ISO 27001 – ein Abwehrschild gegen digitale Angriffe

Hackerangriffe, Missbrauch von Daten oder das Lahmlegen von ganzen Betriebsstrukturen können die Folge sein, wenn Unternehmen nicht ausreichend gegen digitale Bedrohungen geschützt sind. Eine zentrale Rolle bei der IT-Sicherheit von Unternehmen jeglicher Größe nimmt die Zertifizierung ISO 27001 ein. Auf dem Weg zu diesem Sicherheitslevel kann vor allem HITGuard maßgeblich unterstützen.

Norm als Grundvoraussetzung für Informationssicherheit

Die Norm ISO 27001 ist der Ausgangspunkt für ein Informationssicherheitsmanagementsystem in Unternehmen, um technisch und prozessual bestmöglich gegen Angriffe von außen geschützt zu sein. Aber auch Geschäftspartner können den Nachweis der ISO 27001 Zertifizerung verlangen. Die Vorteile durch ISO 27001 für Unternehmen überwiegen klar. Der Standard trägt dazu bei, dass:

  • … Bedrohungen rechtzeitig erkannt und reduziert werden

  • … die IT-Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität berücksichtigt werden
  • … die betriebliche IST-Situation bewertet und im Bedarfsfall optimiert bzw. an die SOLL-Situation angepasst wird. Interne Abläufe erhalten so eine wesentliche Verbesserung.
  • … die Norm in der Praxis des Unternehmens zur Anwendung kommt und im Arbeitsalltag integriert wird. Voraussetzung dafür ist allerdings, dass die Verantwortung beim Management liegt und Trainings sowie Audits stattfinden sollen.

Positive Auswirkungen auf das Image

Bei Vorhandensein eines solchen Zertifikats kann sich dies positiv auf das Image des Unternehmens auswirken. Andernfalls – wenn Unternehmensdaten durch Hackerangriffe gestohlen oder IT-Prozesse gefährdet werden – drohen finanzielle Schäden, der Verlust des Kundenvertrauens und Vorteile für Mitbewerber.

Für wen ist die ISO 27001 besonders wichtig?

Die Sicherheitszertifizierung durch ISO 27001 empfiehlt sich für jedes Unternehmen, um bestmöglich gegen Datenklau oder Hackerangriffe geschützt zu sein. Für manche Unternehmen ist eine solche Sicherheitsmaßnahme gesetzlich vorgeschrieben. Vor allem Einrichtungen, die zu den kritischen Infrastrukturen (KRITIS) gehören, sollten eine Zertifizierung mit der Norm ISO 27001 anstreben.

Kommt es in solchen Organisationen zu Hackerangriffen oder Datenmissbrauch kann dies verheerende Folgen für die Gesundheit, die Sicherheit sowie den wirtschaftlichen und sozialen Wohlstand der Bevölkerung haben. Daher sind KRITIS bei Störungen der IT-Sicherheit in Deutschland sofort verpflichtet diese an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. In Österreich ist die Meldung dem Bundesministerium für Inneres (BMI) vorzulegen.

ISO 27001, BSI IT-Grundschutz, EN 50600 und TISAX – wie diese Standards und Normen ineinandergreifen

ISO 27001 ist nicht die einzige Norm im Informationssicherheitsmanagement. Sie spielt mit anderen Normen zusammen bzw. kann auch alternativ zu anderen Normen implementiert werden.

Zertifizierung nach BSI IT-Grundschutz vs. ISO 27001

Viele Unternehmen stellen sich die Frage, sollen wir uns nach ISO 27001 oder BSI IT-Grundschutz zertifizieren lassen?

Beide sind zum Aufbau von Informationssicherheitsmanagementsystemen geeignet. Sie unterscheiden sich aber in der Vorgehensweise. Die ISO 27001 ist stark an Geschäftsprozessen orientiert und bietet Unternehmen viel Freiheit in ihrer Umsetzung. Der BSI IT-Grundschutz hingegen ist eher technisch ausgerichtet. Er beschreibt sehr konkret und detailliert wie vorzugehen ist.

