielter auf heutige Sicherheitsanforderungen eingeht.
Eine umfassendere Betrachtung der relevanten Änderungen lesen Sie in unserem BlogbeitragNeue ISO/IEC 27001:2022 – wesentliche Änderungen.
Die neue ISO-Norm kann über den Beuth Verlag in englischer Sprache bezogen werden. Die deutsche DIN-Norm liegt aktuell als Entwurf vor: DIN EN ISO/IEC 27001:2023-04 – Entwurf.
EU-Richtlinie NIS2: Neue Anforderungen an Cybersecurity für Unternehmen
Welche Organisationen profitieren von einer ISO 27001 Zertifizierung?
Unternehmen, die zu einem Sektor der Kritischen Infrastruktur (KRITIS) zählen und einen Schwellenwert überschreiten, müssen laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Nachweis zur Sicherstellung ihrer Informationssicherheit erbringen.
Zu den KRITIS-Sektoren zählen unter anderem Energie, Wasser, Gesundheit, Finanzen und Versicherungen, Ernährung, Transport und Verkehr, Informationstechnik sowie Telekommunikation. Entsprechende Umsetzungsnachweise können durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Dafür können entweder anerkannte Normen wie DIN ISO/IEC 27001 oder alternativ vom BSI anerkannte Branchenspezifische Sicherheitsstandards (B3S) als Prüfungsgrundlage verwendet werden.
Vorteile von ISO 27001 Implementierung für Ihr Unternehmen
Für Organisationen in Deutschland bringt die ISO 27001 Zertifizierung folgende Hauptvorteile:
- Stetige Verbesserung des Sicherheitsniveaus: Durch kontinuierliche Anpassungen und Verbesserungen wird das Sicherheitsniveau Ihrer Informationssysteme laufend erhöht.
- Reduzierung von Risiken: Die Norm hilft, potenzielle Sicherheitsrisiken zu identifizieren und zu minimieren.
- Einhaltung von Compliance-Anforderungen: ISO 27001 unterstützt Unternehmen bei der Erfüllung rechtlicher und regulatorischer Anforderungen.
- Sensibilisierung der Mitarbeiter: Ein gestärktes Bewusstsein für Datensicherheit trägt zur Gesamtsicherheit des Unternehmens bei.
- Erhöhte Kundenzufriedenheit: Kunden erkennen und schätzen die Investition in Datensicherheit und Datenschutz.
Interne Audits sowie die Managementbewertung unter Beteiligung der obersten Unternehmensleitung sind dabei interne Stellschrauben, um diese Erfolge zu erzielen.
Weitere positive Aspekte sind, dass interessierte Parteien wie zum Beispiel Aufsichtsbehörden, Versicherungen, Banken, Partnergesellschaften ein höheres Vertrauen zu Ihrer Organisation aufbauen. Denn ein zertifiziertes Managementsystem signalisiert, dass sich Ihre Organisation strukturiert mit Risiken befasst und der kontinuierlichen Verbesserung (KVP) folgt und sich damit widerstandsfähiger gegen ungewollte Einflüsse macht.
Wer darf eine Zertifizierung nach ISO 27001 durchführen?
Hierzu gehören unter anderem:
- Der Nachweis über vorgegebene Aufwände bei Audits.
- Die Vorgaben zur Qualifikation der Auditoren.
Die DQS ist durch die Deutsche Akkreditierungsstelle GmbH (DAkkS) akkreditiert und damit berechtigt, Audits und Zertifizierungen nach der international anerkannten Norm ISO 27001 durchzuführen.
Unabhängig in welcher Branche Ihr Unternehmen tätig ist, können Sie sich auf die ausgeprägte Fachkenntnis der Auditoren der DQS verlassen. Sie bringen langjährige Erfahrungen in der Begutachtung von Informationssicherheitsmanagementsystemen für die unterschiedlichen Branchen mit.
Wie läuft eine ISO 27001 Zertifizierung ab?
Sind alle Anforderungen von DIN EN ISO 27001 umgesetzt, können Sie Ihr Managementsystem zertifizieren lassen. Dabei durchlaufen Sie bei der DQS einen mehrstufigen Zertifizierungsprozess. Ist bereits ein zertifiziertes Managementsystem im Unternehmen etabliert, kann der Prozess verkürzt werden.
