procilon banner themen

DIN ISO/IEC 27001 - Standardisierte Informationssicherheit

Die DIN ISO/IEC 27001 legt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und laufende Verbesserung eines Information-Security-Management-System (ISMS) im Kontext der Organisation fest. Darüber hinaus beinhaltet sie Anforderungen für die Einschätzung und Handhabung von Risiken in der Informationssicherheit entsprechend den individuellen Bedürfnissen der Organisation.

Prüfung der Informationssicherheit in Geschäftsprozessen
Grundsätzlich gilt es nachzuweisen, dass ein solcher Prozess implementiert wurde und nachhaltig im Unternehmen gelebt wird. Dabei steht nicht die IT im Fokus, sondern die Informationssicherheit in den Geschäftsprozessen eines Unternehmens. Die Überprüfung umfasst sowohl eine Dokumentenprüfung, als auch eine Umsetzungsprüfung der erforderlichen IT-Sicherheitsmaßnahmen vor Ort. Als Nachweise fordert die Norm eine umfassende Dokumentation der Ergebnisse. Von größter Bedeutung sind in diesem Zusammenhang eine Beschreibung von Inhalt und Umfang des ISMS sowie das Vorgehen und die Ergebnisse des Risikomanagements. Hierbei ist darauf zu achten, dass die Dokumente geordnet abgelegt werden, Änderungen kontrolliert erfolgen und zeitnah den betroffenen Personen kommuniziert werden.

Starter KIT

Nutzen Sie unser praxiserprobtes Starter Kit "ISO 27001"

Das procilon Starter Kit "ISO 27001" enthält alles was Sie benötigen, um mit der Vorbereitung auf eine Zertifizierung nach ISO27001 zu beginnen:

  •   Installation "i-doit" und Anleitung zur elektronischen Dokumentation
  •   Erstberatung zum Vorgehen bei der Einführung eines ISMS
  •   Bereitstellung eines "i-doit"-Template für ISO 27001 mit Musterdokumenten

  Gründe für die Zertifizierung nach DIN ISO/IEC 27001

Nachweis für wirksames Sicherheitsmanagement
Firmen, Behörden und sonstige Organisationen, die ein wirksames Sicherheitsmanagement nachweisen wollen bzw. müssen, können sich entsprechend nach DIN ISO/IEC 27001 zertifizieren lassen.


Vorgaben durch Kunden, Aufsichtsbehörden oder Banken
Da die DIN ISO/IEC 27001 als Methode für Informationssicherheit anerkannt ist, stellt sie ein wichtiges Instrument zum Nachweis der Einhaltung von gesetzlichen Anforderungen sowie von Vorgaben durch Kunden, Aufsichtsbehörden oder Banken dar.


Gesetzliche Vorschriften
Neben gesetzlichen Regeln wie SOX, Basel II und MaRisk gibt es auch eine Reihe von nationalen Vorschriften, die ein Informationssicherheitsmanagementsystem (ISMS) fordern, wie das Produkthaftungsgesetz oder das Telemediengesetz oder der Entwurf zum IT-Sicherheitsgesetz für kritische Infrastrukturen.


Teilnahme an Ausschreibungen
Zunehmend werden Zertifizierungen nach DIN ISI/IEC 27001 auch zur Teilnahme an Ausschreibungen verlangt.

  Der Weg zur Zertifizierung nach DIN ISO/IEC 27001

Der Nachweis einer Zertifizierung nach DIN ISO/IEC 27001 wird bei haftungsrelevanten Problemen in der Regel als Beleg anerkannt, dass die gebotene Sorgfaltspflicht eingehalten wurde. Auch gegenüber Kunden, Partnern und Dienstleistern kann sie als Nachweis der Kompetenz im Bereich Informationssicherheit dienen.