Automobil-Branche – zwischen TISAX und ISO 27001

Manche Branchen sehen sich neben der Entscheidung ISO 27001 oder BSI IT-Grundschutz mit zusätzlichen Herausforderungen konfrontiert. Für die Sicherheit von Informationen in der Automobil-Branche ist der Standard TISAX (Trusted Information Security Assessment Exchange) verantwortlich. Auch zu TISAX steht ISO 27001 in direkter Verbindung – dennoch liegt der wesentliche Unterschied im Anwendungsbereich. Die TISAX-Norm spezialisiert sich noch mehr auf die Sicherheitsanforderung im Automobil-Bereich und bezieht die Unternehmenspartner stark in den IT-Sektor mit ein. Datenschutz und Prototypenschutz gelten als wesentliches Thema.

Im Geltungsbereich, im Prüfprozess sowie bei den Reifegraden stützt sich TISAX auf die ISO 27001 – wenn auch mit einigen Unterschieden. Während im Geltungsbereich mit der ISO 27001 ein Selbstbestimmungsgrad des Unternehmens gegeben ist, wird bei TISAX ein Standard festgelegt und es sind alle Mitarbeiter, die mit sensiblen Daten arbeiten vertreten.

EN 50600 kommt bei Rechenzentren zur Anwendung

Die Norm ISO 27001 steht in Verbindung mit weiteren anderen Standards. Eine davon ist die DIN EN 50600, die festlegt wie die Planung, der Neubau und der Betrieb eines Rechenzentrums auszusehen hat. Egal ob Konstruktion, Elektroversorgung, Klimatisierung oder die Verkabelung sowie die Sicherheitssysteme eines Rechenzentrums – dies ist alles in der DIN EN 50600 geregelt. Sie gilt gleichzeitig als erste europaweite Norm für Rechenzentren. Ebenso Einfluss hat die ISO 27001, die nicht auf der physischen Ebene, sondern speziell bei der Organisation und auf der Prozessebene zur Anwendung kommt.

Der Weg zur ISO-Zertifizierung

Um sein Unternehmen nach ISO 27001 zu zertifizieren, müssen mehrere Stufen der Zertifizierung durchlaufen werden. In der Regel dauern die damit verbundenen Schritte bis zur endgültigen Zertifizierung zwischen drei und fünf Wochen.

Erste Informationen

Ziele, Nutzen und die grundsätzliche Voraussetzung für eine Zertifizierung werden zu Beginn des Prozesses für das Unternehmen geklärt. Festgelegt wird auch in welchem Rahmen die Zertifizierung ihren Geltungsbereich haben soll.

Beginn des Zertifizierungsprozesses

Gemeinsam mit dem verantwortlichen Auditor wird der Zertifizierungsprozess gestartet.

Stufe 1 Audit:

In einem ersten Audit wird die generelle Zertifizierungsfähigkeit festgestellt, die eine Voraussetzung für das Stufe 2 Audit darstellt. Diese Prüfung wird in der Regel vom Lead Auditor vor Ort durchgeführt und kann in Ausnahmefällen auch als reine Dokumentenprüfung stattfinden. Hierbei können bereits Schwachstellen in der Dokumentation und des Systems zum Vorschein kommen.

Stufe 2 Audit:

Hierbei handelt es sich um das eigentliche Audit, das durch ein Auditoren Team abgehalten wird. Dabei werden die Konformität und Wirksamkeit des Managementsystems festgestellt. Stichproben in allen Organisationseinheiten sollen Aufschluss darüber bieten ob die Anforderungen erfüllt sind. Nach Vorliegen und anschließender Bewertung der Ergebnisse werden etwaige Mängel durch die Auditoren offengelegt. Abhängig von der Schwere der identifizierten Abweichungen können diese zur Verweigerung des Zertifikats oder zur Aufforderung zur fristgerechten Nachbesserung durch das Unternehmens führen. Dies tritt glücklicherweise in der Praxis weniger häufig ein. Hinweise werden jedoch häufig im Sinne von Verbesserungsempfehlungen durch die Auditoren gegeben. In weiterer Folge werden diese durch das Unternehmen im darauffolgenden Jahr behandelt.