Im ersten Schritt tauschen Sie sich mit uns über Ihr Unternehmen und die Ziele einer ISO 27001Zertifizierung aus. Auf dieser Basis erhalten Sie ein detailliertes, auf die individuellen Bedürfnisse Ihres Unternehmens zugeschnittenes Angebot.
Das ISO/IEC 27001 Audit startet mit der Systemanalyse und Bewertung Ihres ISMS (Audit Stufe 1). Dabei stellt Ihr Auditor fest, ob Ihr Managementsystem ausreichend entwickelt und zertifizierungsreif ist.
Im nächsten Schritt (Systemaudit Stufe 2) begutachtet Ihr Auditor vor Ort die Wirksamkeit aller Managementprozesse unter Anwendung der Norm ISO 27001. Das Auditergebnis wird bei einem Abschlussgespräch vorgestellt. Bei Bedarf werden Maßnahmenpläne vereinbart.
Nach dem Zertifizierungsaudit werden die Ergebnisse durch die unabhängige Zertifizierungsstelle der DQS bewertet. Wenn alle Normanforderungen erfüllt sind, erhalten Sie das ISO 27001 Zertifikat.
Nach der erfolgreichen ISO 27001 Zertifizierung werden mindestens einmal jährlich wesentliche Komponenten Ihres ISMS erneut vor Ort auditiert, um kontinuierlich Verbesserungen zu erzielen.
Das ISO 27001 Zertifikat ist für maximal drei Jahre gültig. Rechtzeitig vor Ablauf wird eine Rezertifizierung durchgeführt, um die fortlaufende Erfüllung der anwendbaren Normanforderungen zu gewährleisten. Bei Erfüllung wird ein neues Zertifikat ausgestellt.
Was kostet eine ISO 27001 Zertifizierung?
Die Kosten für eine Zertifizierung nach DIN ISO 27001 bemessen sich unter anderem an folgenden vier Kriterien:
1. Die Komplexität Ihres Informationssicherheits-Managementsystems
Hierbei werden die kritischen Werte (zum Beispiel Patente, personenbezogene Daten, Anlagen, Prozesse) Ihres Unternehmens berücksichtigt. Der Aufwand für eine Zertifizierung orientiert sich dabei vor allem an den Informationssicherheitsanforderungen und in welchem Maße Vertraulichkeit, Integrität und Verfügbarkeit (VIV) von Informationen betroffen sind.
2. Das Kerngeschäft Ihres Unternehmens im Geltungsbereich des ISMS
An dieser Stelle spielen vor allem die mit Ihren Geschäftsprozessen verbundenen Risiken eine wichtige Rolle für die Ermittlung des notwendigen Auditaufwands. Gesetzliche Anforderungen werden dabei ebenso berücksichtigt wie komplexe, individuelle Kundenanforderungen.
3. Die hauptsächlich eingesetzten Technologien und Komponenten in Ihrem ISMS
Im Rahmen des Audits werden die Technologie sowie die einzelnen Komponenten Ihres ISMS geprüft. Hierzu zählen IT-Plattformen, Server, Datenbanken, Applikationen sowie Netzwerksegmente. Grundsätzlich gilt hier: Je höher der Anteil an Standardsystemen und je geringer die Komplexität Ihrer IT ist, desto geringer ist der Aufwand. Davon abhängig sind auch die Kosten einer DIN ISO 27001 Zertifizierung.
4. Der Anteil an Eigenentwicklungen in Ihrem ISMS
Gibt es keine interne Entwicklung und Sie verwenden überwiegend standardisierte Softwareplattformen, ist der Aufwand einer Begutachtung geringer. Zeichnet sich Ihr ISMS durch intensive Nutzung selbst entwickelter Software aus und wird diese für zentrale Geschäftsbereiche eingesetzt, wird der Aufwand für die Zertifizierung höher ausfallen.
Damit wir Ihnen einen Überblick über die Kosten für eine ISMS-Zertifizierung geben können, benötigen wir im Vorfeld genaue Angaben zu Ihrem Geschäftsmodell sowie zum Anwendungsbereich. So können wir Ihnen ein maßgeschneidertes Angebot mit Ihren ISO 27001-Zertifizierungs Kosten zukommen lassen.
Das können Sie von uns erwarten
Prozessorientierung und die 24 Controls
Jetzt kostenfreie DQS-Webinaraufzeichnung zur ISO 27001:2022 herunterladen. Referenten: DQS-Normexperten Markus Jegelka und André Säckel.