ISO 27001: Die Zertifizierung für sichere Informationen

Praktisch jeden Tag ist von neuen Schwachstellen zu hören, die auch aktiv genutzt werden. Im Internet herrscht Krieg, aber es geht nicht mehr um Ruhm und Ansehen, sondern um Geld. Dabei spielt es keine Rolle, ob es sich um ein kleines oder grosses Unternehmen handelt. Daher gilt es, den eigenen Schutz so hoch wie möglich zu halten. Erfahren Sie, wie Sie dies mit Hilfe der ISO 27001 erreichen.

Autor Andeas Wisler
Datum 19.09.2016
Lesezeit 3 Minuten

Praktisch jeden Tag hört man von neuen Schwachstellen, die auch aktiv genutzt werden. Im Internet herrscht Krieg, aber es geht nicht mehr um Ruhm und Ansehen, sondern um Geld, viel Geld. Dabei spielt es keine Rolle, ob es sich um ein kleines oder grosses Unternehmen handelt. Daher gilt es, den eigenen Schutz so hoch wie möglich zu halten.

ISO 27001 ist ein Framework zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS). Damit werden nicht nur die eigenen Anforderungen an einen optimalen Schutz abgedeckt, sondern auch die vielen gesetzlichen und regulativen Anforderungen. Viele Anforderungen von Behörden richten sich nach dieser internationalen Norm (oft werden Teilbereiche daraus verbindlich verlangt). Gleichzeitig ist eine erfolgreiche Zertifizierung auch ein Qualitätsmerkmal für Kunden, Lieferanten und Partner.

Das Framework besteht aus verschiedenen (Sub-)Standards. Laufend kommen weitere dazu, vor allem im Bereich der sektionsspezifischen Standards in bestimmten Bereichen wie Telekommunikation, Gesundheitswesen und Energieversorgung. Wichtig für den Aufbau des ISMS sind die Normen ISO 27001 und ISO 27002.

ISO 27001 beschreibt den Aufbau des Frameworks. Die Kapitel umfassen den Kontext der Organisation (Aufbau, Prozesse, involvierte Stellen, Geltungsbereich und das Managementsystem), Anforderungen an die Führung (Verantwortung und Zuständigkeiten, Leitlinie), der Planung (Risikoanalyse, Umsetzungspläne), die Unterstützung (Ressourcen, Kompetenzen, Schulungen, Kommunikation), den Einsatz (Planung und Kontrolle), die Auswertung (Überwachung, Messung, Analyse und Auswertung) sowie die stetigen Verbesserungen.

Im zweiten Teil, ISO 27002, geht es um konkrete Massnahmen. Total sind dies 114 sogenannte Controls, aufgeteilt in 14 Kapitel. Die Themen sind Organisation, Personalsicherheit, Wertemanagement, Zugriffskontrolle, physische Sicherheit, Betriebssicherheit, Unterhalt und Wartung, Lieferantenbeziehungen, Sicherheitsvorfall-Management sowie Business-Continuity-Management.

Erfolgreicher Abschluss

Nach der Norm gilt ein Informationssicherheitssystem als erfolgreich abgeschlossen, wenn folgende Punkte erfüllt sind:

  • Es gibt eine definierte Leitlinie, die sich an den Zielen und Massnahmen der Geschäftsziele orientiert und an das Vorgehen zum Management der Informationssicherheit der Unternehmenskultur angepasst ist,
  • ein Budget für Informationssicherheitsmanagement zugeteilt wurde und die Aktivitäten zur Informationssicherheit von der Leitung (Topmanagement) unterstützt werden,
  • in der Organisation das Verständnis für die Anforderungen an Informationssicherheit verbreitet ist, Risikoanalysen durchgeführt und Notfallvorsorge betrieben wird,
  • die Benutzer hinreichend für Informationssicherheit sensibilisiert und geschult sind und die geltenden Sicherheitsvorgaben und Regelungen kennen,
  • ein Sicherheitsprozess mit einer regelmässig wiederholten Beurteilung und Verbesserung des ISMS existiert.

Das Resultat dieser Schritte ist ein effektives Informationssicherheitsmodell, durchgängige Prozesse und eine Sensibilisierung aller Mitarbeiter. Gegenüber Kunden, Partnern und weiteren Stellen existiert ein akzeptierter Nachweis über die eigenen Tätigkeiten rund um die Informationssicherheit.


Über den Autor

Andeas Wisler

Andreas Wisler ist Geschäftsführer der goSecurity GmbH, die sich mit ganzheitlichen und produktneutralen IT-Sicherheitsüberprüfungen und -beratungen auseinandersetzt. Penetration Tests und Social Engineering runden das Firmenprofil ab. Regelmässig veröffentlicht Andreas Wisler einen informativen Newsletter zu aktuellen Sicherheitsthemen, der kostenlos und unverbindlich auf www.INFONEWS.ch heruntergeladen werden kann. Andreas Wisler ist dipl. IT Ing. FH, CISA, CISSP, ECSA, CEH, ISO 22301 und 27001 Lead Auditor, ITIL FE, Security+ und MCITP Enterprise Server Administrator.