Ausstellung des Zertifikats

Wenn die Dokumentation und Implementierung des Managementsystems sowie das Audit positiv abgeschlossen wurden, kann die Zertifizierung mit ISO 27001 abgeschlossen werden. Grundsätzlich gilt eine Laufzeit von drei Jahren für den Sicherheitsstandard. Dazu ist ein jährliches Überwachungsaudit durchzuführen, um die Gültigkeit aufrecht zu erhalten. Hier werden die Wirksamkeit und die Weiterentwicklung des Managementsystems stichprobenartig überprüft.

Nach Ablauf der Gültigkeit

Um auch nach den drei Jahren zertifiziert und vor allem geschützt zu bleiben ist es für Unternehmen erforderlich ein Re-Zertifizierungsaudit durchzuführen. Dieses findet nach Ablauf der Gültigkeit statt. Auch hier werden alle Forderungspunkte stichprobenartig überprüft. Fallen diese positiv aus, kann das Zertifikat erneut um drei Jahre – mit jährlichen Überprüfungen – ausgestellt werden.

Wenn Unternehmen möchten, dann können Sie bei Zertifizierern auch ein Voraudit durchführen lassen. Dabei wird im Vorfeld die Zertifizierungsfähigkeit überprüft, ein solches ist aber für die grundsätzliche Sicherheitszertifizierung nicht zwingend erforderlich.

HITGuard als vertrauensvoller Partner auf dem Weg zur ISO 27001

Für die Zertifizierung mit der Norm ISO 27001 bietet HITGuard als Unterstützung einen Leitfaden an.

Experten und Wissensdatenbanken

HITGuard unterstützt mit eigenen Wissensdatenbanken, in denen das Know-How von Experten am Weg zur Zertifizierung gesammelt wurde. Vorlagen für die Zertifizierung hinsichtlich Richtlinien und Prozessbeschreibungen bietet HITGuard ebenfalls.

Kritische Systeme und Schwachstellen werden aufgezeigt

Die Struktur Ihrer Unternehmens- und IT-Landschaft lässt sich mit Hilfe von Import-Möglichkeiten und grafischen Editoren komfortabel erarbeiten. Die Schutzbedarfsanalyse in HITGuard hilft anschließend dabei festzustellen, wo die „kritischen IT-Services“ und die sensibelsten Informationen verwahrt werden bzw. geschützt werden müssen. Anhand von Schwachstellenanalyse unter Verwendung von Wissensdatenbanken können Unternehmen die Compliance Erfüllung einfach feststellen – sowohl gegen die ISO 27001 als auch gegen den Annex A oder gegen weitere unterstützende Standards und Normen.

Die Möglichkeit noch im Zuge der Analysen Maßnahmen abzuleiten und ihre Umsetzung sofort zu veranlassen, hilft dabei etwaige Probleme schnellstmöglich einer Behebung zuzuführen. Für eine über die Jahre nachhaltige Lösung von Themenstellungen sorgt das Kontrollsystem das HITGuard ebenfalls anbietet.

Für die Zertifizierung ebenfalls relevant ist das „Statement of Applicability“ – dieses kann durch HITGuard gepflegt und als Report erstellt werden.

Jetzt unverbindlich Demo anfordern

Erfahren Sie was die GRC Software HITGuard für Sie leisten kann

Erfahren Sie mehr über andere Module von HITGuard!

Wo sich HITGuard unter anderem bereits bewährt

Bauwirtschaft
ca. 20.000 Mitarbeiter
Wirtschaftsprüfer
ca. 700 Mitarbeiter
VAMED-VMS
Gesundheitswesen
ca. 18.000 Mitarbeiter
IT-Security Solutions
ca. 100 Mitarbeiter
Softwarehaus
ca. 400 Mitarbeiter
Eventmanagement
ca. 500 Mitarbeiter
Krankenhausträger
ca. 1.600 Mitarbeiter
computer betting company gmbh
Sportwetten
.
Gesundheitsdienstleister
.

Ist Ihre Branche nicht dabei? Sie benötigen mehr Informationen? Gerne stellen wir Ihnen individuelle Referenzbeispiele zusammen – kontaktieren Sie uns.