Externer Audit
Zum Nachweis einer Zertifizierung auf Basis von DIN ISO/IEC 27001 muss ein externer Audit durch anerkannte Auditoren durchgeführt werden

Gültigkeit von bis zu drei Jahren
Zertifikate können mit einer Gültigkeit von bis zu drei Jahren ausgestellt werden. Ggf. sind jährliche Überwachungsaudits notwendig

Re-Zertifizierung
Nach Ablauf der Gültigkeitsdauer ist eine Re-Zertifizierung möglich

  Definition des Geltungsbereiches

Die Organisation muss festlegen:

  •   welche externen und internen Angelegenheiten für ihren Zweck relevant sind
  •   wie sie sich auf ihre Fähigkeit auswirken, die beabsichtigten Ergebnisse ihres Informationssicherheitsmanagementsystem (ISMS) zu erreichen
  •   welche Parteien im Hinblick auf das ISMS relevant sind
  •   welche Anforderungen diese Parteien in Bezug auf die Informationssicherheit erfüllen müssen
  •   welche Grenzen das ISMS hat
  •   wann und wo das ISMS anwendbar ist (Geltungsbereich)

  Anforderungen an die Leitung

Die Leitung muss ihre Führung und ihr Engagement in Bezug auf das ISMS demonstrieren und sicherstellen, dass:

  •   eine Informationssicherheitsleitlinie und Informationssicherheitsziele vorgegeben werden und mit der strategischen Ausrichtung vereinbar sind
  •   die Anforderungen im Rahmen des ISMS in die Prozesse der Organisation integriert werden
  •   die für das ISMS erforderlichen Ressourcen bereitstehen
  •   die Bedeutung eines effektiven ISMS sowie der Einhaltung der Anforderungen im Rahmen des ISMS kommuniziert werden
  •   mit dem ISMS die beabsichtigten Ergebnisse erzielt werden können
  •   Personen einen Beitrag zur Wirksamkeit des ISMS leisten können
  •   die laufende Verbesserung gefördert wird
  •   andere relevante Führungskräfte ihrer Führung im jeweiligen Zuständigkeitsbereich demonstrieren können
  •   das ISMS den Anforderungen dieser Norm entspricht
  •   die Berichterstatten zur Leistung des ISMS gegenüber der Leitung gewährleistet ist

  Anforderungen an die Organisation

Ermitteln der Informationssicherheitsrisiken

  •   Anwenden des Prozesses zur Risikoeinschätzung für die Ermittlung von Risiken im Zusammenhang mit Mängeln bei Vertraulichkeit, Integrität und Verfügbarkeit von Informationen innerhalb des Geltungsbereichs des ISMS
  •   Ermitteln der Risikoeigentümer

Analyse der Sicherheitsrisiken

  •   Bewerten der potenziellen Auswirkungen bei Eintritt der ermittelten Risiken
  •   Bewerten der realistischen Eintrittswahrscheinlichkeiten der ermittelten Risiken
  •   Festlegen der Risikostufen

Auswertung der Sicherheitsrisiken

  •   Vergleich der analysierten Risiken mit den festgelegten Risikokriterien und Festlegen von Prioritäten bezüglich des Umgangs mit diesen Risiken.

Sie müssen in relevanten Funktionen relevante Sicherheitsziele festlegen, die:

  •   mit der Informationssicherheitsleitlinie konsistent sind
  •   messbar sind (falls praktikabel)
  •   unter Berücksichtigung der anwendbaren Sicherheitsanforderungen, der Risikoeinschätzung und der Ergebnisse des Umgangs mit diesen Risiken festgelegt werden
  •   kommuniziert werden
  •   ggf. aktualisiert werden

Die Organisation muss

  •   die Dokumentation über den Prozess der Risikoeinschätzung aufbewahren
  •   die Dokumentation über den Prozess zur Risikobehandlung aufbewahren
  •   die Dokumentation über die Sicherheitsziele aufbewahren

  Kriterien für die Umsetzung

Der Prozess zur Risikoeinschätzung muss folgendes bewirken:

  •   Einrichten und Aufrechterhalten von Risikokriterien einschließlich Risikoakzeptanzkriterien
  •   Festlegen der Kriterien für eine Durchführung von Risikoeinschätzungen
  •   Sicherstellen, dass wiederholte Risikoeinschätzungen zu konsistenten, aussagekräftigen und vergleichbaren Ergebnisse führen

Der Prozess zur Risikobehandlung soll folgendes beinhalten:

  •   Auswahl angemessener Optionen für die Risikobehandlung unter Berücksichtigung der Ergebnisse der Risikoeinschätzung
  •   Festlegen aller Maßnahmen zur Implementierung
  •   Vergleich der festgelegten Maßnahmen mit den Maßnahmen in Anhang A der Norm
  •   Vergewisserung, dass keine erforderliche Kontrollmaßnahmen ausgelassen wurden
  •   Erstellen einer Erklärung zur Anwendung der erforderlichen Maßnahmen und Gründe für die Nichteinbeziehung von Maßnahmen in Anhang A
  •   Formulieren eines Plans für die Risikobehandlung
  •   Einholen einer Genehmigung des Plans für die Risikobehandlung seitens der Risikoeigentümer sowie deren Akzeptanz der verbleibenden Risiken

Bei der Umsetzungsplanung muss folgendes ermittelt werden:

  •   zu ergreifende Maßnahmen
  •   erforderliche Ressourcen
  •   zuständige Personen
  •   Frist bis zum Abschluss
  •   Verfahren zur Auswertung der Ergebnisse

  Dokumentation

Zusätzlich ist die Umsetzung der Maßnahmen und Kontrollen aus dem Anhang A des Standards zu dokumentieren. Dabei handelt es sich um Ziele für die folgenden Bereiche:

  1. Richtlinien zur Informationssicherheit
  2. Organisatorische Sicherheitsmaßnahmen und Managementprozess
  3. Verwaltung von Informationswerten
  4. Personelle Sicherheit
  5. Physische Sicherheit
  6. Netzwerk- und Betriebssicherheit
  7. Zugriffskontrolle
  8. Systementwicklung und Wartung
  9. Umgang mit Sicherheitsvorfällen
  10. Notfallmanagement
  11. Einhaltung rechtlicher und interner Vorgaben

  Unterschied zur DIN ISO/IEC 27001-Zertifizierung auf der Basis von IT-Grundschutz

Zusätzliche Bewertung konkreter Sicherheitsmaßnahmen
Als Erweiterung einer Zertifizierung nach DIN ISO/IEC 27001 bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit 2006 eine DIN ISO/IEC 27001-Zertifizierung auf der Basis von IT-Grundschutz an. Diese umfasst eine Prüfung des IT-Sicherheitsmanagements sowie eine darüber hinausgehende Bewertung konkreter IT-Sicherheitsmaßnahmen anhand von IT-Grundschutz.

  Bezug zur DIN ISO/IEC 27002

Verfahrensbeschreibung und Implementierungsmethoden
Die DIN ISO/IEC 27001 beschreibt weder spezifische Verfahren, noch definiert sie Implementierungsmethoden zum Erlangen einer Zertifizierung. Für eine konkrete Umsetzung der Ziele und dafür erforderlichen Maßnahmen verweist sie stattdessen auf die DIN/IEC ISO 27002, die daher bei einer Zertifizierung zwingend berücksichtigt werden muss.

  Unsere Unterstützung

Neben den unseren standardisierten IT-Sicherheits-Workshops bieten wir Ihnen auch gern eine Begleitung durch das gesamte Projekt zur Umsetzung der Anforderungen aus der DIN ISO/IEC 27001 an. In unseren IT-Sicherheitsanalysen haben wir das allgemeine Vorgehen in einem solchen Projekt beschrieben.


Sie haben Fragen?

Wir sind gern für Sie da

Tel.: +49 34298 4878 31
Fax: +49 34298 4878 11

E-Mail | Rückrufwunsch

Nächster Schritt

Anfrage senden

kostenlos & unverbindlich

Webinar

procilon ONLINE Praxis-Seminare

Erfahren Sie mehr zu diesem und weiteren Themen in einem exklusiven & kostenfreien 1:1 Webinar. Gleich anmelden

Referenz

Downloads Referenzblatt FDH GmbH

FDH GmbH
Erstellung einer BSI-Sicherheitsrichtlinie

  Hier downloaden

Unsere Expertise

T.I.S.P.-Logo

T.I.S.P. ist bisher das einzige deutschsprachige Expertenzertifikat für IT-Sicherheitsfachleute.

Diese Website nutzt Cookies, um bestmögliche Funktionalität bieten zu können.