ISO 27001 ist eine anerkannte Norm für Informationssicherheit und bietet einen Rahmen für die Implementierung eines Informationssicherheitsmanagementsystems (ISMS). Welche Anforderungen stellt die Norm? Warum sollte man die Zertifizierung anstreben? Entdecken Sie die Antworten.
Die ISO 27001-Zertifizierung, eine internationale Referenz
ISO 27001 ist der internationale Standard für Cybersicherheit. Diese Norm bietet Richtlinien, die Organisationen aller Art (private Unternehmen, öffentliche Verwaltungen, NGOs, …) dabei unterstützen, ihre digitalen Informationen zu schützen. Von Unternehmen wird erwartet, dass sie ein Informationssicherheitsmanagementsystem (ISMS) aufbauen, das auf den Prozessen, Handlungen und Geltungsbereichen des ISO-Standards beruht. Dadurch wird der Schutz gegen alle mit der Informationssicherheit verbundenen Risiken (Verlust, Diebstahl, Veränderung, Eindringen, Katastrophe, …) verstärkt.
Die Norm ISO/IEC 27001 wurde erstmals im Oktober 2005 veröffentlicht und hat seither einige Überarbeitungen durchlaufen (2013 und 2022). In ihrer neuesten Ausgabe von 2022 wurden neue Themen behandelt, insbesondere bezüglich der Prävention, der Erkennung, der Reaktion auf Cyberangriffe und des Datenschutzes (in Übereinstimmung mit dem NIST Cybersecurity Framework).
Die Anforderungen der ISO 27001 Norm
Die Norm ISO 27001 besteht aus 10 Kapiteln. Die ersten drei sind der Einleitung, dem Anwendungsbereich sowie den Begriffen und Definitionen gewidmet, weshalb wir uns auf die folgenden sieben Kapitel konzentrieren:
Wissenswert: Um ISO 27001 zertifiziert zu werden, müssen Organisationen den Anforderungen der Norm gerecht werden, die mit dem Ausdruck „die Organisation MUSS“ gekennzeichnet sind. Wenn das Wort „sollte“ verwendet wird, handelt es sich eher um Empfehlungen.
1 - Kontext der Organisation
Dies bildet den allgemeinen Rahmen des Informationssicherheitsmanagementsystems.
Nach ISO 27001 muss die Organisation:
- Die internen und externen Faktoren bestimmen, die ihr ISMS beeinflussen können. Dies entspricht einer SWOT-Analyse, bei der das Unternehmen seine Stärken, Schwächen, Chancen und Bedrohungen ermittelt.
- Die Stakeholder identifizieren, die eine Rolle in der Sicherheit der Informationssysteme spielen (wie Partner, Kunden und Interessenten).
- Den Anwendungsbereich des ISMS definieren, einschließlich der Standorte, Infrastrukturen, Dienste und Prozesse, die es einschließt.
2 - Führung
Ziel ist die Unterstützung und Förderung der Implementierung des ISMS durch verschiedene Maßnahmen, beispielsweise:
- Die Sicherheitspolitik der Organisation festlegen;
- Einen Verantwortlichen für das ISMS benennen;
- Mitarbeiter über Cybersicherheit und deren Bedeutung informieren;
- Die Implementierung von Sicherheitsmaßnahmen unterstützen;
- Risiken im IT-Bereich managen.
In diesem Kapitel ISO 27001 liegt der Schwerpunkt vor allem auf den leitenden Angestellten, die ihre Führungsrolle beweisen müssen.
3 - Planung
Im Fokus dieses Kapitels nach ISO 27001 steht die Identifizierung von Cyber-Risiken und entsprechenden Behandlungsmaßnahmen. Konkret muss die Organisation:
- Ihre Informationswerte identifizieren: Für jeden Vermögenswert muss ein Grad an Vertraulichkeit und Sensibilität festgelegt werden.
- Risiken im Bereich der Informationssicherheit abschätzen: basierend auf der Kritikalität des Risikos, der Sensibilität der Daten, der Dringlichkeit, der Wahrscheinlichkeit usw.
- Mit Maßnahmen zur Risikobewältigung reagieren: dabei handelt es sich um Sicherheitsmaßnahmen, die darauf abzielen, das Risiko zu minimieren.
- Sicherheitsziele festlegen: Das Unternehmen soll einen Behandlungsplan erstellen, um diese Ziele zu erreichen und seine Effektivität sicherzustellen.
4 - Unterstützung
Die Organisation muss die notwendigen Ressourcen bereitstellen, um den Betrieb des ISMS zu unterstützen. Das umfasst:
- Das ISMS dokumentieren;
- Dokumente und Aufzeichnungen verwalten;
- Veränderungen kontrollieren;
- Die Kompetenz der Stakeholder sicherstellen, die am ISMS beteiligt sind (CISO, Webentwickler, Netzwerkadministratoren, …);
- Kommunikation und Sensibilisierung der Mitarbeiter fördern;
- Notwendige Ressourcen beschaffen (Werkzeuge, IT-Ausrüstungen, Hosting-Lösungen, Cloud-Dienste, …).
5 - Betrieb
Dies bezieht sich auf die Umsetzung des Behandlungsplans, der in Schritt 3 geplant wurde. Gemäß ISO 27001 muss die Organisation:
- Operative Sicherheitskontrollen implementieren;
- Veränderungen des Plans überwachen und deren Auswirkungen analysieren;
- Sicherheitsvorfälle managen;
- Eine kontinuierliche Verbesserung des ISMS anstreben.
6 - Leistungsbewertung
Es geht um die Überwachung und Bewertung des Behandlungsplanes. Ziel ist es, dessen Leistung zu bewerten, bevor Verbesserungen vorgenommen werden. Dafür muss die Organisation:
- Indikatoren einführen, um die Ergebnisse des ISMS zu bewerten;
- Diese KPIs überwachen;
- Interne Audits des ISMS durchführen;
- Die Übereinstimmung mit den Anforderungen der Norm bewerten.
7 - Kontinuierliche Verbesserung
Das letzte Kapitel der ISO 27001 Norm widmet sich der kontinuierlichen Verbesserung. Angesichts der zahlreichen Veränderungen im Bereich der Informationssicherheit ist es für Organisationen unerlässlich, Prozesse zu implementieren, um das ISMS stetig zu verbessern. Dies erfordert eine kontinuierliche Technologiebeobachtung, um neue Bedrohungen und Cybersicherheitspraktiken zu identifizieren.
Zusätzlich zu diesen 10 Kapiteln enthält die ISO 27001 Norm einen Anhang A, der empfohlene Sicherheitskontrollen für Informationen bereitstellt.
Die Vorteile der ISO 27001 Zertifizierung
In einer Zeit, in der die Cyber-Risiken ständig zunehmen, erscheint die ISO 27001 Zertifizierung als Schutzmaßnahme. Durch ihr Informationssicherheitsmanagementsystem gibt sie bewährte Praktiken vor, um Daten zu schützen.
Verbesserte Sicherheit trägt auch zum besseren Image eines Unternehmens bei seinen Stakeholdern bei. Kunden, Partner und Lieferanten vertrauen eher einer Organisation, die ein ISMS implementiert hat.
Deshalb ist es wichtig, die ISO 27001 Zertifizierung anzustreben. Sie möchten sich darauf vorbereiten? Treten Sie DataScientest bei.
