Was ist ISO 27001

Training » Präsenztrainings » Security & Datenschutz » ISO 27001 » Wissen

Was ist ISO 27001

Training » Präsenztrainings » Security & Datenschutz » ISO 27001 » Wissen

Was ist ISO/IEC 27001?

Um ihrer Sorgfaltspflicht und zukünftigen gesetzlichen Anforderungen nachzukommen, müssen die Unternehmen verschiedenster Branchen relevante Geschäftsinformationen schützen. Der ISO/IEC 27001-Standard und ein auf dieser Basis aufgesetztes Informations-Sicherheits-Managementsystem gibt den Unternehmen bzw. Service-Organisationen die Möglichkeit, um die Informationssicherheit zu organisieren. Eine entsprechende Zertifizierung erlaubt es einer Organisation, den hohen Stand der Informationssicherheit zu kommunizieren und zu belegen. Der Standard ISO/IEC 27001 wurde entwickelt, um Anforderungen für die Einrichtung, Implementierung, Wartung und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems zu schaffen. Der Standard kann von internen und externen Anwendern genutzt werden, um die Fähigkeit der Organisation zu beurteilen, die Anforderungen der Organisation an die Informationssicherheit zu erfüllen. Der Standard umfasst auch Anforderungen an die Bewertung und Behandlung von auf die Bedürfnisse der Organisation zugeschnittenen Informationssicherheitsrisiken. Die Anforderungen dieser internationalen Norm sind generisch und sollen für alle Organisationen gelten, unabhängig von Art, Größe oder Natur.

Geschichte der ISO/IEC 27000

Ihren Ursprung hat die Norm im BS7799 Standard. Dieser wurde im Jahr 1995, vom British Standards Institute (BSI), als die neue Norm für Information Security Management vorgestellt. Sie wurde als internationale Norm erstmals am 15. Oktober 2005 veröffentlicht. Seit September 2008 liegt die Norm auch als DIN-Norm in der deutschen Übersetzung vor. Die folgende Abbildung gibt einen Überblick über die Geschichte und damit verbundene Entwicklung der ISO/IEC 27000. Der Hauptteil der Norm, d.h. das eigentliche ISM-System wird in der ISO/IEC 27001 beschrieben, so dass diese aus der ISO/IEC 27000er Normenreihe der bekannteste und wichtigste Teil ist.

Warum und wofür ISO/IEC 27001?

Die Anwendung der ISO/IEC 27001 in einer Organisation ist eine Investition, da sie Ressourcen bindet. Dagegen steht ein in seiner Bedeutung immer wichtiger werdender Nutzen, da das Thema Informationssicherheit in zunehmend digitalen Umfeldern einen unverzichtbaren Unternehmenswert darstellt. Des Weiteren verlangen immer mehr gesetzliche und branchenspezifische Pflichtvorgaben eine gezielte und nachweisliche Umsetzung der Anforderungen der Informationssicherheit. Die ISO/IEC 27001 ist generisch gehalten und damit in jedem Branchen- und Unternehmensumfeld anwendbar. Im Wesentlichen wird die ISO/IEC 27001 für die folgenden Themen angewendet:

  • Formulierung der Anforderungen und Zielsetzungen an die Informationssicherheit
  • Management von Risiken in Bezug auf Informationssicherheit
  • Erfüllung der Konformität mit Gesetzen und Regulatorien
  • Als Rahmen für die Implementierung und dem Management von Maßnahmen zur Erreichung der gewünschten Informationssicherheit
  • Zur Identifikation der bestehenden Informationssicherheits-Prozesse und –Fähigkeiten einer Organisation zur Ergänzung eines ggf. bereits vorhandenen Managementsystems mit dann dem Fokus Informationssicherheit
  • Als Basis für Audit interner und externer Auditoren zur Feststellung des Umsetzungsgrades von Gesetzen, Richtlinien und Standards .

 

ISO 27000-Reihe – Relevanz für das IT Management

IT-Verantwortliche müssen sich entsprechend sorgfältig mit dem Thema beschäftigen und ihre Maßnahmen immer als Teil eines Gesamtkonzepts betrachten. Dazu gehören auch grundlegende Fragen wie die Absicherung von Unternehmensinformationen oder deren Nutzung durch Mitarbeiter, die an verschiedenen Standorten arbeiten und unterschiedliche Zugriffsrechte haben. Auch muss sichergestellt werden, dass gesetzliche Bestimmungen und verschiedene kommerzielle Richtlinien eingehalten werden. Diese sorgen dafür, dass beispielsweise persönliche Mitarbeiterdaten vor Missbrauch geschützt oder Informationen transparent und sicher aufbewahrt werden. Erfolgreich umsetzen lässt sich diese Aufgabe über die Implementierung eines umfassenden Security Managements. Dazu gehören die Definition von Sicherheitszielen, Richtlinien, Maßnahmen, Prozessen sowie deren Umsetzung. Ziel ist es, Schwachstellen bereits im Vorfeld zu erkennen und nicht erst, wenn der Schaden bereits aufgetreten ist. Eine gut durchdachte Sicherheitsstrategie legt genau fest, was wann in welcher Situation zu tun ist. Sehr effizient ist dieses IT Security Management System (ISMS), wenn es auf ITIL beruht und Normen wie ISO/IEC 20000 und ISO/IEC 27001 erfüllt.

Seminar- und Qualifizierungsschema ISO/IEC 27001

Für die ISO/IEC 27001 gibt es folgende Qualifizierungsmöglichkeiten:

ISO/IEC 27001-Foundation Die zweitägige Foundation-Ausbildung vermittelt die Grundsätze der Informationssicherheit sowie den Umfang, Zweck, Kernbegriffe und Definitionen in der ISO/IEC 27001. Des Weiteren werden die grundlegenden Anforderungen an das Information Security Managementsystem behandelt und welche Prozesse mit ihren Zielen und High-Level-Anforderungen dort enthalten sind. Die Ausbildung ISO/IEC 27001-Foundation wird mit einer Zertifizierungsprüfung abgeschlossen.

ISO/IEC 27001-Practitioner In der dreitägigen interaktiven Practitioner-Ausbildung werden anhand von Praxisfällen die Inhalte von ISO/IEC 27001 in aller Tiefe ausgearbeitet und angewandt. Es geht um die Anwendung der Prinzipien in reellen Umgebungen. Die Ausbildung ISO/IEC 27001-Practitioner wird mit einer Zertifizierungsprüfung abgeschlossen.